A szerver biztonsági audit egy szerver kitettségének és konfigurációjának módszeres áttekintése annak feltárására, hol juthatna be egy támadó, és mit tehetne, ha egyszer bent van. Ha felkérték egy audit megrendelésére, vagy belső felülvizsgálatot szeretne végezni, ez az útmutató pontosan elmagyarázza, mit vizsgál egy alapos audit, és miért fontos minden terület.
Az audit diagnosztikai jellegű: megmondja, hol tart. Természetesen párosul a hardeninggel , amely az audit által feltárt hiányosságok kijavításának munkája.
Röviden
- A szerveraudit áttekinti a támadási felületet, az OS és a szolgáltatások konfigurációját, a patch-állapotot, a hozzáférés-vezérlést, a hálózati és tűzfal-beállítást, valamint a felügyeletet
- Jellemzően egy elismert szabványhoz, például a CIS Benchmarkhoz méri a szervert
- Tartalmaz egy malware- és rootkit-vizsgálatot, valamint a naplózás áttekintését, hogy a behatolásokat valóban észlelni lehessen
- Az eredménynek egy priorizált, kockázat szerint értékelt megállapításlistának kell lennie, amelyre reagálni tud, nem pedig egy nyers scanner-kiíratásnak
1. Támadási felület áttekintése
Az első feladat annak megállapítása, hogy a szerver valójában mit tesz elérhetővé.
- Sorolja fel az összes figyelő szolgáltatást és nyitott portot, és erősítse meg, hogy mindegyik szándékos.
- Azonosítsa az internet felől elérhető szolgáltatásokat azokkal szemben, amelyeknek csak belsőnek kellene lenniük.
- Jelölje meg az elavult vagy szükségtelen szolgáltatásokat, amelyek úgy szélesítik a támadási felületet, hogy nem adnak értéket.
2. Operációs rendszer és konfiguráció auditálása
- Ellenőrizze az OS verzióját és támogatási állapotát; egy end-of-life OS állandó kockázat.
- Vesse össze a konfigurációt egy elismert szabvánnyal, jellemzően a disztribúció CIS Benchmark szabványával.
- Értékelje az OS és a telepített szoftverek patch-állapotát, és ellenőrizze, hogy az automatikus biztonsági frissítések be vannak-e állítva.
3. Hozzáférés-vezérlés és hitelesítés
- Tekintse át a felhasználói és szolgáltatásfiókokat, eltávolítva az elavult, alapértelmezett és nem használt fiókokat.
- Auditálja a
sudoés a jogosultsági kiosztásokat a legkisebb jogosultság elve szerint. - Vizsgálja meg az SSH-konfigurációt: kulcsalapú hitelesítés, letiltott root bejelentkezés, letiltott jelszavas hitelesítés és brute-force elleni védelem.
- Ellenőrizze a többtényezős hitelesítést az adminisztratív hozzáférésnél.
4. Tűzfal és hálózati szegmentáció
- Erősítse meg, hogy a firewall alapértelmezett tiltás (default-deny) elvet követ, és csak a szükséges portokat teszi elérhetővé.
- Tekintse át a hálózati szegmentációt, hogy egy host kompromittálása ne biztosítson szabad mozgást a hálózaton.
- Ellenőrizze, hogy a menedzsmentfelületek megbízható forrásokra vagy egy VPN-re vannak-e korlátozva.
5. Malware- és rootkit-észlelés
- Futtasson malware- és rootkit-vizsgálatot a meglévő kompromittálás észlelésére.
- Végezzen fájlintegritás-ellenőrzéseket a rendszer bináris fájljainak és konfigurációjának váratlan módosításainak azonosítására.
6. Naplózás, felügyelet és észlelés
- Ellenőrizze, hogy a biztonsági szempontból releváns események naplózásra kerülnek (például
auditdsegítségével) és megőrzik őket. - Erősítse meg, hogy a naplókat a hostról elszállítják, hogy egy támadó ne törölhesse őket triviálisan.
- Ellenőrizze, hogy a gyanús tevékenység riasztásokat generál, hogy egy behatolást valóban észrevegyenek.
7. Adatvédelem és biztonsági mentések
- Erősítse meg, hogy az érzékeny adatok nyugalmi állapotban és átvitel közben titkosítottak.
- Ellenőrizze, hogy léteznek biztonsági mentések, a szerveren kívül tárolják őket, és visszaállítással tesztelték őket.
- Ellenőrizze, hogy létezik-e helyreállítási folyamat, és dokumentált-e.
Hogyan néz ki egy jó eredmény
Egy hasznos audit nem egy nyers scanner-jelentést ad a kezébe. Kockázat szerint értékelt, priorizált megállapításokat nyújt egyértelmű javítási lépésekkel, hogy tudja, mit kell először javítania és miért. Bárki futtathat egy scannert; az érték a szakértői értelmezésben, a téves riasztások kiszűrésében és a valós kockázathoz mért priorizálásban rejlik.
Legfontosabb tanulságok
- A szerver biztonsági audit áttekinti a támadási felületet, a konfigurációt, a patchelést, a hozzáférés-vezérlést, a hálózati beállítást, a malware-t és a felügyeletet.
- Számítson arra, hogy egy elismert szabványhoz, például a CIS-hez méri, és tartalmaz egy malware- és rootkit-vizsgálatot.
- Az eredménynek priorizált, kockázat szerint értékelt megállapításoknak kell lenniük javítási útmutatással, nem pedig scanner-kiíratásnak.
- Az audit diagnosztizál; a hardening javít. Használja őket együtt.
Kérjen professzionális szerver biztonsági auditot
Egy alapos audit sokat profitál egy tapasztalt szemből, amely tudja, mely megállapítások számítanak valóban. A szerver biztonsági audit szolgáltatás teljes körű támadásifelület-áttekintést, CIS Benchmark-igazítást, malware- és rootkit-észlelést, hálózati szegmentáció áttekintését és egy priorizált hardening-jelentést fed le. Miután tudja, hol tart, a Linux szerver hardening szolgáltatás és a hardening útmutató fedi le a javításokat.
Gyakran Ismételt Kérdések (GYIK)
Mi az a szerver biztonsági audit? Egy szerver kitettségének és konfigurációjának módszeres áttekintése a biztonsági gyengeségek azonosítására, amely lefedi a támadási felületet, az OS és a szolgáltatások konfigurációját, a patch-állapotot, a hozzáférés-vezérlést, a hálózati beállítást, a malware-t és a felügyeletet. Megmondja, hol sebezhető, és hogyan javítsa ki.
Miben különbözik egy audit a hardeningtől? Az audit diagnosztikai jellegű: megtalálja és priorizálja a gyengeségeket. A hardening az a javítási munka, amely kijavítja őket. Auditál, hogy tudja, hol tart, majd hardeninget végez a rések bezárására.
Tartalmaz egy szerveraudit malware-vizsgálatot? Egy alapos igen. A konfiguráció áttekintése mellett malware- és rootkit-vizsgálatot, valamint fájlintegritás-ellenőrzéseket kell tartalmaznia, hogy észlelje a meglévő kompromittálást, ne csak a jövőbeli kockázatot.
Milyen szabványhoz kell mérnie egy szerverauditnak? Az operációs rendszerének CIS Benchmark szabványa a szokásos alap. Objektív, disztribúció-specifikus szabványt biztosít, hogy a megállapítások mérhetők és megismételhetők legyenek, nem pedig szubjektívek.
Milyen gyakran auditáljuk a szervereinket? Rendszeresen, és jelentős változtatások után, mert a konfiguráció eltolódik, és új sérülékenységek jelennek meg. Sok szervezet egy éves vagy féléves mélyreható auditot kombinál folyamatos automatizált patcheléssel és felügyelettel a köztes időben.
Hozzászólások