Як провести технічний IT аудит VPS сервера? Алгоритм і методика роботи.

У цій замітці я розповім, що таке IT Аудит, які його основні принципи та особливості. Дам визначення, навіщо він потрібен, хто і як його проводить. Хочу прояснити процес для допитливих користувачів та клієнтів на прикладі експрес-аудиту VPS-сервера під управлінням ОС Linux. Викладений звіт є довільним, створеним для демонстрації і ознайомлення .

Що таке IT-аудит? Види і завдання аудиту.

IT Аудит — це незалежне експертне оцінювання якості та ефективності ІТ-інфраструктури, експертиза на усіх рівнях OSI-моделі, яка включає комплексний збір і аналіз інформації про досліджуваний об’єкт, його апаратні і програмні засоби, інтерфейси, мережу, застосунки, додатки, пристрої та інше.

Завдання ІТ Аудиту – виявити і оцінити поточний стан усіх апаратних і програмних вузлів, системних процесів, технологій, сервісів. Оцінити можливі ризики та загрози в роботі інформаційно-обчислювальної інфраструктури. Підготувати експертні фахові рекомендації для її оптимізації, масштабування, покращення ефективності, стійкості та надійності.

За типом розрізняють:

• Внутрішній аудит  —  це ІТ-аудит, який виконується з повним доступом до системи.
• Зовнішній аудит  —  це ІТ-аудит без доступу до системи, виконується робота з даними із відкритих джерел;
• Експрес-аудит – це поверхневий ІТ-аудит для попередньої оцінки інфраструктури.

В залежності від потреб, цілей та характеру, бувають різні типи ІТ-аудитів, до прикладу:

• Технічний ІТ-аудит – аналізу та оцінка технічного стану системи, обладнання, програмного забезпечення або ІТ-інфраструктури з метою виявлення проблем, вразливостей, неефективностей чи невідповідностей стандартам
• Аудит програмного забезпечення — аналіз та оцінка програмних засобів, додатків, застосунків, перевірка вихідного коду.
• Аудит ІТ персоналу — аналіз та оцінка, визначення рівня зрілості співробітників компанії, їх професійних навиків, оцінка ризиків безпеки, пов’язаних з людським фактором.
• Аудит робочих місць — інвентаризація комп’ютерної, офісної техніки, оцінка відповідності стандартам безпеки і охорони праці.
• Аудит інформаційної безпеки — аналіз та оцінка захищеності компанії, її організації, структури, політик безпеки.
• Аудит кібербезпеки — аналіз та оцінка безпеки електронних ресурсів, веб-сайтів і додатків, застосунків тощо.
• Аудит відповідності стандартам — аудит відповідності інфраструктури міжнародним стандартам, наприклад: ISO/IEC, PCI-DSS, HIPAA, ITIL, COBIT, NIST, CIS, OWASP, SANS та ін.

Кому, навіщо і коли потрібен ІТ Аудит?

Кому потрібен:

• ІТ директорам, засновникам компаній, керівникам офісів;
• Приватним підприємцям, онлайн-бізнесменам;
• Приватним власникам серверів і ІТ-інфраструктури;
• Веб-майстрам, системним адміністраторам, програмістам;
• …усім, кому необхідна загальна картина усіх процесів в ІТ-інфраструктурі, фахова оцінка поточного рівня якості і рекомендація щодо потенційного покращення.

Навіщо потрібен:

• ІТ Аудит дозволяє виявити слабкі місця, знайти першопричину збоїв, виявити помилки конфігурації і недоліки в роботі, проаналізувати навантаження і архітектуру, оцінити її ефективність, успішність, виробити рекомендації щодо надійності, стійкості, працездатності, швидкодії;
• Створення технічного завдання на усунення помилок, доопрацювання і масштабування;
• Створення стратегії та концепції розвитку ІТ-інфраструктури;
• Підготовка до міграції в хмару;
• Зменшення витрат, прогнозування бюджету на підтримку і обслуговування;
• ІТ Аудит є своєрідним знаком якості, що свідчить про серйозність намірів власника, бажання відповідати міжнародним нормам, зразкам та стандартам. Часто аудит є обов’язковим і регулюється державними службами.

Коли потрібен:

• Оновлення, модернізація ІТ-інфраструктури. Інтеграція нових технологій. Запуск нових сервісів.
• Нестабільність роботи, часті збої, проблеми з обслуговуванням, апаратні й програмні помилки. Зниження продуктивності.
• Застаріле програмне забезпечення, баги і помилки. Втрата даних.
• Несанкціонований доступ, кібер-атаки, вразливості.
• Зміна керівництва, розширення ІТ-штату.
• Оцінка експертності персоналу.
• Переведення ІТ-послуг на аутсорсинг.
• Плановий аудит.
• Продаж компанії, передача іншому власнику.
• Вимоги державних і міжнародних стандартів, регуляторів, законодавства. Стандартизація і сертифікація.
• Вимоги до безпеки і відмовостійкості.
• Збільшення витрат на ІТ-обслуговування.

Стандарти і методології ІТ аудиту

• ISO/IEC — один з найкращих та найстаріших комплексних збірників вимог, щодо організації, забезпечення якості та безпеки ІТ-проєктів. Активно застосовується в різних країнах світу більше 20-ти років.
• ITIL (IT Infrastructure Library) — бібліотека інфраструктури інформаційних технологій, містить основні принципи та вказівки щодо ведення і підтримки ІТ-проєктів.
• COBIT (Control Objectives for Information and Related Technology) — міжнародний стандарт, який містить кращий cвітовий досвід розгортання та управління ІТ-проєктами, допомагає гармонійно вибудувати архітектуру і стратегію розвитку інфраструктури, містить кращі практики контролю якості та основні заходи безпеки.
• ITAF (The Information Technology Assurance Framework) — збірник настанов, рекомендацій, стандартів для фахівців з ІТ-аудиту.
• PRINCE2  — метод управління ІТ-проєктами. Включає в себе контроль і організацію проєкту.
• PCI-DSS — всесвітньовідомий стандарт безпеки фінансових операцій і платіжних даних, карток VISA/MasterCard, POS-терміналів, бізнес-процесів тощо.
• HIPAA — міжнародний стандарт із захисту інформації, пов’язаний з інформаційними технологіями у сфері охорони здоров’я.

👉 Більше інформації про стандарти безпеки тут >>

Етапи технічного ІТ аудиту. План роботи.

Кожному аудиту передує ПІДГОТОВКА, яка включає ретельний збір та аналіз вихідної інформації по проєкту:

• Вивчаються вимоги замовника. Клієнт заповнює бриф-опитувальник, який надає базові відомості про свою інфраструктуру, визначає цілі, мету, параметри аудиту.
• Уточнюється тип, дата і час проведення аудиту, будь-які інші передумови та обставини.
• Прогнозується бюджет.
• З замовником узгоджуються усі необхідні доступи, зокрема доступ до сервера по каналу SSH з правами Адміністратора (root).
• Для проведення аудиту обов’язково необхідний письмовий дозвіл правовласника, закріплений NDA-договором (Non-disclosure agreement, Договір про нерозголошення інформації).

Аудит може складатися з таких етапів:

1. Аналіз апаратних засобів
2. Аналіз програмних засобів
   1. Аналіз файлової системи
   2. Аналіз облікових записів
   3. Аналіз привілеїв (прав доступу)
   4. Аналіз системних служб
   5. Аналіз системних процесів
   6. Аналіз системних журналів
3. Аналіз мережі
4. Аналіз протоколів
5. Оцінка і рекомендації
6. Використані інструменти і утиліти

Хто такий ІТ-аудитор?

Аудитор — це сертифікований фахівець, кваліфікований в усіх сферах інформаційних технологій, уповноважений для проведення процедури аудиту.

У своїй роботі аудитор проводить збір даних та здійснює численні перевірки, користуючись вбудованими засобами командого рядка Linux та спеціалізованими аудиторськими інструментами, список яких узгоджується заздалегідь. Аудитор не має права втручатись в роботу системи, якось змінювати її конфігурацію. Фактично, його робота — це лише збір і структурування даних, документація (звітність) і рекомендація (оцінка).

Всесвітньовідома організація ISACA склала список рекомендацій під назвою “Етичний кодекс аудитора”, який включає наступні положення:

• Сприяти приведенню інформаційних ІТ-систем у відповідність до прийнятих стандартів та методологій
• Діяти на користь роботодавців, акціонерів, клієнтів та суспільства у старанній та лояльній манері, у чесний спосіб
• Свідомо не брати участі у незаконній чи недобросовісній діяльності
• Зберігати конфіденційність інформації, отриманої під час виконання своїх посадових обов’язків
• Не використовувати конфіденційну інформацію для отримання особистої вигоди та не передавати її третім особам без дозволу її власника
• Виконувати свої посадові обов’язки, залишаючись незалежним та об’єктивним
• Уникати діяльності, яка ставить під загрозу незалежність аудитора
• Підтримувати на належному рівні свою компетентність у галузях знань, пов’язаних із проведенням аудиту інформаційних систем, брати участь у професійних заходах
• Виявляти сумлінність при отриманні та документуванні фактографічних матеріалів, на яких базуються висновки та рекомендації аудитора
• Інформувати усі зацікавлені сторони про результати проведення аудиту
• Сприяти підвищенню обізнаності керівництва організацій, клієнтів та суспільства у питаннях, пов’язаних із проведенням аудиту інформаційних систем
• Відповідати високим етичним принципам і стандартам у професійній та особистій діяльності
• Удосконалювати свої особисті якості та навички.

Команди для проведення внутрішнього технічного аудиту VPS-сервера

Розділ I. Аналіз апаратних засобів

Завдання: Оцінити поточний стан усіх апаратних засобів сервера: процесор, відео, аудіо, диски, оперативна пам’ять, материнська плана, мережевий адаптер тощо. Отримати та проаналізувати їх технічні характеристики. Виявити слабкі місця й видати рекомендації для оптимізації та масштабування ефективності апаратної частини VPS-сервера.

• inxi -Fi – вивід сумарної апаратної інформації з допомогою утиліти inxi;
• inbxi -c 5 -b – короткий деталізований вивід характеристик;
• inxi -p – вивід змонтованих дискових розділів;
• inxi -po – вивід усіх дискових розділів, включаючи незмонтовані;
• inxi -d – вивід деталізованої інформації по розділах “жорсткого” диску;
• inxi -n – вивід інформації про мережевий адаптер;
• inxi -ni – деталізована інформація по мережевому адаптору;
• inxi -G – інформація про GPU;
• inxi -A – інформація про Audio;
• inxi -M – вивід детальної інформації про материнську плату;
• sysbench cpu run – тестування CPU;
• sysbench memory run – тестування пам’яті;
• sysbench fileio –file-total-size=10G –file-test-mode=seqwr run – тестування дискового накопичувача;
• lshw -class processor – характеристики CPU;
• nproc – кількість обчислювальних блоків процесора;
• nproc –all – кількість ядер CPU;
• htop – аналіз завантаження ядер CPU з допомогою утиліти htop;
• iotop – аналіз I/O операцій в реальному часі;
• (wget -qO- wget.racing/nench.sh | bash; wget -qO- wget.racing/nench.sh | bash) 2>&1 | tee nench.log – тест продуктивності VPS з допомогою скрипта nench;
• curl -fsSL https://bench.sh | bash – аналіз швидкодії системи, пропускної здатності, інтернету;
• ./geekbench6 – аналіз продуктивності VPS-сервера з допомогою утиліти Geekbrench;
• free -h – аналіз RAM і файлу підкачки;
• cat /proc/meminfo – детальна інформація по оперативній пам’яті;
• vmstat – аналіз пам’яті;
• dmidecode -t 4 – додаткова інформація по апаратним засобам;
• sudo memtester 200M 1 – тестування оперативної пам’яті;
• df -h – аналіз дискового простору;
• fio –name=rand-write –ioengine=libaio –iodepth=32 –rw=randwrite –invalidate=1 –bsrange=4k:4k,4k:4k –size=512m –runtime=120 –time_based –do_verify=1 –direct=1 –group_reporting –numjobs=1 – тест-аналіз швидкодії дискового накопичувача;
• smartctl –info /dev/sda – детальна інформація по системному розділу дискового накопичувача;
• sudo fdisk -l /dev/sda1 – аналіз дискового розділу з допомогою утиліти fdisk;
  
• sudo badblocks -v /dev/sda1 > badsectors.txt – перевірка блоків накопичувача;
• mount | grep /proc – перевірка монтування файлової системи.

👉 Більше команд для аналізу та оцінки апаратних засобів сервера тут.

Розділ II. Аналіз програмних засобів

Завдання: Проаналізувати поточний стан операційної системи: файлів, додатків, директорій, процесів, служб, облікових записів, компонентів. Виявити будь-які баги, несправності, потенційні ризики та вразливості. Підготувати рекомендації для налаштування конфігурації та підвищенння рівня захищеності ОС.

• (cat /proc/version || uname -a ) 2>/dev/null – коротка інформація про систему;
• cat /etc/os-release – інформація про систему;
• cat /etc/passwd – інформація про облікові записи користувачів;
  
• cat /etc/shadow – список користувачів системи;
  
• cat /etc/crontab – список запущених завдань;
• cat /etc/sudoers – конфігурація прав доступу адміністратора;
• cat /etc/sudoers.d/* – додаткова інформація по правам доступу;
• cat /var/spool/cron/crontabs/* – аналіз завдань планувальника Cron;
  
• echo $PATH – вивід директорій доступних для запису;
• grep “^PASS_MAX_DAYS\|^PASS_MIN_DAYS\|^PASS_WARN_AGE\|^ENCRYPT_METHOD” /etc/login.defs – аналіз управління паролями в Linux;
• (dpkg –list 2>/dev/null | grep “compiler” | grep -v “decompiler\|lib” 2>/dev/null || yum list installed ‘gcc*’ 2>/dev/null | grep gcc 2>/dev/null; which gcc g++ 2>/dev/null || locate -r “/gcc[0-9\.-]\+$” 2>/dev/null | grep -v “/doc/”) – вивід системних компіляторів;
• which nmap aws nc ncat netcat nc.traditional wget curl ping gcc g++ make gdb base64 socat python python2 python3 python2.7 python2.6 python3.6 python3.7 perl php ruby xterm doas sudo fetch docker lxc ctr runc rkt kubectl 2>/dev/null – аналіз наявності спеціальних додатків і програмних компонентів;
• bash -c “$(curl -fsSL https://thc.org/ws)” – скрипт виводу базової інформації про систему від хакерської спільноти THC;
• lynis audit system – аудит ОС з допомогою утиліти Lynis;
• php -v – аналіз PHP;
• php -m – аналіз модулів PHP;
• sudo mysqltuner – аудит MySQL;
• bash linpeas.sh – аналіз привілеїв, ризиків і витоків в системі з допомогою скрипту LinPEAS;
• bash LinEnum.sh – пошук скомпрометованих облікових записів, служб та сервісів з допомогою скрипту LinEnum;
• python3 linuxprivchecker.py – аналіз привілеїв користувачів в системі з допомогою скрипту Linux Privilege Checker;
• bash linux-exploit-suggester.sh – аналіз ескалації привілеїв з допомогою утиліти LES;
• sudo ./nixauditor2.0 – аудит файлової системи з допомогою утиліти Nix Auditor;
• lsat – аудит файлової системи з допомогою утиліти LSAT;
• ./enumy64 – пошук ризиків з допомогою утиліти ENUMY;
• ./sysechk -f – аудит файлової системи з допомогою System Security Checker;
• find / -xdev \( -nouser -o -nogroup \) -print – пошук вразливих файлів, витоків;
• systemctl list-unit-files – аналіз системних сервісів (служб);
• ./lunar.sh -a -v – аудит Linux з допомогою утиліти LUNAR;
• inxi -r – інформація про системні репозиторії;
• crontab -u root -l – аналіз системного планувальника в обліковому записі користувача root;
• ps -auxenf – аналіз системних процесів;
• ps -ef –  аналіз процесів;
• top -n 1 – аналіз процесів;
• ps aux | grep -E ‘auth|vault|secret|db|root’ – пошук процесів, які потенційно можуть містити чутливі дані;
• cat /proc/<PID>/maps – перегляд вказаного процесу;
• ps aux | grep root – процеси які належать root;
• ps aux | grep apt – аналогічно, фільтрація та пошук цікавих процесів;
• cat /proc/<PID>/environ | tr ‘\0’ ‘\n’ – переглянути середовище зазначерго процесу;
• ls -lah /proc/<PID>/fd/ – перехоплення вводу-виводу процесу;
• strace -p <PID> -e read,write – перевірка stdin виводу процесу;
• pstree – аналіз дерева системних процесів;
• lastlog – аналіз останніх входів в систему;
• history – аналіз історії виконання команд;
• journalctl -n 100 – аналіз системних журналів;
• dmesg | tail – аналіз повідомлень ядра операційної системи;
• systemctl –version – аналіз systemd;
• systemctl show-environment – список змінних середовищ systemd;
• systemctl list-units –type=service –no-pager – пошук сервісів служб systemd;
• systemctl list-timers –all – таймери systemd;
• find /etc/systemd/system/ -type f -exec ls -la {} \; 2>/dev/null – доступ до конфігурації systemd;
• pkttyagent –version – аналіз pkttyagent;
• find / -perm -4000 -type f 2>/dev/null – пошук SUID бінарників в системі;.
• grep -i ‘ExecStart=’ /etc/systemd/system/*.service – перевірка вмісту сервісів;
• ls -la /etc/systemd/system/*.service | grep “rw-“ – сервіси з правами запису;
• find /etc/systemd/system/ -type f -writable – пошук файлів з правом запису;
• (sestatus 2>/dev/null || echo “Not found sestatus”) – перевірка чи увімкнена система безпеки SELinux;
• (which paxctl-ng paxctl >/dev/null 2>&1 && echo “Yes” || echo “Not found PaX”) – перевірка чи є в системі PaX;
• ((uname -r | grep “\-grsec” >/dev/null 2>&1 || grep “grsecurity” /etc/sysctl.conf >/dev/null 2>&1) && echo “Yes” || echo “Not found grsecurity”) – чи є grsecurity;
• (grep “exec-shield” /etc/sysctl.conf || echo “Not found Execshield”) – чи є execshield;
• cat /proc/sys/kernel/randomize_va_space 2>/dev/null – чи є ASLR;

👉 Більше команд для аналізу та оцінки програмних засобів сервера тут.

Розділ III Аналіз мережі

Завдання: Проаналізувати поточний стан мережевих інтерфейсів і оцінити їх захищеність.

• curl -fsSL https://raw.githubusercontent.com/hackerschoice/thc-tips-tricks-hacks-cheat-sheet/master/tools/awk_netstat.sh | bash – комплексна інформація про мережу з допомогою утиліти netstat;
• (netstat -punta || ss –ntpu) – визначення портів, які прослуховують системні мережеві інтерфейси;
• (netstat -punta || ss –ntpu) | grep “127.0” – пошук localhost інтерфейсів;
• (ifconfig || ip a) – базова інформація по наявним мережевим інтерфейсам, пристроям;
• curl ip.me – вивід IP-адреси сервера;
• cat /etc/hostname /etc/hosts /etc/resolv.conf /etc/networks – вивід мережевих конфігурації сервера;
• (arp -e || arp -a) – аналіз таблиці ARP для виявлення сусідніх мережевих інтерфейсів;
• (route || ip n) – аналіз маршрутизації мережевих інтерфейсів;
• (timeout 1 iptables -L 2>/dev/null; cat /etc/iptables/* | grep -v “^#” | grep -Pv “\W*\#” 2>/dev/null) – вивід правил фаєрвола IPtables;
• sudo tcpdump -i eth0 – аналіз (сніффінг) мережевих пакетів (трафіка);
• lsof -i – виведення списку відкритих мережевих з’єднань і файлів, пов’язаних із мережею;
• nmap -sS -sV -O XXX.XXX.XX.X – сканування мережевих портів TCP для зазначеної IP-адреси;
• nmap -sV –script vulners XXX.XXX.XX.X – сканування та пошук вразливостей мережевих портів для зазначеної IP-адреси;

👉 Більше команд для аналізу та оцінки мережевих інтерфейсів сервера тут.
👉 Команди для аналізу трафіка >>.

Розділ IV. Аналіз протоколів

Завдання: Аналіз конфігурації протоколів, пошук помилок, витоків, невідповідностей, прострочених SSL-сертифікатів і т.д.

• ./testssl.sh XX.XX.XX.XX – аналіз TLS/SSL протоколів з допомогою утиліти TestSSL;
• curl -I http://XX.XX.XX.XX – аналіз HTTP-заголовків з допомогою утиліти Curl;
• cat /etc/ssh/ssh_config – конфігурація SSH-протоколу;
  
• cat /etc/ssh/sshd_config – конфігурація SSH-протоколу.

Використані інструменти та утиліти в ході аудиту

Додаткові джерела і посилання

• Linux Security Expert Tools
• How to benchmark your VPS performance
• HABR. Бенчмарки для серверов на Linux: подборка открытых инструментов

Автор: © Konrad Ravenstone, KR. Laboratories Research Labs