Linux Security Fundamentals by David Clinton

Многоуровневая стратегия защиты должна сочетать предотвращение, мониторинг и планы восстановления для обеспечения безопасности Linux-систем.

ИДЕИ:

  • Ответственное использование ресурсов включает защиту личных прав и неприкосновенности цифровой частной жизни всех пользователей ваших систем.
  • Большинство современных устройств с сетевым подключением представляют потенциальные уязвимости, которыми могут воспользоваться злоумышленники для проникновения.
  • Кибермоббинг и киберсталкинг - распространённые угрозы, которые используют социальные сети для координации атак против отдельных людей.
  • Понимание структуры URL поможет идентифицировать подозрительные веб-сайты, особенно для защиты от фишинговых атак и мошеннических сайтов.
  • Даже если ваши данные не украдены, другие скомпрометированные системы могут использоваться злоумышленниками для атак на третьи стороны.
  • Шифрование данных в состоянии покоя и в движении является фундаментальным методом защиты от несанкционированного доступа к конфиденциальной информации.
  • Сетевые сканеры, такие как Nmap и Wireshark, важны для обнаружения открытых портов и выявления несанкционированных устройств в сети.
  • Создание отдельных сред для разработки, тестирования и производства помогает изолировать потенциально опасное экспериментальное программное обеспечение от реальных данных.
  • Многофакторная аутентификация добавляет уровень защиты, требуя как то, что вы знаете, так и то, что у вас есть.
  • Киберпреступники используют методы социальной инженерии, чтобы обмануть людей и заставить их раскрыть конфиденциальную информацию или учетные данные для входа.
  • Конфигурация сетевого сегментирования с использованием брандмауэров и маршрутизаторов может значительно улучшить изоляцию ресурсов и предотвратить распространение атак.
  • Межсетевые экраны работают, проверяя каждый пакет данных, перемещающийся к устройству или от него, и разрешая или отклоняя его.
  • Публичные базы данных уязвимостей, такие как NVD, предоставляют критическую информацию для регулярного сканирования на наличие известных проблем безопасности.
  • Системы мониторинга и обнаружения вторжений могут предупреждать администраторов о подозрительной активности до того, как произойдет серьезное нарушение безопасности.
  • Утечка паролей из одного взломанного сервиса может позволить хакерам получить доступ к другим вашим учетным записям при повторном использовании паролей.
  • Песочницы изолируют среды выполнения, чтобы тестировать новое программное обеспечение или потенциально вредоносный код без риска для всей системы.
  • Регулярное обновление программного обеспечения является критически важным для защиты систем от эксплуатации известных уязвимостей и недавно обнаруженных угроз.
  • Полные, регулярные и проверенные резервные копии ваших данных и систем обеспечивают лучшую защиту от программ-вымогателей и других катастрофических атак.
  • Разрешение пользователям устанавливать и запускать непроверенное программное обеспечение создает серьезные риски; использование доверенных репозиториев повышает безопасность.
  • Тщательно управляйте доступом к физическим устройствам; злоумышленники могут быстро установить вредоносное ПО через USB-порты без должного контроля.
  • Резервное копирование должно включать весь системный стек, включая конфигурации, приложения, журналы, учетные записи и пользовательские данные.
  • Обязательные меры контроля доступа обеспечивают строгие правила, которые трудно или невозможно обойти даже пользователям с административными правами.
  • Ключи шифрования должны тщательно храниться, поскольку утеря ключа сделает зашифрованные данные недоступными даже для законных пользователей.
  • Стратегия восстановления после сбоя должна учитывать как RPO (целевая точка восстановления), так и RTO (целевое время восстановления).
  • Подход инфраструктуры с нулевым доверием предполагает, что угрозы могут существовать как внутри, так и вне сети, требуя постоянной проверки.

ВЫВОДЫ:

  • Эффективная безопасность требует многоуровневого подхода, включающего превентивные меры и стратегии смягчения последствий в случае неизбежных нарушений.
  • Люди часто являются самым слабым звеном в безопасности, поэтому обучение пользователей имеет решающее значение для предотвращения угроз социальной инженерии.
  • Отключенные от сети резервные копии, хранящиеся в географически разных местах, обеспечивают наиболее надежную защиту от программ-вымогателей.
  • Компромисс между безопасностью и удобством является постоянной проблемой; понимание своих приоритетов - основа для принятия решений.
  • Изоляция ресурсов действует как цифровой эквивалент водонепроницаемых отсеков на корабле, ограничивая ущерб при компрометации одной системы.
  • Принцип наименьших привилегий, предоставляющий каждому пользователю только необходимые для работы права доступа, существенно снижает поверхность атаки.
  • Непрерывный мониторинг и регулярные проверки защищенности необходимы для обнаружения новых уязвимостей в постоянно меняющемся ландшафте угроз.
  • Шифрование критически важно, но его надежность зависит от сложности использованных алгоритмов и надлежащего управления ключами.
  • Виртуализация и контейнеризация обеспечивают мощные инструменты для создания изолированных сред и ограничения распространения вредоносного ПО.
  • Для создания комплексной стратегии безопасности необходимо понимание уязвимостей на всех уровнях - аппаратном, программном и человеческом.

ЦИТАТЫ:

  • “С большой силой приходит большая ответственность.” - Дэвид Клинтон, цитируя дядю Человека-паука
  • “Если у вас есть данные, то вы должны обеспечить наличие надежного и практичного плана их резервного копирования.” - Дэвид Клинтон
  • “Компьютеры усиливают ваши сильные стороны. Насколько бы много вы ни могли запомнить, как бы быстро вы ни могли вычислять… это никогда не приблизится к масштабу того, что вы можете сделать с вычислительным устройством и сетью.” - Дэвид Клинтон
  • “Интернет никогда не забывает.” - Дэвид Клинтон
  • “Понимая, как легко обнаружить так много информации о вашей организации, вы должны начать укреплять свои позиции.” - Дэвид Клинтон
  • “Киберпреступники не славятся своей честностью.” - Дэвид Клинтон
  • “Пароль тем лучше, чем он длиннее, сложнее и уникальнее.” - Дэвид Клинтон
  • “Удачное решение, которое вы выберете, будет отражать ваши конкретные потребности.” - Дэвид Клинтон
  • “Учитывая, что вы почти наверняка станете мишенью множества злонамеренных атак со временем, и учитывая, что некоторые из этих атак обязательно добьются хотя бы некоторого успеха, имеет смысл попытаться ограничить ущерб, который они причиняют.” - Дэвид Клинтон
  • “Подозрительные загрузки подозрительны не просто так. Не будьте тем, кто откроет дверь вредоносному ПО, которое уничтожит ваши ИТ-активы.” - Дэвид Клинтон
  • “Самое большое препятствие при работе с ИТ-безопасностью - это люди в комнате. Всё было бы намного проще, если бы нам не приходилось учитывать вмешательство человека.” - Дэвид Клинтон
  • “Не все регуляторные требования полезны и разумны.” - Дэвид Клинтон
  • “Из всех элементов большинства, если не всех, стандартов регулирования, один включает сохранение данных.” - Дэвид Клинтон
  • “Ваша способность быстро восстановиться после сбоя будет зависеть от того, где в настоящее время хранятся ваши резервные копии и, не менее важно, в каком формате они хранятся.” - Дэвид Клинтон
  • “Вы должны понимать вашу систему, ваши потребности и риски, с которыми вы сталкиваетесь, достаточно хорошо, чтобы шифровать только то, что необходимо - не больше и не меньше.” - Дэвид Клинтон
  • “Видимость системы: чем больше вы её получаете, тем лучше.” - Дэвид Клинтон

ПРИВЫЧКИ:

  • Тщательно анализируйте информацию, публикуемую в социальных сетях, чтобы предотвратить раскрытие конфиденциальных личных или корпоративных данных.
  • Регулярно проверяйте, не были ли ваши учетные данные скомпрометированы, используя такие сервисы как “Have I Been Pwned?”.
  • Никогда не используйте один и тот же пароль на нескольких сайтах, чтобы предотвратить эффект домино при взломе одной учетной записи.
  • Применяйте многофакторную аутентификацию для всех критически важных учетных записей для защиты от несанкционированного доступа.
  • Используйте менеджер паролей для создания и безопасного хранения сложных, уникальных паролей для каждой учетной записи.
  • Поддерживайте обновленное программное обеспечение, оперативно устанавливая патчи безопасности для всех систем и приложений.
  • Регулярно сканируйте свою сеть с помощью Nmap для выявления неожиданно открытых портов и несанкционированных устройств.
  • Используйте шифрование для хранения конфиденциальных данных, особенно на мобильных устройствах, которые могут быть утеряны или украдены.
  • Шифруйте все чувствительные данные при передаче через сеть с помощью протоколов, таких как HTTPS и VPN.
  • Создавайте и тестируйте полные резервные копии критически важных систем не реже одного раза в неделю.
  • Храните резервные копии в нескольких географических местах для защиты от физических катастроф, затрагивающих одно местоположение.
  • Создавайте изолированные среды для тестирования нового программного обеспечения перед развертыванием в производственной среде.
  • Ограничивайте физический доступ к серверам и сетевой инфраструктуре, используя замки и системы контроля доступа.
  • Контролируйте использование USB-устройств, которые могут представлять значительные риски для безопасности, внедряя корпоративную политику.
  • Перед посещением веб-сайта или нажатием на ссылку в электронном письме внимательно проверяйте полный URL-адрес.
  • Регулярно просматривайте новости технологической безопасности, чтобы быть в курсе новых угроз и уязвимостей.
  • Используйте только проверенные, доверенные репозитории для установки программного обеспечения вместо скачивания из случайных источников.
  • Блокируйте экран при уходе от компьютера, чтобы предотвратить несанкционированный доступ во время вашего отсутствия.
  • Проводите регулярные оценки уязвимостей и тесты на проникновение, чтобы выявить слабые места в системе безопасности.
  • Внедряйте наблюдение и оповещения для быстрого обнаружения необычной или подозрительной активности в системах.

ФАКТЫ:

  • Распространенные кибератаки включают фишинг, программы-вымогатели, атаки типа “человек посередине” и различные формы вредоносного ПО.
  • Интернет вещей (IoT) представляет значительные риски безопасности из-за множества плохо защищенных подключенных устройств.
  • Шифрование использует математические алгоритмы для преобразования читаемого текста в нечитаемый для любого, кто не обладает ключом.
  • IPv4 позволяет использовать чуть более 4 миллиардов уникальных адресов, в то время как IPv6 предоставляет практически неограниченное адресное пространство.
  • Злоумышленники часто атакуют новые серверы менее чем через минуту после их первоначального запуска.
  • Массивные утечки данных затронули миллионы учетных записей в крупных компаниях, включая Target, LinkedIn, Yahoo и Marriott.
  • Устройства, подключенные к общедоступным Wi-Fi сетям, особенно уязвимы для атак типа “человек посередине” и перехвата данных.
  • Хорошие пароли должны содержать не менее 8 символов, включая буквы, цифры и специальные символы.
  • Программы-вымогатели шифруют данные жертвы и требуют выкуп, обычно в криптовалюте, за ключ дешифрования.
  • Сетевые порты предоставляют стандартные точки входа для определенных сервисов, например, порт 80 для HTTP и порт 22 для SSH.
  • Цепочка блоков использует криптографические хеши для создания неизменяемой цепочки блоков, обеспечивающих проверяемую и необратимую запись транзакций.
  • Важные оценки, связанные с резервным копированием, включают RPO (целевую точку восстановления) и RTO (целевое время восстановления).
  • Разница между симметричным и асимметричным шифрованием заключается в использовании одного общего ключа против пары публичного/приватного ключей.
  • DMZ (демилитаризованная зона) в сетевой архитектуре создает буферный слой между доверенной и недоверенной сетями.
  • Протокол DNS преобразует удобочитаемые доменные имена в числовые IP-адреса, необходимые для маршрутизации.
  • Wireshark позволяет анализировать отдельные пакеты данных, проходящие через сеть, включая их источник, назначение и содержимое.
  • Большинство современных дистрибутивов Linux включают инструменты управления репозиториями, такие как APT или YUM, для безопасной установки программного обеспечения.
  • Серверы бастионов (также известные как jump-боксы) в сетевой архитектуре обеспечивают единую контролируемую точку входа в сеть.
  • Оценки уязвимостей часто используют показатель CVSS (Common Vulnerability Scoring System) для ранжирования серьезности обнаруженных проблем.
  • Сбои жестких дисков для резервного копирования - обычное явление, поэтому критически важные данные должны храниться в нескольких местах.

ИСТОЧНИКИ:

  • TCP RFC 793 и IP RFC 791 - оригинальные документы запроса на комментарии для протоколов TCP и IP
  • Shodan.io - поисковая система для нахождения подключенных к интернету серверов и медиа-устройств
  • Have I Been Pwned? (haveibeenpwned.com) - служба проверки скомпрометированных учетных данных
  • Internet Archive (archive.org) - хранилище исторических версий веб-страниц
  • ZDNet (zdnet.com) - технологический новостной сайт
  • AWS Certified Cloud Practitioner Study Guide - книга Дэвида Клинтона и Бена Пайпера
  • Gmail - сервис электронной почты Google
  • Ubuntu Bible - книга Дэвида Клинтона в соавторстве с Крисом Негусом
  • Security Content Automation Protocol (SCAP) - стандарт для автоматизированного управления уязвимостями
  • National Vulnerability Database (NVD) - правительственная база данных уязвимостей
  • OWASP (Open Web Application Security Project) - проект безопасности с открытым исходным кодом
  • Nmap (nmap.org) - сетевой инструмент для сканирования и обнаружения устройств
  • Wireshark - анализатор сетевых пакетов
  • SSL Server Test (ssllabs.com/ssltest) - инструмент для проверки конфигурации TLS
  • Let’s Encrypt (letsencrypt.org) - бесплатный центр сертификации для шифрования веб-сайтов
  • Certbot (certbot.eff.org) - инструмент для автоматизации установки сертификатов Let’s Encrypt
  • Docker (docker.com) - платформа контейнеризации
  • VirtualBox (virtualbox.org) - программное обеспечение для виртуализации
  • Kali Linux - дистрибутив Linux, оптимизированный для операций безопасности
  • OpenVAS - система оценки уязвимостей с открытым исходным кодом
  • Snort IDS - система обнаружения вторжений с открытым исходным кодом
  • Recon-ng - платформа разведки с открытым исходным кодом
  • Firefox, Chrome и другие веб-браузеры

РЕКОМЕНДАЦИИ:

  • Установите менеджер паролей для создания и безопасного хранения уникальных, сложных паролей для каждой учетной записи.
  • Внедрите многофакторную аутентификацию для всех критических учетных записей, используя приложение-аутентификатор или аппаратный токен.
  • Регулярно обновляйте все операционные системы и программное обеспечение, автоматизируя процесс обновления через встроенные инструменты.
  • Создавайте полные резервные копии всех важных данных и систем не реже одного раза в неделю.
  • Тестируйте процесс восстановления из резервных копий ежемесячно, чтобы убедиться, что данные могут быть успешно восстановлены.
  • Внедрите сегментацию сети, чтобы изолировать общедоступные службы от критически важных внутренних систем с помощью брандмауэров.
  • Проводите регулярные оценки уязвимостей, используя инструменты, такие как OpenVAS или Nessus, чтобы выявить потенциальные угрозы.
  • Используйте шифрование для всех конфиденциальных данных, как при хранении, так и при передаче через сети.
  • Храните резервные копии в географически разных местах, используя как локальные, так и облачные решения для дополнительной защиты.
  • Разрабатывайте и внедряйте всесторонний план реагирования на инциденты для восстановления после нарушений безопасности, минимизируя потери.
  • Обучайте пользователей распознавать фишинговые атаки и другие методы социальной инженерии, проводя регулярные тренинги.
  • Используйте принцип наименьших привилегий, предоставляя пользователям доступ только к необходимым для их работы ресурсам.
  • Внедрите системы обнаружения вторжений, такие как Snort, для мониторинга подозрительной сетевой активности и оповещения.
  • Установите и настройте межсетевые экраны как на уровне сети, так и на уровне хоста, тщательно контролируя входящий и исходящий трафик.
  • Используйте песочницы или виртуальные машины для тестирования нового или подозрительного программного обеспечения перед установкой.
  • Отключите или удалите неиспользуемые службы и программное обеспечение, чтобы уменьшить поверхность атаки вашей системы.
  • Проверяйте целостность загружаемого программного обеспечения, сравнивая контрольные суммы с опубликованными на официальных сайтах.
  • Внедрите политику принесенных устройств, регулирующую использование личных устройств в корпоративной сети, включая мобильные устройства.
  • Ограничьте использование USB-устройств в критически важных системах, отключив автозапуск и требуя сканирования перед использованием.
  • Проводите ежегодные внешние тесты на проникновение, чтобы выявить уязвимости, которые могут быть пропущены внутренними оценками.