Tempra dispositivo, Scansione delle vulnerabilità e delle minacce di mitigazione per la conformità e la sicurezza
Tempra dispositivo, Scansione delle vulnerabilità e delle minacce di mitigazione per la conformità e la sicurezza
Di Mark Kedgley
Tutti gli standard di sicurezza e di Corporate Governance policy di conformità come PCI DSS, GCSX CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 e FISMA richiedono dispositivi come PC, I server di Windows, I server Unix, dispositivi di rete come firewall, Sistemi di protezione dalle intrusioni (IPS) e router per essere sicuro in modo che essi proteggere i dati riservati sicuri.
Ci sono un certo numero di parole d'ordine in uso in questo settore – Vulnerabilità di sicurezza e indurimento dispositivo? ‘Tempra’ un dispositivo richiede vulnerabilità di sicurezza note’’ essere eliminati o mitigati. Una vulnerabilità è alcuna debolezza o difetto nella progettazione del software, attuazione o di gestione di un sistema che fornisce un meccanismo per una minaccia per sfruttare la debolezza di un sistema o processo. Ci sono due aree principali per affrontare al fine di eliminare le vulnerabilità di sicurezza – le impostazioni di configurazione e difetti software nel programma e dei file del sistema operativo. Eliminando vulnerabilità renderà necessario ‘di bonifica’ – in genere un aggiornamento software o patch per i file di programma o del sistema operativo – o ‘attenuazione’ – un cambiamento delle impostazioni di configurazione. Indurimento è necessario ugualmente per i server, workstation e dispositivi di rete come firewall, commutatori e router.
Come faccio a identificare le vulnerabilità? Una scansione delle vulnerabilità o test di penetrazione esterna riferiranno su tutte le vulnerabilità applicabili ai vostri sistemi e applicazioni. È possibile acquistare in servizi di test di scansione / penna 3rd Party – pen test per sua stessa natura è fatto esternamente via internet pubblico come questo è dove ogni minaccia sarebbe stata sfruttata da. servizi di scansione delle vulnerabilità devono essere consegnati in situ in loco. Questo può essere eseguita da un consulente 3rd Party con l'hardware di scansione, oppure è possibile acquistare una ‘scatola nera’ Soluzione cui un apparecchio di scansione è permanentemente situata all'interno della rete e scansioni vengono provisioning remoto. Ovviamente, i risultati di qualsiasi scansione sono solo accurate al momento della scansione, che è il motivo per cui le soluzioni che tengono traccia in modo continuo le modifiche di configurazione sono l'unico vero modo per garantire la sicurezza del vostro immobile è mantenuto.
Qual è la differenza tra ‘di bonifica’ e ‘mitigazione’? ‘Bonifica’ di una vulnerabilità provoca il difetto di essere rimosso o fissata in modo definitivo, quindi questo termine si riferisce in generale a qualsiasi aggiornamento software o cerotto. La gestione delle patch è sempre più automatizzata dal sistema operativo e gli sviluppatori del prodotto – a patto che si sceglie di implementare le patch quando viene rilasciato, poi vulnerabilità in-costruite saranno risanati. Come esempio, il recentemente riportato Operazione Aurora, classificato come Advanced Persistent Threat o APT, è riuscito a infiltrarsi Google e Adobe. Una vulnerabilità in Internet Explorer è stato utilizzato per piantare malware sui utenti mirati’ PC che hanno permesso l'accesso ai dati sensibili. La bonifica per questa vulnerabilità è quello di ‘correzione’ Internet Explorer utilizzando Microsoft ha rilasciato le patch. Vulnerabilità ‘attenuazione’ tramite le impostazioni di configurazione assicura le vulnerabilità sono disabilitati. vulnerabilità basati sulla configurazione sono più o meno potenzialmente dannoso di coloro che devono essere risanati tramite una patch, anche se un dispositivo configurato in modo sicuro potrebbe attenuare un programma o una minaccia con sistema operativo. Il più grande problema con le vulnerabilità di configurazione basata su è che possono essere reintrodotti o attivate in qualsiasi momento – solo pochi clic sono necessari per modificare la maggior parte delle impostazioni di configurazione.
Con quale frequenza vengono scoperte nuove vulnerabilità? purtroppo, tutto il tempo! Ancora peggio, spesso l'unico modo in cui la comunità globale scopre una vulnerabilità è dopo un hacker ha scoperto e sfruttato esso. E 'solo quando il danno è stato fatto e l'hack risalire alla sua fonte che un corso d'azione preventiva, sia le impostazioni di patch o di configurazione, può essere formulato. Ci sono vari archivi centralizzati di minacce e vulnerabilità sul web come ad esempio le liste MITRE CCE e molti fornitori di prodotti di sicurezza compilare report sulle minacce in tempo reale o ‘centro della tempesta’ siti web.
Quindi tutto ciò che devo fare è lavorare attraverso la lista di controllo e poi io sono sicuro? In teoria, ma ci sono letteralmente centinaia di vulnerabilità note per ogni piattaforma e anche in una piccola azienda IT, il compito di verificare lo stato indurito di ogni dispositivo è un compito quasi impossibile condurre manualmente.
Anche se di automatizzare il compito di scansione delle vulnerabilità utilizzando uno strumento di scansione per identificare come induriti i dispositivi sono prima di iniziare, si dovrà ancora del lavoro da fare per mitigare e risolvere le vulnerabilità. Ma questo è solo il primo passo – se si considera una vulnerabilità configurazione tipica, per esempio, Windows Server dovrebbe avere l'account Guest disattivato. Se si esegue una scansione, identificare dove esiste questa vulnerabilità per i dispositivi, e poi prendere provvedimenti per ridurre la vulnerabilità Disabilitazione dell'account Guest, allora avrete indurito questi dispositivi. però, se un altro utente con privilegi di amministratore accede allora questi stessi server e riattiva l'account Ospite per qualsiasi motivo, allora sarete lasciato a vista. Ovviamente, voi non sapete che il server è stato reso vulnerabile finché non sarà prossima esegue una scansione che non può essere per un altro 3 mesi o addirittura 12 mesi. C'è un altro fattore che non è ancora stata coperta che è come si fa a proteggere i sistemi da una minaccia interna – più in seguito.
Quindi, la gestione del cambiamento stretto è essenziale per garantire restiamo compliant? Infatti – Sezione 6.4 del PCI DSS descrive i requisiti per un processo di Change Management gestito formalmente per questo motivo. Qualsiasi modifica a un dispositivo server o di rete può avere un impatto sul dispositivo del ‘indurito’ Stato e quindi è indispensabile che questo è considerato quando si apportano modifiche. Se si utilizza una soluzione di continuo rilevamento delle modifiche di configurazione allora si avrà una pista di controllo a disposizione dandovi ‘anello chiuso’ cambio gestione – così il dettaglio del cambiamento approvato è documentata, insieme ai dettagli delle modifiche esatte che sono stati effettivamente implementati. inoltre, i dispositivi modificati saranno riesaminati per la vulnerabilità e il loro stato di conformità confermato automaticamente.
Che dire di minacce interne? Cybercrime si unisce la criminalità organizzata campionato che significa che questo non è solo di fermare gli hacker malintenzionati comprovanti le loro abilità come un passatempo divertente! firewalling, Sistemi di protezione dalle intrusioni, Il software antivirus e le misure di protezione avanzata dei dispositivi pienamente attuate non ancora fermare o addirittura rilevare un dipendente canaglia che lavora come ‘uomo dentro’. Questo tipo di minaccia può provocare il malware viene introdotto ai sistemi altrimenti sicuri con un dipendente con i diritti di amministratore, o anche backdoor essendo programmati nelle applicazioni aziendali. allo stesso modo, con l'avvento di minacce avanzate persistenti (APT) come ad esempio la pubblicizzata ‘Aurora’ hack che utilizzano tecniche di ingegneria sociale per ingannare i dipendenti in introduzione ‘Zero-Day’ il malware. ‘Zero-Day’ minacce sfruttano le vulnerabilità precedentemente sconosciute – un hacker scopre una nuova vulnerabilità e formula un processo di attacco a sfruttarlo. Il lavoro è quindi di capire come l'attacco è avvenuto e soprattutto come rimediare o mitigare future re-occorrenze della minaccia. Per loro stessa natura, misure anti-virus sono spesso impotenti contro ‘zero-day’ minacce. Infatti, l'unico modo per rilevare questi tipi di minacce è quello di utilizzare dell'integrità dei file tecnologia di monitoraggio. “Tutti i firewall, Sistemi di protezione dalle intrusioni, Anti-virus e la tecnologia di processo Whitelisting nel mondo non si salva da un hack interna ben orchestrata in cui l'autore ha diritti di amministratore ai server chiave o un accesso legittimo al codice dell'applicazione – monitoraggio dell'integrità dei file utilizzati in combinazione con controllo delle modifiche stretto è l'unico modo di governare correttamente i sistemi di carte di pagamento sensibili” Phil Snell, CTO, NNT
Vedi la nostra altra whitepaper ‘File di monitoraggio dell'integrità – L'ultima linea di difesa del PCI DSS’ per più di fondo di questo settore, ma questo è un breve riassunto -Clearly, è importante verificare tutte aggiunge, modifiche e cancellazione di file come ogni cambiamento può essere significativo nel compromettere la sicurezza di un host. Ciò può essere ottenuto da un monitoraggio per eventuali attributi dovrebbe essere cambiamenti e la dimensione del file.
però, dal momento che stiamo cercando di evitare che uno dei più sofisticati tipi di mod abbiamo bisogno di introdurre un mezzo completamente infallibile per garantire l'integrità dei file. Ciò richiede per ogni file di essere ‘DNA impronte digitali’, tipicamente generato utilizzando un algoritmo Secure Hash. Un algoritmo Secure Hash, come SHA1 o MD5, produce un unico, valore hash basato sul contenuto del file e assicura che sarà rilevato anche un singolo carattere mutevole in un file. Questo significa che anche se un programma viene modificato per esporre i dettagli della carta di pagamento, ma il file viene quindi ‘imbottito’ per rendere le stesse dimensioni del file originale e con tutti gli altri attributi modificati per rendere l'aspetto di file e sentire lo stesso, saranno ancora esposte le modifiche. Questo è il motivo per cui il PCI DSS fa File di monitoraggio dell'integrità un requisito obbligatorio e perché è sempre più considerato come una componente vitale nella sicurezza del sistema di firewalling e anti-virus difese.
indurimento dispositivo conclusione è una disciplina fondamentale per qualsiasi organizzazione sul serio la sicurezza. inoltre, se l'organizzazione è soggetta ad alcun governo societario o standard di sicurezza formale, come ad esempio PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSX Co Co, allora dispositivo indurimento sarà un requisito obbligatorio. – tutti i server, workstation e dispositivi di rete devono essere induriti mediante una combinazione di impostazioni di configurazione e la distribuzione di patch software – Qualsiasi modifica a un dispositivo potrebbe influenzare negativamente il suo stato temprato e rendere la vostra organizzazione esposto alle minacce alla sicurezza – il monitoraggio dell'integrità dei file deve essere impiegato per mitigare ‘zero-day’ minacce e la minaccia della ‘uomo all'interno’ – liste di controllo di vulnerabilità cambieranno regolarmente come le nuove minacce vengono identificate
Tutte le soluzioni software NewNetTechnologies sono costruiti utilizzando le più moderne tecnologie, il che significa che possono essere completamente adattati per soddisfare tutti gli ambienti di lavoro. Per maggiori informazioni su File Integrity Monitoring vedere le nostre soluzioni software su http://www.newnettechnologies.com che forniscono 100% delle funzioni necessarie, ma ad una frazione del costo delle soluzioni tradizionali.
Fonte Articolo: http://EzineArticles.com/?esperti = Mark_Kedgley