EDUCATION · TECHNICAL SECURITY

⚙️ Tehniskā drošība

Tehnoloģiskās (tehniskās) kontroles ir tehnoloģijā iebūvēti drošības mehānismi, kas automātiski realizē drošības politiku - autentifikācija, šifrēšana, segmentācija, žurnalēšana. Pamatā ISO/IEC 27002 8. nodaļa (34 kontroles), NIST SP 800-53 un CIS Controls v8. Piemēri ir izdomāti, paredzēti mācībām.

Kas ir tehniskās kontroles

Kontroļu klasifikācija - daba un funkcija

Drošības kontroļu klasifikācija Matrica: trīs kontroļu dabas (tehniskās, administratīvās, fiziskās) pret trim funkcijām (preventīvās, detektīvās, koriģējošās), ar tehnisko rindu izceltu. Drošības kontroļu klasifikācija Daba (tehniskās / administratīvās / fiziskās) × funkcija + atturošās un kompensējošās Preventīvās Detektīvās Koriģējošās Tehniskās (loģiskās) MFA · šifrēšana ugunsmūris · RBAC segmentācija IDS/IPS · SIEM žurnāli · FIM monitorings dublējumi · patch izolācija · rollback karantīna Administratīvās politikas · apmācība audits · pārskati incidentu plāns Fiziskās slēdzenes · badge CCTV · signalizācija remonts · atjaunošana

Tehniskās = loģiskās kontroles: tās ir tehnoloģijā iebūvēti mehānismi, kas realizē politiku automātiski un konsekventi (atšķirībā no administratīvajām, kas paļaujas uz cilvēka rīcību). Šis ceļvedis aptver ISO/IEC 27002 8. nodaļas tehnoloģiskās kontroles.

Funkcijas

Preventīvās (novērš), detektīvās (atklāj), koriģējošās (atjauno). Papildus: atturošās (attur no mēģinājuma) un kompensējošās (alternatīva, kad pamata kontrole nav iespējama).

Slāņošana (defense in depth)

Tehniskās kontroles izvieto vairākos slāņos - tīkls, resursdators, lietojums, dati, identitāte - lai viena pārkāpums neatklātu visu. Skat. cilni 'Aizsardzība dziļumā'.

Saistība ar NIS2

NIS2 (ES 2022/2555) 21. panta riska pārvaldības pasākumi lielā mērā ir tehniskās kontroles: kriptogrāfija, piekļuves kontrole, MFA, incidentu atklāšana un darbības nepārtrauktība.

Defense in depth

Tehnisko kontroļu slāņi - no tīkla līdz datiem

Tehnisko kontroļu slāņi Pieci tehniskie aizsardzības slāņi no tīkla līdz datiem, ar identitāti un monitoringu kā šķērsslāņiem. Aizsardzība dziļumā (tehniskie slāņi) Tīkls / perimetrs ugunsmūris · VPN · DDoS · IPS · 8.20/8.21 Segmentācija VLAN · mikrosegmentācija · NAC · 8.22 Resursdators / galiekārta EDR · hardening · patch · 8.1/8.7/8.8 Lietojumprogramma WAF · droša kodēšana · SAST/DAST · 8.26/8.28 Dati šifrēšana · DLP · maskēšana · dublējumi · 8.24/8.12 Identitāte un piekļuve IAM · MFA PAM · RBAC Zero Trust aptver visus slāņus 8.2 · 8.3 · 8.5

Žurnalēšana un monitorings (8.15/8.16) aptver visus slāņus - tie nodrošina, ka pārkāpums tiek pamanīts. Identitāte ir šķērsslānis: katrā slānī jāpārbauda, kurš piekļūst (Zero Trust - nekad neuzticies pēc atrašanās vietas).

Kāpēc slāņi

Neviena atsevišķa kontrole nav nekļūdīga. Neatkarīgi slāņi nozīmē, ka uzbrucējam jāpārvar vairāki - tīkls, resursdators, lietojums, dati - pirms sasniegt mērķi.

Vismazākās privilēģijas

Katrā slānī piešķir tikai nepieciešamo (least privilege, need-to-know). Tas ierobežo, cik tālu uzbrucējs var izplatīties pēc viena slāņa pārkāpšanas (lateral movement).

Pieņem pārkāpumu

Mūsdienu pieeja (assume breach) pieņem, ka perimetrs tiks pārkāpts. Tāpēc svarīga segmentācija, monitorings un datu šifrēšana - lai pārkāpums neatklātu visu uzreiz.

Starptautiskā prakse

ISO/IEC 27002:2022 8. nodaļa - 34 tehnoloģiskās kontroles

ISO 27002:2022 kontroļu tēmas Četras ISO 27002:2022 kontroļu tēmas. Tehnoloģiskās kontroles (8. nodaļa, 34 kontroles) ir izceltas. ISO/IEC 27002:2022 - 4 kontroļu tēmas Organizatoriskās nodaļa 5 · 37 kontroles Personāla nodaļa 6 · 8 kontroles Fiziskās nodaļa 7 · 14 kontroles Tehnoloģiskās nodaļa 8 · 34 kontroles ← šī sadaļa ISO 27001 Pielikums A.8 atspoguļo šīs 34 kontroles · NIST SP 800-53 (AC/IA/SC/SI/AU/CM/CP) · CIS Controls v8
8.1Galiekārtas (endpoint)
8.2Privileģētas piekļuves tiesības
8.3Informācijas piekļuves ierobežošana
8.4Piekļuve pirmkodam
8.5Droša autentifikācija
8.6Jaudas pārvaldība
8.7Aizsardzība pret ļaunatūru
8.8Tehnisko ievainojamību pārvaldība
8.9Konfigurācijas pārvaldība
8.10Informācijas dzēšana
8.11Datu maskēšana
8.12Datu noplūdes novēršana (DLP)
8.13Informācijas dublēšana
8.14Apstrādes iekārtu redundance
8.15Žurnalēšana
8.16Darbību monitorings
8.17Pulksteņu sinhronizācija
8.18Privileģētu utilītu izmantošana
8.19Programmatūras instalēšana sistēmās
8.20Tīklu drošība
8.21Tīkla pakalpojumu drošība
8.22Tīklu nošķiršana (segmentācija)
8.23Tīmekļa filtrēšana
8.24Kriptogrāfijas izmantošana
8.25Drošas izstrādes dzīves cikls
8.26Lietojumu drošības prasības
8.27Droša arhitektūra un inženierija
8.28Droša kodēšana
8.29Drošības testēšana izstrādē
8.30Ārpakalpojuma izstrāde
8.31Vižu nošķiršana (dev/test/prod)
8.32Izmaiņu pārvaldība
8.33Testa informācija
8.34Aizsardzība audita laikā

NIST SP 800-53 saimes

Tehniskās kontroles galvenokārt: AC (piekļuves kontrole), IA (identitāte un autentifikācija), SC (sistēmu un komunikāciju aizsardzība), SI (sistēmu un informācijas integritāte), AU (audits), CM (konfigurācija), CP (nepārtrauktība).

CIS Controls v8

Praktisks īstenošanas saraksts: CIS 3 (datu aizsardzība), 4 (droša konfigurācija), 5–6 (kontu un piekļuves pārvaldība), 7 (ievainojamības), 8 (žurnāli), 10 (ļaunatūra), 12–13 (tīkls un monitorings), 16 (lietojumu drošība).

NIS2 un MK 397

NIS2 21. pants un Latvijas MK noteikumi Nr. 397 prasa tehniskos pasākumus - kriptogrāfiju, MFA, piekļuves kontroli, ievainojamību pārvaldību, žurnalēšanu un dublējumus - samērīgi ar risku.

IAM - ISO 8.2 / 8.3 / 8.5

Identitāte un piekļuve - autentifikācija, autorizācija, uzskaite

AAA - autentifikācija, autorizācija, uzskaite Lietotājs iziet autentifikāciju, tad autorizāciju, līdz resursam. Uzskaite žurnalē visu plūsmu. AAA - autentifikācija · autorizācija · uzskaite Lietotājs / ierīce identitāte Autentifikācija kas tu esi? - MFA FIDO2 · passkey · 8.5 Autorizācija ko drīksti? - RBAC/ABAC least privilege · 8.3 Resurss dati · API Uzskaite (Accounting) kurš · ko · kad - žurnalēšana (8.15) · neatsaucamība

Zero Trust: nekad neuzticies pēc atrašanās vietas tīklā - katru pieprasījumu autentificē un autorizē no jauna (NIST SP 800-207). MFA pret zagtām parolēm. Vismazākās privilēģijas pret tiesību pārmērību.

Droša autentifikācija (8.5)

Vairākfaktoru autentifikācija (MFA), vēlams phishing-noturīga (FIDO2/WebAuthn, passkey). Paroles - garas, pārbaudītas pret noplūdēm, glabātas kā Argon2/bcrypt jaucējsummas.

Privileģētā piekļuve (8.2 / PAM)

Administratīvās tiesības atsevišķi: just-in-time piešķiršana, sesiju ierakstīšana, atsevišķi admin konti, vault noslēpumiem. Pārmērīgas privilēģijas ir galvenais izplatīšanās ceļš.

Piekļuves ierobežošana (8.3)

Need-to-know un least privilege: lietotājs redz tikai sev nepieciešamo. Lomas (RBAC) vai atribūti (ABAC), regulāra piekļuves pārskatīšana un nekavējoša atsaukšana, kad mainās loma.

ISO 8.24 / 8.11 / 8.12

Kriptogrāfija un datu aizsardzība - trīs datu stāvokļi

Datu trīs stāvokļi un kriptogrāfija Dati miera stāvoklī, pārraidē un lietošanā, katrā ar atbilstošu kriptogrāfisko kontroli. Atslēgu pārvaldība zem visiem. Datu trīs stāvokļi un to aizsardzība Miera stāvoklī (at rest) diska / DB šifrēšana AES-256 · FDE atslēgas KMS / HSM Pārraidē (in transit) TLS 1.3 · mTLS VPN · IPsec sertifikāti · HSTS Lietošanā (in use) konfidenciālā skaitļošana enclaves · maskēšana tokenizācija Atslēgu pārvaldība (key management) ģenerēšana · rotācija · atsaukšana · droša glabāšana (HSM) - bez tās šifrēšana ir tikai šķietama

Kriptogrāfija (8.24) aizsargā konfidencialitāti un integritāti, bet ir tik stipra, cik atslēgu pārvaldība. Lieto pārbaudītus algoritmus un protokolus (AES, TLS 1.3), nevis pašu izgudrotus.

Datu noplūdes novēršana (8.12 / DLP)

DLP atklāj un bloķē jutīgu datu izvešanu (e-pasts, USB, mākonis). Kombinē ar klasifikāciju un marķēšanu, lai zinātu, ko aizsargāt.

Maskēšana un dzēšana (8.11 / 8.10)

Datu maskēšana un tokenizācija samazina ekspozīciju ne-produkcijas vidēs. Drošas dzēšanas politika nodrošina, ka dati tiek neatgriezeniski izņemti, kad vairs nav vajadzīgi.

Dublēšana un noturība (8.13 / 8.14)

Dublējumi pēc 3-2-1 principa (3 kopijas, 2 nesēji, 1 ārpus vietas), šifrēti un testēti ar atjaunošanas pārbaudēm. Redundance kritiskajām sistēmām nodrošina pieejamību.

ISO 8.7 / 8.8 / 8.9 / 8.16

Hardening, ievainojamību pārvaldība un monitorings

Ievainojamību pārvaldības cikls Nepārtraukts cikls - atklāt, prioritizēt, novērst, pārbaudīt - ar atgriešanos uz sākumu. Ievainojamību pārvaldības cikls (8.8) 1 · Atklāt skenēšana · inventārs 2 · Prioritizēt CVSS · KEV · risks 3 · Novērst patch · konfigurācija 4 · Pārbaudīt re-skenēšana nepārtraukts cikls - jaunas ievainojamības parādās pastāvīgi Hardening - pamati droša bāzes konfigurācija (CIS Benchmark) · least functionality · ļaunatūras aizsardzība (8.7) tīmekļa filtrēšana (8.23) · izmaiņu pārvaldība (8.32) · noklusējuma paroļu maiņa

Monitorings (8.15 / 8.16): centralizēta žurnalēšana → SIEM → korelācija → brīdinājums → reaģēšana. Bez monitoringa pārējās kontroles strādā akli. Laiku sinhronizē (NTP, 8.17), citādi notikumus nevar korekti korelēt.

Konfigurācijas pārvaldība (8.9)

Droša bāzes konfigurācija (hardening pēc CIS Benchmark), versiju kontrole, novirzes atklāšana un izmaiņu pārvaldība. Noklusējuma iestatījumi reti ir droši.

Aizsardzība pret ļaunatūru (8.7)

EDR/AV, lietojumu atļaušanas saraksti (allowlisting), e-pasta un tīmekļa filtrēšana, makro ierobežojumi. Kombinē ar lietotāju apmācību un dublējumiem pret izspiedējvīrusiem.

Žurnalēšana un SIEM (8.15 / 8.16)

Logus vāc centralizēti un ārpus pārbaudāmā hosta, glabā append-only un pietiekami ilgi (NIS2 - vismaz 12 mēneši). Sīkāk - ceļvedī 'Žurnālfailu (logu) analīze'.