Security Technical Implementation Guide (STIG) (1): Úvodní seznámení

Pokud to myslíte s bezpečností vážně a jste teprve v začátcích, jistě jste přemýšleli jak zabezpečit různé operační systémy, či aplikace. Jedna z možností je využít existující řešení. Podobně jako existuje ITIL, existují podobné sady dokumentů zabývající se zabezpečením počítačových sítí, aplikací a dalšími prvky, které jsou součástí IT infrastruktury.

Bezpečnost

Úvod

Pokud se začnete bezpečností a její implementací zabývat, časem zjistíte, že každý výrobce má svoje doporučené sady zabezpečení pro své produkty.

Například Microsoft má svoje sady Security Baseline, které obsahují doporučené sady politik (Group Policy) pro produkty Microsoftu, jako jsou operační systémy Windows 10 Enterprise, Windows Server 2019 a pro Office 2016 a Office 365. O trošičku více možností, díky dodatečným nástrojům navíc máte v sadě Microsoft Security Compliance Toolkit. Nicméně problém je v tom, že Microsoft řeší pouze svoje vlastní produkty.

Jak bych mohl řešit například zabezpečení oblíbeného prohlížeče PDF souborů Adobe Reader? I Adobe má různá řešení pro bezpečnost. Například dokument Adobe Application Security Guide, který řeší technologie zabezpečení ve svých produktech. Mimochodem, ta příručka od Adobe má cca 70 stran. 😉

A samozřejmě i Google Chrome má Security Guide.

To však znamená, hledat ke každému softwarovému produktu příručku o zabezpečení a modlit se, aby ji výrobce aplikace vůbec měl a aby stála za to. Nebo, aby vůbec výrobce software bral bezpečnost vážně a snažil se svoje produkty slušně zabezpečit.

Neexistuje nějaké efektivnější řešení? Ano, naštěstí existuje. Existuje jedna z mála organizací, která to myslí také s bezpečností vážně a dokonce je ochotna se s informacemi o zabezpečení podělit s celým světem. Tou organizací je Defense Information Systems Agency (DISA).

DISA je agenturou založenou v roce 1960 ministerstvem obrany Spojených států amerických (DoD USA). Agentura se původně jmenovala Defense Communications Agency (DCA) a v roce 1991 byla přejmenována na současný název Defense Information Systems Agency (DISA). Agentura zajišťuje podporu pro prezidenta, ministerstvo obrany, ozbrojených složek a agentur Spojených států amerických. Portfolio aktivit DISA je široké, DISA má například na starosti provoz horké linky (červený telefon), který zajišťuje přímé spojení mezi Bílým domem (Washington) a Kremlem (Moskva). my se však zaměříme jen na podporu ve smyslu IT služeb a jejich zabezpečení. Vzhledem k tomu pro koho DISA zajišťuje podporu, je důkladnost a důraz na bezpečnost velmi vysoký.

Jedním z výsledků tvorby DISA je Security Technical Implementation Guide (STIG), což je sada příruček, nebo spíše knihovna standardů pro zabezpečení v IT, která je povinná pro zmíněné vládní organizace a složky USA. Implementace STIG patří mezi (povinné) součásti vládních/agenturních image s Windows (jmenuje se Windows Secure Host Baseline).

DISA je spolu s NIST (National Institute of Standards and Technology) defacto jednou z tvůrců klíčových standardů pro USA a Kanadu z pohledu IT bezpečnosti. A protože tyto standardy mají výbornou pověst jsou považovány za standard celosvětový.

 

 

Co je STIG?

STIG je knihovna, která popisuje jak zabezpečit:

  • operační systémy,
  • software,
  • hardware,
  • infrastrukturu,
  • fyzické i bezdrátové sítě,
  • kanceláře,
  • logické návrhy,
  • procesy údržby,
  • postupy,
  • definuje bezpečnostní standardy.

 

Ve výsledku tedy STIG popisuje, jak minimalizovat útoky po síti, nebo také útoky s využitím fyzického přístupu k zařízení. STIG popisuje také návrh firemní sítě, konfigurace směrovačů, bran firewall a serverů DNS.

Příručky STIG jsou velmi důkladné, ale pořád se zaměřují na bezpečnost. Ze strany STIG téměř vůbec nemusíte čekat nějakou šikanu, požadující splnění nějakého nastavení, které uživatelům může připadat velmi obtěžující. Dokonce jsem se již setkal s některými případy, kdy mě osobně po implementaci STIG daného produktu, připadlo z pohledu bezpečnosti cílového prostředí zákazníka slabší a někde jsem musel, vzhledem k požadavkům „přitvrdit“ sám.

 

 

Na STIG, oproti Security Baseline, se mi velice líbí, že všechny definice jsou velmi podrobné, pokud se jedná o STIG pro konkrétní produkt, všechny bez vyjímky obsahují následující informace:

  • Co se má nastavit, na jakou konkrétní hodnotu, případně jaká má být nejmenší hodnota (definované minimum).
  • Kde se to má nastavit. Pokud máte příručku ke shodné verzi produktu, dozvíte se, kde přesně v aplikaci dané nastavení najdete.
  • Proč se to má nastavit. Jsou vysvětleny důsledky pokud toto nastavení vynecháte. V některých případech jsou některé požadavky na danou volbu z právních důvodů a je také vysvětleno, jaké mohou být právní důsledky vynechání tohoto nastavení 🙂

 

Důležité také je, že vydané příručky se časem mohou aktualizovat. Je proto vhodné občas zkontrolovat, zda nevyšla novější revize dané STIG příručky.

 

Seriál o Security Technical Implementation Guide (STIG)

  • (1) Úvodní seznámení [tento článek]
  • (2) Obsah a příklady [následující díl]
  • (3) [v přípravě]

 

Odkazy

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting