Detta är en artikel om CIS-kontrollerna, version 7. I den här artikeln läser du om hur er organisation kan påbörja ett införande av säker konfiguration av mobila enheter, klienter och servrar. Ger även förslag på hur ni kan mäta effekterna av dessa konfigurationer och en enklare mognadsmatris för att avgöra er mognad avseende området.

Nyckelinsikter

  • Börja med att införa säker konfiguration på de enheter och platser där effekterna på ett angrepp är som störst.
  • Sträcker sig från enklare åtgärder som att ändra standard lösenord till att hantera systemspecifika konfigurationsinställningar
  • Detta är en krävande och komplicerad uppgift som måste kontinuerligt uppdateras och hållas aktuell.

Innehållsförteckning

Åtgärdsområdets målsättning

Fysisk hårdvara, virtuella appliances eller mjukvaror är sällan från fabrik eller leverantör konfigurerade med säkra inställningar. Målsättningen med det här åtgärdsområdet är att du ska ta kontroll över detta med hjälp av exempelvis säkra images, configuration management-verktyg osv.

Området har 5 specifika åtgärder och som vanligt kan du ladda ner den tillhörande CSF-profilen som nu täcker åtgärdsområden 1 till och med 5.

Införande

Som vanligt menar jag att ni ska börja med en slags inventering av er nuvarande förmåga, avgöra er mognad så att säga. Därefter påbörjar ni införandet, eller fortsätter det ni redan påbörjat. Och så avslutar ni med att försöka mäta effekterna av åtgärderna.

Steg 1 – Avgör mognad

Innan ni börjar med ett införande rekommenderar jag som vanligt att ni gör en övergripande analys av er ungefärliga mognad.

MognadsnivåKriteria
Ingen förmågaHos oss är det High Chaparall. Vi har viss kontroll på servrar men klienterna är mer eller mindre konfigurerade för standardinställningar.
Partiell förmågaKontroll, vi har det… nästan. Våra mobila enheter är fortfarande utanför scope, men vanliga desktops och laptops har vi rätt OK koll på. De kan PXE-boota från ny och fräsch image, och får uppdateringar löpande genom central hantering.
God förmågaUtöver det vanliga har vi nu även koll på mobila enheter. iOS, Android spelar ingen roll, vi centralstyr samtliga enheter. Ska du in på våra nät och få åtkomst till våra applikationer ska dina enheter styras och konfigureras centralt. Vi kan och gör det.

Steg 2 – Påbörja införande

Detta är ett krävande och svårt jobb. Att skapa säkra konfigurationer kräver ofta djup förståelse om många saker. Självklart, vissa saker är enkla som att ändra standard lösenord. Men så ökar komplexiteten snabbt. Vilka tjänster behöver vara igång? Vilka kan vi ta bort? Hur konfigurerar vi ”bra” DHCP-inställningar? Vilka av alla hundra konfigurationsinställningar i katalogtjänsten ska vi slå på eller stänga av?

Ni skulle kunna välja att börja där ni känner att kompetensen finns. Det kanske är nätverksutrustning och då börjar ni där, eller så är det Active Directory, då börjar ni där. Men. Jag skulle rekommendera att ni gör en slags utifrån och in approach.

  1. Börja med att förstå Cyber Kill Chain (att förstå modellen är inte svårt, men alla detaljer kan givetvis bli knepigt!). Eftersom en angripare alltid har som delmål att få ett fotfäste vore det lämpligt att se till vilka sätt detta kan ske och fokusera arbetet där det har störst möjlighet att påverka angriparens möjligheter. Klienterna där användarna finns brukar vara en bra start.
  2. En bra start är således att börja konfigurera klienter från att inte ha möjlighet att exekvera program som kommer från e-post. (Tänk AppLocker i Windows). Eller se till att om användaren ”råkar” trycka på en .ps-fil (PowerShell) så ska det inte spela någon roll. Se till att den öppnas i notepad istället. Eller se till att makron i Word inte går att aktivera.

Säkra inställningar ska först och främst göras utifrån perspektivet: Vad hindrar en angripares tekniker, metoder och verktyg från att fungera?

Steg 3 – Mäta effektivitet

Det här med mätningar är som jag sagt många gånger tidigare klurigt. Det är enkelt när man gör det lätt för sig själv och mäter ”täckning”. Alltså saker som hur många klienter har säker konfiguration osv. Det blir däremot svårt om du vill försöka koppla det till effekterna det har mot intrång, eller angriparens ”framfart”. Och givetvis ska vi inte göra det enkelt för oss själva utan vi ska mäta det som spelar roll.

  • Om ni exempelvis konfigurerar .PS-filer till att öppnas i notepad ska ni mäta hur många gånger detta triggas.
  • Hur många gånger har ni förhindrat en applikation från att exekvera pga. AppLocker?
  • Om ni gjort ändringar i hanteringen av bifogade filer, exempelvis hur servern ska hantera vissa filtyper. Se till att mäta hur många gånger den förändring ni gjorde inträffar. Blockera ni . CHM? Mät hur många gånger de blockas.

Allt vi mäter kanske inte alltid direkt går att härleda till en angripare och hennes aktiviteter, men det kan bli ett bra underlag för att gräva djupare. Det kan användas som en plattform för att få mer kunskap och kännedom om er organisations hotbild. 

Sammanfattning

Säker konfiguration för mobila enheter, servrar, laptops, tjänster, program osv. är ett onekligen omfattande jobb som skulle kunna kräva att ni går igenom tusentals konfigurationsinställningar. För att göra det någorlunda hanterbart börjar vi med inställningar som vi vet påverkar en angripares möjligheter att genomföra ett angrepp mot oss. Därefter kan vi utöka vår förmåga till hantering av säkra OS-images och hur dessa distribueras, eller hur vi hanterar mobila klienter.

Detta är ett svårt och krävande jobb, men börja med konfiguration där ni får mest effekt avseende den generella hotbilden som riktas mot alla med en Internet-uppkopplad verksamhet.