CIS-Benchmarks

У світі кібербезпеки існують сотні вразливостей та потенційних векторів атак. Проте більшість успішних зломів стаються не через складні zero-day експлойти, а через банальні помилки в конфігурації: залишені за замовчуванням паролі, ввімкнені застарілі протоколи або надмірні права доступу користувачів.

Щоб вирішити цю проблему системно, експерти з усього світу розробили єдиний буклет правил для захисту ІТ-інфраструктури - CIS Benchmarks. У цьому огляді ми розберемо, що це за стандарти, з чого вони складаються і як почати впроваджувати їх у своїй системі.

Що таке CIS та CIS Benchmarks?#

CIS (Center for Internet Security) - це неприбуткова організація, яка об’єднує експертів з усього світу (державні органи, бізнес, академічну спільноту) для створення практик кіберзахисту.

Головний продукт їхньої роботи - CIS Benchmarks (настанови або орієнтири CIS). Це понад 140 детальних, покрокових інструкцій із безпечного налаштування (hardening) для різних операційних систем, хмарних платформ, баз даних та мережевого обладнання.

Простими словами: це офіційний чек-лист, який каже, які саме “тумблери” в системі треба вимкнути, а які увімкнути, щоб її було максимально важко зламати.

Рівні безпеки CIS (Profiles)#

Кожен документ CIS розбитий на рівні безпеки (Profiles). Це зроблено для того, щоб бізнес міг балансувати між суворим захистом та працездатністю реальних сервісів.

Рівень 1 (Level 1) - Базовий захист#

  • Суть: Основні рекомендації щодо безпеки, які можна впровадити на більшості систем без значного ризику щось “зламати”.
  • Вплив: Мінімальний вплив на продуктивність та сумісність програмного забезпечення.
  • Кому підходить: Будь-якому корпоративному серверу чи робочій станції за замовчуванням.

Рівень 2 (Level 2) - Глибокий захист (Defense-in-Depth)#

  • Суть: Радикальніші налаштування для систем, де безпека є критичним пріоритетом.
  • Вплив: Може обмежити певні функції системи або вимагати додаткового налаштування прикладного ПЗ.
  • Кому підходить: Серверам, що обробляють персональні чи фінансові дані, критичній інфраструктурі.

Рівень STIG (у деяких бенчмарках)#

Спеціальний рівень, що узгоджує налаштування з жорсткими вимогами Міністерства оборони США (DISA STIG).

Структура типової рекомендації CIS#

Кожен пункт у бенчмарку CIS (наприклад, у CIS Linux Benchmark) розписаний за чітким стандартом, що дуже зручно для автоматизації:

  1. Title (Назва): Що саме перевіряється (наприклад, “Ensure SSH root login is disabled”).
  2. Profile (Рівень): До якого рівня (Level 1 чи Level 2) належить рекомендація.
  3. Description (Опис): Чому це налаштування важливе і від чого воно захищає.
  4. Audit (Аудит): Готова команда (наприклад, скрипт на Bash чи PowerShell), яка дозволяє перевірити, чи відповідає ваша система цьому правилу прямо зараз.
  5. Remediation (Виправлення): Покрокова інструкція або команда, яка виправляє конфігурацію, якщо аудит показав невідповідність.

Основні категорії технологій, які покриває CIS#

CIS має бенчмарки практично для всього сучасного стеку технологій:

  • Операційні системи: GNU/Linux (Ubuntu, RHEL, Rocky, Debian), Microsoft Windows, macOS.
  • Хмарні провайдери: AWS, Microsoft Azure, Google Cloud Platform (GCP).
  • Контейнеризація: Kubernetes, Docker, OpenShift.
  • ПЗ та Бази даних: Nginx, Apache, PostgreSQL, MySQL, MS SQL Server.

CIS Controls vs CIS Benchmarks: У чому різниця?#

Часто початківці плутають ці два поняття. Слід запам’ятати просту ієрархію:

  • CIS Controls (Контролі) - це високорівнева стратегія. Список із 18 глобальних організаційних та технічних дій для захисту компанії (наприклад: Контроль №1: Облік усіх пристроїв у мережі, Контроль №4: Безпечна конфігурація).
  • CIS Benchmarks (Бенчмарки) - це тактика. Конкретні технічні інструкції, які реалізують Контроль №4 під конкретну ОС (наприклад: як саме налаштувати права на файли на вашій RHEL 9).

Як почати впровадження?#

Впроваджувати сотні сторінок рекомендацій вручну - це сізіфова праця. Для цього використовують автоматизацію.

  1. Аудит (Сканування): Використовуйте автоматизовані утиліти, які просканують ваші сервери й видадуть звіт про відповідність (Compliance Report). Серед безкоштовних інструментів - open-source сканери типу OpenSCAP або вбудовані хмарні інструменти (наприклад, AWS Security Hub).
  2. Hardening за допомогою Configuration Management: Найкраща практика - автоматизувати виправлення за допомогою Ansible, Chef або Puppet. На GitHub є безліч перевірених готових Ansible-ролей (наприклад, від спільноти DevSec або Lockdown Enterprise), які автоматично налаштують ваш сервер за стандартами CIS Level 1 чи Level 2.

Висновок#

Впровадження CIS Benchmarks - це найкоротший і найефективніший шлях до побудови захищеної інфраструктури. Навіть якщо ви реалізуєте лише рекомендації Level 1, ви автоматично відсічете понад 80-90% типових автоматизованих атак та сканувань, які щодня здійснюють хакери та ботнети в пошуках “легкої здобичі”.