Hardening infrastruktury IT to systematyczny proces redukcji powierzchni ataku przez eliminowanie niepotrzebnych usług, naprawianie błędnych konfiguracji i egzekwowanie zasady najmniejszych uprawnień. Większość udanych naruszeń bezpieczeństwa nie wykorzystuje luk zero-day — opiera się na znanych podatnościach konfiguracyjnych, domyślnych hasłach i nadmiarowych uprawnieniach. Skuteczny hardening to jedna z najbardziej opłacalnych inwestycji w cyberbezpieczeństwo dostępnych dla działów IT.
Czym jest hardening infrastruktury
Hardening (utwardzanie) oznacza celowe konfigurowanie systemów informatycznych w sposób minimalizujący liczbę możliwych wektorów ataku. Każda nieużywana usługa uruchomiona na serwerze, każdy otwarty port bez uzasadnionego zastosowania, każde domyślne hasło pozostawione bez zmiany — to potencjalny punkt wejścia dla atakującego. Hardening polega na systematycznej eliminacji tych punktów.
Dlaczego hardening jest tak ważny? Dane z raportów Verizon DBIR, CrowdStrike i Microsoft Defender for Cloud konsekwentnie pokazują, że ponad 80% udanych naruszeń bezpieczeństwa wynikało z błędnych konfiguracji, słabych danych uwierzytelniających lub niezastosowanych aktualizacji — a nie z zaawansowanych exploitów zero-day, które dominują w nagłówkach medialnych. Innymi słowy, większość ataków można by było powstrzymać przez systematyczny hardening.
Dobre praktyki hardeningu opisują standardy branżowe, przede wszystkim benchmarki CIS (Center for Internet Security), które definiują szczegółowe wymagania konfiguracyjne dla systemów Windows Server, Linux, Active Directory, urządzeń sieciowych i aplikacji chmurowych. DISA STIG to standardy stosowane w środowiskach rządowych i wojskowych. Oba zestawy stanowią doskonały punkt wyjścia dla organizacji budujących lub weryfikujących swój baseline bezpieczeństwa.
Hardening systemu operacyjnego
Zarządzanie aktualizacjami (patch management) jest fundamentem hardeningu systemów. Krytyczne aktualizacje bezpieczeństwa powinny być wdrażane zgodnie z zdefiniowanym SLA — najlepiej w ciągu 72 godzin od opublikowania przez producenta. Dla środowisk Windows, WSUS (Windows Server Update Services) lub Microsoft Endpoint Configuration Manager pozwala na centralne zarządzanie i raportowanie statusu aktualizacji. Workstacje powinny mieć włączone automatyczne aktualizacje, serwery powinny przechodzić przez kontrolowany proces testowania i wdrażania.
Wyłączanie nieużywanych usług i portów to prosty, ale skuteczny krok. Serwer webowy nie potrzebuje uruchomionego serwisu Telnet ani FTP. Kontroler domeny nie powinien mieć dostępnego SMBv1. Każda uruchomiona usługa to dodatkowa powierzchnia ataku. Narzędzia takie jak Nmap lub wbudowane mechanizmy Windows (netstat, Get-NetTCPConnection) pozwalają zinwentaryzować rzeczywiście działające usługi i porównać z oczekiwanym stanem.
AppLocker lub Windows Defender Application Control (WDAC) dla serwerów krytycznych umożliwia whitelisting aplikacji — tylko zatwierdzony kod może się wykonać. To szczególnie ważna kontrola dla serwerów, gdzie ryzyko wykonania złośliwego kodu jest najwyższe. Polityki WDAC można zarządzać przez Group Policy lub Microsoft Intune w środowiskach hybrydowych.
Benchmarki CIS dla Windows Server, Linux (CIS Benchmarks for RHEL, Ubuntu, Debian) i systemów chmurowych dostarczają gotowe, szczegółowe listy kontrolne konfiguracji. Narzędzia takie jak CIS-CAT Pro lub Microsoft Security Compliance Toolkit umożliwiają automatyczne audytowanie zgodności z benchmarkami i generowanie raportów odchyleń.
Hardening Active Directory
Active Directory jest najczęściej atakowaną usługą w środowiskach Windows i jednocześnie najważniejszym składnikiem infrastruktury tożsamości. Jego kompromitacja oznacza zazwyczaj pełną kompromitację całej domeny. Hardening AD to obszar wymagający szczególnej uwagi.
Warstwowy model dostępu (Tiered Access Model) to fundament bezpiecznego AD. Model dzieli zasoby i konta na trzy poziomy: Tier 0 (kontrolery domeny, systemy PKI, systemy ADFS), Tier 1 (serwery aplikacyjne, bazy danych) i Tier 2 (stacje robocze, urządzenia użytkowników). Konta administratorów Tier 0 mogą logować się wyłącznie na stacje robocze administracyjne (PAW — Privileged Access Workstations) i kontrolery domeny, nigdy na zwykłe serwery czy stacje robocze. Naruszenie tej zasady sprawia, że hash hasła administratora domeny może być wykradziony ze zwykłej stacji roboczej przez narzędzia takie jak Mimikatz.
Grupa Protected Users zapewnia dodatkową ochronę dla kont uprzywilejowanych: wymusza Kerberos zamiast NTLM, skraca czas życia biletów Kerberos i zapobiega delegacji. Konta w tej grupie są znacznie trudniejsze do skompromitowania przez typowe ataki pass-the-hash i pass-the-ticket.
LAPS (Local Administrator Password Solution) lub jego nowsza wersja Windows LAPS eliminuje jedno z największych zagrożeń w środowiskach Windows: identyczne hasło lokalnego administratora na wszystkich stacjach roboczych. LAPS automatycznie rotuje hasła lokalnych administratorów, przechowując je bezpiecznie w atrybutach obiektów komputerów w AD. W ten sposób skompromitowanie jednej stacji roboczej nie daje atakującemu hasła do wszystkich pozostałych.
Wyłączanie protokołów legacy (NTLM, LDAP bez podpisywania) usuwa znane wektory ataków. NTLM jest podatny na ataki relay i pass-the-hash. LDAP bez podpisywania pozwala na ataki man-in-the-middle. Migracja do Kerberos i LDAPS (LDAP over TLS) powinna być priorytetem, choć wymaga starannego testowania ze względu na zależności legacy aplikacji.
Hardening sieci
Segmentacja sieci to jedna z najważniejszych kontroli ograniczających skutki naruszenia bezpieczeństwa. Serwery, stacje robocze, urządzenia IoT i infrastruktura zarządzania powinny znajdować się w oddzielnych segmentach VLAN z kontrolowanymi ścieżkami komunikacji między nimi. Atakujący, który skompromituje stację roboczą pracownika, nie powinien mieć bezpośredniego dostępu sieciowego do serwerów baz danych czy kontrolerów domeny.
Reguły ACL na zaporach ogniowych i routerach powinny implementować zasadę "domyślnie odrzucaj, jawnie zezwalaj". Każda reguła zezwalająca powinna być udokumentowana wraz z uzasadnieniem biznesowym i datą przeglądu. Reguły nieprzejrzane przez ponad rok powinny być traktowane jako kandydaci do usunięcia po przeprowadzeniu weryfikacji.
Separacja płaszczyzny zarządzania (management plane) oznacza, że ruch zarządzania (SSH, RDP, SNMP, dostęp do konsoli zarządzania przełącznikami) powinien przepływać przez dedykowaną sieć zarządzania (out-of-band management network), oddzieloną od sieci produkcyjnej. Atakujący, który skompromituje serwer aplikacyjny, nie powinien mieć dostępu sieciowego do interfejsów zarządzania przełącznikami i routerami.
Dezaktywacja nieużywanych portów przełączników i protokołów odkrywania sąsiadów (CDP, LLDP) tam, gdzie nie są potrzebne, redukuje ryzyko nieautoryzowanego podłączenia urządzeń i wycieku informacji o topologii sieci.
Monitoring i ciągła weryfikacja
Hardening to nie jednorazowe działanie, lecz ciągły proces. Konfiguracje zmieniają się — instalowane są nowe aplikacje, wprowadzane wyjątki, aktualizowane systemy. Bez ciągłego monitorowania zgodności z bazową konfiguracją bezpieczeństwa (security baseline) dryf konfiguracyjny nieuchronnie obniży poziom ochrony.
Microsoft Intune i Group Policy umożliwiają definiowanie i egzekwowanie bazowych konfiguracji bezpieczeństwa na wszystkich zarządzanych urządzeniach. Odchylenia od baseline'u są wykrywane automatycznie i mogą generować alerty lub automatycznie przywracać właściwe konfiguracje.
Regularne skanowanie podatności (Nessus, OpenVAS, Qualys) powinno odbywać się co najmniej raz w miesiącu dla systemów krytycznych i kwartalnie dla pozostałych. Wyniki skanowania powinny być przeglądane przez właścicieli systemów, a zidentyfikowane podatności usuwane zgodnie z priorytetem ryzyka.
Agregacja logów do SIEM i korelacja zdarzeń pozwala na wykrywanie prób wykorzystania podatności konfiguracyjnych w czasie zbliżonym do rzeczywistego. Alerty na nieudane próby logowania, zmiany uprawnień, uruchomienie nieznanych procesów i modyfikacje konfiguracji powinny być częścią standardowego zestawu reguł detekcji.
Jak ExColo może pomóc
Hardening infrastruktury wymaga zarówno wiedzy technicznej, jak i doświadczenia w środowiskach enterprise. Błędy w konfiguracji hardeningu mogą zakłócić działanie produkcyjnych systemów, dlatego ważne jest systematyczne podejście z odpowiednim testowaniem.
ExColo oferuje oceny bezpieczeństwa infrastruktury (Infrastructure Security Assessments), które identyfikują luki w hardeningu systemów operacyjnych, Active Directory i sieci. Przeprowadzamy hardening AD zgodnie z modelem warstwowym, wdrażamy LAPS, konfigurujemy polityki audytu i wyłączamy protokoły legacy. Projektujemy segmentację sieci dostosowaną do architektury i wymagań operacyjnych organizacji.
Gotowy na podniesienie poziomu bezpieczeństwa infrastruktury? Skontaktuj się z ExColo i umów się na wstępną konsultację.
