STIG-08 · ประสบการณ์

ผมทำ Hardening ระบบ Windows, Linux และเครือข่ายให้เป็นไปตามมาตรฐาน DoD STIG

ผมยกระดับระบบจาก "น่าจะโอเค" ไปสู่ "พิสูจน์ได้ว่าสอดคล้องตามข้อกำหนด" ผมนำ DISA Security Technical Implementation Guide ไปใช้กับ Windows, RHEL และอุปกรณ์เครือข่าย รันการสแกน SCAP เพื่อยืนยันว่าการตั้งค่าถูกนำไปใช้จริง และทิ้งหลักฐานที่เชื่อมโยงแต่ละรายการควบคุมกลับไปยังแหล่งที่มาเอาไว้ให้ ไม่มีการเดา ไม่มีการทำเช็กลิสต์เอาหน้า มีแต่ระบบที่ผ่านการทำ Hardening ซึ่งคุณยืนหยัดป้องกันได้ในการตรวจสอบ

เปิดสายติดต่อ ดูประสบการณ์ทั้งหมด

01 · สิ่งที่ผมทำ

เนื้องานจริง

นำ DISA STIG ไปใช้กับ Windows Server และเดสก์ท็อป, RHEL และ Linux อื่น ๆ รวมถึงอุปกรณ์เครือข่ายอย่างเราเตอร์, สวิตช์ และไฟร์วอลล์ของ Cisco
รันการสแกน SCAP ด้วยเครื่องมือ SCC และตรวจสอบผลใน STIG Viewer เพื่อยืนยันว่าแต่ละรายการควบคุมถูกตั้งค่าจริง ไม่ใช่แค่คาดเอาเอง
คัดแยกผลการตรวจออกเป็นผ่าน, ไม่ผ่าน และไม่เกี่ยวข้อง พร้อมเหตุผลเป็นลายลักษณ์อักษรสำหรับทุกข้อยกเว้นและทุกประเด็นที่ยังค้างอยู่
แมปรายการควบคุม STIG กลับไปยัง NIST 800-53 เพื่อให้งานสอดรับกับข้อกำหนดการขออนุมัติและ RMF ของคุณ
จัดทำแผนการเปลี่ยนแปลงเป็นเอกสารพร้อมขั้นตอนย้อนกลับก่อนจะแตะต้องสิ่งใดในระบบที่ใช้งานจริง จากนั้นจึงนำรายการควบคุมไปใช้ภายในช่วงเวลาที่กำหนดไว้
เก็บหลักฐานการปฏิบัติตามข้อกำหนดของแต่ละรายการควบคุม ทั้งผลการสแกน, ภาพหน้าจอ และโค้ดการตั้งค่าที่ผูกกับ finding ID นั้น ๆ
สแกนซ้ำหลังการแก้ไขเพื่อพิสูจน์ว่าความคลาดเคลื่อนถูกปิดแล้วและเครื่องนั้นเป็นไปตามเกณฑ์มาตรฐาน

02 · สิ่งที่คุณจะได้รับ

ผลลัพธ์ที่เหลืออยู่กับคุณ

ระบบที่ผ่านการสแกน SCAP เทียบกับเกณฑ์ STIG ที่ถูกต้อง ไม่ใช่การผ่านแบบครึ่ง ๆ กลาง ๆ ด้วยการพูดกลบเกลื่อน
รายการข้อยกเว้นที่จัดทำเป็นเอกสาร โดยทุกข้อที่ไม่เกี่ยวข้องหรือยังค้างอยู่มีเหตุผลเป็นลายลักษณ์อักษรที่ผู้ตรวจสอบยอมรับได้
หลักฐานรายการควบคุมแต่ละข้อที่จัดเก็บเป็นชุดและผูกกับ finding ID พร้อมส่งมอบให้ผู้ประเมินหรือ ISSO ได้ทันที
ภาพเปรียบเทียบก่อนและหลังที่ชัดเจน ว่าอะไรเคยไม่ผ่าน, ผมเปลี่ยนอะไรไปบ้าง และหลักฐานว่าตอนนี้สอดคล้องตามข้อกำหนดแล้ว
การตั้งค่า STIG ที่แมปเข้ากับ NIST 800-53 เพื่อให้งานเสียบเข้ากับแพ็กเกจการขออนุมัติของคุณได้ทันที

03 · เครื่องมือและความรู้

สิ่งที่ผมใช้ทำงานในด้านนี้

DISA STIG (Windows, RHEL, Cisco IOS/NX-OS, ASA, STIG สำหรับแอปพลิเคชัน)
SCAP และ SCAP Compliance Checker (SCC)
DISA STIG Viewer และเนื้อหาเกณฑ์มาตรฐาน STIG
การแมปการควบคุม NIST 800-53 และบริบทของ RMF
GPO และเกณฑ์ความปลอดภัยพื้นฐานสำหรับการบังคับใช้บน Windows
สคริปต์ Hardening และเทมเพลตการตั้งค่าสำหรับ Linux และอุปกรณ์เครือข่าย
MITRE ATT&CK สำหรับจัดลำดับความสำคัญของการควบคุมโดยอ้างอิงพฤติกรรมจริงของผู้โจมตี

04 · แนวทางการทำงานของผม

วางแผน, กำหนดขอบเขต และรับผิดชอบจนจบ

ทุกอย่างเริ่มต้นด้วยการพูดคุยกำหนดขอบเขต 30 นาที และการประเมินความเหมาะสมเป็นลายลักษณ์อักษรที่ส่งให้ภายในวันเดียวกัน เพื่อให้เราทั้งสองฝ่ายเข้าใจตรงกันถึงขอบเขต, เกณฑ์มาตรฐานเป้าหมาย และระบบที่เกี่ยวข้อง ก่อนที่งานจะเริ่มขึ้น จากนั้นผมจะจัดทำแผนการเปลี่ยนแปลงเป็นเอกสารพร้อมขั้นตอนย้อนกลับสำหรับแต่ละระบบ เพราะการตั้งค่า STIG อาจทำให้ระบบเสียหายได้หากนำไปใช้แบบสุ่มสี่สุ่มห้า ผมนำรายการควบคุมไปใช้ภายในช่วงเวลาที่กำหนดไว้ ตรวจสอบยืนยันกับผลการสแกน SCAP และเกณฑ์ที่เราตกลงกัน และผมรับผิดชอบการย้อนกลับเองหากรายการควบคุมใดก่อปัญหาในระบบที่ใช้งานจริง ทุกรายการควบคุมที่ผ่าน, ไม่ผ่าน หรือถูกระบุว่าไม่เกี่ยวข้อง จะถูกบันทึกไว้พร้อมหลักฐาน ดังนั้นสถานะสุดท้ายจึงเป็นสิ่งที่คุณยืนหยัดยืนยันได้ในการตรวจสอบ ไม่ใช่เครื่องที่ใครบางคน "ทำ Hardening" ไว้ครั้งเดียวแล้วก็ลืมไป

คุณวุฒิและมาตรฐานผมถือใบรับรอง CompTIA Security+ และทำงานตามมาตรฐานที่เผยแพร่ซึ่งงานนี้กำหนดไว้โดยตรง ได้แก่ DoD STIG, NIST 800-53 และ SCAP ใบรับรอง Cisco CCNA ของผมครอบคลุมด้านเครือข่าย ดังนั้น STIG ของเราเตอร์, สวิตช์ และไฟร์วอลล์จึงอยู่ในขอบเขตงานด้วย ไม่ใช่แค่เอนด์พอยต์ Windows และ Linux เท่านั้น และผมใช้ MITRE ATT&CK เพื่อให้การทำ Hardening มุ่งเน้นไปที่การควบคุมที่ลดทอนเทคนิคจริงของผู้โจมตี

05 · คำถาม

คำถามที่ดี พร้อมคำตอบที่ตรงไปตรงมา

คุณรองรับ STIG และแพลตฟอร์มใดบ้าง?

ทั้ง Windows Server และเครื่องเดสก์ท็อป, RHEL และ Linux ทั่วไป รวมถึงอุปกรณ์เครือข่าย Cisco ทั้ง IOS, NX-OS และ ASA หากระบบนั้นมี DISA STIG ที่เผยแพร่ออกมาแล้ว ผมก็นำไปใช้และตรวจสอบยืนยันให้ได้ STIG สำหรับแอปพลิเคชันและฐานข้อมูลก็ทำได้เช่นกัน เพียงแจ้งสแตกที่ใช้ให้ผมทราบล่วงหน้า

การทำ Hardening จะทำให้ระบบเสียหายหรือไม่?

การตั้งค่า STIG บางรายการก็เป็นไปได้ และนั่นคือเหตุผลที่ผมไม่นำไปใช้แบบสุ่มสี่สุ่มห้า ผมจัดทำแผนการเปลี่ยนแปลงเป็นเอกสารพร้อมขั้นตอนย้อนกลับ (rollback) นำไปใช้ภายในช่วงเวลาที่กำหนดไว้ และตรวจสอบยืนยันกับเกณฑ์ที่กำหนด หากรายการควบคุมใดก่อปัญหาขึ้นจริง ผมจะย้อนกลับและบันทึกไว้เป็นข้อยกเว้นพร้อมเหตุผลเป็นลายลักษณ์อักษร

คุณจะส่งมอบหลักฐานที่นำไปใช้สำหรับการตรวจสอบหรือการขออนุมัติได้หรือไม่?

ใช่ครับ นั่นแหละคือหัวใจสำคัญ คุณจะได้รับผลการสแกน SCAP, หลักฐานรายการควบคุมแต่ละข้อที่ผูกกับ finding ID และรายการข้อยกเว้นที่มีเหตุผลรองรับ โดยรายการควบคุม STIG ถูกแมปเข้ากับ NIST 800-53 จึงนำไปใส่ในแพ็กเกจ RMF ได้ทันที

06 · ประสบการณ์ที่เกี่ยวข้อง

งานในด้านใกล้เคียงที่ผมทำ

ต้องการให้มีคนดูแลงานนี้ไหม?

บอกผมว่าคุณกำลังพยายามขับเคลื่อนอะไรอยู่ และติดขัดตรงไหน เพียงไม่กี่ประโยคก็เพียงพอสำหรับการเริ่มต้น และข้อความจะถูกส่งตรงเข้ากล่องจดหมายของผม

เปิดสายติดต่อ