Kill them all! Ранжируем ИБ-инструменты Microsoft по Cyber Kill Chain - «Новости»

Для начала зафик­сиру­ем условную типовую кор­поратив­ную IT-инфраструк­туру:

• ло­каль­ная Active Directory Domain Services;
  


• сер­верные опе­раци­онные сис­темы: Windows Servers 2016 и выше;
  


• кли­ент­ские опе­раци­онные сис­темы: Windows 10;
  


• кли­ент­ский веб‑бра­узер: Microsoft Edge;
  


• поч­товые сер­веры: Exchange Server 2016 и выше.
  

Ты навер­няка стал­кивал­ся с такими IT-инфраструк­турами, пос­коль­ку в нашей стра­не их дос­таточ­но мно­го. Сво­евре­мен­ный хар­денинг в таких инфраструк­турах, которо­му уже уде­лялось вни­мание в дру­гих пуб­ликаци­ях на «Хакере», сей­час не фоновая задача, а одна из пер­вооче­ред­ных. В том чис­ле при­нимая во вни­мание, что с рын­ка ушли некото­рые средс­тва защиты информа­ции.

Рас­смат­рива­емые инс­тру­мен­ты и механиз­мы информа­цион­ной безопас­ности я раз­делю на две груп­пы. Пер­вая груп­па — это условно «пас­сивные» (детек­тиру­ющие) инс­тру­мен­ты, которые могут обна­ружить подоз­ритель­ную активность или инци­дент и уве­домить о них поль­зовате­ля. Вто­рая — условно «активные» (реаги­рующие) инс­тру­мен­ты, которые могут пре­дот­вра­тить кон­крет­ные дей­ствия (нап­ример, зап­ретить или заб­локиро­вать их). Они в сос­тоянии сок­ратить пло­щадь ата­ки, могут скор­ректи­ровать дей­ствия субъ­екта дос­тупа или сам объ­ект дос­тупа (к при­меру, изо­лиро­вать или перемес­тить его) либо ком­пенси­ровать кон­крет­ные дей­ствия — усложнить усло­вия дос­тупа, зат­ребовать допол­нитель­ные под­твержда­ющие дей­ствия и так далее. Такое деление поз­волит избе­жать иллю­зии того, что прос­то ведение жур­налов регис­тра­ции событий (вклю­чение тобой ауди­та) физичес­ки или логичес­ки может помешать ата­кующе­му выпол­нить активное несан­кци­они­рован­ное дей­ствие.

Результаты сопоставления и приоритизации инструментов по шагам Cyber Kill Chain

Разведка (Reconnaissance)

• Цель ата­кующе­го: соб­рать информа­цию о целях ата­ки
  


• Цель защища­юще­гося: сок­ратить прос­транс­тво для раз­ведки и пло­щадь для ата­ки
  

Нап­равле­ниями раз­ведки в пер­вую оче­редь ста­новят­ся люди (работ­ники, под­рядчи­ки, кли­енты) и IT-инфраструк­туры, отно­сящи­еся к цели ата­ки. Исходны­ми дан­ными зачас­тую выс­тупа­ет толь­ко наз­вание орга­низа­ции, отдель­но взя­тый веб‑сайт, кон­крет­ная сис­тема. Ата­кующе­му дос­тупны раз­ные методы сбо­ра информа­ции: от обще­дос­тупных источни­ков и соци­аль­ной инже­нерии до исполь­зования спе­циаль­ных сер­висов и инс­тру­мен­тов.

• 
  Вклю­чить аудит Microsoft Defender Firewall (pfirewall.log). Это необ­ходимо сде­лать в свя­зи с тем, что по умол­чанию аудит Microsoft Defender Firewall отклю­чен.
  

• 
  Ис­поль­зовать бран­дма­уэр в Microsoft Defender. Отклю­чить (бло­киро­вать) все неис­поль­зуемые пор­ты и вхо­дящие соеди­нения, что­бы сок­ратить пло­щадь ата­ки и прос­транс­тво для сетевой раз­ведки.
  


• 
  Ог­раничить раз­решения для веб‑сай­тов в Microsoft Edge в час­ти сбо­ра дан­ных о рас­положе­нии поль­зовате­ля. Вклю­чить «Зап­рос перед дос­тупом» (Ask before accessing), что­бы умень­шить веро­ятность рас­кры­тия дан­ных ата­кующе­му в ходе раз­ведки.
  


• 
  Ог­раничить уда­лен­ные вызовы к Security Account Manager (SAM). Сок­ратить воз­можнос­ти эну­мера­ции поль­зовате­лей и групп в локаль­ной базе SAM и Active Directory в ходе раз­ведки. По умол­чанию параметр «Сетевой дос­туп: огра­ничить дос­туп кли­ентов, которым раз­решены уда­лен­ные вызовы SAM» (Network access: Restrict clients allowed to make remote calls to SAM) нас­тро­ен сле­дующим обра­зом: для более ста­рых опе­раци­онных сис­тем про­вер­ка дос­тупа не выпол­няет­ся, для более новых пре­дос­тавля­ется дос­туп толь­ко чле­нам встро­енной груп­пы «Адми­нис­тра­торы» (BUILTINAdministrators).
  


• 
  Ог­раничить поль­зовате­лям, про­шед­шим про­вер­ку, исполь­зование NetSessionEnum. Сок­ратить воз­можнос­ти эну­мера­ции сес­сий для опре­деле­ния узлов, где поль­зователь­ские и сер­висные учет­ные записи были залоги­нены. Это необ­ходимо потому, что по умол­чанию про­шед­шим про­вер­ку (Authenticated Users) поль­зовате­лям раз­решено при­менять метод NetSessionEnum.