Аудит безопасности — комплексный процесс оценки защищённости инфраструктуры, приложений и процессов. Выявляет уязвимости, неправильные конфигурации, нарушения политик безопасности и соответствие регуляторным требованиям. Может быть внутренним (собственными силами) или внешним (третьей стороной).
Компоненты аудита
- Vulnerability Assessment — автоматическое сканирование уязвимостей: Nessus, OpenVAS, Trivy.
- Penetration Testing — имитация атак для проверки реальной защищённости.
- Configuration Audit — проверка настроек серверов, БД, сетевого оборудования по CIS Benchmarks.
- Log Analysis — анализ системных и приложенческих логов.
- Access Control Review — проверка прав пользователей и сервисных аккаунтов.
Инструменты на Linux
# Lynis — аудит безопасности Linux-системы
apt install lynis
lynis audit system
# OpenVAS — сканер уязвимостей
apt install openvas
gvm-setup
# Trivy — сканирование контейнеров и зависимостей
trivy image nginx:latest
trivy fs /path/to/project
# chkrootkit — поиск rootkit
apt install chkrootkit
chkrootkitCIS Benchmarks
Center for Internet Security Benchmarks — подробные руководства по безопасной конфигурации: CIS Ubuntu 22.04, CIS Nginx, CIS Docker. Содержат сотни конкретных настроек с объяснениями.
История
Концепция security audit появилась в военной безопасности США в 1970-х. NIST публикует Security Audit Guides с 1993 года. PCI DSS (2004) сделал регулярный аудит обязательным для платёжных систем. ISO 27001 стандартизирован в 2005 году. Bug bounty программы (HackerOne, Bugcrowd) стали популярны с 2012 года.
Связь с хостингом
Аудит безопасности для VDS начинается с Lynis: он проверяет конфигурацию SSH, открытые порты, права файлов и десятки других параметров, выдавая оценку и рекомендации. Hardening сервера — практическое применение результатов аудита. Регулярный аудит (ежеквартально) выявляет новые уязвимости до их эксплуатации.
История аудита безопасности
Формализованный аудит ИБ появился в 1970-е годы в рамках военных и государственных требований США (стандарты TCSEC, «Оранжевая книга», 1983). ISO 27001 — стандарт ISMS (Information Security Management System) — принят в 2005 году на основе BS 7799 (1995). PCI DSS (Payment Card Industry Data Security Standard) обязывает к ежегодному аудиту компании, работающие с платёжными картами. В России ФСТЭК регулирует требования к аттестации ИС, работающих с государственной тайной.
Виды аудита безопасности сервера
- Vulnerability Assessment: автоматическое сканирование (Nessus, OpenVAS) — 1-2 дня.
- Penetration Testing: ручная проверка с эксплуатацией уязвимостей — 5-15 дней.
- Red Team: имитация реальной атаки, включая социальную инженерию — 2-4 недели.
- Compliance Audit: проверка соответствия стандартам (ISO 27001, PCI DSS, 152-ФЗ).
Практический чеклист аудита VPS
Базовый аудит VPS: проверка открытых портов (ss -tlnp), анализ запущенных сервисов, права на файлы (find / -perm -4000), список пользователей sudo, настройки SSH, актуальность обновлений безопасности, наличие WAF и 2FA. Инструменты: Lynis (lynis audit system), rkhunter, chkrootkit.