Hardening beleid voor gemeenten

Transcriptie

1 Handreiking Hardening beleid voor gemeenten Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

2 Colofon Naam document Handreiking Hardening beleid voor gemeenten Versienummer 2.0 Versiedatum Maart 2019 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018) Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. De IBD wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten, licentie onder: CC BY-NC-SA 4.0. Bezoek voor meer informatie over de licentie. Rechten en vrijwaring De IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende o njuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. 2

3 Wijzigingshistorie Versie Datum Wijziging / Actie 1.0 Oktober 2013 Eerste versie Augustus 2016 Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP, IT vervangen door ICT en contactgegevens IBD aangepast 2.0 Maart 2019 BIO update Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD. De IBD is ondergebracht bij VNG Realisatie. Leeswijzer Dit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden. Doel Het doel van dit document is een handreiking te bieden voor het opstellen en implementeren van hardening beleid. Dit door een beschrijving te geven van hardening met daarbij aanwijzingen hoe een gemeente dit in de praktijk kan uitvoeren en bij welke componenten van de gemeentelijke infrastructuur. Doelgroep Dit document is van belang voor de systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO) Er zijn maatregelen getroffen die ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen De malware scan wordt op verschillende omgevingen uitgevoerd Beperkingen voor het installeren van software Gebruikers kunnen op hun werkomgeving niets zelf installeren m.u.v. whitelist.

4 Inhoudsopgave 1. Inleiding Doelstelling hardening beleid Indeling document Aanwijzing voor gebruik Hardening Wat is hardening Verdediging in lagen Defense in Depth Hardening processtappen Hardening testen en monitoren ICT systemen...8 Bijlage 1: Hardening beleid gemeente <naam gemeente>...9 Bijlage 2: Hardening naslag

5 1. Inleiding Eén van de makkelijkste doelen voor een aanvaller is een niet goed actueel gehouden systeem met de laatste patches en updates en een systeem waarbij functionaliteiten en privileges niet zijn teruggebracht tot het minimum dat noodzakelijk is voor het uitvoeren van de taak (hardening). Door te hardenen wordt het mogelijke aanvalsoppervlak voor een aanvaller verkleint. De BIO geeft enkele maatregelen die op hardening ingaan, maar die ook nadere detaillering vragen bovenop wat in de BIO staat alsook in het gemeentelijke beveiligingsbeleid Doelstelling hardening beleid Het hardening beleid van de gemeente geeft richting aan de wijze waarop de gemeente maatregelen wenst te treffen voor hardening. Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem verwijderd worden. En daarnaast door zodanige waarden toekennen aan beveiligingsinstellingen dat hiermee de mogelijkheden om een systeem te compromitteren 1 worden verlaagd en een maximale veiligheid ontstaat. In bijlage 1 is een voorbeeld hardening beleid te vinden. De effecten van hardening: Kans verkleinen op het benutten van zwakheden in systemen door een aanvaller. Het tegenwerken van een aanvaller die binnengedrongen is door de mogelijke programma s en tooling op systemen te minimaliseren. Het tegenwerken van een aanvaller die binnengedrongen is door het minimaliseren van ter beschikking staande systeemrechten. Verlagen van de mogelijkheden om verder door te dringen op het netwerk bij een gelukte aanval. Daarnaast is een effect van hardening het verminderen van systeem complexiteit en daarmee een verbeterde beheersing van het systeem en lagere beheerkosten Indeling document In dit document wordt eerst een algemene beschrijving en uitleg van hardening gegeven, het hardening-proces. Afsluitend bevat dit document een aanvulling op het gemeentelijk beveiligingsbeleid voor hardening. In bijlage 1 is een voorbeeld hardening beleid voor een gemeente te vinden. In bijlage 2 is naslag met linkjes voor hardening Aanwijzing voor gebruik Deze aanwijzing is qua opzet geschreven om informatiebeveiligingsmaatregelen met betrekking tot hardening te duiden en scherper neer te zetten. Deze handleiding is niet een volledige procesbeschrijving en bevat geen productnamen. Deze aanwijzing bevat wel voldoende informatie om goede keuzes te maken en bewustwording te creëren met betrekking tot hardening van systemen. 1 Compromitteren is het inbreken op een computersy steem zonder toestemming

6 2. Hardening 2.1. Wat is hardening Hardening is het proces waarbij maatregelen getroffen worden om de aanvalsmogelijkheden op een systeem te verkleinen. Dit wordt gedaan door overbodige software, services en gebruikersaccounts uit te schakelen en/of van het systeem te verwijderen. Ook worden zodanige waarden toegekend aan beveiligingsinstellingen dat hiermee de mogelijkheden om een systeem te compromitteren worden verlaagd en een maximale veiligheid ontstaat. Het gaat hierbij ook om het wijzigen van standaard wachtwoorden die op sommige systemen aanwezig kunn en zijn. Met systemen wordt in dit verband bedoeld: Servers, actieve netwerkcomponenten zoals firewalls en switches, desktops, laptops, mobiele devices. Kortom, alles met een besturingssysteem. Het resultaat is een gehard systeem. Er zijn diverse methoden te vinden die betrekking hebben op hardening van systemen. In basis gaan alle methoden volgens een vast patroon te werk zodat niets vergeten wordt. Met deze methoden wordt bedoeld: hardening van Windows systemen, hardening van Linux systemen, hardening van webservers etc Verdediging in lagen Defense in Depth Hardening van de actieve infrastructuur, servers en netwerkcomponenten, is een belangrijke stap in de strijd om de betrouwbaarheid van de informatievoorziening te waarborgen... Het beveiligen van een gemeentelijke infrastructuur omvat verschillende stappen die samen verschillende beschermingslagen vormen. Deze benadering wordt vaak genoemd: verdediging in lagen (zie figuur 1). De lagen bij een gemeentelijke infrastructuur: Perimeter Security: De buitenste schil van een gemeente. Hieronder vallen bijvoorbeeld de firewall, DMZ en IPS/IDS. In de DMZ van de gemeente dienen services te worden aangeboden die ook gebruikt worden om gegevens aan te bieden op het internet, zoals bijvoorbeeld een webserver. Een firewall zorgt ervoor dat internetgebruikers bij zo n firewall alleen toegang hebben tot de webservers en dat beheerders intern de server kunnen beheren. Netwerk Security: Security maatregelen op het netwerk, zoals filteren van webverkeer, Network Access Control (NAC). Het internet is een bron van kwaadaardige software, websites en s en daarmee een van de grootste dreigingen op het gebied van security voor een gemeente. Daarom dient dit inkomende interneten vekeer te worden gecontroleerd op malware voordat dit afgeleverd wordt bij de eindgebruikers. Endpoint Secrity: Bescherming van het apparaat van de eindgebruiker. Het regelmatig toepassen van leveranciers beveiligingspatches is de eerste stap om endpoints te hardenen. Daarnaast is het nstalleren en regelmatig gebruiken van software voor antivirus- en antispyware samen met het plannen van dagelijkse automatische definitie-updates en automatische scans op computers essentiël. Ook adviseren veel beveiligingsexperts het installeren van een softwarematige firewall op de computer. Op deze firewall dienen management services (bijv. RDP en SSH) alleen toegankelijk gemaakt te worden voor de beheerders door gebruik te maken van een apart beheernetwerk. Applicatie Security: De beveiliging van applicaties zelf door bijvoorbeeld goed loggingbeleid met controle op afwijkingen 2 en het monitoring van de database. Voor applicaties die direct op het internet worden aangeboden kan er gebruik gemaakt worden van Web application Firewall (WAF). Een WAF kan detecteren of de applicatie regulier gebruikt wordt of dat een kwaadwillig persoon misbruik probeerd te maken van de webapplicatie. Data Security: Bescherming van de data door bijvoorbeeld gebruik van dataclassificatie, Identity Access Management (IAM) en encryptie. Openbare data en geheime informatie dienen op verschillende manieren behandeld te worden. Het gebruik van IAM is geen verplichting uit de BIO, maar is wel een methode om de volwassenheid van security binnen een gemeente te verhogen. 2 BIO OP product aanwijzing logging 6

7 Maatregelen om de verschillende lagen te beschermen: Monitoring & Response: De acties en processen op operationeel niveau zoals SIEM, SOC en CIRT om de gehele gemeentelijke infrastructuur te monitoren en bij afwijkingen hierop te acteren. Preventie en Security Beleid: Door gebruik te maken van risico management, IB bewustwording en toepassen van de security architectuur wordt er op tactisch en strategisch niveau gewerkt aan security bij de gemeente. Perimeter Security Netwerk Security Endpoint Security Applicatie Security Data Security Preventie Security Beleid Kroonjuwelen Gemeente Monitoring & Response Figuur 1: Defence in Depth (gebaseerd op The Fantm 3) Tips voor de hardening van computers worden in de volgende paragraaf opgesomd, samen met enkele andere nuttige links voor hardening. Goede computer beveiliging is het vinden van de juiste balans tussen het hardenen van de systemen tegen mogelijke bedreigingen versus er voor te zorgen dat er toch mee kan worden gewerkt in relatie tot de toegewezen taak. Als een bepaalde software applicatie of service niet nodig is moet deze worden uitgeschakeld en verwijderd. Extra software die aanwezig is vereist meer werk van de systeembeheerders om een systeem te beheren en vergroot de kans dat een aanval succesvol kan worden uitgevoerd. Onnodige software toe voegen kan ervoor zorgen dat een computer een lanceer platform wordt voor de verspreiding van een virus en tevens voor een hacker een toegangspoort wordt om andere systemen binnen het netwerk te kunnen aanvallen. 3 ices/pages/security Services.aspx

8 2.3. Hardening processtappen Het is verstandig om een bepaalde volgorde aan te houden bij het hardenen van systemen, om zo de kans te verkleinen dat iets vergeten wordt. Er zijn soms specifiek voor bepaalde besturingssystemen of software kant en klare hardeningaanwijzingen te vinden op het Internet. Het gaat te ver om voor alle mogelijke gemeentelijke systemen deze verschillende aanwijzingen in dit document te vermelden. Voor een gemeente is het wel raadzaam om een standaard hardening document te maken voor de meest voorkomende ICT bouwstenen, bijvoorbeeld een Windows 2016 server of een Red Hat Enterpise Linux server. In bijlage 2 zijn een aantal websites opgenomen met voorbeelden van hardening voor zulke bouwstenen. Voorbeelden van hardeningsmaatregelen op een systeem: Het verwijderen of deactiveren van software componenten die niet direct noodzakelijk zijn. Het verwijderen of deactiveren van onnodige gebruikers accounts. Het niet gebruiken van het administrator account of administrator account rechten voor server processen. Het gebruik van alleen sterke wachtwoorden 4. Het veranderen van standaard wachtwoorden in systemen. Het gebruik van de host-based firewall. Het installeren van antivirus software. Het deactiveren van alle onnodige services en poorten. Het optimaliseren van rechten op het bestandssysteem. Het inzetten van mandatory access control 5. Het gebruiken van uitsluitend versleutelde dataverbindingen. Het zo veel als mogelijk gebruiken van foutloze en (automatisch) gepatchte software. Een gehardened besturingssysteem heeft de volgende kenmerken: 1. Alles wat nodig is voor het systeem is geactiveerd, alle onnodige diensten, poorten en componenten zijn gewist of uitgeschakeld. 2. Alle niet benodigde gebruikers accounts zijn gewist. 3. Alle niet benodigde poorten zijn gesloten. 4. Rechten zijn zoveel als mogelijk beperkt. Maatregelen voor hardening staan nooit op zichzelf, er dienen ook andere maatregelen te worden uitgevoerd. Zoals patchmanagement, het inzetten van antivirus oplossingen op meerdere locaties binnen gemeentelijke infrastructuur, het inzetten van logging, het inzetten van netwerk Firewalls en IDS en IPS 6, die allen bijdragen aan een verdediging in lagen strategie Hardening testen en monitoren ICT systemen Zoals in figuur 1 is aangegeven, is monitoring door middel van Security Information and Event Management (SIEM) 7 een middel dat kan bijdragen aan een goede monitoring van software en hardware. SIEM technologie biedt een real-time analyse van beveiligingswaarschuwingen gegenereerd door netwerk-hardware en applicaties. SIEM oplossingen kunnen bestaan uit software, apparaten of managed services, en worden ook gebruikt voor het loggen van beveiligingsincidenten en het genereren van rapportages op naleving van doeleinden. Hardening kan deels getest worden door middel van de genoemde vulnerability scanners voor patchmanagement, daarnaast zijn er ook producten die scannen op zwakheden. 4 Zie BIO OP product wachtwoordbeleid 5 Mandatory Access Control v rij v ertaald v erplichte toegangscontrole (MAC) v erwijst naar een soort v an toegangscontrole waarbij het besturingssy steem de toegangs mogelijkheden beperkt tot bijv oorbeeld bestanden of objecten door gebruikers of sy steemprocessen, dit kan centraal worden geregeld. 6 Intrusion detection sy stem en intrusion prev ention sy stemen. 7 Zie Factsheet Security Inf ormation & Ev ent Management (SIEM) en Security Operations Center (SOC) binnen uw gemeente 8

9 Bijlage 1: Hardening beleid gemeente <naam gemeente> Het hardening beleid van de gemeente geeft richting aan de wijze waarop de gemeente maatregelen wenst te treffen voor hardening. Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem verwijderd worden. De gemeente onderschrijft het belang van een adequaat hardening-beleid omdat het niet uitvoeren van hardening ernstige schade kan toebrengen aan gemeentelijke systemen en de informatievoorziening in termen van beschikbaarheid, exclusiviteit (vertrouwelijkheid) en integriteit. Bovendien kan het niet uitvoeren van hardening schade toebrengen aan het belang van de burger en het vertrouwen in de gemeente. Hardening dient gestructureerd te worden aangepakt en er moeten procedures worden vastgesteld o m hardening doeltreffend en ordelijk te laten plaatsvinden. Dit beleid is van toepassing op alle systemen die in gebruik zijn is bij de gemeente. De volgende uitgangspunten zijn vastgesteld voor de gemeente en deze zijn ontleend aan het gemeentelijk informatiebeveiligingsbeleid de BIO: Overbodige software, services en gebruikersaccounts worden uitgeschakeld en/of van het systeem verwijderd. 1. Hieronder een opsomming van operationele maatregelen die dit ondersteunen:om te voorkomen dat schadelijke software kan worden uitgevoerd door middel van een browser dient de mogelijkheid van een gebruiker om mobiele code uit te voeren te worden beperkt. Daarnaast dienen de instellingen die dit mogelijk maken te worden geblokkeerd door middel van een systeem policy. Gebruikers rechten worden beperkt tot het minimaal noodzakelijke. 2. Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware. 3. Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer die niet vereist zijn voor de dienst dienen te worden afgesloten door systeembeheerders. 4. Op alle apparatuur waar dit mogelijk is, worden beschikbare firewalls, antivirusscanners en andere beschermende maatregelen geactiveerd. 5. Op alle apparatuur wordt (waar mogelijk) systeem logging geactiveerd om detectie mogelijk te maken van malware en ongebruikelijke systeem activiteiten. 6. Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is. 7. De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden. 8. Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen). 9. Alleen geautoriseerd personeel kan functies en software installeren of activeren. 10. Voor toegang tot systemen door middel van wachtwoorden dient men zich te houden aan het (separate) wachtwoord beleidsdocument. 11. Alle apparatuur moet regelmatig worden getest op bekende zwakheden zoals beschreven in de aanwijzing patchmanagement. 12. De gemeentelijke infrastructuur is middels het defense-in-depth principe op diverse lagen beveiligd. Aldus vastgesteld door burgemeester en wethouders van [gemeente] op [datum], [Naam. Functie] [Naam. Functie]

10 Bijlage 2: Hardening naslag Generieke hardening handleidingen Het NCSC heeft beveiligingsrichtlijnen gebupliceerd voor webapplicaties: Het NCSC heeft beveiligingsrichtlijnen voor mobiele applicaties gepubliceerd: Het Center for Internet Security heeft diverse documenten die helpen met het hardenen van systemen, waaronder diverse baselines waaraan de gemeentelijke systemen aan getoetst kunnen worden: Microsoft Windows Security Baselines: Product specifieke hardening handleidingen Microsoft Windows 2016: Microsoft Active Directory: Red Hat Enterprise Linux 7: Oracle Linux: Oracle database: SuSe:

11 Kijk voor meer informatie op: Nassaulaan JS Den Haag CERT: (9:00 17:00 ma vr) CERT 24x7: Piketnummer (instructies via voic ) / incident@ibdgemeenten.nl