La безбедност рачунарских система То је одавно престало да буде „техничко питање“ и постало је критично пословно питање. Данас, скоро све операције компаније зависе од њеног ИТ екосистема. Стога, када нешто откаже због напада или погрешне конфигурације, последице се претварају у финансијске губитке, незадовољне купце и нарушен имиџ бренда.
У том контексту очвршћавање То је постала суштинска стратегија. Не ради се само о инсталирању више безбедносних алата, већ о правилном конфигурисању онога што већ имамо, смањењу непотребних функција и затварању врата која никада нису требало да буду отворена. А у случају прегледача Google Chrome, ово подразумева комбиновање техника као што су... изолација процеса, напредна подешавања и специфичне контроле ради усклађивања са захтевним прописима у регулисаним секторима.
Шта је ојачавање и зашто је толико важно у Chrome-у?
Када говоримо о очвршћавању, мислимо на скуп мера и конфигурација дизајниран да минимизира рањивости система. Примењено на Chrome, ово подразумева прилагођавање прегледача како би се понудила највећа могућа безбедност, смањујући број позива прегледачу. „нападна површина“ које нападачи могу да искористе.
Основни принцип је једноставан: Мање непотребних функција Што је више безбедносних функција активно, мање је могућности за искоришћавање рањивости. Произвођачи обично испоручују своје производе спремне за употребу, дајући приоритет једноставности коришћења у односу на строгу безбедност. То значи да често долазе са опције омогућене подразумевано које вам можда нису потребне и које могу постати вектори напада. Посебно у организацијама које подлежу строгој регулацији.
Очвршћивање тражи Разумна равнотежа између заштите и употребљивостиНе ради се о блокирању свега и онемогућавању живота корисницима, већ о стварању удобног радног окружења где је вероватноћа да ће доћи до озбиљног инцидента што је могуће мања.
У регулисаним окружењима, каљење престаје да буде опција коју је „лепо имати“ и постаје регулаторни захтевМноги регулаторни оквири и стандарди (као што су CIS бенчмаркови или DISA STIG смернице) захтевају безбедне конфигурације и посебне контроле над прегледачима и апликацијама, укључујући Chrome.
Изолација процеса у Chrome-у: прва линија одбране
Један од кључних стубова Каљење хрома То је његова архитектура изолације процеса, позната и као „песчаник“. Chrome одваја картице, додатке, а у многим случајевима чак и целе сајтове у независне процесе, ограничавајући утицај рањивости на одређену страницу или компоненту.
Овај приступ ка „Све у својој кутији“ Ово је кључно у регулисаним окружењима, где изложеност осетљивим подацима не може да се ослања на једну баријеру. Ако нападач успе да искористи рањивост на веб локацији, изолација процеса отежава ширење те грешке на друге картице, друге домене или сам оперативни систем.
Штавише, „песчаник“ је допуњен механизмима контрола меморије и смањење експлоатације у прегледачу и у основном систему (ОС). Стога, чак и када се открије рањивост, обично је потребно повезати је са другима да би се постигла потпуна експлоатација, нешто много сложеније ако је изолација процеса правилно конфигурисана и праћена општим јачањем система.
У организацијама које подлежу ревизијама и контролама, уобичајено је да безбедносне политике захтевају Не онемогућавајте ове заштите Осим у веома оправданим, документованим и контролисаним случајевима. Одржавање активним функција изолације и „пешчаника“ у Chrome-у није само општи савет: то је основни захтев за демонстрирање дужне пажње и усклађености са регулаторним органима.
Јачање система: неопходан контекст за јачање Chrome-а
Прегледач не постоји изоловано. Да би Chrome-ово очвршћавање било заиста ефикасно, мора се ослањати на... глобално очвршћавање система (Windows, Linux, сервери апликација, рутери итд.). „Безбедан“ Chrome прегледач је бескористан ако ради на оперативном систему са непотребним отвореним портовима, небезбедним услугама и лоше управљаним дозволама.
Системско очвршћавање се састоји од примене рестриктивне мере и у софтверу и у хардверу да би се смањиле рањивости без ометања свакодневних операција. Неки уобичајени примери укључују: уклањање некоришћених програма, онемогућавање сервиса који не додају вредност, затварање некоришћених портова, пажљиво управљање дозволама за фасцикле и кориснике и успостављање јаке лозинке и политике аутентификације.
У многим безбедносним пројектима, препоручени приступ је одвајање активне и пасивне мереПрва врста безбедносних мера покушава да спречи нападе (заштитни зидови, правила приступа, јака аутентификација итд.), док се друга фокусира на ублажавање последица ако дође до инцидента (резервне копије, могућности опоравка, евидентирање и праћење, скенирање и уклањање злонамерног софтвера итд.). Chrome има користи од оба. Добра политика прављења резервних копија и реаговања на инциденте може направити велику разлику када злонамерни софтвер уђе кроз прегледач.
У корпоративним мрежама, такође се узима у обзир следеће: јачање рутера и мрежне опремеЈаке лозинке (не подразумеване), затварање некоришћених портова, онемогућавање небитних сервиса (FTP, CDP, BOOTP, итд.) и правилна сегментација подмреже. Све ове мере смањују могућности нападача за бочно кретање када стекну почетну рањивост путем прегледача.
Још један аспект који је уско повезан са Chrome-ом у пословању је заштита фасцикли и корисничких профилаПравилно управљање дозволама и ACL листама у путањама где прегледач чува профиле, кеш меморије или преузимања смањује могућност злонамерног софтвера да ескалира привилегије или угрози критичне информације.
Фазе пројекта каљења у регулисаним окружењима
Озбиљан пројекат очвршћавања, како за Chrome, тако и за његове остале компоненте, није ограничен само на примену скупа „магичних рецепата“. Обично је структуриран на следећи начин: три главне фазе: тестирање, примена и праћење, увек поткрепљено јасном политиком пооштравања.
Тестови
Прво, треба да дефинишемо основне вредности и политике за сваки тип система: прегледаче, сервере, апликације, верзије, улоге, окружења (продукциона, предпродукциона, лабораторијска итд.). Што је политика детаљнија (на пример, посебан шаблон за Chrome у улогама фронт-офиса у банкарству и другачији за развојне тимове), то ће се боље уклопити у свакодневне операције.
У фази пруебасОве политике се затим примењују у тест окружењима која што је могуће верније симулирају стварност. Овде се процењује која правила се могу применити без кршења било чега, а која узрокују проблеме у корпоративним веб апликацијама, потребним Chrome екстензијама или критичним услугама. Ово је најскупља фаза у смислу времена и ресурса, али и најважнија: примена промена директно на производњу, без тестирања, рецепт је за катастрофу и интерне инциденте.
Апликација
Када се политика прилагоди, фаза примена и усклађеностДоговорене конфигурације морају бити примењене на све погођене рачунаре и сервере, проверавајући да ли сваки од њих добија исправну политику. Ако се то ради ручно, ризик од људске грешке је веома висок. Стога се користе алати за управљање конфигурацијом и аутоматизацију како би се омогућило централизовано управљање политикама.
Мониторинг
Коначно, фаза од континуирано праћење То је оно што спречава да се систем временом врати у своје почетно небезбедно стање. ИТ окружења су веома динамична: инсталирају се нове апликације, опрема се деактивира, дозволе се мењају и тако даље. Ако се ово „померање конфигурације“ не прати и не исправља, мере заштите брзо губе своју ефикасност.
Алати за аутоматизацију и праћење очвршћавања
Да би се ефикасно решиле ове три фазе, уобичајено је ослањати се на четири главне породице алата:
- Аутоматизација каљења.
- Управљање конфигурацијом.
- Скенери за усклађеност.
- Решења отвореног кода.
Сваки од њих покрива различити део циклуса.
Тхе алати за аутоматизацију очвршћавања Они генерално нуде свеобухватније решење: могу да тестирају промене конфигурације, процене њихов утицај, примене смернице групно и централно прате усклађеност. Њихова снага лежи у аутоматској анализи утицаја сваког правила на производне сервисе, што је кључно за избегавање кварова веб апликација које зависе од одређених подешавања Chrome-а или система.
Постоје комерцијална решења специјализована за ојачавање сервера и посреднички софтвер, дизајнирана да смањите оперативне трошкове и избегните прекиде применом строгих безбедносних политика. Неки су усмерени на сервере уопште, док се други фокусирају на одређене платформе (нпр. веб окружења). Ове врсте алата вам омогућавају да одржите јаку безбедносну позицију без повећања ручног напора. Такође олакшавају генерисање извештаја о усклађености за ревизије.
Друга категорија је алати за управљање конфигурацијом безбедности (SCM)NIST описује ове системе као скуп процеса и технологија које се користе за контролу конфигурација информационог система у сврху управљања ризицима. Њихова функција се креће од примене одређене основне конфигурације до контроле верзија, прегледа промена, одобравања модификација и одржавања праћења ко је шта променио и када.
Коначно, екосистем Опен Соурце Нуди више пројеката усмерених на јачање. Они се крећу од оквира за аутоматизацију и оркестрацију до шаблона за усклађеност са Windows-ом, скрипти које упоређују конфигурације са званичним смерницама за јачање и алата који анализирају системске информације и предлажу потенцијалне рањивости и слабе конфигурације које би могле дозволити ескалацију привилегија.
Практичне мере очвршћавања: од система до корисника
Каљење није једна акција, већ скуп комплементарних мера примењује се на различитим слојевима: оперативни систем, мрежа, апликације, подаци и људи. Иако је Chrome централни за многе инциденте, он је само једна карика у ланцу.
Систем и прегледач
У системском одељку, неке типичне мере су:
- Промените све подразумеване лозинке.
- Деинсталирајте непотребан софтвер.
- Уклоните кориснике који више нису потребни.
- Онемогућите некоришћене сервисе и ојачајте безбедност сервиса који ће остати оперативни.
- Затворите отворене портове који се не користе.
- Успоставите редовне и поуздане стратегије прављења резервних копија.
- Инсталирајте и правилно конфигуришите заштитни зид (фајервол).
- Увек одржавајте свој оперативни систем и апликације (укључујући Chrome) ажурираним.
Такође је згодно откријте да ли је ваша лозинка процурела кад је то могуће.
Што се тиче прегледача, јачање Chrome-а подразумева, на пример, Ограничи екстензије само оне које је одобрила организација, ограничити инсталацију додатака, приморати на употребу HTTPS-а, онемогућити експерименталне или мало коришћене функције које могу представљати ризик, контролисати правила преузимања датотека и подесите дозволе за приступ микрофону, камери, локацији, међуспремнику итд. Све ово се може управљати помоћу шаблона политика и алата за администрацију у корпоративним окружењима.
Корисници и безбедност
Не смемо заборавити на очвршћавање корисникаДобро конфигурисан прегледач је од мале користи ако особље отвара сваки прилог без провере, инсталира сумњиве екстензије или уноси своје лозинке на фишинг страницама. Свест о безбедности и обука су неопходни за јачање безбедности. Учење људи како да открију сумњиве имејлове, Избегавајте преузимања са незваничних сајтоваКористите јаке лозинке, немојте их поново користити у различитим сервисима, одржавајте антивирус активним и ажурираним и користите здрав разум пре него што кликнете.
У пракси се ради са комбинацијом активна и пасивна безбедност.
- Активни покушаји безбедности да се спречи инцидент (конфигурација Chrome-а, заштитни зид, аутентификација, контрола приступа, сегментација мреже).
- Пасивна безбедност се фокусира на минимизирање штете након што се нешто догоди (резервне копије, планови опоравка, логови, алати за анализу и чишћење, системи за детекцију и праћење).
Ризици, препреке и примери где би очвршћавање направило разлику
Спровођење озбиљног програма очвршћавања није без недостатака. изазови и трзајиМере пооштравања могу бити технички сложене, захтевати специјализоване профиле и често се суочавају са отпором корисника или пословних области које ове политике виде као сметњу.
Један од проблема који се понављају јесте компатибилност са постојећим апликацијамаОдређене промене (као што су онемогућавање протокола, блокирање порта или ограничавање извршавања макроа) могу да поремете рад застарелих апликација или токова рада који су радили годинама. Зато је фаза тестирања толико критична. Ови конфликти морају се открити рано, а одлука о томе да ли треба прилагодити апликацију, пронаћи алтернативу или прихватити контролисани изузетак мора се доносити од случаја до случаја.
Трошкови, како директни (алати, консултације, особље) тако и индиректни (потенцијални утицај на употребљивост или перформансе), такође се морају узети у обзир. Неке веома рестриктивне конфигурације могу довести до благог пада перформанси. Ово је посебно приметно у окружењима са великим обимом трансакција или при раду са сложеним веб апликацијама у Chrome-у.
Иако је сваки случај другачији, историја сајбер безбедности је пуна примера где лоше управљање закрпама или подразумеване конфигурације Био је извор масовних инцидената. Пробоји узроковани неотклоњеним рањивостима, ransomware-ом који је искоришћавао застареле протоколе, напади на критичну инфраструктуру због небезбедних конфигурација… У многим од ових случајева, ригорозан приступ јачању би значајно смањио утицај или чак спречио инцидент.
На крају крајева, јачање Chrome-а и остатка инфраструктуре је начин за изградњу чврсти темељи То су области у којима има смисла применити друге напредне безбедносне технологије. Пре него што инвестирате у модерна решења или софистициране услуге детекције, вреди проверити да ли су на снази основне безбедносне мере, да ли су конфигурације тамо где треба да буду и да ли особље може да идентификује најчешће ризике. Тек тада виши слојеви одбране могу заиста да обављају свој посао.
