Prietaiso grūdinimas, Pažeidžiamumo nuskaitymas ir grėsmių mažinimas siekiant atitikties ir saugumo
Prietaiso grūdinimas, Pažeidžiamumo nuskaitymas ir grėsmių mažinimas siekiant atitikties ir saugumo
Autorius Markas Kedgley
Visi saugumo standartai ir įmonės valdymo atitikties politika, pvz., PCI DSS, GCSx CoCo, SOX (Sarbanesas Okslis), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 ir FISMA reikalauja tokių įrenginių kaip kompiuteriai, Windows serveriai, Unix serveriai, tinklo įrenginius, tokius kaip ugniasienės, Apsaugos nuo įsibrovimo sistemos (IPS) ir maršrutizatoriai turi būti saugūs, kad apsaugotų konfidencialius duomenis.
Šioje srityje vartojama nemažai populiarių žodžių – Saugos pažeidžiamumas ir įrenginių stiprinimas? ‘Kietėjimas’ įrenginiui reikia žinomų saugos pažeidžiamumų’ pašalinti arba sušvelninti. Pažeidžiamumas yra bet koks programinės įrangos dizaino trūkumas ar trūkumas, sistemos, kuri suteikia grėsmės mechanizmą išnaudoti sistemos ar proceso silpnumą, diegimas ar administravimas. Norint pašalinti saugumo spragas, reikia atkreipti dėmesį į dvi pagrindines sritis – konfigūracijos parametrai ir programinės įrangos trūkumai programų ir operacinės sistemos failuose. Norint pašalinti pažeidžiamumą, reikės „ištaisyti“.’ – paprastai programinės įrangos naujinimas arba pataisa programos arba OS failams – arba „švelninimas“.’ – konfigūracijos parametrų pakeitimas. Grūdinimas vienodai reikalingas serveriams, darbo stotis ir tinklo įrenginius, tokius kaip ugniasienės, jungikliai ir maršrutizatoriai.
Kaip atpažinti pažeidžiamumą? Pažeidžiamumo nuskaitymas arba išorinis įsiskverbimo testas praneš apie visus pažeidžiamumus, taikomus jūsų sistemoms ir programoms.. Galite įsigyti trečiųjų šalių nuskaitymo / rašiklio testavimo paslaugų – rašiklio testavimas pagal savo pobūdį atliekamas išorėje per viešąjį internetą, nes čia būtų išnaudojama bet kokia grėsmė. Pažeidžiamumo nuskaitymo paslaugos turi būti teikiamos vietoje. Tai gali atlikti trečiosios šalies konsultantas, turintis nuskaitymo aparatinę įrangą, arba galite įsigyti „juodąją dėžę“.’ sprendimas, kai nuskaitymo įrenginys nuolat yra jūsų tinkle, o nuskaitymai teikiami nuotoliniu būdu. Žinoma, bet kokio nuskaitymo rezultatai yra tikslūs tik nuskaitymo metu, todėl sprendimai, kurie nuolat seka konfigūracijos pokyčius, yra vienintelis tikras būdas užtikrinti jūsų IT turto saugumą..
Kuo skiriasi „ištaisymas“.’ ir "švelninimas"? 'Pataisymas’ Dėl pažeidžiamumo trūkumas pašalinamas arba ištaisomas visam laikui, todėl šis terminas paprastai taikomas bet kokiam programinės įrangos naujinimui ar pataisai. Pataisų valdymą vis labiau automatizuoja operacinė sistema ir produkto kūrėjas – tol, kol įdiegsite pataisas, kai bus išleista, tada bus ištaisyti integruoti pažeidžiamumai. Pavyzdžiui, neseniai pranešta operacija „Aurora“., klasifikuojama kaip Išplėstinė nuolatinė grėsmė arba APT, sėkmingai įsiskverbė į „Google“ ir „Adobe“.. „Internet Explorer“ pažeidžiamumas buvo naudojamas kenkėjiškoms programoms užkrėsti tiksliniams vartotojams’ Kompiuteriai, kurie leido pasiekti neskelbtinus duomenis. Šio pažeidžiamumo ištaisymas yra „ištaisyti“.’ Internet Explorer naudojant Microsoft išleistus pataisymus. Pažeidžiamumo mažinimas’ per konfigūracijos nustatymus užtikrina, kad pažeidžiamumas būtų išjungtas. Konfigūracija pagrįsti pažeidžiamumai yra ne daugiau ar mažiau potencialiai žalingi nei tie, kuriuos reikia pašalinti naudojant pataisą, nors saugiai sukonfigūruotas įrenginys gali sušvelninti programos ar OS pagrįstą grėsmę. Didžiausia konfigūracijos pažeidžiamumų problema yra ta, kad jas galima bet kada iš naujo įdiegti arba įjungti – norint pakeisti daugumą konfigūracijos nustatymų, reikia vos kelių paspaudimų.
Kaip dažnai atrandama naujų pažeidžiamumų? Deja, visą laiką! Dar blogiau, dažnai vienintelis būdas pasaulinei bendruomenei atrasti pažeidžiamumą yra tada, kai įsilaužėlis jį atrado ir pasinaudojo. Tik padarius žalą ir atsekus įsilaužimo šaltinį, galima imtis prevencinių veiksmų, pataisos arba konfigūracijos parametrai, galima suformuluoti. Žiniatinklyje yra įvairių centralizuotų grėsmių ir pažeidžiamumų saugyklų, tokių kaip „MITER CCE“ sąrašai, ir daugelis saugos produktų pardavėjų sudaro tiesiogines grėsmių ataskaitas arba „audros centrą“.’ svetaines.
Taigi viskas, ką man reikia padaryti, yra atidaryti kontrolinį sąrašą ir tada aš saugus? Teoriškai, bet pažodžiui žinomi šimtai žinomų kiekvienos platformos ir net nedidelio IT turto pažeidžiamumų, užduotis patikrinti kiekvieno prietaiso sukietėjusią būseną yra beveik neįmanoma užduotis rankiniu būdu.
Net jei automatizuojate pažeidžiamumo nuskaitymo užduotį naudodami nuskaitymo įrankį, kad nustatytumėte, kokie jūsų įrenginiai yra sukietėję prieš pradėdami, jūs vis dar turėsite nuveikti ir pašalinti pažeidžiamumą. Bet tai tik pirmas žingsnis – jei manote, kad yra tipiškas konfigūracijos pažeidžiamumas, pavyzdžiui, „Windows Server“ svečio paskyra turi būti išjungta. Jei atliekate nuskaitymą, nustatyti, kur yra jūsų įrenginių pažeidžiamumas, tada imkitės veiksmų, kad sumažintumėte šį pažeidžiamumą, išjungdami svečio paskyrą, tada būsite sukietinęs šiuos įrenginius. Pažeidžiamumas gali būti apibrėžiamas kaip programinės ar techninės įrangos klaidos arba netinkama konfigūracija, kurią asmuo gali netinkamai panaudoti, pakenkdamas organizacijai ar verslui., jei kitas vartotojas, turintis administratoriaus teises, prisijungia prie tų pačių serverių ir dėl bet kokios priežasties vėl įjungia svečio paskyrą, tada būsite atviri. Žinoma, jūs nežinote, kad serveris buvo pažeidžiamas, kol kitą kartą nepaleisite nuskaitymo, kurio gali ir nebūti 3 mėnesių ar net 12 mėnesių. Yra dar vienas veiksnys, kuris dar nebuvo aptartas – kaip apsaugoti sistemas nuo vidinės grėsmės – daugiau apie tai vėliau.
Taigi griežtas pokyčių valdymas yra būtinas norint užtikrinti, kad mes ir toliau atitiktume reikalavimus? Iš tikrųjų – Skyrius 6.4 Dėl šios priežasties PCI DSS aprašomi formaliai valdomo pokyčių valdymo proceso reikalavimai. Bet koks serverio ar tinklo įrenginio pakeitimas gali turėti įtakos įrenginio „užkietėjimui“.’ ir todėl būtina į tai atsižvelgti atliekant pakeitimus. Jei naudojate nuolatinį konfigūracijos keitimo stebėjimo sprendimą, turėsite audito seką, suteikiančią jums „uždarojo ciklo“’ pokyčių valdymas – todėl patvirtinto pakeitimo detalė yra dokumentuojama, kartu su informacija apie tikslius pakeitimus, kurie iš tikrųjų buvo įgyvendinti. Be to, pakeisti įrenginiai bus pakartotinai įvertinti dėl pažeidžiamumų ir automatiškai patvirtinama jų suderinamumo būsena.
Ką apie vidines grėsmes? Elektroniniai nusikaltimai prisijungia prie Organizuoto nusikalstamumo lygos, o tai reiškia, kad tai ne tik sustabdyti kenkėjiškus įsilaužėlius, įrodančius savo įgūdžius kaip linksmą pramogą! Ugniasienės, Apsaugos nuo įsibrovimo sistemos, Antivirusinė programinė įranga ir visiškai įdiegtos įrenginio grūdinimo priemonės vis tiek nesustabdys ir net neaptiks nesąžiningo darbuotojo, dirbančio kaip „vidinis žmogus“.. Dėl tokios grėsmės darbuotojas, turintis administratoriaus teises, gali įdiegti kenkėjiškas programas kitu atveju saugioms sistemoms, ar net užpakalinės durys yra užprogramuotos pagrindinėse verslo programose. Panašiai, atsiradus išplėstinėms nuolatinėms grėsmėms (APT) pavyzdžiui, paviešinta „Aurora’ įsilaužimai, kurie naudoja socialinę inžineriją, kad paskatintų darbuotojus įvesti „Nulio dieną“’ kenkėjiškų programų. ‘Nulio diena’ grėsmės išnaudoja anksčiau nežinomus pažeidžiamumus – įsilaužėlis atranda naują pažeidžiamumą ir suformuluoja atakos procesą, kad juo pasinaudotų. Tada darbas yra suprasti, kaip įvyko išpuolis ir, dar svarbiau, kaip ištaisyti arba sušvelninti grėsmės pasikartojimą ateityje.. Pagal savo prigimtį, Antivirusinės priemonės dažnai yra bejėgės prieš „nulinę dieną“.’ grasinimai. Iš tiesų, vienintelis būdas aptikti tokio tipo grėsmes yra naudoti failų vientisumo stebėjimo technologiją. “Visos ugniasienės, Apsaugos nuo įsibrovimo sistemos, Antivirusinė ir procesų įtraukimo į baltąjį sąrašą technologija pasaulyje neapsaugos jūsų nuo gerai organizuoto vidinio įsilaužimo, kai nusikaltėlis turi administratoriaus teises į pagrindinius serverius arba teisėtą prieigą prie programos kodo. – failų vientisumo stebėjimas, naudojamas kartu su griežta pakeitimų kontrole, yra vienintelis būdas tinkamai valdyti jautrias mokėjimo kortelių sistemas” Philas Snellas, CTO, NNT
Žr. Kitą mūsų dokumentą „Failų vientisumo stebėjimas – Paskutinė PCI DSS gynybos linija’ daugiau informacijos apie šią sritį, bet tai trumpa santrauka -Aišku, svarbu patikrinti visus papildymus, failų pakeitimai ir ištrynimai, nes bet kokie pakeitimai gali būti reikšmingi pažeidžiant pagrindinio kompiuterio saugumą. Tai galima pasiekti stebint, ar turėtų pasikeisti atributai ir failo dydis.
Pažeidžiamumas gali būti apibrėžiamas kaip programinės ar techninės įrangos klaidos arba netinkama konfigūracija, kurią asmuo gali netinkamai panaudoti, pakenkdamas organizacijai ar verslui., kadangi mes siekiame užkirsti kelią vienam iš sudėtingiausių įsilaužimų tipų, turime įdiegti visiškai neklystančią failų vientisumo garantavimo priemonę. Tam reikia, kad kiekvienas failas būtų „DNR pirštų atspaudas“, paprastai generuojamas naudojant „Secure Hash“ algoritmą. Saugus maišos algoritmas, pvz., SHA1 ar MD5, gamina unikalų, maišos reikšmė pagal failo turinį ir užtikrina, kad bus aptiktas net vienas faile besikeičiantis simbolis. Tai reiškia, kad net jei programa yra modifikuota, kad atskleistų mokėjimo kortelės duomenis, bet byla tada „paminkštinta’ kad failas būtų tokio pat dydžio kaip originalus failas, ir su visais kitais redaguotais atributais, kad failas atrodytų ir atrodytų tas pats, modifikacijos vis tiek bus matomos. Štai kodėl PCI DSS nustato, kad failų vientisumo stebėjimas yra privalomas reikalavimas ir kodėl jis vis dažniau laikomas gyvybiškai svarbiu sistemos saugumo komponentu kaip užkardos ir antivirusinės apsaugos.
Išvada Įrenginio grūdinimas yra būtina disciplina kiekvienai organizacijai, kuri rimtai rūpinasi saugumu. Be to, jei jūsų organizacijai galioja bet koks įmonės valdymas ar oficialus saugumo standartas, pavyzdžiui, PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, „GCSx Co Co“, tada prietaiso grūdinimas bus privalomas reikalavimas. – Visi serveriai, darbo vietas ir tinklo įrenginius reikia grūdinti derinant konfigūracijos parametrus ir diegiant programinės įrangos pataisą – Bet koks įrenginio pakeitimas gali neigiamai paveikti jo sukietėjusią būseną ir padaryti jūsų organizaciją grėsmės saugumui – failų vientisumo stebėsena taip pat turi būti naudojama siekiant nulinės dienos’ grasinimai ir „vidinio žmogaus“ grėsmė’ – pažeidžiamumo kontroliniai sąrašai reguliariai keisis, kai nustatomos naujos grėsmės
Visi „NewNetTechnologies“ programinės įrangos sprendimai sukurti naudojant naujausias technologijas, tai reiškia, kad jie gali būti visiškai pritaikyti, kad tiktų visoms verslo aplinkoms. Norėdami gauti daugiau informacijos apie Failo vientisumo stebėjimas peržiūrėti mūsų programinės įrangos sprendimus http://www.newnettechnologies.com kurie numato 100% jums reikalingų funkcijų, bet už nedidelę tradicinių sprendimų kainą.
Organizacijoms taip pat svarbu žinoti ir turėti strategijas, kaip apsisaugoti nuo kelių pažeidžiamumo lygių rizikos.: http://Organizacijoms taip pat svarbu žinoti ir turėti strategijas, kaip apsisaugoti nuo kelių pažeidžiamumo lygių rizikos.?ekspertas=Mark_Kedgley