El endurecimiento de dispositivos, Análisis de Vulnerabilidad y Mitigación de Amenazas para el Cumplimiento y Seguridad
El endurecimiento de dispositivos, Análisis de Vulnerabilidad y Mitigación de Amenazas para el Cumplimiento y Seguridad
Por Marcos Kedgley
Todas las normas de seguridad y las Políticas de Cumplimiento de gobierno corporativo, tales como PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 y FISMA requieren dispositivos como PCs, Servidores Windows, Servidores Unix, dispositivos de red, tales como servidores de seguridad, Sistemas de protección contra intrusiones (IPS) y routers para que se les asegure el fin de que protegen los datos confidenciales seguros.
Hay una serie de palabras de moda que se utilizan en esta área – Las vulnerabilidades de seguridad y el endurecimiento de dispositivos? 'Endurecimiento’ un dispositivo requiere 'vulnerabilidades de seguridad conocidas’ ser eliminado o mitigado. Una vulnerabilidad es cualquier debilidad o defecto en el diseño de software, aplicación o administración de un sistema que proporciona un mecanismo para una amenaza para explotar la debilidad de un sistema o proceso. Hay dos áreas principales para abordar el fin de eliminar las vulnerabilidades de seguridad – parámetros de configuración y los defectos del software en los archivos de programa y de sistema operativo. La eliminación de vulnerabilidades requerirán ya sea 'remediación’ – típicamente una actualización de software o parches para archivos de programa o del sistema operativo – o "mitigación’ – un cambio de los parámetros de configuración. El endurecimiento se requiere igualmente para los servidores, estaciones de trabajo y dispositivos de red, tales como servidores de seguridad, conmutadores y routers.
¿Cómo puedo identificar vulnerabilidades? Una exploración de la vulnerabilidad o prueba de penetración externa informarán sobre todas las vulnerabilidades aplicables a sus sistemas y aplicaciones. Usted puede comprar en los servicios de exploración / prueba de la pluma 3 ª Parte – pruebas de penetración por su propia naturaleza se hace externamente a través de la Internet pública ya que es donde cualquier amenaza sería explotado desde. Servicios de escaneado de vulnerabilidad deben ser entregados in situ en el lugar. Este bien puede ser realizado por un consultor 3rd Party con hardware de escaneo, o usted puede comprar un "cuadro negro’ solución en la que un dispositivo de exploración está situada en forma permanente dentro de su red y las exploraciones se aprovisionan de forma remota. ¡Por supuesto, los resultados de cualquier exploración tienen una precisión en el momento de la exploración, que es por qué las soluciones que rastrean continuamente los cambios de configuración son la única forma real de garantizar la seguridad de su patrimonio se mantiene.
¿Cuál es la diferencia entre 'remediación’ y "mitigación"? 'Remediación’ de una vulnerabilidad en el defecto de ser removido o fijados de manera permanente, por lo que este término se aplica generalmente a cualquier actualización de software o parche. La gestión de parches es cada vez más automatizada por el sistema operativo y el desarrollador del producto – siempre y cuando se implementa parches cuando se libera, vulnerabilidades entonces construidos en-serán remediados. Como un ejemplo, el recientemente reportado Operación Aurora, clasificado como una amenaza persistente avanzada o APT, tuvo éxito en infiltrarse en Google y Adobe. Una vulnerabilidad en Internet Explorer se utilizó para plantar malware en usuarios específicos’ PCs que permitían el acceso a datos confidenciales. La remediación para esta vulnerabilidad es "arreglar’ Internet Explorer con Microsoft publicó parches. Vulnerabilidad "mitigación’ a través de los ajustes de configuración asegura vulnerabilidades están desactivadas. Vulnerabilidades basados en configuración más o menos potencialmente dañinos que son los que necesitan ser remediado por medio de un parche, aunque un dispositivo configurado con seguridad bien puede mitigar un programa o una amenaza basada en sistema operativo. El mayor problema con las vulnerabilidades basadas en la configuración es que puedan ser reintroducidos o activadas en cualquier momento – sólo se necesitan unos pocos clics para cambiar la mayoría de los valores de configuración.
¿Con qué frecuencia se descubren nuevas vulnerabilidades? Desafortunadamente, todo el tiempo! Peor aún, a menudo la única manera de que la comunidad mundial descubre una vulnerabilidad es después de que un hacker ha descubierto y explotado. Es sólo cuando el daño ya está hecho y el hack remontarse a su fuente que un curso de prevención de la acción, configuración, ya sea parche o configuración, se pueden formular. Hay varios repositorios centralizados de amenazas y vulnerabilidades en la web, tales como las listas MITRE CCE y muchos proveedores de productos de seguridad recopilar informes de amenazas en vivo o "centro de la tormenta’ sitios web.
Así que todo lo que tengo que hacer es trabajar a través de la lista de verificación y entonces estoy seguro? En teoría, pero hay literalmente cientos de vulnerabilidades conocidas para cada plataforma, e incluso en una pequeña finca de TI, la tarea de verificar el estado endurecido de todas y cada dispositivo es una tarea casi imposible de llevar a cabo de forma manual.
Incluso si a automatizar la tarea de análisis de vulnerabilidades mediante una herramienta de exploración para identificar cómo se endureció sus dispositivos son antes de empezar, usted todavía tiene trabajo por hacer para mitigar y remediar las vulnerabilidades. Pero esto es sólo el primer paso – si se tiene en cuenta una vulnerabilidad configuración típica, por ejemplo, un servidor de Windows debe tener la cuenta de invitado desactivado. Si ejecuta una exploración, identificar dónde existe esta vulnerabilidad para sus dispositivos, y luego tomar medidas para mitigar esta vulnerabilidad mediante la desactivación de la cuenta de invitado, entonces usted habrá endurecido estos dispositivos. sin embargo, si otro usuario con privilegios de administrador y luego accede a esos mismos servidores y volver a habilitar la cuenta de invitado, por cualquier motivo, a continuación, se dejó expuesta. ¡Por supuesto, usted no sabe que el servidor se ha vuelto vulnerable hasta que lo siguiente ejecuta un análisis que puede no serlo para otro 3 meses o incluso 12 mes. Hay otro factor que aún no ha sido cubierta que es, ¿cómo proteger los sistemas de una amenaza interna – más sobre esto más adelante.
La gestión del cambio con tanta fuerza es esencial para asegurar que continúa cumpliendo con? En efecto – Sección 6.4 de la PCI DSS se describen los requisitos para un proceso de Gestión del Cambio gestionado formalmente por esta misma razón. Cualquier cambio a un servidor o dispositivo de red puede tener un impacto en la 'endurecido del dispositivo’ Estado y por lo tanto es imperativo que esto se considera la hora de hacer cambios. Si está utilizando una solución de seguimiento de cambios de configuración continua, entonces usted tendrá un registro de apertura que le da 'lazo cerrado’ gestión del cambio – por lo que el detalle de los cambios aprobados se documenta, junto con los detalles de los cambios exactos que se implementaron en realidad. Además, los dispositivos modificados serán re-evaluados en busca de vulnerabilidades y su estado de cumplimiento automáticamente confirmados.
¿Qué pasa con las amenazas internas? La ciberdelincuencia se une a la liga de la delincuencia organizada que quiere decir que esto no se trata sólo de detener a los piratas informáticos maliciosos que demuestra sus habilidades como un pasatiempo divertido! Cortafuegos, Sistemas de protección contra intrusiones, Medidas de software antivirus y de endurecimiento dispositivo totalmente implementado todavía no se detendrán o incluso detectar un empleado pícaro que funciona como un "hombre interior". Este tipo de amenaza puede resultar en el malware está introduciendo a los sistemas de otro modo seguro por un empleado con derechos de administrador, o incluso puertas traseras están programando en aplicaciones empresariales básicas. Del mismo modo, Con el advenimiento de Advanced amenazas persistentes (APT) como la publicitada 'Aurora’ hacks que utilizan la ingeniería social para engañar a los empleados en la introducción de 'Zero-Day’ el malware. 'Zero-Day’ amenazas explotan vulnerabilidades previamente desconocidas – un hacker descubre una nueva vulnerabilidad y formula un proceso de ataque para explotarla. El trabajo entonces es entender cómo ocurrió el ataque y lo más importante cómo remediar o mitigar futuras reincidencias de la amenaza. Por su propia naturaleza, medidas anti-virus son a menudo impotente ante 'día cero’ amenazas. De hecho, la única manera de detectar este tipo de amenazas es usar la tecnología de Monitoreo de integridad de archivos. “Todos los servidores de seguridad, Sistemas de protección contra intrusiones, Tecnología de lista blanca Anti-virus y de procesos en el mundo no te va a salvar de un hack interna bien orquestada en que el autor tiene derechos de administrador a los servidores de claves o el acceso legítimo a código de aplicación – presentar supervisión de la integridad utilizado en conjunción con el control de cambio apretado es la única manera de gobernar adecuadamente los sistemas de tarjetas de pago sensibles” Phil Snell, CTO, NNT
Vea nuestra otra Monitoreo de integridad de archivos whitepaper ' – La última línea de defensa de la PCI DSS’ para obtener más antecedentes de este ámbito, pero este es un breve resumen-Claramente, es importante verificar todo suma, cambios y supresiones de archivos como cualquier cambio pueden ser significativas en comprometer la seguridad de un host. Esto puede lograrse mediante la monitorización para debe ser cualquier atributo cambios y el tamaño del fichero.
sin embargo, ya que estamos tratando de evitar que uno de los tipos más sofisticados de hackeo que necesitamos para introducir un medio completamente infalibles de garantizar la integridad del archivo. Esto requiere que cada archivo sea "ADN Fingerprinted ', generada típicamente usando un algoritmo de hash seguro. Un algoritmo de hash seguro, tales como SHA1 o MD5, produce un único, valor de hash en base a los contenidos del archivo y asegura que incluso un solo carácter cambiante en un archivo será detectado. Esto significa que incluso si un programa se modifica para exponer detalles de la tarjeta de pago, pero el archivo se «rellena’ para que sea del mismo tamaño que el archivo original y con todos los demás atributos editados para hacer la mirada de archivos y sentir lo mismo, las modificaciones seguirán siendo expuestos. Esta es la razón por la PCI DSS hace File-Supervisión de la Integridad un requisito obligatorio y por qué se considera cada vez más como un componente de vital importancia en la seguridad del sistema de cortafuegos y defensas anti-virus.
Conclusión endurecimiento de dispositivos es una disciplina esencial para cualquier organización en serio la seguridad. Además, si su organización está sujeta a ningún gobierno corporativo o la norma de seguridad formal, tales como PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, entonces el endurecimiento dispositivo será un requisito obligatorio. – Todos los servidores, estaciones de trabajo y dispositivos de la red deben ser endurecido a través de una combinación de parámetros de configuración y despliegue de parches de software – Cualquier cambio a un dispositivo puede afectar negativamente a su estado endurecido y hacer que su organización expuesto a las amenazas de seguridad – monitoreo de integridad de archivos también se debe emplear para mitigar 'día cero’ amenazas y la amenaza del 'hombre en el interior’ – listas de comprobación de vulnerabilidad cambiarán regularmente como se identifican nuevas amenazas
Todas las soluciones de software NewNetTechnologies se construyen utilizando la tecnología más avanzada, lo que significa que pueden ser adaptadas completamente para adaptarse a todos los entornos empresariales. Para obtener más información sobre Vigilancia de la integridad del archivo ver nuestras soluciones de software en http://www.newnettechnologies.com que proporcionan 100% de las características que usted necesita, pero a una fracción del costo de las soluciones tradicionales.
Fuente del artículo: http://EzineArticles.com/?experto = Mark_Kedgley