enduriment dispositiu, De l'anàlisi de vulnerabilitats i Mitigació de Amenaces per al Compliment i Seguretat
enduriment dispositiu, De l'anàlisi de vulnerabilitats i Mitigació de Amenaces per al Compliment i Seguretat
By Marc Kedgley
Totes les normes de seguretat i les Polítiques de Compliment de govern corporatiu, com ara PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HiTech, GLBA, ISO27000 i FISMA requereixen dispositius com ara PC, servidors windows, servidors Unix, dispositius de xarxa com ara tallafocs, Sistemes de protecció contra intrusos (IPS) i routers per ser segura per tal que protegeixen les dades confidencials assegurances.
Hi ha una sèrie de paraules de moda que s'utilitzen en aquesta àrea – Les vulnerabilitats de seguretat i l'enduriment de dispositius? "Enduriment’ un dispositiu requereix vulnerabilitats de seguretat conegudes '’ ser eliminat o mitigat. Una vulnerabilitat és qualsevol debilitat o defecte en el disseny de programari, aplicació o administració d'un sistema que proporciona un mecanisme per a una amenaça per explotar la debilitat d'un sistema o procés. Hi ha dues àrees principals per abordar la finalitat d'eliminar les vulnerabilitats de seguretat – paràmetres de configuració i els defectes del programari en el programa i els arxius del sistema operatiu. L'eliminació de vulnerabilitats requeriran l'establiment 'remediació’ – típicament una actualització de programari o programa perquè els arxius de programa o del sistema operatiu – o "la mitigació’ – un canvi dels paràmetres de configuració. L'enduriment es requereix igualment per als servidors, estacions de treball i dispositius de xarxa com ara tallafocs, commutadors i encaminadors.
Com s'identifica vulnerabilitats? Una anàlisi de vulnerabilitats o prova de penetració externa informaran sobre totes les vulnerabilitats aplicables als sistemes i aplicacions. Es pot comprar als serveis de proves d'exploració / ploma 3a Part – proves de penetració, per la seva pròpia naturalesa es realitza externament a través d'Internet pública ja que és on qualsevol amenaça seria explotat des. Serveis d'Anàlisi de vulnerabilitats han de ser lliurats in situ en el lloc. Això tampoc pot ser realitzada per un consultor 3a Part amb el maquinari d'exploració,, o pot comprar un "quadre negre’ solució en la qual un dispositiu d'exploració està situada de forma permanent dins la seva xarxa i les exploracions s'aprovisiona de forma remota. I tant, els resultats de qualsevol exploració només són precisos en el moment de l'exploració és la raó per la qual les solucions que fan un seguiment continu de les modificacions de configuració són l'única manera de garantir la seguretat del seu parc informàtic es manté.
Quina és la diferència entre "remediació’ i "mitigació"? 'remediació’ una vulnerabilitat resultats en el defecte de ser eliminat de forma permanent o fix, pel que aquest terme s'aplica generalment a qualsevol actualització de programari o pegat. La gestió de pegats és cada vegada més automatitzat pel sistema operatiu i el desenvolupador del producte – sempre i quan s'implementa pegats quan s'allibera, a continuació, seran remeiades vulnerabilitats en-construïts. com a exemple, informar recentment l'Operació Aurora, classificada com una amenaça persistent avançada o APT, va tenir èxit en la infiltració de Google i Adobe. Una vulnerabilitat en Internet Explorer va ser utilitzat per plantar malware en els usuaris de destinació’ PC que permet l'accés a les dades sensibles. La remediació per a aquesta vulnerabilitat és "arreglar’ Internet Explorer utilitzant Microsoft va publicar pegats. Vulnerabilitat 'mitigació’ en els paràmetres de configuració assegura vulnerabilitats estan desactivats. vulnerabilitats basades en configuració són ni més ni menys potencialment nocius que aquells que necessiten ser remeiada a través d'un pegat, encara que un dispositiu de seguretat configurat bé pot mitigar un programa o amenaça basada en sistema operatiu. El major problema amb les vulnerabilitats basades en configuració és que poden ser reintroduïts o activades en qualsevol moment – Només es necessiten uns pocs clics per canviar la majoria de les opcions de configuració.
Amb quina freqüència es descobreixen noves vulnerabilitats? desafortunadament, tot el temps! pitjor encara, sovint l'única manera que la comunitat mundial descobreix una vulnerabilitat és després que un hacker ha descobert i explotat. És només quan el mal ja està fet i el hack remuntar-se a la seva font que un curs de prevenció de l'acció, mitjançant la configuració de pegat o de configuració, es poden formular. Hi ha diversos dipòsits centralitzats d'amenaces i vulnerabilitats a la web, com ara les llistes de MITRE CCE i molts venedors de productes de seguretat compilar informes d'amenaces en viu o 'centre de la tempesta’ llocs web.
Així que tot el que necessito fer és treballar a través de la llista de verificació i llavors estic segur? en teoria, però hi ha literalment centenars de vulnerabilitats conegudes per a cada plataforma i fins i tot en una petita finca de TI, la tasca de verificar l'estat endurit de totes i cada dispositiu és una tasca gairebé impossible dur a terme manualment.
Fins i tot si s'automatitza la tasca d'anàlisi de vulnerabilitats mitjançant una eina d'exploració per identificar com endurit els vostres dispositius són abans de començar, de totes maneres haurà de fer per mitigar i posar remei a les vulnerabilitats. Però això és només el primer pas – si es té en compte la vulnerabilitat d'una configuració típica, per exemple, un servidor de Windows ha de tenir el compte de convidat desactivat. Si executeu un escaneig, identificar on hi ha aquesta vulnerabilitat per als seus dispositius, i després prendre mesures per mitigar aquesta vulnerabilitat mitjançant la desactivació del compte de convidat, llavors hauran endurit aquests dispositius. malgrat això, si un altre usuari amb privilegis d'administrador i després accedeix a aquests mateixos servidors i tornar a habilitar el compte de convidat per qualsevol raó, a continuació, es deixa exposat. I tant, vostè no sap que el servidor s'ha tornat vulnerable fins que el següent executar una exploració que pot no ser-ho per a un altre 3 mesos o fins i tot 12 mesos. Hi ha un altre factor que encara no ha estat cobert que és, com protegir els sistemes d'una amenaça interna – més sobre això més endavant.
Així que la gestió del canvi ajustat és essencial per assegurar que continua complint? En efecte – secció 6.4 de la PCI DSS es descriuen els requisits per a un procés de Gestió del Canvi gestionat formalment per aquesta mateixa raó. Qualsevol canvi a un servidor o dispositiu de xarxa pot tenir un impacte en el dispositiu de 'endurit’ estat i per tant és imperatiu que això es considera quan es fan canvis. Si utilitzeu una solució de seguiment continu canvi de configuració, llavors tindrà un registre d'obertura que li dóna 'bucle tancat’ gestió del canvi – per la qual cosa el detall de la modificació, aprovada es documenta, juntament amb els detalls dels canvis exactes que realment es van implementar. a més, els dispositius modificats seran re-avaluació de les vulnerabilitats i el seu estat compleix automàticament confirmats.
Què hi ha de les amenaces internes? La delinqüència informàtica s'uneix a la delinqüència organitzada lliga que vol dir que aquest no és només sobre detenir els pirates informàtics maliciosos que demostrin les seves habilitats com un passatemps divertit! tallafocs, Sistemes de protecció contra intrusos, programari antivirus i mesures d'enduriment de dispositius totalment implementat encara no s'aturaran o fins i tot detectar un empleat murri que funciona com un "home interior". Aquest tipus d'amenaça podria resultar en el malware està introduint als sistemes d'assegurances d'una altra manera per un empleat amb drets d'administrador, o fins i tot portes posteriors que es programen en les aplicacions empresarials principals. de la mateixa manera, amb l'adveniment de les amenaces persistents avançades (APT) tals com la publicitat 'Aurora’ hacks que utilitzen l'enginyeria social per a enganyar als empleats en la introducció de "dia zero’ el malware. 'Dia zero’ amenaces exploten vulnerabilitats prèviament desconegudes – un hacker descobreix una nova vulnerabilitat i formula un procés d'atac per explotar-la. El treball llavors és entendre com es va produir l'atac i el més important com posar remei o mitigar futures reincidències de l'amenaça. Per la seva pròpia naturalesa, mesures antivirus són sovint impotents contra el "dia zero’ amenaces. De fet, l'única manera de detectar aquest tipus d'amenaces és l'ús de la tecnologia d'integritat d'arxius de Monitorització. “Tots els tallafocs, Sistemes de protecció contra intrusos, Anti-virus i la tecnologia de llista blanca de processos en el món no et salvaran d'un tall intern ben orquestrada en què l'autor té drets d'administrador als servidors de claus o l'accés legítim al codi de l'aplicació – presentar supervisió de la integritat s'utilitza juntament amb el control de canvis atapeïda és l'única manera de governar adequadament els sistemes de targetes de pagament sensibles” Phil Snell, CTO, NNT
Vegi el nostre altre llibre blanc 'Arxiu monitorització d'integritat – L'última línia de defensa de la PCI DSS’ per obtenir més antecedents d'aquesta àrea, però aquest és un breu resum -entenem, és important verificar tot suma, canvis i supressions de fitxers com qualsevol canvi poden ser significatives en comprometre la seguretat d'un amfitrió. Això pot aconseguir mitjançant el monitoratge de ha de ser qualsevol atribut de canvis i la mida del fitxer.
malgrat això, ja estem mirant per evitar que un dels tipus més sofisticats de tall cal introduir un mitjà completament infal·libles de garantir la integritat dels arxius. Això exigeix cada arxiu per a ser "les empremtes digitals d'ADN ', normalment generada utilitzant un algoritme de hash segur. Un Secure Hash Algorithm, tals com SHA1 o MD5, produeix un únic, valor de hash en base als continguts de l'arxiu i assegura que serà detectat fins i tot un sol caràcter canviant en un arxiu. Això vol dir que fins i tot si es modifica un programa per exposar detalls de la targeta de pagament, però l'arxiu és llavors 'encoixinat’ perquè sigui de la mateixa mida que l'arxiu original i amb tots els altres atributs editats per fer que l'arxiu es veu i se sent igual, les modificacions encara seran exposats. Aquesta és la raó per la norma PCI DSS fa Arxiu monitorització d'integritat d'un requisit obligatori i per què es considera cada vegada més com un component vital en la seguretat del sistema com tallafocs i antivirus defenses.
l'enduriment de dispositius conclusió és una disciplina essencial per a qualsevol organització seriosament la seguretat. a més, si la seva organització està subjecta a cap govern corporatiu o estàndard formal de seguretat, tal com PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, a continuació, l'enduriment dispositiu serà un requisit obligatori. – tots els servidors, estacions de treball i dispositius de xarxa necessiten ser endurit per mitjà d'una combinació de paràmetres de configuració i desplegament de pegats de programari – Qualsevol canvi a un dispositiu pot afectar negativament al seu estat endurit i fer que la seva organització exposat a les amenaces de seguretat – monitorització d'integritat d'arxius ha d'emprar també per mitigar 'dia zero’ amenaces i l'amenaça del "home a l'interior’ – llistes de comprovació de vulnerabilitat canviaran regularment com s'identifiquen noves amenaces
Totes les solucions de programari NewNetTechnologies es construeixen utilitzant l'última tecnologia, el que significa que poden ser totalment adaptades per a tots els entorns de negoci. Per obtenir més informació sobre Vigilància de la integritat de l'arxiu veure les nostres solucions de programari de http://www.newnettechnologies.com que proporcionen 100% de les funcions que necessita, però a una fracció del cost de les solucions tradicionals.
Font de l'article: http://EzineArticles.com/?expert = Mark_Kedgley