برای ایمن ماندن کامپیوترها علاوه بر نصب برنامه های آنتی ویروس و فایروال و ... لازم است که مقاومت سیستم را نیز در برابر انواع تهدید ها افزایش دهیم. آموزش شیوه های مقاوم سازی سیستم یکی از مراحل معمول در معرفی یک سیستم جدید به حساب می آید. دستورالعمل های مقاوم سازی که ترکیبی از تنظیمات مختلف و گزینه های انتخابی هستند ، در حقیقت فاصله ی بین یک سیستم عامل تازه نصب شده و حداقل امنیت قابل قبول از سوی موسسه ی مربوطه را پر می کنند.
اگرچه زمانی که صحبت از مقاوم سازی می شود ، قبل از هر چیز سیستم UNIX و Windows به ذهن می آیند ، اما می توان از این دستورالعمل برای سایر محیط ها همچون سیستم های database ، اپلیکیشن ها و شبکه های کامپیوتری نیز استفاده کرد. نوین هاست با ارائه ی این مطلب بر آن است که کمکی هر چند کوچک در نوشتن و تهیه ی دستورالعمل های مقاوم سازی برای سیستم های عامل مختلف کرده باشد:
1. کار را با استفاده از یک پایه ی محکم و متناسب با سازمان خود آغاز کنید
بسیاری از متخصصان IT کار خود را با استفاده از نکات مهم پیکربندی ایمن که از سوی CIS منتشر شده است و قابل استفاده برای طیف وسیعی از پلت فرم ها و سیستم های عامل است ، آغاز می کنند. وقتی که لیستی از احتیاجات خود را تهیه کردید ،نکات کلیدی CIS منبع کامل و دقیقی برای انجام بهترین اقدامات در این زمینه است. اگر کار خود را با استفاده از راهنمای CIS آغاز کنید ، راه را به اشتباه نخواهید رفت ، مگر اینکه کار را بدون در نظر گرفتن محیط کار و سازمان خود و تناسب این راهنما و اقدامات آن با موسسه ی خود آغاز کرده باشید.
به عنوان مثال برخی از نکات حفاظتی مطرح شده در دستورالعمل CIS برای پیشگیری از دسترسی افراد متفرقه به بخش boot سیستم طراحی شده اند ، حال آنکه نگرانی اصلی بسیاری از سازمان ها ، سرور مجازی های موجود در شعب فرعی سازمان هستند. رعایت آن نکته ها در چنین سازمان هایی که دسترسی فیزیکی به datacenter را شدیداً کنترل کرده اند، بیشتر از آنکه مفید باشد ، سبب تأخیر در انجام کارها و کندی جریان کار می شود.
2. از مخالفت با کارشناسان هراس نداشته باشید
قدم اصلی بعدی در تهیه و اجرای یک دستورالعمل ارزیابی هر یک از مراحل پیشنهادی و انتخاب مراحلی است که بیشترین تناسب و سنخیت را با اصول و اقدامات امنیتی سازمان شما موجود دارند. برخی از این دستورالعمل ها به خودی خود می توانند باعث ایجاد ترس و نگرانی شوند ، مثلاً نکات کلیدی Windows 2008 R2 حدود 600 صفحه و نکات کاربردی Linux Red Hat حدود 200 صفحه است.
به هر حال ، لازم است این دستورالعمل ها ارزیابی شوند
صرف اینکه نکته ای در CIS گفته شده است به این معنی نیست که برای تمام سازمان ها و سیستم ها مناسبترین اقدام است.
امنیت یک سیستم نوعی انتخاب بین سیاه و سفید یا صفر و یک نیست ، پیکربندی امنیتی هر سیستمی بر اساس ارزیابی خطرات و اولویت های همان سیستم طراحی می شود. بسیاری از سازمان ها در مورد مواردی همچون قوانین استفاده از رمز عبور ، تصمیم گیری در مورد انتخاب استفاده از Linux ایمن و یا استفاده از فایروال های متناسب با هاست مربوطه و یا چگونگی پشتیبانی از پروتکل های قدیمی ویندوز ، راه های مختلفی را انتخاب می کنند. به عنوان مثال ، ممکن است غیرفعال کردن یک کلید رجیستری سبب توقف یک اپلیکیشن 15ساله شود ، بنابراین ، اندیشیدن به خطرات مربوط به این کلید رجیستری و همچنین هزینه های به روزرسانی این اپلیکیشن نیز باید به عنوان بخشی از ارزیابی در نظر گرفته شوند.
در برخی موارد به سادگی در نکات کلیدی CIS به اصول اساسی استراتژی مقاوم سازی یک موسسه توجهی نشده است و این اصول نادیده گرفته شده اند. مثلاً ، با اینکه یکپارچگی هاست یکی از بخش های اصلی پیکربندی است ، با این حال در CIS توجهی به خدمات پیشگیری از مداخله و تشخیص شکست ها و فاصله ها نشده است. هر دوی این موارد برای هر سیستمی که ممکن است در معرض حملات ناشیانه قرار گیرد ، بسیار حیاتی هستند.
3. تنظیمات اختصاصی سازمان را به خدمات معمول اضافه کنید
وقتی راهنمای مقاوم سازی سیستم تهیه شد ، لازم است نگاهی هم به قسمت هایی که بطور صریح در CIS به آنها اشاره نشده است و ممکن است در محیط اجرایی شما به آنها نیاز باشد ، داشته باشید .
اغلب سازمان ها یک سیستم تأیید متمرکز ( غالباً بر پایه ی دایرکتوری فعال ) دارند که باید برای تمام محصولات Linux و سیستم های ویندوز مورد استفاده قرار گیرد. در چنین مواردی باید الزامات پیکربندی اختصاصی و قوانین یکپارچگی و انسجام ، بخشی از دستورالعمل مقاوم سازی سیستم باشد.
سیستم های پشتیبان گیری و دیگر ابزارهای ادامه و استمرار یک کسب و کار نیز بخشی از دستورالعمل مقاوم سازی هستند. ممکن است در قسمتی از کار این دو مورد از تنظیمات امنیتی کمی فاصله بگیرند ، اما امنیت اطلاعات سازمان و قابلیت دسترسی سیستم همواره از نگرانی های اصلی تیم های امنیتی هستند.
مدیریت ثبت وقایع و گزارشات نیز بخش مهم دیگری است که باید در دستورالعمل مقاوم سازی سیستم مورد توجه قرار گیرد. مسائلی همچون سرور مجازی های متمرکز ثبت وقایع ، تجمیع حوادث امنیتی و پروسیجرهای مدیریتی موردی و سیاست های حفظ و نگهداری گزارشات نیز از مواردی هستند که باید در دستورالعمل مقاوم سازی مورد توجه قرار گیرند.
اپلیکیشن های مدیریت و ایمنی شخص ثالث مانند ابزارهای ضد بدافزار ، محصولات پیشگیری از تداخل هاست و کنترل کننده های یکپارچگی فایل سیستم هم نیاز به تنظیمات اختصاصی در هر سازمان دارند. وقتی سازمان شما بر روی یک ابزار شخص ثالث ( مانند موارد بالا ) سرمایه گذاری می کند باید هم به نصب و هم به پیکربندی آن توجه کنید.
4. به شبکه و زیرساخت های امنیتی بپیوندید
دستورالعمل های مقاوم سازی معمول ، به سیستم ها به عنوان عناصر مجزا و مستقل نگاه می کنند ، حال آنکه در هنگام ساخت یک سیستم ایمن باید محیط شبکه را نیز در نظر گرفت. تنظیمات زیرساختی همچون سرور Domain Name System ، پیکربندی پروتکل مدیریت شبکه ی آسان و تقارن زمانی ، در این زمینه نقطه ی خوبی برای شروع به حساب می آیند.
سازمان هایی که از IPv6 استفاده می کنند ، باید در دستورالعمل های مقاوم سازی خود به پیکربندی مناسب IPv6 نیز اشاره کنند. ( یا در مواردی که پیکربندی نامناسب در شبکه سبب بروز خطر سیستم و اشکال در دسترسی ها در شبکه می شود ، درخواست کنند تا IPv6 غیرفعال شود.) زمانی که قرار است تنظیمات تعیین شده برای چند سیستم استفاده شود ، باید زیرساخت های امنیتی اضافی مخصوص سازمان و همچنین شبکه های خصوصی مجازی سیستم به سیستم نیز بخشی از دستورالعمل مقاوم سازی در سازمان باشند.
5. برنامه ای برای بررسی منظم دستورالعمل ها داشته باشید
دستورالعمل های مقاوم سازی حداقل هر دو سال یک بار باید مورد بررسی و بازبینی قرار گیرند. سیستم های ویندوز و Linux مسیر طولانیی را از ' سیستم را طبق پیشفرض باز کنید . ' و ' سیستم را طبق پیشفرض ایمن کنید.' طی کرده اند که این امر به این معنی است که در هر نسخه ی جدید تغییرات کمتر و کمتری نسبت به قبل نیاز دارند.
سیاست های امنیتی و ارزیابی خطر نیز با گذشت زمان تغییر می کنند. از آنجا که دستورالعمل های مقاوم سازی برای کاهش خطر و استانداردسازی سیستم ها به وجود آمده اند ، باید این تغییر در سیاست ها را نیز بپذیرند.