Il SANS Institute è partner del progetto Critical Security Controls per definire le attività più importanti per la sicurezza della rete. SANS offre un ottimo corso intitolato ” Implementazione e controllo dei controlli di sicurezza critici (SEC566)”, ma quale corso si dovrebbe seguire dopo aver frequentato SEC566?,
Corso SEC566 definisce raccomandazioni in modo vendor-neutral, ma in realtà la maggior parte degli ambienti eseguono Microsoft Windows e la maggior parte di queste macchine Windows sono uniti a domini Active Directory. Esiste un corso SANS che offre un tuffo profondo nei controlli di sicurezza critici in quanto si riferiscono specificamente a Windows e Active Directory?
Sì, la protezione di Windows di sei giorni con il corso Critical Security Controls a SANS (numero del corso SEC505) è specificamente scritto per fornire una copertura approfondita di solo quei controlli critici che interessano i server e client Windows.,
Quali controlli sono coperti in SEC505 e quali no?
Per ciascuno dei controlli critici, quanto segue descrive ciò che è coperto nel corso Securing Windows (SEC505) che può aiutare a implementare i controlli sui sistemi Windows, non solo controllarli. Offre anche suggerimenti per altri corsi SANS dopo aver preso SEC566.
È possibile aprire un’altra scheda nel browser alla pagina Controlli critici per visualizzare un riepilogo dei controlli per il confronto.
Controllo 1: Inventario dei dispositivi hardware
SEC505 non copre le applicazioni di inventario hardware., Tuttavia, quando si raccolgono dati di inventario con nmap e altri strumenti, inevitabilmente si incontrano problemi su come organizzare, archiviare, cercare, confrontare e generare report dalle montagne di dati raccolti. Sia che si utilizzino database, fogli di calcolo, XML o semplicemente file di testo delimitati da virgole per archiviare i dati, PowerShell è una superba shell di comandi e un linguaggio di scripting per manipolare tali dati. Molte attività di sicurezza non vengono eseguite perché gli amministratori non hanno competenze di scripting e le attività di inventario sono esempi perfetti. Per questo motivo, SEC505 include un giorno intero su PowerShell scripting.,
Controllo 2: Inventario del software
SEC505 non copre le applicazioni di inventario software, anche se ci sono miglioramenti di terze parti per Criteri di gruppo a questo scopo, e PowerShell può interrogare i sistemi remoti attraverso l’interfaccia WMI.
Più importante del semplice inventario, tuttavia, questo controllo consiglia anche di bloccare le configurazioni software, utilizzare la whitelist delle applicazioni, registrare l’utilizzo delle applicazioni e prevenire l’installazione indesiderata delle applicazioni., In SEC505 un’intera giornata è dedicata ai criteri di gruppo e ci sono molte tecnologie di criteri di gruppo solo per questi tipi di problemi, ad esempio, AppLocker, criteri di controllo/registrazione, gestione delle autorizzazioni NTFS, configurazione di quasi tutti gli aspetti di Internet Explorer e le applicazioni di Microsoft Office, requisiti di firma del codice per script/macro, limitazione dell’installazione SEC505 discute specificamente tecniche di indurimento per Java, Internet Explorer, Google Chrome, Adobe Reader e Microsoft Office.,
Controllo 3: Configurazioni sicure per i sistemi informatici
Le macchine Windows non sono indurite a mano, ma mediante l’applicazione di modelli di sicurezza INF / XML, come quelli forniti con Microsoft Security Compliance Manager. Questi modelli vengono applicati utilizzando Criteri di gruppo, SECEDIT.EXE, la configurazione di sicurezza e analisi MMC snap-in, o la configurazione guidata di sicurezza (che sono tutti coperti in SEC505)., Per le poche impostazioni che non possono essere configurate tramite un modello o Criteri di gruppo, è probabile che venga utilizzato uno script in modo che le modifiche possano essere automatizzate (di nuovo PowerShell).
Control 4: Vulnerability Assessment and Remediation
SEC505 non copre gli scanner di vulnerabilità, che sono coperti in altri corsi, come Security Essentials (SEC401). D’altra parte, la correzione delle vulnerabilità è trattata molto bene nelle sezioni sulla gestione delle patch, criteri di gruppo, indurimento delle applicazioni, ecc.,
Controllo 5: Difese malware
Tecniche anti-malware sono discussi per tutta la settimana, come il controllo account utente, doline DNS, indurimento di Internet Explorer e Chrome, Java, Adobe Reader, utilizzando i server di salto, AutoPlay/AutoRun, ecc. Ma un confronto di particolari prodotti di scansione AV o dibattito su dove installarli, che non è coperto.
Controllo 6: Sicurezza del software a livello di applicazione
SEC505 non copre la codifica sicura, il test delle applicazioni Web o la sicurezza del database., Tuttavia, SEC505 dedica una mezza giornata all’indurimento del server (giorno 5), ad esempio per i server Web IIS.
Controllo 7: Wireless Device Control
SEC505 ti guida attraverso i passaggi di impostazione di un PKI, spingendo fuori i certificati wireless (o smart card), l’installazione di server RADIUS, la configurazione delle impostazioni wireless sui computer portatili attraverso Criteri di gruppo, e far rispettare l’uso di WPA2, crittografia AES e autenticazione PEAP presso i server RADIUS. Tramite Criteri di gruppo è anche possibile bloccare e quindi nascondere le altre opzioni wireless da utenti non amministrativi, ad esempio,, è possibile impedire loro di connettersi a reti ad hoc. Viene anche discusso il problema dei punti di accesso non autorizzati, del tethering e dei computer BYOD. SANS ha una grande pista di una settimana sulla sicurezza wireless (SEC617), ma questo corso non è specificamente per le reti Windows, SEC505 lo è.
Controllo 8: Capacità di recupero dati
SEC505 non copre come eseguire backup e ripristino, consultare Security Essentials (SEC401) o contattare il fornitore della soluzione di backup.,
Control 9: Skills Assessment and Training
SEC505 non copre in dettaglio la formazione sulla sicurezza o i test di consapevolezza, vedere Securing the Human (MAN433).
Controllo 10: Configurazioni sicure per dispositivi di rete
SEC505 non copre la progettazione del firewall o la configurazione di router e switch; si prega invece di vedere Protezione perimetrale In-Depth (SEC502).
Controllo 11: Controllo di porte di rete, protocolli e servizi
Criteri di gruppo e amministrazione da riga di comando di IPSec e Windows Firewall è coperto in SEC505 in grande dettaglio., La combinazione di IPSec + Windows Firewall + Criteri di gruppo garantisce un controllo molto preciso e flessibile su quali utenti e computer sono autorizzati ad accedere a quali porte / servizi su quali macchine. Il quarto giorno di SEC505 è dedicato a IPSec, Windows Firewall, Microsoft RADIUS service per l’autenticazione 802.1 x di client wireless ed Ethernet.
Controllo 12: Privilegi amministrativi
Ogni raccomandazione in questo controllo riguardante gli account utente amministrativi è discussa o dimostrata in SEC505 (giorno 2)., Il giorno PKI di SEC505 (giorno 3) guida anche il partecipante attraverso il processo di impostazione di un PKI di Windows e l’emissione di smart card e altri certificati agli utenti amministrativi per l’autenticazione a più fattori sicura. La gestione sicura delle credenziali amministrative, che include gli account di servizio, è una delle attività più difficili e importanti. SEC505 spende quasi un giorno intero su solo questo controllo a causa della sua importanza per Windows in particolare.,
Controllo 13: Boundary Defense
SEC505 non copre firewall o IDS design, si prega di vedere Protezione perimetrale In profondità (SEC502) e Intrusion Detection In profondità (SEC503).
Controllo 14: Registri di controllo
I criteri di controllo e la registrazione di Windows sono configurati tramite modelli di sicurezza e criteri di gruppo, come menzionato sopra, poiché ogni macchina ha i propri registri eventi. SEC505 copre anche come abilitare la registrazione nei server RADIUS che controllano l’accesso remoto, ad esempio per gateway VPN e punti di accesso wireless (nel giorno 4)., Tutti questi dati dovranno essere consolidati in una posizione centrale, di solito con un SIEM di terze parti, ma quando è necessario il tocco umano per andare oltre le query e i report predefiniti del SIEM, come possono essere estratti e analizzati in modo efficiente? Ancora una volta, gli script PowerShell che utilizzano espressioni regolari e query SQL funzionano molto bene. Che dire della configurazione di prodotti SIEM di terze parti? Non compresi nella voce SEC505.
Controllo 15: Accesso controllato in base alla necessità di sapere
È tutto bene parlare del principio della necessità di sapere, ma dove la gomma incontra la strada?, Come si implementa effettivamente questo principio tra i server di un’azienda? Questo controllo verrebbe in gran parte applicato tramite gruppi di utenti di Windows, modelli di sicurezza, criteri di gruppo e criteri di controllo degli accessi dinamici. Il test potrebbe anche essere automatizzato tramite script PowerShell che si autenticano sulla rete come utenti diversi con privilegi diversi. Dynamic Access Control (DAC) è qualcosa di nuovo con Server 2012 specificamente per la prevenzione della perdita di dati (DLP) e far rispettare le regole need-to-know. Tutti questi argomenti sono trattati in SEC505.,
Controllo 16: Monitoraggio e controllo account
La maggior parte dei consigli in questo controllo sarebbe implementata tramite una combinazione di autorizzazioni Active Directory, impostazioni dei criteri di gruppo e query pubblicitarie personalizzate, ad esempio con gli script PowerShell. E questi argomenti sono trattati in SEC505.,
Controllo 17: Prevenzione della perdita di dati
SEC505 copre molte delle raccomandazioni di questo controllo per DLP, tra cui BitLocker crittografia intera unità, “BitLocker To Go” per unità flash USB, controllo criteri di gruppo di utilizzo del dispositivo USB, e qualcosa di nuovo costruito in Server 2012 e successivamente chiamato Dynamic Access Control. Dynamic Access Control (DAC) è specificamente per far rispettare le regole need-to-know e DLP, ed è già integrato in Server 2012. Per cercare informazioni personali identificabili (PII) sui sistemi, uno script PowerShell personalizzato potrebbe essere utilizzato pure., Il monitoraggio della rete per la perdita di dati, d’altra parte, non è coperto in SEC505 (try SEC503).
Control 18: Incident Response
SEC505 non copre la pianificazione della risposta agli incidenti, questo argomento è discusso in altri corsi, come tecniche di hacker, Exploit e gestione degli incidenti (SEC504) e anche Analisi forense computer avanzata e risposta agli incidenti (FOR508).
Control 19: Secure Network Engineering
La progettazione del firewall è trattata in modo diverso in SANS, ma questo controllo è più ampio dei semplici firewall perimetrali., Come discusso in precedenza, abbiamo il controllo dei criteri di gruppo sulle impostazioni IPSec e Windows Firewall per una risposta rapida agli attacchi. Copriamo anche DNSSEC, doline DNS, aggiornamenti dinamici DNS sicuri, eliminando NetBIOS e LLMNR, e la registrazione DHCP è facile da abilitare. Si potrebbe anche utilizzare PowerShell per estrarre dati da grandi registri DHCP / DNS. Quindi, la maggior parte delle raccomandazioni in questo controllo sono coperte in SEC505, e poi alcuni.,
Control 20: Penetration Tests
SEC505 non copre il test di penetrazione, che è discusso in altri corsi, come il test di penetrazione della rete e l’Hacking etico (SEC560).
Governo australiano Quattro controlli
Il governo australiano ha stabilito che quattro dei 20 controlli critici sono i più efficaci nel bloccare le intrusioni., Tutti e quattro sono discussi e dimostrati a lungo in SEC505: utilizziamo Criteri di gruppo e WSUS per la gestione del software, AppLocker per la whitelist e dedichiamo quasi un’intera giornata a uno dei controlli più difficili da implementare, ovvero il controllo dei privilegi amministrativi.
Automazione: Criteri di gruppo + PowerShell
Il progetto 20 Critical Controls sottolinea l’importanza dell’automazione. L’automazione e la scalabilità sono realizzate in SEC505 fornendo formazione su criteri di gruppo e PowerShell., Criteri di gruppo è un Enterprise Management System (EMS) integrato in Active Directory che può più o meno gestire ogni impostazione di configurazione di Windows e l’applicazione utente, tra cui Chrome e Java. PowerShell non è solo un linguaggio di scripting, è un framework di gestione remota che può scalare a reti molto grandi, come l’infrastruttura cloud di Microsoft. La combinazione di Criteri di gruppo più PowerShell è un moltiplicatore di forza per l’automazione dei 20 controlli critici., E dove questi non riescono, SEC505 include anche raccomandazioni per prodotti di terze parti, come scanner di vulnerabilità, sistemi SIEM e bloccanti dei dispositivi USB.
Chiedi all’autore del corso
Se hai domande sul corso Securing Windows (SEC505), la descrizione completa del corso è online e sentiti libero di contattare anche l’autore del corso: Jason Fossen (jason-at – sans.org).