Dispositivo Hardening, Dixitalización de vulnerabilidade e mitigación de ameazas de Compliance e Seguridade
Dispositivo Hardening, Dixitalización de vulnerabilidade e mitigación de ameazas de Compliance e Seguridade
Por Mark Kedgley
Todas as normas de seguridade e políticas de conformidade de goberno corporativo, como PCI DSS, GCSx CoCo, Sox (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 e FISMA requiren dispositivos como PCs, Windows Servers, Servidores Unix, dispositivos de rede, como firewalls, Intrusion Protection Systems (IPS) e routers para ser seguro, a fin de que eles protexen os datos confidenciais seguros.
Hai un certo número de palabras de orde a ser utilizados neste campo – Vulnerabilidades de seguridade e endurecemento dispositivo? "Endurecemento’ un dispositivo require vulnerabilidades coñecidas de seguridade '’ para ser eliminado ou atenuado. A vulnerabilidade é calquera debilidade ou falla no deseño de software, implantación ou administración dun sistema que proporciona un mecanismo para unha ameaza para explotar a debilidade dun sistema ou proceso. Hai dúas áreas principais para abordar a fin de eliminar as vulnerabilidades de seguridade – opcións de configuración e fallos de software en programas e arquivos do sistema operativo. Vulnerabilidades Eliminando requirirá tanto 'remediação’ – tipicamente unha actualización de software ou parches para programas ou arquivos do sistema operativo – ou 'mitigación’ – un cambio de configuración de parámetros. Endurecemento é necesaria tamén para servidores, estacións de traballo e dispositivos de rede, como firewalls, switches e routers.
Como fago para identificar as vulnerabilidades? Un varrido de vulnerabilidade ou proba de penetración externa presentará un informe sobre as vulnerabilidades aplicables a seus sistemas e aplicacións. Podes mercar en servizos de dixitalización / proba pluma terceiro partido – proba da pluma pola súa propia natureza está feito externamente, a través de Internet pública, xa que é onde calquera ameaza sería explotada desde. Servizos de exploración de vulnerabilidades precisan ser entregados in situ no lugar. Este traballo pode ser realizado por un consultor 3 Partido con hardware de dixitalización, ou pode comprar unha "caixa negra’ solución en que un dispositivo de dixitalización está permanentemente instalados dentro da súa rede e exames son provisionais remotamente. Por suposto, os resultados de calquera exploración só son precisas no momento da exploración é por iso que as solucións que rastrexar continuamente os cambios de configuración son o único xeito de garantir a seguridade da súa propiedade é mantida.
Cal é a diferencia entre "remediação’ e "mitigación"? "Remediação’ dunha vulnerabilidade en que o fallo que está a ser eliminado ou fixa permanente, de xeito que este termo xeralmente se aplica a calquera actualización de software ou parche. A xestión de parches é cada vez máis automatizado polo sistema operativo e do produto creador – sempre que aplique os parches cando liberado, vulnerabilidades logo in-construídas serán remediados. Como exemplo, Operación Aurora informou recentemente, clasificada como unha ameaza persistente avanzada ou APT, foi exitoso en infiltrarse Google e Adobe. Unha vulnerabilidade en Internet Explorer foi usada para plantar malware en usuarios obxecto de aprendizaxe’ PCs que permitiu o acceso a datos sensibles. A corrección para esta vulnerabilidade é "corrección’ Internet Explorer usando Microsoft lanzou parches. Mitigación Vulnerabilidade '’ a través das opcións de configuración garante vulnerabilidades está desactivada. Vulnerabilidades baseado en configuración máis ou menos potencialmente son prexudiciais que os que teñen que ser modificado a través dun parche, a pesar de un dispositivo configurado con seguridade ben pode mitigar un programa ou ameaza baseada no SO. O maior problema con vulnerabilidades baseadas en configuración é que poden ser re-introducidos ou activada en calquera momento – uns poucos click son necesarios para cambiar a maioría das opcións de configuración.
Cantas veces son descubertas novas vulnerabilidades? Desafortunadamente, o tempo! Peor aínda, moitas veces o único xeito que a comunidade global descobre unha vulnerabilidade é despois dun hacker descubriu e explotou isto. É só cando o dano xa se fixo e do hack Rastrexar ata a súa fonte que un curso de acción preventiva, configuración ou de parche ou configuración, pode formularse. Existen varios repositorios centralizados de ameazas e vulnerabilidades na web, tales como as listas MITRE CCE e moitos provedores de produtos de seguridade compilar informes de ameazas en directo ou "centro de tormenta’ sitios.
Polo tanto, todo o que eu teño que facer é traballar a través da lista de verificación e, a continuación, estou seguro? En teoría, pero hai literalmente centos de vulnerabilidades coñecidas para cada plataforma, e mesmo nunha pequena propiedade de TI, a tarefa de comprobar o estado endurecido de cada dispositivo é unha tarefa case imposible de realizar manualmente.
Mesmo se automatizar a tarefa de exploración de vulnerabilidades utilizando unha ferramenta de verificación para identificar como endureceu os dispositivos son antes de comezar, aínda terá traballo a facer para mitigar e corrixir vulnerabilidades. Pero este é só o primeiro paso – se considerar unha vulnerabilidade configuración típica, por exemplo, Windows Server debe ter a conta Invitado desactivada. Se executar un varrido, identificar onde hai esa vulnerabilidade para os seus dispositivos, e, a continuación, tomar medidas para paliar esa vulnerabilidade desactivando a conta de convidado, entón vai ter endurecido estes dispositivos. Con todo, se outro usuario con privilexios de administrador, a continuación, accede eses mesmos servidores e re-activa a conta de convidado, por calquera motivo, entón vai estar exposto. Por suposto, non saberá que o servidor foi proferida vulnerable ata que preto realizar un varrido que pode non ser para outro 3 meses ou mesmo 12 meses. Hai outro factor que aínda non foi cuberto, que é como protexer os sistemas contra unha ameaza interna – máis sobre isto despois.
Xestión de cambios tan axustado é esencial para garantir que permanezan en conformidade? De feito – Sección 6.4 do PCI DSS describe os requisitos para un proceso de Xestión de Cambio formalmente xestionada por iso mesmo. Calquera modificación a un servidor ou dispositivo de rede pode ter un impacto sobre o dispositivo 'endurecido’ Estado e, polo tanto, é imperativo que este é considerado ao facer cambios. Se está a usar unha solución de control de cambios de configuración continua, entón terá unha banda de auditoría dispoñible dándolle 'circuíto pechado’ xestión do cambio – así o detalle do cambio aprobada é documentado, xunto con detalles dos cambios exactas que foron realmente implantadas. Ademais, os dispositivos modificados serán reavaliadas en busca de vulnerabilidades e seu estado compatible confirmado automaticamente.
E como a ameazas internas? Cibercrime está xuntando a liga Crime Organizado que significa que este non é só sobre a parada de hackers mal intencións probar as súas habilidades como un pasatempo divertido! Firewalling, Intrusion Protection Systems, Software antivirus e endurecemento dispositivo totalmente implementado medidas aínda non vai parar ou mesmo detectar un funcionario deshonesto que funciona como un "home interior". Este tipo de ameaza pode producir malware que están sendo introducidos sistemas doutra forma segura por un funcionario con dereitos de administrador, ou mesmo backdoors ser programada en aplicacións de negocio principais. Similarmente, coa chegada de Advanced Ameazas Persistentes (APT) como o difundido 'Aurora’ hacks que usan a enxeñería social para enganar os empregados para a introdución de 'Cero-Day’ malware. 'Cero-Day’ ameazas explotan vulnerabilidades descoñecidas – un hacker descobre un novo vulnerabilidade e formula un proceso de ataque de explora-la. O traballo, entón, é entender como o ataque pasou e máis importante, como para corrixir ou mitigar futuras re-coincidencias de ameaza. Pola súa propia natureza, medidas anti-virus son a miúdo impotente contra o "cero-day’ ameazas. Centrais, o único xeito de detectar este tipo de ameazas é utilizar a tecnoloxía de Seguimento File-Integrity. “Todo firewalls, Intrusion Protection Systems, Antivirus e Proceso tecnoloxía Whitelisting no mundo non pode salvalo dun hack interior ben orquestada na que o autor ten dereitos de administrador para servidores de chaves ou o acceso lexítimo ao código da aplicación – arquivar seguimento da integridade usado en conxunto con control de cambios axustado é o único xeito de gobernar axeitadamente sistemas sensibles de tarxetas de pago” Phil Snell, CTO, NNT
Vexa noso outro whitepaper 'Seguimento File-Integrity – A última liña de defensa do PCI DSS’ para máis fondo para esta área, pero este é un breve resumo de claro, é importante comprobar todo isto engade, cambios e exclusións de arquivos como calquera cambio pode ser significativo en comprometer a seguridade dun servidor. Isto pódese conseguir a través dun control por deben calquera atributos cambios e o tamaño do arquivo.
Con todo, xa que estamos mirando para previr un dos tipos máis sofisticados de corte necesitamos introducir un medio totalmente infalíbeis de garantir a integridade do ficheiro. Isto chámase para cada ficheiro de 'ADN pegadas', tipicamente xerados usando un Secure Hash algorithm. A Secure Hash algorithm, como SHA1 ou MD5, produce un único, valor de hash baseado no contido do arquivo e asegura que mesmo un único personaxe cambiando nun ficheiro detectado. É dicir, que aínda que un programa é modificado para expoñer detalles da tarxeta de pagamento, pero o arquivo é, entón, "acolchado’ para facelo o mesmo tamaño do ficheiro orixinal e con todos os outros atributos editados para facer a mirada de arquivo e sentir o mesmo, as modificacións aínda vai ser exposto. É por iso que o PCI DSS fai File-Integrity Monitoring un requisito obrigatorio e por iso é cada vez máis considerada como un compoñente vital no sistema de seguridade como devasas e as defensas anti-virus.
Endurecemento Conclusión dispositivo é unha disciplina esencial para calquera organización seria sobre seguridade. Ademais, Se a súa organización está suxeita a calquera goberno corporativo ou estándar de seguridade formal, como PCI DSS, Sox, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, entón endurecemento dispositivo será un requisito obrigatorio. – Todos os servidores, estacións de traballo e dispositivos de rede deben ser endurecidas por medio dunha combinación de opcións de configuración e implantación de parches de software – Calquera modificación a un dispositivo pode afectar negativamente o seu estado endurecido e facer a súa organización exposto a ameazas de seguridade – seguimento da integridade dos ficheiros tamén debe ser empregado para mitigar "cero-day’ ameazas e as ameazas do "home interior’ – Checklists vulnerabilidade vai cambiar regularmente como novas ameazas son identificadas
Todas as solucións de software NewNetTechnologies son construídos utilizando a última tecnoloxía, o que significa que pode ser totalmente adaptado para atender todos os ambientes de negocios. Para máis información sobre Ficheiro de Monitorización de Integridade ver as nosas solucións de software en http://www.newnettechnologies.com que fornecen 100% das características que precisa, pero por unha fracción do custo das solucións tradicionais.
Article Source: http://EzineArticles.com/?especialista = Mark_Kedgley