Module 1
1. Организация открыта для разных опасностей: внутренних внешних, физических и др. Мы должны предупредить их насколько возможно. Чтобы определить, какими опасностями заниматься, нужно осуществлять Risk Management. Ключевой принцип – стоимость защиты должна быть меньше, чем убытки от опасности.
2. Некоторые принципы защиты:
a. защита по уровням
b. задание минимальных прав
c. создание минимальной площади атаки (attack surface)
3. Нужно создать план системы безопасности и затем выполнять его.
4. План защиты:
a. собрать команду для обдумывания темы безопасности
b. подготовить список угроз организации
c. подготовить Risk Management и оценить вероятность угрозы
d. подготовить план защиты
e. подготовить план, при помощи которого можно выявить взлом
f. регулярно заниматься защитой информации
Module 2
1. Security Policies – правила, установки OS и физическая защита (замки).
2. Почему Security Policies не имеют успеха:
a. их выполнением не отслеживается
b. они не ясны
c. их трудно найти
d. они “не свежие”
e. они не однозначны
f. они слишком жесткие
g. нет поддержки руководства
3. MSF Framework – определяет этапы создания политики безопасности:
a. предвидение (Envision)
b. первоначальное планирование – функциональные требования, Risk Management, первоначальное планирование time table (life cycle) проекта
c. продвинутое планирование – на этом этапе приходят к окончательному варианту с технической стороны и готовят список проверок
d. выполнение проверок и затем создание эмблемы проекта
e. практическое выполнение проекта
Module 3
1. Причины сетевых атак:
a. месть
b. кража секретной информации
c. реклама
d. для удовольствия
e. террор
2. Виды атакующих
a. люди с ограниченными знаниями, которые даже не понимают размеров причиненной ими катастрофы
b. такие, которые стремятся причинить максимальный вред, чтобы похвастаться перед друзьями
c. профессионалы, работающие для заработка или по идейным причинам
3. Этапы атаки:
a. проверка района атаки путем обозрения или задания вопросов
b. проверка дыр в системе безопасности
c. атака путем, которым действуют обычные пользователи
d. атакующий пытается получить повышенные привилегии
4. Виды атак:
a. прослушивание – большая часть информации проходит как Clear text и можно прослушивать ее при помощи сниффера – решением является IPSec
b. Man-in-the-Middle - изменение проходящей информации – решение – IPSec
c. подделка IP адресов и получение доступа к ресурсам
d. подделка паролей или их раскрытие при помощи brute force attack
e. Denial-of-Service (DoS) – вывод системы из строя путем отказа в обслуживании
f. Man-in-the-Middle (MITM) – взломщик располагается “посередине”
g. Pre-Shared Key (PSK) – заранее известный “секрет”
h. Sniffing – “вынюхивание” сетевой информации
i. Application Layer Attack
5. Microsoft Treat Model (Модель угроз) STRIDE
a. Spoofing – подделка адреса источника, подлог
b. Tampering – порча, взламывание замка
c. Repudiation – неотказываемость, неотрицаемость (факта покупки в интернете)
d. Information Disclosure - раскрытие информации (хакер подсматривает пароль)
e. Denial-of-Service (DoS) - вывод системы из строя путем отказа в обслуживании
f. Elevation-of-Privilege – получение повышенных полномочий, например, повышение привилегий до административных
Module 4
1. Необходимое условие успеха проекта безопасности – его поддержка начальством.
2. Только после вирусной атаки организации начинают понимать, что лучше предупреждать проблемы, вместо того, чтобы их решать.
3. Что должен содежать Security Risk Management:
a. идентификация имущества фирмы
b. определение последствий повреждения
c. определение возможностей уменьшения шансов повреждения имущества
4. Реактивный подход (Reactive) сисадмин хочет решить проблему немедленно и без ее расследования.
5. Проактивный подход (Proactive) – попытка предотвратить проблему
6. Оценка рисков (Risk Assestment) – это процесс определения рисков и задание им приоритетов.
7. Количественная оценка стоимости ущерба
8. Качественная оценка ущерба
9. Microsoft Security Risk Management
a. Assestment Risk – нужно идентифицировать опасности и определить степень их критичности для организации
b. Conducting Decision Support – подготовка программы борьбы с опасностями
c. Implementing Control Phase – внедрение соответствующей программы
d. Measuring Program Effectiveness – проверка эффективности программы
10. MOF Risk Management Process
a. Identify Risks – понять опасность и какой вред она причиняет (есть рекомендация написать начальству следующее: если вирус атакует компьютер, обслуживание компьютеров занимает 6 часов и мы, соответственно, теряем 6 часов работы)
b. Analyze Risks – просчитать денежный проигрыш, который является результатом однократного ущерба и умножить на возможное количество раз в году
c. Manage Risks to Assets – способы работы с опасностями:
I. Accept – возможность опасности принимается как данность и ничего не делается, т.к., очевидно, риск не стоит затрачиваемых на него усилий
II. Mitigate – уменьшение опасности путем уменьшения открытости имущества
III. Transfer – перенос ответственности на другого, например, на хеврат битуах
IV. Avoid – полное предотвращение опасности
d. Track Changes to a Risk – разные риски меняются со временем и нуждаются в отслеживании:
I. Real-Time – проверка при помощи программ контроля
II. Periodic – периодическая проверка
III. Ad hoc – совершение переоценки рисков после нанесения вреда
11. Risk Management Controls – правила слежения за Risk Management похожи на правила из предыдущего пункта, например, периодическая переоценка правил работы с рисками
Module 5
1. Этап Envision (предвидения): нужно определиться с объемом проекта, какие физические места необходимо защищать, убедиться, что внедрение защиты производится по уровням.
2. Microsoft Treat Model (Модель угроз) STRIDE:
3. Как защитить здание:
a. охрана
b. идентификационные таги
c. камеры
d. возможность входа только через центральные ворота
4. Wiretapping – подслушивание. борьба: например, стирание с доски после заседания.
5. Защита компьютеров
a. правила удаления компьютеров
b. удаление внешних носителей информации: CD/DVD
c. закрытие доступа к USB
d. закрытие доступа к LAN из лобби
6. Защита ноутбуков и сотовых устройств:
a. воспитание пользователей
b. биометрическая идентификация
c. избегание хранения важной информации
7. Backup:
a. архивирование информации на внешние кассеты
b. создание “холодного” бэкапа
c. создание “горячего” бэкапа
Module 6
1. MSF – нужно назначить из области проекта
2. Виды правил безопасности для OS
a. укрепление рабочих станций
b. укрепление серверов
c. Patch management – инсталляция fixes/patches
d. Antivirus
e. Firewall
3. Microsoft Treat Model (Модель угроз) STRIDE
4. Computer’s Lifecycle
a. во время инсталляции компьютер не должен заразиться вирусом и у админа должен быть пароль
b. назначение безопасность в соответствии с ролью компьютера
c. в течение всего жизненного цикла компьютера нужно обновлять SP и делать апдейты
d. при изъятии компьютера из работы, следить, что бы на нем не оставалась информация
5. Как защитить компьютер во время инсталляции:
a. отдельная сеть
b. установка обновлений
c. создание скриптов, останавливающих ненужные сервисы
d. использование имиджа, содержащего все обновления
e. создание управляемых и централизованных установок RIS
6. Создание шаблона (Template) для защиты компьютеров
7. Планирование установок в зависимости от ролей компьютеров
8. Пути установки обновлений: WSUS, SMS, Windows Update
9. Начиная с Windows XP SP2 на компъютерах есть Firewall
10. Защита изъятия компьютеров из оборота:
a. уничтожение элементов памяти (жестких дисков)
b. изъятие CD/DVD, дискет и др.
c. измельчение документов
Module 7
1. Планирование защиты пользовательских счетов (Accounts):
a. этап Envision (предвидения) – планирование работы с пользователями в соответствии с уровнем их надежности
b. этап Planning – первоначальное техническое планирование, определить, откуда пользователи будут получать права и привилегии:
I. User Rights
II. ACL – Permissions на папки и в-AD
III. Account Scope – пользователи локальные или доменные
IV. Group membership
2. В добавок к модели STRIDE есть еще несколько важных моментов:
a. обычый пользователь должен хранить свои пароли в тайне
b. администратор не должен использовать свои права во зло
3. Планирование защиты сервисов:
a. этап Envision (предвидения) – нужно определить, какие сервисы защищать
b. этап Planning – какие права им давать сервисам
I. Network Service Account – может работать в сети и использует права компьютерного аккаунта, у него нет прав администратора
II. Local Service Account – выполняет только локальные действия
4. Рекомендации по защите сервисов:
a. использование преимущественно Local Service Account
b. остановить ненужные сервисы
c. важно познакомиться со всеми специфическими сервисами, которые бегут на любом компьютере
d. существуют инструменты для управления сервисами
e. рекомендуется не трогать сервисы, которые приходят вместе с OS – у них изначально невысокие права
f. можно отменять сервисы в домене при помощи GPO
5. Защита пользовательских аккаунтов:
a. нужно разделить пользователей по уровню их надежности
b. нужно подготовить точные правила создания и удаления пользователей
c. определение правил для дачи прав и привилегий (rights)
d. нужно создать правила контроля за пользователями
e. нужно создать правила, когда можно использовать административные полномочия
6. Защита сервисов:
a. проверить свойства сервисов, бегущих на всех серверах
b. проверить нужность сервисов, имеющихся по определению, для этого можно исп. Security Configuration Wizard (SCW)
c. отменить разрешения Domain Admin для аккаунтов, используемых в сервисах
d. порядок привилегий:
I. Local Service
II. Network Service
III. Unique User
IV. Local System
V. Local Admin
VI. Domain admin
e. периодическое изменение и назначение сильных паролей
7. Политика паролей назначается при помощи GPO
Module 8
1. Модуль занимается процессом Authentication
2. Планирование Security
a. этап Envision (предвидения) – планирование области
b. планирование желаемого способа идентификации, общего для клиента и сервера
I. LAN Manager -
II. NTLM -
III. NTLM v2 -
IV. Kerberos 5 –
3. При использовании Kerberos нужно брать в расчет:
a. если есть системы UNIX/Linux, создать с ними связь
b. синхронизацию времени между компьютерами
4. Проблемы идентификации:
a. пароль – может проходить как clear test или как hash, но это раскрывается, или жe есть троянский конь, который сидит на компьютере и записывает вводимые пароли
b. соответствие – старые программы используют старые способы идентификации
5. Когда используется LAN Manager, нужно брать в расчет:
a. убрать Password Hashed – можно при помощи Policy или использовать пароли, длиннее, чем 14 знаков, это посылает пароль, зашифрованный при помощи hash
b. можно определить уровень безопасности в LAN Manager
6. Подсоединение пользователей WEB:
a. Anonymous подсоединение – позволяет подсоединяться любому, создает локального пользователя с именем IUSR_
b. Basic Authentication – посылает пароль в виде plain text, поддерживается всеми браузерами, для защиты можно использовать SSL
c. Digest – похож на Basic, но с некоторым шифрованием, обязывает клиента и сервер быть членами Active Sirectory
d. Advanced Digest
e. Integrated – нуждается в IE 4 и выше, обязывает клиента и сервер быть членами домена, позволяет использовать и NTLM и Kerberos
f. Windows Live ID - обязывает клиента быть зарегестрированным в Microsoft
g. Certificate
7. Протоколы VPN:
a. CHAP – старый протокол симметричного шифрования, подвержен взлому
b. MS-CHAPv2 – более продвинутое шифрование
c. EAP-TLS – шифрование при помощи сертификата
8. Использование RADIUS: создает Proxy для просьб подсоединения посредством VPN
9. Аутентификация пользователей в сети Wireless:
a. WEP – использование заранее известного пароля
b. MAC Filtering
c. WPA – более защищен, чем WEP
d. PEAP, TLS
Module 9
1. С точки зрения этапа предвидения, нужно определить, с чем мы хотим работать и чего мы хотим достичь. На этапе планирования нужно распланировать DACL на разные папки.
2. Access Token – после аутентификации, пользователь получает Access Token, который включает SID пользователя и SID всех групп компьютера и домена.
3. DACL включает в себя ACE и определяет, кто может получить доступ к папке.
4. Примеры взломанной информации:
a. украденный Laptop, пароль Admin которого раскрыт
b. пользователь, которому удалось получить доступ к Share и вытащить из него информацию
5. Нужно давать права по заранее назначенной модели, например AGDLP.
6. Нужно обращать внимание, что, когда пользователь создает папку, он становиться Creator Owner этой папки и, поэтому, у него есть полные права на все, что создается под ней.
7. Способы шифрования:
a. EFS
c. Bit-Locker (Vista и выше)
8. Советы по безопасности:
a. Data Storage Location – нужно продумать, какую информацию сохранять местно/локально
b. Backup Strategy - нужно продумать, кто может делать Backup, с какой частотой и как защищать кассеты с информацией
c. Audit – как его выполнять и как наблюдать за полученной информацией
d. Manage Permissions – кто и где управляет разрешениями
e. Hardware Replacement – как выполняется замена деталей
f. Data Retention – сколько времени хранится информация и где хранить архив
Module 10
1. Этап планирования: объем, типы сетей и насколько на них можно положиться.
2. Опасности: spoofing компьютера, изменение информации, посылка спама с троянами, Man-in-the-Middle, причинение падения сети, прослушивание информации, проходящей по сети Wireless.
3. Способы шифрования на аппликативном уровне:
a. SSL
b. SMB – доступ к файлам и принтерам (определяется через GPO)
c. S/MIME
d. X802.1
e. RPC over HTTPS
4. Шифрование на уровне IP при помощи IPSec
5. Защита на уровне Data-Link:
a. Port Authentication – аутентификация каждого устройства на уровне порта, свойство 802.1x
b. замена Хабов Свитчами
c. физическая защита важных мест
d. не давать доступ к LAN из общественных мест
6. Способы работы с VPN, различия между PPTP и L2TP
a. NAT – нельзя работать с L2TP и IPSec за NAT, т.к. нужна замена IP Header
b. User Authentication – поддерживают оба протокола
c. Computer Authentication – поддерживает L2TP
d. поддержка OS - L2TP работает с 2000 и выше
Module 11
1. Модуль говорит о защите сети DMZ и рекомендациях по ее защите
2. Опасности:
a. Внешние – пользователь пытается сканировать порты, открытые внаружу, и атаковать
b. Внутренние – пользователь открывает почтовое сообщение при помощи шпионской программы
3. Когда планируются сеть периметра (Perimeter/DMZ), нужно продумать ее месторасположение, что в ней будет находиться и как она будет защищена
4. Bastion Host – компонент, через который проходят все пользователи, имеющие доступ к Интернет и он фильтрует и защищает проходящую информацию
5. Three Pronged Configuration – внутренняя сеть, DMZ и Интернет соединены при помощи объединяющего компонента
6. Back to Back – сеть DMZ, которая находится между двумя FireWalls
7. Как защищают сеть DMZ:
a. все сервисы, проходящие через DMZ должны быть защищены
b. нужно проверить, какие порты нужны сервисам в направлении внутрь и вовне и открыть только их
c. нужно позаботиться о правильном процессе аутентификации сервисов
d. нужно планировать, как будет производиться регулярное обслуживание сервисов (например обновления)
e. нужно заботиться о мониторинге сервисов
8. Определения на Routers и Firewalls для защиты сети DMZ:
a. Packet filtering
b. Routing
c. Statefull Packet Inspection
d. Application Gateway – программа, знает способ общения программ с обеих сторон
e. Server Publishing (например при помощи ISA)
f. User Authentication
g. Intrusion Detection/ Intrusion Prevention (IDS/IPS) – определение попыток взлома
Module 12
1. Для определения атак и отслеживания пользовательских соединений можно использовать логи.
2. Логи с одной стороны важны, а с другой, нужно вкладывать ресурсы в их отслеживание.
3. Нужно подготовить правила для определения взлома.
4. Планирование Audit:
a. нужно определить, какие события (Events) будут просматриваться
b. каким образом будет происходить просмотр событий
c. должны существовать правила нахождения определенных событий (Events)
d. логи нужно получать только по релевантным событиям
5. Существуют специальные инструменты для эффективного диагностика
6. Подозрительные признаки:
a. необъяснимая нагрузка на сеть
b. пользователи подсоединяются в нестандартное время
c. серверы падают по необъяснимым причинам, логи заполнены, серверы загружены
d. определился вирус или шпионская программа
e. физическое исчезновение деталей
f. важная информация о фирме опубликована в Интернет
7. В ситуации взлома нужно определить следующее:
a. найти симптомы
b. Origin – найти источник атаки
c. Entry Point – откуда вошел взломщик
d. Intent – намерения взломщика
e. Severity – насколько опасен нанесенный ущерб
f. насколько система стала доступна извне
8. Пути уменьшения ущерба:
a. отключить поврежденный участок от сети LAN и Internet
b. поврежденные компьютеры выключить
c. компьютеры с важной информацией отключить и установить на них обновления
d. аппликации – изменение паролей, обновление антивируса
e. физическая защита – замена замков и усиление защиты (автоматчики, нацеленные на компьютеры).
Комментариев нет:
Отправить комментарий