La сигурност на компютърните системи Това отдавна е престанало да бъде „технически проблем“ и се е превърнало в критичен бизнес въпрос. Днес почти всички операции на една компания зависят от нейната ИТ екосистема. Следователно, когато нещо се повреди поради атака или неправилна конфигурация, последствията се превръщат във финансови загуби, недоволни клиенти и накърнен имидж на марката.
В този контекст втвърдяване Това се превърна в основна стратегия. Не става въпрос само за инсталиране на повече инструменти за сигурност, а за правилно конфигуриране на това, което вече имаме, намаляване на ненужните функции и затваряне на врати, които никога не е трябвало да бъдат отворени. А в случая с браузъра Google Chrome това включва комбиниране на техники като... изолация на процеса, разширени настройки и специфични контроли за спазване на строгите разпоредби в регулираните сектори.
Какво е втвърдяване и защо е толкова важно в Chrome?
Когато говорим за втвърдяване, имаме предвид набор от мерки и конфигурации предназначени да минимизират уязвимостите на системата. Приложено към Chrome, това включва настройване на браузъра, за да предложи възможно най-висока сигурност, намалявайки броя на извикванията към браузъра. „повърхност за атака“ които нападателите могат да използват.
Основният принцип е прост: По-малко ненужни функции Колкото повече функции за сигурност са активни, толкова по-малко възможности има за използване на уязвимостите. Производителите обикновено доставят продуктите си готови за употреба, като дават приоритет на лекотата на използване пред строгата сигурност. Това означава, че те често се предлагат с опциите са активирани по подразбиране които може да не са ви необходими и които могат да се превърнат във вектори на атака. Особено в организации, подложени на строга регулация.
Втвърдяването търси Разумен баланс между защита и използваемостНе става въпрос за блокиране на всичко и за затрудняване на живота на потребителите, а за създаване на комфортна работна среда, където вероятността от сериозен инцидент е възможно най-ниска.
В регулирана среда, закаляването престава да бъде „приятна“ опция и се превръща в... регулаторно изискванеМного регулаторни рамки и стандарти (като например критериите на CIS или насоките на DISA STIG) изискват сигурни конфигурации и специфични контроли върху браузъри и приложения, включително Chrome.
Изолация на процесите в Chrome: първата линия на защита
Един от ключовите стълбове на Втвърдяване на хром Това е неговата архитектура за изолиране на процеси, известна още като sandboxing. Chrome разделя раздели, плъгини и в много случаи дори цели сайтове в независими процеси, ограничавайки въздействието на уязвимост върху конкретна страница или компонент.
Този подход на „всичко в кутията си“ Това е от решаващо значение в регулирани среди, където излагането на чувствителни данни не може да разчита на една-единствена бариера. Ако атакуващ успее да използва уязвимост на уебсайт, изолирането на процесите затруднява разпространението на тази уязвимост към други раздели, други домейни или самата операционна система.
Освен това, пясъчната кутия се допълва от механизми на контрол на паметта и смекчаване на експлойтите в браузъра и в основната система (ОС). Следователно, дори когато бъде открита уязвимост, обикновено е необходимо тя да бъде свързана с други, за да се постигне пълна експлоатация, нещо много по-сложно, ако изолацията на процесите е правилно конфигурирана и е придружена от общо системно укрепване.
В организациите, подлежащи на одити и контрол, е обичайно политиките за сигурност да изискват Не деактивирайте тези защити Освен в много обосновани, документирани и контролирани случаи. Поддържането на функциите за изолация и пясъчник на Chrome активни не е просто общ съвет: това е основно изискване за демонстриране на надлежна проверка и съответствие с регулаторните органи.
Засилване на защитата на системата: необходим контекст за засилване на защитата на Chrome
Браузърът не съществува изолирано. За да бъде наистина ефективно втвърдяването на Chrome, то трябва да разчита на... глобално втвърдяване на системата (Windows, Linux, сървъри на приложения, рутери и др.). „Защитен“ браузър Chrome е безполезен, ако работи на операционна система с ненужни отворени портове, несигурни услуги и лошо управлявани разрешения.
Системното втвърдяване се състои от прилагане ограничителни мерки както в софтуера, така и в хардуера за намаляване на уязвимостите, без да се нарушават ежедневните операции. Някои често срещани примери включват: премахване на неизползвани програми, деактивиране на услуги, които не добавят стойност, затваряне на неизползвани портове, внимателно управление на разрешенията за папки и потребители и установяване на силни правила за пароли и удостоверяване.
В много проекти за сигурност препоръчителният подход е да се разделят активни и пасивни меркиПървият тип мерки за сигурност се опитва да предотврати атаки (защитни стени, правила за достъп, силно удостоверяване и др.), докато вторият се фокусира върху смекчаване на въздействието, ако възникне инцидент (резервни копия, възможности за възстановяване, регистриране и проследяване, сканиране и премахване на зловреден софтуер и др.). Chrome се възползва и от двете. Добрата политика за архивиране и реагиране при инциденти може да е от решаващо значение, когато зловреден софтуер навлезе през браузъра.
В корпоративните мрежи се взема предвид и следното: втвърдяване на рутери и мрежово оборудванеСилни пароли (не такива по подразбиране), затваряне на неизползвани портове, деактивиране на несъществени услуги (FTP, CDP, BOOTP и др.) и правилна сегментация на подмрежата. Всички тези мерки намаляват възможностите на нападателя за странично движение, след като получи първоначална уязвимост чрез браузъра.
Друг аспект, тясно свързан с Chrome в бизнеса, е защита на папки и потребителски профилиПравилното управление на разрешенията и ACL в пътищата, където браузърът съхранява профили, кешове или изтегляния, намалява способността на зловредния софтуер да ескалира привилегии или да компрометира критична информация.
Етапи на проект за закаляване в регулирана среда
Сериозен проект за втвърдяване, както за Chrome, така и за другите му компоненти, не се ограничава до прилагане на набор от „магически рецепти“. Обикновено е структуриран по следния начин: три основни фази: тестване, приложение и мониторинг, винаги подкрепена от ясна политика за втвърдяване.
Тестове
Първо, трябва да дефинираме базови линии и политики за всеки тип система: браузъри, сървъри, приложения, версии, роли, среди (продукционна, предпродукционна, лабораторна и др.). Колкото по-детайлна е политиката (например, специфичен шаблон за Chrome за ролите във фронт-офис банкирането и различен за екипите за разработка), толкова по-добре ще се впише в ежедневните операции.
Във фазата на тестванеСлед това тези правила се внедряват в тестови среди, които симулират реалността възможно най-точно. Тук се оценява кои правила могат да се прилагат, без да се нарушават никакви проблеми, и кои от тях причиняват проблеми в корпоративни уеб приложения, необходими разширения за Chrome или критични услуги. Това е най-скъпият етап от гледна точка на време и ресурси, но и най-важният: прилагането на промени в защитата директно в производствената среда, без тестване, е рецепта за бедствия и вътрешни инциденти.
Прилагане
След като политиката бъде коригирана, етапът на приложение и съответствиеДоговорените конфигурации трябва да бъдат внедрени на всички засегнати компютри и сървъри, като се провери дали всеки от тях получава правилната политика. Ако се прави ръчно, рискът от човешка грешка е много висок. Поради това се използват инструменти за управление на конфигурацията и автоматизация, за да се позволи централизирано управление на политиките.
Мониторинг
Накрая, фазата на непрекъснат мониторинг Това е, което предотвратява връщането на системата към първоначалното ѝ несигурно състояние с течение на времето. ИТ средите са силно динамични: инсталират се нови приложения, оборудването се извежда от експлоатация, разрешенията се променят и т.н. Ако това „конфигурационно отклонение“ не се наблюдава и коригира, мерките за засилване бързо губят своята ефективност.
Инструменти за автоматизиране и наблюдение на втвърдяването
За да се справят ефективно с тези три етапа, е обичайно да се разчита на четири основни семейства инструменти:
- Автоматизация на закаляването.
- Управление на конфигурацията.
- Скенери за съответствие.
- Решения с отворен код.
Всеки от тях обхваща различна част от цикъла.
на инструменти за автоматизация на закаляване Те обикновено предлагат по-цялостно решение: могат да тестват промени в конфигурацията, да оценяват тяхното въздействие, да прилагат групово политики и централизирано да наблюдават съответствието. Силата им се крие в автоматичния анализ на въздействието на всяко правило върху производствените услуги, което е от решаващо значение за избягване на срив на уеб приложения, които зависят от специфични настройки на Chrome или системата.
Съществуват търговски решения, специализирани в укрепване на сървъри и междинен софтуер, предназначени да... намалете оперативните разходи и избегнете прекъсвания чрез прилагане на строги политики за сигурност. Някои са насочени към сървърите като цяло, докато други се фокусират върху специфични платформи (напр. уеб среди). Тези видове инструменти ви позволяват да поддържате силна защита, без да увеличавате ръчните усилия. Те също така улесняват генерирането на отчети за съответствие за одити.
Друга категория е инструменти за управление на конфигурацията за сигурност (SCM)NIST описва тези системи като набор от процеси и технологии, използвани за контрол на конфигурациите на информационна система с цел управление на риска. Тяхната функция варира от прилагане на специфична базова конфигурация до контролиране на версии, преглед на промените, одобряване на модификации и поддържане на проследимост кой какво е променил и кога.
Накрая, екосистемата с отворен код Предлага множество проекти, фокусирани върху повишаване на сигурността. Те варират от рамки за автоматизация и оркестрация до шаблони за съответствие с Windows, скриптове, които сравняват конфигурации с официалните насоки за повишаване на сигурността, и инструменти, които анализират системна информация и предлагат потенциални уязвимости и слаби конфигурации, които биха могли да позволят ескалация на привилегиите.
Практически мерки за закаляване: от системата до потребителя
Закаляването не е еднократно действие, а набор от допълнителни мерки прилага се на различни нива: операционна система, мрежа, приложения, данни и хора. Въпреки че Chrome е от основно значение за много инциденти, той е само едно звено във веригата.
Система и браузър
В системния раздел някои типични мерки са:
- Променете всички пароли по подразбиране.
- Деинсталирайте ненужния софтуер.
- Премахнете потребители, които вече не са необходими.
- Деактивирайте неизползваните услуги и засилете сигурността на услугите, които ще останат работещи.
- Затворете отворените портове, които не се използват.
- Установете редовни и надеждни стратегии за архивиране.
- Инсталирайте и конфигурирайте правилно защитната стена.
- Поддържайте операционната си система и приложенията (включително Chrome) винаги актуализирани.
Освен това е удобно откриване дали паролата ви е била разкрита когато е възможно.
Що се отнася до браузъра, втвърдяването на Chrome предполага например, Ограничаване на разширенията само одобрените от организацията, ограничаване на инсталирането на плъгини, налагане на използването на HTTPS, деактивиране на експериментални или малко използвани функции, които могат да доведат до риск, контрол на правила за изтегляне на файлове и да коригирате разрешенията за достъп за микрофон, камера, местоположение, клипборд и др. Всичко това може да се управлява с помощта на шаблони за правила и инструменти за администриране в корпоративна среда.
Потребители и сигурност
Не трябва да забравяме втвърдяване на потребителитеДобре конфигурираният браузър е от малка полза, ако служителите отварят всеки прикачен файл, без да го проверяват, инсталират съмнителни разширения или въвеждат паролите си на фишинг страници. Осъзнаването на сигурността и обучението са от съществено значение за засилване на сигурността. Обучението на хората как да откриват подозрителни имейли, Избягвайте изтегляния от неофициални сайтовеИзползвайте силни пароли, не ги използвайте повторно в различни услуги, поддържайте антивирусната си програма активна и актуална и използвайте здравия разум, преди да щракнете.
На практика се работи с комбинация от активна и пасивна безопасност.
- Активни опити за сигурност за предотвратяване на инцидента (конфигурация на Chrome, защитна стена, удостоверяване, контрол на достъпа, сегментиране на мрежата).
- Пасивната сигурност се фокусира върху минимизиране на щетите, след като нещо се е случило (резервни копия, планове за възстановяване, регистрационни файлове, инструменти за анализ и почистване, системи за откриване и наблюдение).
Рискове, препятствия и примери, при които закаляването би имало значение
Прилагането на сериозна програма за закаляване не е без своите недостатъци. предизвикателства и търканияМерките за засилване на защитата могат да бъдат технически сложни, да изискват специализирани профили и често срещат съпротива от потребители или бизнес области, които възприемат тези политики като неудобство.
Един от повтарящите се проблеми е съвместимост със съществуващи приложенияНякои промени (като деактивиране на протокол, блокиране на порт или ограничаване на изпълнението на макроси) могат да нарушат работата на наследени приложения или работни процеси, които се изпълняват от години. Ето защо фазата на тестване е толкова важна. Тези конфликти трябва да бъдат открити рано и решението да се взема за всеки отделен случай относно това дали да се адаптира приложението, да се намери алтернатива или да се приеме контролирано изключение.
Разходите, както преките (инструменти, консултации, персонал), така и косвените (потенциално въздействие върху използваемостта или производителността), също трябва да се вземат предвид. Някои много рестриктивни конфигурации могат да доведат до леко намаляване на производителността. Това е особено забележимо в среди с голям обем транзакции или при работа със сложни уеб приложения в Chrome.
Въпреки че всеки случай е различен, историята на киберсигурността е пълна с примери, в които лошо управление на пачове или конфигурации по подразбиране Това беше източникът на масивни инциденти. Пробиви, причинени от неотстранени уязвимости, ransomware, използващ остарели протоколи, атаки срещу критична инфраструктура поради несигурни конфигурации… В много от тези случаи, строг подход за защита би намалил значително въздействието или дори би предотвратил инцидента.
В крайна сметка, втвърдяването на Chrome и останалата част от инфраструктурата е начин за изграждане солидни основи Това са областите, в които има смисъл да се внедрят други усъвършенствани технологии за сигурност. Преди да инвестирате в модерни решения или сложни услуги за откриване, си струва да проверите дали са налице основни мерки за сигурност, дали конфигурациите са там, където трябва да бъдат, и дали персоналът може да идентифицира най-често срещаните рискове. Само тогава горните нива на защита могат наистина да си вършат работата.
