прылада ўмацавання, Сканаванне уразлівасцяў і пагроз змякчэння іх наступстваў для захавання і бяспекі
прылада ўмацавання, Сканаванне уразлівасцяў і пагроз змякчэння іх наступстваў для захавання і бяспекі
Па Mark Kedgley
All security standards and Corporate Governance Compliance Policies such as PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 and FISMA require devices such as PCs, Windows Servers, Unix Servers, network devices such as firewalls, Intrusion Protection Systems (IPS) and routers to be secure in order that they protect confidential data secure.
There are a number of buzzwords being used in this area – Security Vulnerabilities and Device Hardening? ‘Hardening’ a device requires known security ‘vulnerabilities’ to be eliminated or mitigated. A vulnerability is any weakness or flaw in the software design, implementation or administration of a system that provides a mechanism for a threat to exploit the weakness of a system or process. Каб ліквідаваць уразлівасці бяспекі, неабходна вырашыць дзве асноўныя вобласці – налады канфігурацыі і праграмныя недахопы ў праграмах і файлах аперацыйнай сістэмы. Ліквідацыя ўразлівасцяў запатрабуе альбо «выпраўлення».’ – звычайна гэта абнаўленне праграмнага забеспячэння або патч для файлаў праграмы або АС – або «змякчэнне’ – змена налад канфігурацыі. Умацаванне патрабуецца аднолькава для сервераў, працоўныя станцыі і сеткавыя прылады, такія як брандмаўэры, камутатары і маршрутызатары.
Як вызначыць уразлівасці? Сканіраванне ўразлівасцяў або знешні тэст на пранікненне паведаміць аб усіх уразлівасцях, прыдатных да вашых сістэм і прыкладанняў. Вы можаце купіць у старонніх службах сканавання/тэсціравання пяра – Тэставанне пяра па самой сваёй прыродзе праводзіцца звонку праз агульнадаступны Інтэрнэт, бо адсюль можа быць выкарыстана любая пагроза. Паслугі сканавання ўразлівасцяў павінны быць прадастаўлены на месцы. Гэта можа быць выканана староннім кансультантам са сканіруючым абсталяваннем, ці вы можаце набыць «чорную скрыню».’ рашэнне, пры якім сканіруючая прылада пастаянна знаходзіцца ў вашай сетцы, а сканіраванне забяспечваецца выдалена. Канешне, вынікі любога сканавання дакладныя толькі на момант сканавання, таму рашэнні, якія пастаянна адсочваюць змены канфігурацыі, з'яўляюцца адзіным рэальным спосабам гарантаваць захаванне бяспекі вашай ІТ-маёмасці.
У чым розніца паміж «выпраўленнем».’ і «змякчэнне»? «Сапраўленне’ уразлівасці прыводзіць да выдалення або канчатковага выпраўлення недахопу, так што гэты тэрмін звычайна прымяняецца да любога абнаўлення або патча праграмнага забеспячэння. Кіраванне патчамі ўсё больш аўтаматызуецца аперацыйнай сістэмай і распрацоўшчыкам прадукту – пакуль вы ўкараняеце патчы пасля выпуску, тады ўбудаваныя ўразлівасці будуць ліквідаваны. Як прыклад, пра нядаўна апублікаваную аперацыю «Аўрора»., класіфікуецца як пашыраная ўстойлівая пагроза або APT, атрымаў поспех у пранікненні ў Google і Adobe. Уразлівасць у Internet Explorer выкарыстоўвалася для ўстаноўкі шкоднасных праграм мэтавым карыстальнікам’ Кампутары, якія забяспечваюць доступ да канфідэнцыйных даных. Выпраўленне гэтай уразлівасці заключаецца ў «выпраўленні’ Internet Explorer з выкарыстаннем патчаў Microsoft. Змякчэнне ўразлівасці’ праз налады канфігурацыі гарантуе, што ўразлівасці адключаны. Уразлівасці, заснаваныя на канфігурацыі, не больш ці менш патэнцыйна шкодныя, чым тыя, якія трэба выправіць з дапамогай патча, хоць бяспечна сканфігураваная прылада цалкам можа паменшыць пагрозу праграмы або АС. Самая вялікая праблема з уразлівасцямі, заснаванымі на канфігурацыі, заключаецца ў тым, што яны могуць быць паўторна ўведзены або ўключаны ў любы час – усяго некалькі клікаў патрэбныя, каб змяніць большасць параметраў канфігурацыі.
Як часта выяўляюцца новыя ўразлівасці? Unfortunately, ўвесь час! Яшчэ горш, часта адзіны спосаб, якім сусветная супольнасць выяўляе ўразлівасць, - гэта пасля таго, як яе выявіў хакер і выкарыстаў яе. Толькі тады, калі шкода была нанесена і ўзлом адсочваецца да яе крыніцы, варта прымаць прафілактычныя меры, альбо патч, альбо налады канфігурацыі, можна сфармуляваць. There are various centralized repositories of threats and vulnerabilities on the web such as the MITRE CCE lists and many security product vendors compile live threat reports or ‘storm center’ websites.
So all I need to do is to work through the checklist and then I am secure? In theory, but there are literally hundreds of known vulnerabilities for each platform and even in a small IT estate, the task of verifying the hardened status of each and every device is an almost impossible task to conduct manually.
Even if you automate the vulnerability scanning task using a scanning tool to identify how hardened your devices are before you start, you will still have work to do to mitigate and remediate vulnerabilities. But this is only the first step – if you consider a typical configuration vulnerability, for example, a Windows Server should have the Guest account disabled. If you run a scan, identify where this vulnerability exists for your devices, and then take steps to mitigate this vulnerability by disabling the Guest Account, then you will have hardened these devices. However, if another user with Administrator privileges then accesses these same servers and re-enables the Guest Account for any reason, you will then be left exposed. Канешне, you wont know that the server has been rendered vulnerable until you next run a scan which may not be for another 3 months or even 12 months. There is another factor that hasn’t yet been covered which is how do you protect systems from an internal threat – more on this later.
So tight change management is essential for ensuring we remain compliant? Indeed – Section 6.4 of the PCI DSS describes the requirements for a formally managed Change Management process for this very reason. Any change to a server or network device may have an impact on the device’s ‘hardened’ state and therefore it is imperative that this is considered when making changes. If you are using a continuous configuration change tracking solution then you will have an audit trail available giving you ‘closed loop’ change management – so the detail of the approved change is documented, along with details of the exact changes that were actually implemented. Furthermore, the devices changed will be re-assessed for vulnerabilities and their compliant state confirmed automatically.
Што ўжо казаць пра ўнутраныя пагрозы? Кіберзлачыннасць далучаецца да лігі арганізаванай злачыннасці, а гэта азначае, што гэта не проста спыненне зламысных хакераў, якія даказваюць свае навыкі ў якасці забавы! Брандмаўэр, Intrusion Protection Systems, Антывіруснае праграмнае забеспячэнне і поўнасцю ўкаранёныя меры па ўмацаванні прылад па-ранейшаму не спыняць і нават не выяўляюць супрацоўніка-ізгоя, які працуе як «чалавек знутры». Такая пагроза можа прывесці да таго, што супрацоўнік з правамі адміністратара ўвядзе шкоднасныя праграмы ў бяспечныя сістэмы, ці нават бэкдоры, запраграмаваныя ў асноўныя бізнес-праграмы. Аналагічна, са з'яўленнем Advanced Persistent Threats (КВ) напрыклад, разрэкламаваная «Аўрора».’ хакі, якія выкарыстоўваюць сацыяльную інжынерыю, каб прымусіць супрацоўнікаў увесці «нулявы дзень».’ шкоднасныя праграмы. «Нулявы дзень».’ пагрозы выкарыстоўваюць невядомыя раней уразлівасці – хакер выяўляе новую ўразлівасць і фармулюе працэс атакі для яе выкарыстання. Затым праца складаецца ў тым, каб зразумець, як адбылася атака, і, што больш важна, як ліквідаваць або змякчыць будучыя паўторныя з'яўлення пагрозы. Па самой сваёй прыродзе, антывірусныя меры часта бяссільныя супраць «нулявога дня».’ пагрозы. На самой справе, адзіны спосаб выявіць гэтыя тыпы пагроз - выкарыстоўваць тэхналогію маніторынгу цэласнасці файлаў. “Усе брандмаўэры, Intrusion Protection Systems, Антывірус і тэхналогія белага спісу працэсаў у свеце не выратуюць вас ад добра арганізаванага ўнутранага ўзлому, калі злачынец мае правы адміністратара на ключавыя серверы або законны доступ да кода прыкладання – маніторынг цэласнасці файлаў, які выкарыстоўваецца ў спалучэнні з жорсткім кантролем змяненняў, з'яўляецца адзіным спосабам належнага кіравання адчувальнымі сістэмамі плацежных карт” Філ Снэл, тэхнічны дырэктар, NNT
See our other whitepaper ‘File-Integrity Monitoring – The Last Line of Defense of the PCI DSS’ for more background to this area, but this is a brief summary -Clearly, it is important to verify all adds, changes and deletions of files as any change may be significant in compromising the security of a host. This can be achieved by monitoring for should be any attributes changes and the size of the file.
However, since we are looking to prevent one of the most sophisticated types of hack we need to introduce a completely infallible means of guaranteeing file integrity. This calls for each file to be ‘DNA Fingerprinted’, typically generated using a Secure Hash Algorithm. A Secure Hash Algorithm, such as SHA1 or MD5, produces a unique, hash value based on the contents of the file and ensures that even a single character changing in a file will be detected. This means that even if a program is modified to expose payment card details, but the file is then ‘padded’ to make it the same size as the original file and with all other attributes edited to make the file look and feel the same, the modifications will still be exposed. This is why the PCI DSS makes File-Integrity Monitoring a mandatory requirement and why it is increasingly considered as vital a component in system security as firewalling and anti-virus defences.
Conclusion Device hardening is an essential discipline for any organization serious about security. Furthermore, if your organization is subject to any corporate governance or formal security standard, such as PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, then device hardening will be a mandatory requirement. – All servers, workstations and network devices need to be hardened via a combination of configuration settings and software patch deployment – Any change to a device may adversely affect its hardened state and render your organization exposed to security threats – file-integrity monitoring must also be employed to mitigate ‘zero-day’ threats and the threat from the ‘inside man’ – vulnerability checklists will change regularly as new threats are identified
All NewNetTechnologies software solutions are built using the latest technology, which means they can be fully adapted to suit all business environments. For more information on Файл кантроль цэласнасці view our software solutions on http://www.newnettechnologies.com which provide 100% of the features you need but at a fraction of the cost of traditional solutions.
Article Source: http://EzineArticles.com/?expert=Mark_Kedgley