Hartowanie urządzenie, Luka Skanowanie i Ograniczenie zagrożenia dla bezpieczeństwa i zgodności
Hartowanie urządzenie, Luka Skanowanie i Ograniczenie zagrożenia dla bezpieczeństwa i zgodności
Przez Mark Kedgley
Wszystkie normy bezpieczeństwa i ładu korporacyjnego zasad zgodności, takich jak PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 i FISMA wymagają urządzeń, takich jak komputery PC, Windows Servers, Serwery Unix, urządzenia sieciowe, takie jak zapory, Systemy ochrony przed włamaniami (IPS) i routery być zabezpieczone tak, aby chronić poufne dane są bezpieczne.
Istnieje szereg buzzwords używane w tej dziedzinie – Luki w zabezpieczeniach i twardnienie Device? "Hartowanie’ urządzenie wymaga luki znany Bezpieczeństwa "’ być eliminowane lub ograniczane. Luka jest jakaś słabość lub skaza w projektowaniu oprogramowania, Wdrożenie i administrowanie systemem, który zapewnia mechanizm zagrożenie wykorzystać słabość systemu lub procesu. Istnieją dwa główne obszary podjąć w celu wyeliminowania luk w zabezpieczeniach – Ustawienia konfiguracyjne i wady oprogramowania w programie i pliki systemu operacyjnego. Wyeliminowanie vulnerabilites wymagać będzie "rekultywację’ – Zazwyczaj program modernizacji lub poprawka dla programu lub systemu operacyjnego plików – lub łagodzenie "’ – zmiana ustawień konfiguracyjnych. Hartowanie wymagana jest jednakowo dla serwerów, stacje robocze i urządzenia sieciowe, takie jak zapory, przełączniki i routery.
Jak mogę określić słabe punkty? Skanowanie Luka lub zewnętrzny test penetracji zgłosi na wszystkich luk mających zastosowanie do systemów i aplikacji. Można kupić w 3rd party usługi testowania skanowania / pióra – Pióro Testy ze swej natury jest wykonywana na zewnątrz za pośrednictwem publicznego Internetu, jak to jest, gdy jakiekolwiek zagrożenie będzie eksploatowane od. Usterka usługi skanowania muszą być dostarczone in situ na miejscu. Może to być albo wykonywane przez konsultanta 3rd party ze sprzętu skanującego, lub można zakupić 'czarnej skrzynki’ Rozwiązanie za pomocą którego urządzenie do skanowania jest trwale zlokalizowane w obrębie sieci oraz skany są zabezpieczony zdalnie. Oczywiście, wyniki wszelkich skanowania są dokładne tylko w czasie skanowania, dlatego rozwiązania, które stale śledzić zmiany konfiguracyjne są jedynym sposobem, aby zapewnić bezpieczeństwo swojego majątku jest on utrzymywany.
Jaka jest różnica między "rekultywacji’ i "łagodzenie"? "Rekultywacja’ od A Wyniki Luka w wada zostaje usunięty lub ustalone stałe, więc określenie to na ogół stosuje się do wszelkich aktualizacji oprogramowania lub poprawki. Patch Management jest coraz bardziej zautomatyzowany przez system operacyjny i Produktu Developer – tak długo, jak wdrożyć poprawki po zwolnieniu, potem w budowanych Luki będą likwidowane. Jako przykład, niedawno poinformował Operation Aurora, klasyfikowane jako zaawansowany Persistent Threat lub APT, udało się infiltracji Google i Adobe. Luka w Internet Explorer została wykorzystana do roślin złośliwego oprogramowania na docelowych użytkowników’ Komputery, które umożliwiały dostęp do danych wrażliwych. Rekultywacja tej luki jest "fix’ Internet Explorer przy użyciu Microsoft udostępnił łatki. Ograniczanie Luka "’ poprzez ustawienia konfiguracja zapewnia luki są wyłączone. Luki w konfiguracji opartej nie są bardziej lub mniej potencjalnie szkodliwe niż te, które muszą być likwidowane poprzez patch, chociaż bezpiecznie skonfigurowane urządzenie może również ograniczyć program lub zagrożenie OS oparte. Największym problemem z lukami konfiguracyjne oparte jest to, że mogą one zostać ponownie wprowadzone lub włączona w każdej chwili – Potrzebne są tylko kilka kliknięć, aby zmienić większość ustawień konfiguracyjnych.
Jak często są nowe luki odkryta? Niestety, cały czas! Co gorsza, często jedynym sposobem, że globalna społeczność odkrywa lukę jest po haker odkrył go i wykorzystywać go. To jest tylko wtedy, gdy szkoda została wyrządzona i siekać sięgają do źródła, że zapobiegawczy kierunek działania, albo plaster lub konfiguracji ustawień, można formułować. Istnieją różne scentralizowane repozytorium zagrożeń i słabych punktów w sieci, takich jak list MITRE CCE i wielu dostawców produktów bezpieczeństwa zestawiają bieżące raporty zagrożenie lub "centrum burzy’ strony internetowe.
Więc wszystko co musisz zrobić, to pracować przez listę kontrolną i jestem bezpieczny? W teorii, ale istnieją setki znanych luk dla każdej platformy, a nawet w małym osiedlu IT, Zadaniem weryfikacji utwardzony status każdego urządzenia jest prawie niemożliwe do przeprowadzenia ręcznej.
Nawet jeśli zautomatyzować zadania skanowania słabych punktów za pomocą narzędzia skanującego, aby określić, jak hartowane urządzenia są przed rozpoczęciem, będzie jeszcze praca do zrobienia w celu złagodzenia i naprawiać luki. Ale to dopiero pierwszy krok – jeśli wziąć pod uwagę typową usterkę konfiguracji, na przykład, Windows Server powinien mieć konto Gość wyłączony. Jeśli uruchomić skanowanie, określić, gdzie istnieje luka ta dla urządzeń, a następnie podjąć kroki w celu złagodzenia tę usterkę poprzez wyłączenie konta gościa, Następnie trzeba będzie utwardzony tych urządzeń. Jednakże, Jeśli inny użytkownik z uprawnieniami administratora, a następnie uzyskuje dostęp do tych samych serwerów i ponownie włącza konto gościa z jakiegokolwiek powodu, Ci zostaną pozostawione bez zabezpieczenia. Oczywiście, przyzwyczajenie wiedzieć, że serwer został wygenerowana wyeliminowane dopiero po następnym uruchomieniu skanowania, które nie mogą być na innym 3 miesięcy lub nawet 12 miesiące. Jest jeszcze jeden czynnik, który nie został jeszcze objęty czyli jak chronić systemy przed zagrożeniem wewnętrznym – Więcej na ten temat później.
Więc zarządzanie zmianą mocno jest niezbędne dla zapewnienia, że pozostają zgodne? W rzeczy samej – Sekcja 6.4 z PCI DSS opisuje wymagania dotyczące formalnie zarządzanego procesu zarządzania zmianą z tego powodu. Wszelkie zmiany w urządzeniu lub na serwerze sieciowym może mieć wpływ na urządzeniu użytkownika "utwardzony’ stan i dlatego konieczne jest, że jest to brane pod uwagę przy wprowadzaniu zmian. Jeśli używasz rozwiązanie do śledzenia zmian konfiguracji wtedy masz audytu dostępna dając wam "zamknięta pętla’ Zarządzanie zmianami – tak szczegółowo dokumentuje zmiany zatwierdzonego, wraz z podaniem dokładnych zmian, które były faktycznie realizowane. Ponadto, urządzenia zmienione zostaną ponownie ocenione pod kątem luk w zabezpieczeniach, a ich stan zgodny potwierdzony automatycznie.
Co na temat zagrożeń wewnętrznych? Cyberprzestępczość dołącza Przestępczości Zorganizowanej ligę, która oznacza nie tylko zatrzymanie hakerzy potwierdzające ich umiejętności jako zabawa hobby! firewall, Systemy ochrony przed włamaniami, Oprogramowanie antywirusowe oraz w pełni wdrożone środki utwardzające urządzenie nadal nie będzie zatrzymać lub nawet wykryć fałszywe pracownika, który pracuje jako "wewnątrz człowieka". Ten rodzaj zagrożenia może spowodować szkodliwe oprogramowanie wprowadza w inny sposób zabezpieczyć systemy przez pracownika z uprawnieniami administratora, lub nawet backdoory są zaprogramowane w podstawowych aplikacjach biznesowych. podobnie, wraz z pojawieniem się zaawansowanych uporczywych zagrożeń (TRAFNY) takich jak nagłośnione "Aurora’ hacki, które wykorzystują socjotechnikę, aby oszukać pracowników na wprowadzenie "zero-day’ szkodliwe oprogramowanie. "Zero-Day’ Zagrożenia wykorzystać nieznane wcześniej luki – haker odkrywa nowe luki i formułuje proces ataku na wydobywanie. Zadanie jest więc zrozumieć, jak atak stało i co ważniejsze jak naprawiać lub złagodzenia przyszłych ponownych wystąpienia zagrożenia. Ze swej natury, Środki antywirusowe często są bezsilni wobec "zero-day’ zagrożenia. w rzeczywistości, jedynym sposobem na wykrycie tego typu zagrożeń jest użycie integralności plików technologii monitorowania. “Wszystkie firewalle, Systemy ochrony przed włamaniami, Antywirusowe i procesami technologicznymi białej listy na świecie nie pozwoli Ci zaoszczędzić od dobrze zorganizowanej siekać wewnętrznym, gdzie sprawca ma prawa administratora do głównych serwerów lub legalnego dostępu do kodu aplikacji – monitorowanie integralności plików używany w połączeniu z kontrolą zmian napięty jest jedynym sposobem, aby właściwie zarządzać systemy kart płatniczych wrażliwa” Phil Snell, CTO, NNT
Zobacz nasze inne whitepaper "monitorowanie integralności plików – Ostatnia linia obrony z PCI DSS’ dla tła więcej na tym obszarze, ale to krótkie podsumowanie -Clearly, ważne jest, aby sprawdzić wszystko składa, zmian i skreśleń plików jak każda zmiana może mieć znaczenie w narażania bezpieczeństwa hosta. Można to osiągnąć poprzez monitorowanie za powinno być żadnych zmian właściwości oraz rozmiar pliku.
Jednakże, od szukamy, aby zapobiec jednej z najbardziej wyrafinowanych rodzajów włamania musimy wprowadzić zupełnie niezawodne sposoby zagwarantowania integralności pliku. Wymaga to dla każdego pliku, który ma być "DNA odciski palców", zwykle generowane przy użyciu Secure Hash Algorithm. Secure Hash Algorithm, takich jak SHA1 lub MD5, produkuje unikalne, wartość skrótu na podstawie zawartości pliku i zapewnia, że zostaną wykryte nawet pojedyncza zmianę w pliku znaków. Oznacza to, że nawet jeśli program jest modyfikowany, aby odsłonić szczegóły karty płatniczej, ale plik jest następnie "wyściełane’ aby mu ten sam rozmiar co oryginalny plik i wszystkich innych atrybutów edytowanych aby wygląd pliku i czujesz to samo, modyfikacje będą nadal narażone. To dlatego PCI DSS sprawia Plik-Integrity Monitoring obowiązujących wymogów i dlatego coraz częściej traktowane jako istotny składnik systemu bezpieczeństwa jako firewall i antywirusowe obrony.
Hartowanie Wnioski Urządzenie jest istotnym dyscypliny dla każdej organizacji poważnego się o bezpieczeństwo. Ponadto, Jeśli dana organizacja jest przedmiotem żadnego ładu korporacyjnego lub formalnego standardu bezpieczeństwa, takiego jak PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, następnie utwardzenie urządzenie będzie obowiązkowy wymóg. – Wszystkie serwery, stacje robocze i urządzenia sieciowe muszą być utwardzone za pomocą kombinacji ustawień konfiguracyjnych i wdrażania poprawek oprogramowania – Wszelkie zmiany do urządzenia może niekorzystnie wpływać na swój stan hartowane i renderowanie organizacja narażona na zagrożenia dla bezpieczeństwa – monitorowanie integralności plików musi być również stosowane w celu złagodzenia "zero-day’ zagrożenia i groźby od "wewnątrz człowieka’ – listy kontrolne podatności będzie regularnie zmieniać w miarę jak nowe zagrożenia są identyfikowane
Wszystkie rozwiązania programowe NewNetTechnologies zbudowane są z wykorzystaniem najnowszych technologii, co oznacza, że mogą one być w pełni dostosowane do wszystkich środowisk biznesowych. Aby uzyskać więcej informacji na temat File Integrity Monitoring zobaczyć nasze rozwiązania software'owe na http://www.newnettechnologies.com które zapewniają 100% z potrzebnych funkcji, ale za ułamek kosztów tradycyjnych rozwiązań.
Paul Coulter jest właścicielem i prowadzi firmę zajmującą się projektowaniem stron internetowych w Windsor: http://Paul Coulter jest właścicielem i prowadzi firmę zajmującą się projektowaniem stron internetowych w Windsor?Ekspert = Mark_Kedgley