Uređaj Kaljenje, Ranjivosti i prijetnji Ublažavanje za usklađenost i sigurnost
Uređaj Kaljenje, Ranjivosti i prijetnji Ublažavanje za usklađenost i sigurnost
Po Mark Kedgley
Svi sigurnosni standardi i korporativnog upravljanja Politike Compliance poput PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, Hipaa, hitech, GLBA, ISO27000 i FISMA zahtijevaju uređaje kao što su osobna računala, Windows poslužitelji, Unix poslužitelje, mrežnih uređaja kao što su vatrozidi, Sustavi za zaštitu od upada (IPS) i usmjerivači da budu sigurni kako bi zaštitili povjerljive podatke.
U ovom području se koristi niz fraza – Sigurnosne ranjivosti i očvršćavanje uređaja? 'Stvrdnjavanje’ uređaj zahtijeva poznate sigurnosne 'ranjivosti'’ eliminirati ili ublažiti. Ranjivost je svaka slabost ili nedostatak u dizajnu softvera, implementacija ili administracija sustava koji osigurava mehanizam za prijetnju za iskorištavanje slabosti sustava ili procesa. Dva su glavna područja kojima se treba baviti kako bi se uklonile sigurnosne ranjivosti – postavke konfiguracije i softverske nedostatke u datotekama programa i operacijskog sustava. Uklanjanje ranjivosti zahtijevat će ili 'remedijaciju'’ – obično nadogradnja softvera ili zakrpa za datoteke programa ili OS-a – ili 'ublažavanje’ – promjena postavki konfiguracije. Kaljenje je jednako potrebno za poslužitelje, radne stanice i mrežni uređaji kao što su vatrozidi, prekidači i usmjerivači.
Kako mogu identificirati ranjivosti? Skeniranje ranjivosti ili vanjski test penetracije izvijestit će o svim ranjivostima primjenjivim na vaše sustave i aplikacije. Možete kupiti u uslugama skeniranja/testiranja olovke treće strane – testiranje olovkom po svojoj prirodi obavlja se izvana putem javnog interneta jer bi se odatle iskorištavala svaka prijetnja. Usluge skeniranja ranjivosti moraju biti isporučene na licu mjesta. To može izvesti konzultant treće strane s hardverom za skeniranje, ili možete kupiti "crnu kutiju".’ rješenje u kojem je uređaj za skeniranje trajno smješten unutar vaše mreže, a skeniranja se osiguravaju daljinski. Naravno, rezultati svakog skeniranja točni su samo u vrijeme skeniranja, zbog čega su rješenja koja kontinuirano prate promjene konfiguracije jedini pravi način da se jamči sigurnost vašeg IT posjeda.
Koja je razlika između 'remedijacije’ i 'ublažavanje'? 'Sanacija’ ranjivosti rezultira uklanjanjem ili trajnom popravkom mana, tako da se ovaj izraz općenito odnosi na bilo koje ažuriranje ili zakrpu softvera. Operativni sustav i programer proizvoda sve više automatiziraju upravljanje zakrpama – sve dok implementirate zakrpe kada se izdaju, tada će ugrađene ranjivosti biti otklonjene. Kao primjer, nedavno prijavljenoj operaciji Aurora, klasificiran kao napredna trajna prijetnja ili APT, bio uspješan u infiltriranju u Google i Adobe. Ranjivost unutar Internet Explorera korištena je za postavljanje zlonamjernog softvera na ciljane korisnike’ Računala koja su dopuštala pristup osjetljivim podacima. Otklanjanje ove ranjivosti je 'popraviti’ Internet Explorer koji koristi Microsoftove izdane zakrpe. Ublažavanje ranjivosti’ putem postavki konfiguracije osigurava da su ranjivosti onemogućene. Ranjivosti temeljene na konfiguraciji nisu više ili manje potencijalno štetne od onih koje je potrebno otkloniti putem zakrpe, iako sigurno konfiguriran uređaj može dobro ublažiti prijetnju temeljenu na programu ili OS-u. Najveći problem s ranjivostima temeljenim na konfiguraciji je to što se mogu ponovno uvesti ili omogućiti u bilo kojem trenutku – potrebno je samo nekoliko klikova za promjenu većine postavki konfiguracije.
Koliko često se otkrivaju nove ranjivosti? Nažalost, cijelo vrijeme! Još gore, često jedini način da globalna zajednica otkrije ranjivost je nakon što ju je haker otkrio i iskoristio. Tek kada je šteta učinjena, a hakiranje unatrag do njegovog izvora, može se poduzeti preventivni postupak, bilo zakrpe ili postavke konfiguracije, može se formulirati. Postoje razna centralizirana spremišta prijetnji i ranjivosti na webu, kao što su popisi MITER CCE, a mnogi dobavljači sigurnosnih proizvoda sastavljaju izvješća o prijetnjama uživo ili "centre za oluje".’ web stranice.
Dakle, sve što trebam učiniti je proći kroz kontrolnu listu i tada sam siguran? U teoriji, ali postoje doslovno stotine poznatih ranjivosti za svaku platformu, pa čak i u malom IT imanju, zadatak provjere očvrslog statusa svakog uređaja gotovo je nemoguć zadatak za ručno.
Čak i ako automatizirate zadatak skeniranja ranjivosti pomoću alata za skeniranje kako biste utvrdili koliko su vaši uređaji ojačani prije nego što počnete, i dalje ćete imati posla na ublažavanju i otklanjanju ranjivosti. Ali ovo je samo prvi korak – ako uzmete u obzir tipičnu ranjivost konfiguracije, na primjer, Windows Server bi trebao imati onemogućen račun gosta. Ako pokrenete skeniranje, identificirati gdje ova ranjivost postoji za vaše uređaje, a zatim poduzmite korake za ublažavanje ove ranjivosti onemogućavanjem računa gosta, tada ćete te uređaje očvrsnuti. Međutim, ako drugi korisnik s administratorskim povlasticama tada pristupi tim istim poslužiteljima i ponovno omogući račun gosta iz bilo kojeg razloga, tada ćete ostati izloženi. Naravno, nećete znati da je poslužitelj učinjen ranjivim dok sljedeći put ne pokrenete skeniranje koje možda nije za drugog 3 mjeseci ili čak 12 mjeseci. Postoji još jedan čimbenik koji još nije pokriven, a to je kako zaštititi sustave od unutarnje prijetnje – više o ovome kasnije.
Stoga je strogo upravljanje promjenama ključno za osiguravanje da ostanemo usklađeni? Doista – Odjeljak 6.4 PCI DSS opisuje zahtjeve za formalno vođen proces upravljanja promjenama upravo iz tog razloga. Svaka promjena na poslužitelju ili mrežnom uređaju može utjecati na "očvršćavanje" uređaja’ stanje i stoga je imperativ da se to uzme u obzir prilikom izmjena. Ako koristite rješenje za kontinuirano praćenje promjena konfiguracije, tada ćete imati na raspolaganju revizijski trag koji vam daje "zatvorenu petlju"’ upravljanje promjenama – pa se dokumentira detalj odobrene promjene, zajedno s detaljima o točnim promjenama koje su stvarno provedene. Nadalje, promijenjeni uređaji će se ponovno procijeniti na ranjivosti i automatski će se potvrditi njihovo usklađeno stanje.
Što je s unutarnjim prijetnjama? Cyberkriminal se pridružuje ligi organiziranog kriminala što znači da se ne radi samo o zaustavljanju zlonamjernih hakera da dokazuju svoje vještine kao zabavnu zabavu! Vatrozid, Sustavi za zaštitu od upada, Antivirusni softver i potpuno implementirane mjere očvršćavanja uređaja i dalje neće zaustaviti ili čak otkriti nevaljalog zaposlenika koji radi kao 'iznutra'. Ova vrsta prijetnje mogla bi rezultirati uvođenjem zlonamjernog softvera u inače sigurne sustave od strane zaposlenika s administratorskim pravima, ili čak backdoor programiran u osnovne poslovne aplikacije. Slično, s pojavom naprednih trajnih prijetnji (APT) kao što je objavljena 'Aurora’ hakovi koji koriste društveni inženjering kako bi zavarali zaposlenike da uvedu 'Zero-Day'’ zlonamjernog softvera. 'Nulti dan’ prijetnje iskorištavaju ranije nepoznate ranjivosti – haker otkriva novu ranjivost i formulira proces napada kako bi je iskoristio. Posao je tada razumjeti kako se napad dogodio i što je još važnije kako sanirati ili ublažiti buduće ponovne pojave prijetnje. Po samoj njihovoj prirodi, antivirusne mjere su često nemoćne protiv „nultog dana“.’ prijetnje. Zapravo, jedini način za otkrivanje ovih vrsta prijetnji je korištenje tehnologije File-Integrity Monitoring. “Svi vatrozidovi, Sustavi za zaštitu od upada, Anti-virusna i procesna tehnologija Whitelisting u svijetu neće vas spasiti od dobro organiziranog internog haka u kojem počinitelj ima administratorska prava na ključne poslužitelje ili legitiman pristup kodu aplikacije – nadzor integriteta datoteka koji se koristi zajedno sa strogom kontrolom promjena jedini je način da se pravilno upravlja osjetljivim sustavima platnih kartica” Phil Snell, CTO, NNT
Pogledajte naš drugi bijeli dokument „Nadzor integriteta datoteka – Posljednja linija obrane PCI DSS-a’ za više pozadine ovog područja, ali ovo je kratak sažetak -Jasno, važno je provjeriti sve dodatke, promjene i brisanja datoteka jer svaka promjena može biti značajna u ugrožavanju sigurnosti hosta. To se može postići praćenjem bilo kakvih promjena atributa i veličine datoteke.
Međutim, budući da želimo spriječiti jednu od najsofisticiranijih vrsta hakiranja, moramo uvesti potpuno nepogrešivo sredstvo za jamčenje integriteta datoteke. Ovo zahtijeva da svaka datoteka bude 'DNK Fingerprinted', obično generira pomoću sigurnog hash algoritma. Sigurni Hash algoritam, kao što su SHA1 ili MD5, proizvodi jedinstven, hash vrijednost temelji se na sadržaju datoteke i osigurava da se čak i jedan znak koji se mijenja u datoteci otkrije. To znači da čak i ako je program izmijenjen tako da otkriva podatke o platnoj kartici, ali je datoteka tada 'podstavljena’ da bude iste veličine kao izvorna datoteka i sa svim ostalim atributima uređenim kako bi datoteka izgledala i osjećala se isto, izmjene će i dalje biti izložene. To je razlog zašto PCI DSS čini praćenje integriteta datoteka obveznim zahtjevom i zašto se sve više smatra vitalnom komponentom u sigurnosti sustava poput vatrozida i antivirusne obrane.
Zaključak Stvrdnjavanje uređaja bitna je disciplina za svaku organizaciju koja se ozbiljno bavi sigurnošću. Nadalje, ako vaša organizacija podliježe bilo kojem korporativnom upravljanju ili formalnom sigurnosnom standardu, kao što je PCI DSS, SOX, Hipaa, NERC CIP, ISO 27K, GCSx Co Co, tada će otvrdnjavanje uređaja biti obavezan zahtjev. – Svi poslužitelji, radne stanice i mrežni uređaji moraju biti ojačani kombinacijom postavki konfiguracije i implementacije softverskih zakrpa – Svaka promjena uređaja može negativno utjecati na njegovo stanje i učiniti vašu organizaciju izloženom sigurnosnim prijetnjama – nadzor integriteta datoteke također se mora koristiti za ublažavanje 'nulti dana'’ prijetnje i prijetnje od 'čovjeka iznutra’ – kontrolne liste ranjivosti će se redovito mijenjati kako se budu identificirale nove prijetnje
Sva softverska rješenja NewNetTechnologies izrađena su korištenjem najnovije tehnologije, što znači da se mogu u potpunosti prilagoditi svim poslovnim okruženjima. Za više informacija o File Integrity Monitoring pogledajte naša softverska rješenja na http://www.newnettechnologies.com koje pružaju 100% značajki koje su vam potrebne, ali uz djelić cijene tradicionalnih rješenja.
Članak Izvor: http://EzineArticles.com/?stručnjak=Mark_Kedgley