Майк,
загалом є кілька джерел хороших посібників для посилення безпеки.
- СТИГИ DISA
- СРГ СНБ
- НІСТ
- Тести СНД
- Настанова постачальника
- ДАНС
- Книги, характерні для загартування
У своїй роботі ми використовуємо комбінацію DISA STIGs разом із лялькою для Linux. Я з більшою ймовірністю можу сказати, що це неадекватно і наполягаю на деяких рекомендаціях нижче.
Майте на увазі, що наведені вище напрямні твердіння мають перекриття, а деякі місця відсутні. Найкраща практика - відстежувати всі параметри конфігурації за допомогою путівника в базі даних або електронної таблиці, щоб ви мали найбільше покриття.
Альтернативний спосіб зробити те ж саме - створити сценарії загартовування або аудиту на підставі вище, а потім запустити аудит себе, щоб з’ясувати, де є прогалини між різними стандартами.
Я не вважаю, що посібники RHEL є достатніми - я віддаю перевагу результатам роботи NSA, DISA та NIST. Але, путівники Red Hat - чудова відправна точка.
Оскільки АНБ та DISA починають працювати над нормами загартування заздалегідь, в чернетці, це може бути хорошим джерелом для вас. Якщо у вас є друг у DoD, ви також можете отримати доступ до матеріалів перед випуском. Зважаючи на сучасний стан DISA STIG для Red Hat, я б сказав, що АНБ, ймовірно, виробить щось швидше. Я можу завітати до них і побачити, де вони. Я рекомендую почати рухатися вперед до 6 в тестовому середовищі прямо зараз. Перевірте свої сценарії загартовування в 6.
Залучення зовнішньої допомоги для розробки настанов щодо посилення безпеки
Подумайте про взаємодію з інженером безпеки, орієнтованою спеціально на посилення безпеки Linux, щоб створити для вас рекомендації. Red Hat може зробити доступними своїх співробітників і для проведення завдань, щоб прискорити зусилля в галузі безпеки.
Все, що ви сказали до цього часу, свідчить про належний ретельний підхід та розумну безпеку. Виходячи з цього, я думаю, враховуючи вище, вам зрозуміло, що потрібно перейти до RHEL6. Однак я збираюся додати деякі додаткові завдання, які ви можете розглянути, оскільки я припускаю, що ви працюєте в регульованому середовищі, яке є дуже безпечним.
Доповнити свій підхід за допомогою оцінки ризику
Якщо ви хочете підняти свій підхід до наступного рівня та обґрунтувати його таким чином, пройшов би огляд навіть самого затримкового аудитора, подумайте про те, щоб виконати повну оцінку ризику розвитку, використовуючи NIST 800-30, а також конкретні набори контрольних елементів, які використовуються у вашому промисловість. Це підтримується тестуванням та аналізом безпеки. Формалізація оцінки ризику дозволить отримати хорошу документацію щодо ризиків, представлених шляхом переходу до RHEL6, а також деякі потенційні компенсаційні контролі, які ви могли б доповнити будь-якими потенційними недоліками.
Додавання тесту на проникнення
Взявши це навіть за межі оцінки ризику, ви можете задіяти тестер на проникнення із сильним фоном Linux, щоб спробувати проникнення білого або чорного поля вашого хоста RHEL6 після деяких захищених конфігурацій. Операційна система захищеної бази може не мати великої поверхні атаки, тому завантаження її додатками представляє набагато більш реалістичну платформу для атаки, яка б краще дала змогу зрозуміти потенційні вектори атаки. В кінці обертаючись, використовуючи звіт про випробування пером, ви можете збільшити свою попередню роботу, закрити будь-які прогалини, додати додаткові елементи керування та рухатися до операцій із набагато більш теплим і нечітким.