Dispositif de durcissement, Analyse de vulnérabilité et atténuation des menaces pour la conformité et de la sécurité
Dispositif de durcissement, Analyse de vulnérabilité et atténuation des menaces pour la conformité et de la sécurité
By Mark Kedgley
Toutes les normes de sécurité et gouvernance des politiques de conformité telles que PCI DSS, GCSx CoCo, SOX (Sarbanes-Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 et FISMA nécessitent des dispositifs tels que les PC, Serveurs Windows, Serveurs Unix, des dispositifs de réseau tels que les pare-feu, Systèmes de protection contre les intrusions (IPS) et les routeurs à sécuriser afin de protéger les données confidentielles en toute sécurité.
Un certain nombre de mots à la mode sont utilisés dans ce domaine – Vulnérabilités de sécurité et renforcement des périphériques? «Durcissement’ un appareil nécessite des vulnérabilités de sécurité connues’ à éliminer ou à atténuer. Une vulnérabilité est une faiblesse ou un défaut dans la conception du logiciel, mise en œuvre ou administration d'un système qui fournit un mécanisme permettant à une menace d'exploiter la faiblesse d'un système ou d'un processus. Il y a deux domaines principaux à traiter pour éliminer les failles de sécurité – paramètres de configuration et défauts logiciels dans les fichiers du programme et du système d'exploitation. L'élimination des vulnérabilités nécessitera soit une «correction’ – généralement une mise à niveau logicielle ou un correctif pour les fichiers du programme ou du système d'exploitation – ou «atténuation’ – une modification des paramètres de configuration. Le durcissement est également requis pour les serveurs, postes de travail et périphériques réseau tels que les pare-feu, commutateurs et routeurs.
Comment identifier les vulnérabilités? Une analyse de vulnérabilité ou un test de pénétration externe rapportera toutes les vulnérabilités applicables à vos systèmes et applications. Vous pouvez acheter des services de numérisation / test de stylet tiers – le test du stylo, de par sa nature même, est effectué en externe via l'Internet public, car c'est là que toute menace serait exploitée. Les services d'analyse des vulnérabilités doivent être fournis in situ sur site. Cela peut être effectué par un consultant tiers avec du matériel de numérisation, ou vous pouvez acheter une «boîte noire’ solution par laquelle un dispositif d'analyse est installé en permanence dans votre réseau et les analyses sont provisionnées à distance. Bien sûr, les résultats de toute analyse ne sont précis qu'au moment de l'analyse, c'est pourquoi les solutions qui suivent en permanence les changements de configuration sont le seul véritable moyen de garantir la sécurité de votre parc informatique..
Quelle est la différence entre «remédiation’ et «atténuation»? «Remédiation’ d'une vulnérabilité entraîne la suppression ou la correction définitive de la faille, donc ce terme s'applique généralement à toute mise à jour ou correctif logiciel. La gestion des correctifs est de plus en plus automatisée par le système d'exploitation et le développeur de produits – tant que vous implémentez les correctifs une fois publiés, puis les vulnérabilités intégrées seront corrigées. Par exemple, l'opération Aurora récemment rapportée, classée comme menace persistante avancée ou APT, a réussi à infiltrer Google et Adobe. Une vulnérabilité dans Internet Explorer a été utilisée pour implanter des logiciels malveillants sur des utilisateurs ciblés’ PC qui permettaient d'accéder aux données sensibles. La correction de cette vulnérabilité consiste à «réparer’ Internet Explorer utilisant les correctifs publiés par Microsoft. Atténuation de la vulnérabilité’ via les paramètres de configuration garantit que les vulnérabilités sont désactivées. Les vulnérabilités basées sur la configuration ne sont ni plus ni moins potentiellement dommageables que celles qui doivent être corrigées via un correctif, bien qu'un appareil configuré de manière sécurisée puisse bien atténuer une menace basée sur un programme ou un système d'exploitation. Le plus gros problème avec les vulnérabilités basées sur la configuration est qu'elles peuvent être réintroduites ou activées à tout moment – il suffit de quelques clics pour modifier la plupart des paramètres de configuration.
À quelle fréquence de nouvelles vulnérabilités sont-elles découvertes? Malheureusement, tout le temps! Pire encore, souvent, la communauté mondiale découvre une vulnérabilité uniquement après qu’un hacker l’a découverte et exploitée. Ce n'est que lorsque le dommage a été fait et que le piratage est remonté à sa source qu'une ligne de conduite préventive, paramètres de correctif ou de configuration, peut être formulé. Il existe divers référentiels centralisés de menaces et de vulnérabilités sur le Web, tels que les listes MITRE CCE et de nombreux fournisseurs de produits de sécurité compilent des rapports sur les menaces en direct ou «storm center».’ sites Internet.
Donc, tout ce que j'ai à faire est de parcourir la liste de contrôle et je suis en sécurité? En théorie, mais il existe littéralement des centaines de vulnérabilités connues pour chaque plate-forme et même dans un petit parc informatique, la tâche de vérifier l'état renforcé de chaque appareil est une tâche presque impossible à effectuer manuellement.
Même si vous automatisez la tâche d'analyse des vulnérabilités à l'aide d'un outil d'analyse pour identifier le niveau de protection de vos appareils avant de commencer, vous aurez encore du travail à faire pour atténuer et corriger les vulnérabilités. Mais ce n'est que la première étape – si vous considérez une vulnérabilité de configuration typique, par exemple, un serveur Windows doit avoir le compte Invité désactivé. Si vous exécutez une analyse, identifier où cette vulnérabilité existe pour vos appareils, puis prenez des mesures pour atténuer cette vulnérabilité en désactivant le compte invité, alors vous aurez durci ces appareils. However, si un autre utilisateur avec des privilèges d'administrateur accède à ces mêmes serveurs et réactive le compte invité pour une raison quelconque, vous serez alors laissé exposé. Bien sûr, vous ne saurez pas que le serveur a été rendu vulnérable jusqu'à ce que vous exécutiez une analyse suivante qui peut ne pas être pour une autre 3 mois ou même 12 mois. Il y a un autre facteur qui n'a pas encore été couvert: comment protéger les systèmes contre une menace interne – plus à ce sujet plus tard.
Une gestion rigoureuse du changement est donc essentielle pour garantir que nous restons conformes? En effet – Section 6.4 de la PCI DSS décrit les exigences d'un processus de gestion du changement officiellement géré pour cette raison. Toute modification apportée à un serveur ou à un appareil réseau peut avoir un impact sur le "durci" de l'appareil’ état et il est donc impératif que cela soit pris en compte lors des modifications. Si vous utilisez une solution de suivi des modifications de configuration en continu, vous disposerez d’une piste d’audit vous donnant une «boucle fermée»’ la gestion du changement – afin que le détail du changement approuvé soit documenté, ainsi que des détails sur les changements exacts qui ont été réellement mis en œuvre. Par ailleurs, les appareils modifiés seront réévalués pour les vulnérabilités et leur état de conformité confirmé automatiquement.
Qu'en est-il des menaces internes? La cybercriminalité rejoint la ligue du crime organisé, ce qui signifie qu'il ne s'agit pas seulement d'empêcher les pirates malveillants de prouver leurs compétences en tant que passe-temps amusant! Pare-feu, Systèmes de protection contre les intrusions, Le logiciel antivirus et les mesures de renforcement des appareils entièrement mises en œuvre n'arrêteront toujours pas ou même ne détecteront pas un employé non autorisé qui travaille comme un «homme de l'intérieur». Ce type de menace pourrait entraîner l'introduction de logiciels malveillants dans des systèmes par ailleurs sécurisés par un employé disposant de droits d'administrateur., ou même des portes dérobées programmées dans des applications métier de base. De même, avec l'avènement des menaces persistantes avancées (APTE) comme le célèbre «Aurora’ hacks qui utilisent l'ingénierie sociale pour duper les employés en leur faisant introduire «Zero-Day’ malware. «Zero-Day’ les menaces exploitent des vulnérabilités jusque-là inconnues – un hacker découvre une nouvelle vulnérabilité et formule un processus d'attaque pour l'exploiter. Le travail consiste alors à comprendre comment l'attaque s'est produite et, plus important encore, comment remédier ou atténuer les futures réapparitions de la menace.. De par leur nature même, les mesures antivirus sont souvent impuissantes face à «zero-day’ des menaces. In fact, la seule façon de détecter ces types de menaces est d'utiliser la technologie de surveillance de l'intégrité des fichiers. “Tous les pare-feu, Systèmes de protection contre les intrusions, La technologie antivirus et de liste blanche de processus dans le monde ne vous épargnera pas un piratage interne bien orchestré où l'auteur de l'infraction a des droits d'administrateur sur les serveurs clés ou un accès légitime au code d'application – la surveillance de l'intégrité des fichiers associée à un contrôle strict des modifications est le seul moyen de gérer correctement les systèmes de cartes de paiement sensibles” Phil Snell, Directeur technique, NNT
Consultez notre autre livre blanc «Surveillance de l'intégrité des fichiers – La dernière ligne de défense du PCI DSS’ pour plus d'informations sur ce domaine, mais ceci est un bref résumé -Clairement, il est important de vérifier toutes les annonces, les modifications et les suppressions de fichiers, car tout changement peut compromettre considérablement la sécurité d'un hôte. Ceci peut être réalisé en surveillant les changements d'attributs et la taille du fichier..
However, puisque nous cherchons à empêcher l'un des types de piratage les plus sophistiqués, nous devons introduire un moyen totalement infaillible de garantir l'intégrité des fichiers. Cela nécessite que chaque fichier soit «empreinte ADN», généralement généré à l'aide d'un algorithme de hachage sécurisé. Un algorithme de hachage sécurisé, comme SHA1 ou MD5, produit un unique, valeur de hachage basée sur le contenu du fichier et garantit que même un seul caractère changeant dans un fichier sera détecté. Cela signifie que même si un programme est modifié pour exposer les détails de la carte de paiement, mais le fichier est alors "rembourré’ pour lui donner la même taille que le fichier d'origine et avec tous les autres attributs modifiés pour donner au fichier la même apparence et la même sensation, les modifications seront toujours exposées. C'est pourquoi la norme PCI DSS fait de la surveillance de l'intégrité des fichiers une exigence obligatoire et pourquoi elle est de plus en plus considérée comme un composant essentiel de la sécurité du système en tant que pare-feu et défenses antivirus..
Conclusion Le renforcement des appareils est une discipline essentielle pour toute organisation soucieuse de la sécurité. Par ailleurs, si votre organisation est soumise à une gouvernance d'entreprise ou à une norme de sécurité formelle, comme PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, alors le durcissement de l'appareil sera une exigence obligatoire. – Tous les serveurs, les postes de travail et les périphériques réseau doivent être renforcés via une combinaison de paramètres de configuration et de déploiement de correctifs logiciels – Toute modification apportée à un appareil peut nuire à son état renforcé et exposer votre organisation à des menaces de sécurité – la surveillance de l'intégrité des fichiers doit également être utilisée pour atténuer les’ les menaces et la menace de «l'homme intérieur’ – les listes de vérification des vulnérabilités changeront régulièrement à mesure que de nouvelles menaces seront identifiées
Toutes les solutions logicielles NewNetTechnologies sont construites en utilisant les dernières technologies, ce qui signifie qu'ils peuvent être entièrement adaptés à tous les environnements professionnels. Pour plus d'informations sur Déposer Integrity Monitoring voir nos solutions logicielles sur http://www.newnettechnologies.com qui fournissent 100% des fonctionnalités dont vous avez besoin mais à une fraction du coût des solutions traditionnelles.
Article Source: http://EzineArticles.com/?expert = Mark_Kedgley