Endurecimento Dispositivo, De Vulnerabilidade e Mitigação de Ameaças para Compliance e Segurança
Endurecimento Dispositivo, De Vulnerabilidade e Mitigação de Ameaças para Compliance e Segurança
De Mark Kedgley
Todas as normas de segurança e Políticas de Compliance Governança Corporativa, tais como PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 e FISMA requer dispositivos como PCs, Servidores Windows, Servidores Unix, dispositivos de rede, tais como firewalls, Sistemas de proteção contra intrusão (IPS) e roteadores para ser seguro, a fim de que eles protegem os dados confidenciais seguros.
Há uma série de chavões sendo usado nesta área – Vulnerabilidades de segurança e endurecimento Dispositivo? ‘Endurecimento’ um dispositivo requer vulnerabilidades de segurança conhecidas’’ para ser eliminado ou atenuado. A vulnerabilidade é qualquer fraqueza ou falha no design de software, aplicação ou administração de um sistema que proporciona um mecanismo para uma ameaça para explorar a fraqueza de um sistema ou processo. Há duas áreas principais para abordar a fim de eliminar as vulnerabilidades de segurança – definições de configuração e falhas de software no programa e arquivos do sistema operacional. Eliminando vulnerabilites vai exigir quer ‘remediação’ – tipicamente uma atualização de software ou patch para o programa ou sistema operacional arquivos – ou ‘mitigação’ – uma mudança definições de configuração. Endurecimento é exigido igualmente para servidores, estações de trabalho e dispositivos de rede tais como firewalls, comutadores e encaminhadores.
Como faço para identificar as vulnerabilidades? Uma varredura de vulnerabilidade ou teste de penetração externa apresentará um relatório sobre todas as vulnerabilidades aplicáveis a seus sistemas e aplicativos. Você pode comprar em serviços de teste de digitalização / caneta Parte 3 – teste da pena por sua própria natureza é feito externamente através da internet pública, pois é onde qualquer ameaça seria explorado a partir de. serviços de vulnerabilidade de digitalização precisam ser entregues in situ no local. Isto pode ser realizado por um consultor 3rd Party com hardware de digitalização, ou você pode comprar uma ‘caixa negra’ solução em que um aparelho de digitalização está fixado permanentemente dentro de sua rede e varreduras são provisionados remotamente. Claro, os resultados de qualquer verificação só são precisas no momento da digitalização é por isso que soluções que continuamente rastrear alterações de configuração são a única maneira de garantir a segurança de sua propriedade é mantida.
Qual é a diferença entre ‘remediação’ e ‘mitigação’? ‘Remediação’ de uma vulnerabilidade resulta na falha a ser removida ou fixada permanentemente, de modo que este termo geralmente se aplica a qualquer atualização de software ou patch. gerenciamento de patches é cada vez mais automatizado pelo sistema operacional e desenvolvedor do produto – contanto que você implementar os patches quando liberado, em seguida, as vulnerabilidades no-construídas será remediado. Como um exemplo, o informou recentemente Aurora Operação, classificada como uma ameaça persistente avançada ou APT, foi bem sucedido em se infiltrar Google e Adobe. Uma vulnerabilidade no Internet Explorer foi usada para plantar malware em usuários-alvo’ PCs que permitiram o acesso a dados sensíveis. A correção para essa vulnerabilidade é ‘correção’ Internet Explorer usando Microsoft lançou patches. Vulnerabilidade ‘mitigação’ através das definições de configuração garante vulnerabilidades são desativados. vulnerabilidades de configuração não são mais ou menos potencialmente prejudiciais do que aqueles que necessitam de ser remediados através de um emplastro, apesar de um dispositivo de segurança configurado pode muito bem mitigar um programa ou ameaça com sistema operacional. O maior problema com vulnerabilidades de configuração é que eles podem ser re-introduzidos ou ativada a qualquer momento – apenas alguns cliques são necessários para alterar a maioria das definições de configuração.
Quantas vezes são novas vulnerabilidades descobertas? Infelizmente, todo o tempo! Ainda pior, muitas vezes a única forma que a comunidade global descobre uma vulnerabilidade é depois de um hacker descobriu e explorou isso. É somente quando o dano já foi feito e o hack rastreada até sua fonte que um curso de ação preventiva, ambas as configurações de patch ou configuração, pode ser formulado. Existem vários repositórios centralizados de ameaças e vulnerabilidades na web, tais como as listas MITRE CCE e muitos fornecedores de produtos de segurança compilar relatórios de ameaças ao vivo ou ‘centro da tempestade’ sites.
Então, tudo que eu preciso fazer é trabalhar através da lista de verificação e, em seguida, estou seguro? Em teoria, mas existem literalmente centenas de vulnerabilidades conhecidas para cada plataforma e até mesmo em uma pequena propriedade de TI, a tarefa de verificar o estado endurecido de cada dispositivo é uma tarefa quase impossível de realizar manualmente.
Mesmo se você automatizar a tarefa de verificação de vulnerabilidade usando uma ferramenta de varredura para identificar como endurecido seus dispositivos são antes de começar, você ainda tem trabalho a fazer para mitigar e corrigir vulnerabilidades. Mas este é apenas o primeiro passo – se você considerar uma vulnerabilidade configuração típica, por exemplo, um Windows Server deve ter a conta Convidado desativada. Se você executar uma varredura, identificar onde existe essa vulnerabilidade para os seus dispositivos, e, em seguida, tomar medidas para mitigar essa vulnerabilidade, desactivando a conta de convidado, então você vai ter endurecido estes dispositivos. Contudo, se outro usuário com privilégios de administrador, em seguida, acessa esses mesmos servidores e re-habilita a conta de convidado, por qualquer motivo, então você vai ser deixado exposto. Claro, você não saberá que o servidor tenha sido tornado vulnerável até que próximo executar uma varredura que pode não ser para outra 3 meses ou mesmo 12 meses. Há um outro fator que ainda não foi coberto que é como você proteger os sistemas contra uma ameaça interna – mais sobre isso mais tarde.
Portanto, o gerenciamento de mudanças apertado é essencial para garantir que permaneçam em conformidade? De fato – Seção 6.4 do PCI DSS descreve os requisitos para um processo de Gerenciamento de Mudanças formalmente gerenciado por essa razão. Qualquer alteração a um servidor ou dispositivo de rede pode ter um impacto sobre o dispositivo de ‘endurecido’ Estado e, portanto, é imperativo que este é considerado ao fazer alterações. Se você estiver usando uma solução contínua controle de alterações de configuração, então você terá uma trilha de auditoria disponíveis dando-lhe ‘circuito fechado’ gerenciamento de mudanças – de modo que o detalhe da mudança aprovada está documentada, junto com detalhes das mudanças exatas que foram realmente implementadas. além disso, os dispositivos alteradas serão reavaliados para vulnerabilidades e seu estado automaticamente compatível confirmado.
E quanto a ameaças internas? Cibercrime está se juntando ao Crime Organizado liga que significa que este não é apenas sobre parar hackers maliciosos provando suas habilidades como um passatempo divertido! firewalling, Sistemas de proteção contra intrusão, software antivírus e medidas de endurecimento dispositivo totalmente implementadas ainda não vai parar ou até mesmo detectar um funcionário desonesto que funciona como um ‘homem interior’. Este tipo de ameaça pode resultar em malwares sendo introduzidos sistemas de outra forma segura por um funcionário com direitos de administrador, ou mesmo backdoors sendo programada em aplicativos de negócios principais. similarmente, com o advento das ameaças persistentes avançadas (APT) tal como o divulgado ‘Aurora’ hacks que usam engenharia social para enganar os funcionários para a introdução de ‘Zero-Day’ malwares. ‘Zero-Dia’ ameaças exploram vulnerabilidades previamente desconhecidas – um hacker descobre uma nova vulnerabilidade e formula um processo de ataque para explorar isto. O trabalho, então, é para entender como o ataque aconteceu e, mais importante como remediar ou mitigar futuras re-ocorrências de ameaça. Pela sua própria natureza, medidas anti-vírus são muitas vezes impotente contra ‘zero-day’ ameaças. de fato, a única maneira de detectar esses tipos de ameaças é a utilização da integridade dos arquivos tecnologia de monitoramento. “Todos os firewalls, Sistemas de proteção contra intrusão, Anti-vírus e tecnologia Whitelisting Processo do mundo não vai te salvar de um hack interna bem orquestrada em que o autor tem direitos de administrador para servidores de chaves ou o acesso legítimo código do aplicativo – arquivar monitoramento da integridade usado em conjunto com controle de mudanças apertado é a única maneira de governar adequadamente sistemas de cartões de pagamento sensíveis” Phil Snell, CTO, NNT
Veja nosso outro whitepaper ‘Monitorização da integridade dos arquivos – A última linha de defesa do PCI DSS’ para mais fundo para esta área, mas este é um breve resumo -Clearly, é importante verificar tudo isso acrescenta, alterações e exclusões de arquivos como qualquer mudança pode ser significativo em comprometer a segurança de um host. Isto pode ser conseguido através de monitoramento para deve haver quaisquer atributos mudanças e o tamanho do arquivo.
Contudo, uma vez que estamos olhando para evitar um dos tipos mais sofisticados de corte precisamos introduzir um meio completamente infalíveis de garantir a integridade do arquivo. Isto chama para cada arquivo a ser ‘DNA impressões digitais’, tipicamente gerado usando um Secure Hash Algorithm. A Secure Hash Algorithm, tais como MD5 ou SHA1, produz um único, valor de hash com base no conteúdo do arquivo e garante que mesmo um único personagem mudando em um arquivo será detectado. Isto significa que mesmo se um programa é modificado para expor detalhes do cartão de pagamento, mas o arquivo é então ‘acolchoado’ para torná-lo o mesmo tamanho que o arquivo original e com todos os outros atributos editados para fazer o olhar de arquivo e sentir o mesmo, as modificações ainda vai ser exposto. É por isso que o PCI DSS faz File-Integrity Monitoring um requisito obrigatório e por isso é cada vez mais considerado como um componente vital na segurança do sistema de firewall e anti-vírus defesas.
endurecimento Conclusão do dispositivo é uma disciplina essencial para qualquer organização sério sobre segurança. além disso, se a sua organização está sujeita a qualquer governança corporativa ou o padrão de segurança formal, tais como PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, em seguida, dispositivo de endurecimento será um requisito obrigatório. – Todos os servidores, estações de trabalho e dispositivos de rede precisa de ser endurecido por meio de uma combinação de definições de configuração e distribuição de correções de software – Qualquer alteração a um dispositivo podem afetar negativamente seu estado endurecido e tornar sua organização exposta a ameaças de segurança – monitoramento da integridade do arquivo também deve ser empregado para mitigar ‘zero-day’ ameaças e a ameaça do ‘homem interior’ – listas de verificação de vulnerabilidade vai mudar regularmente como novas ameaças são identificados
Todas as soluções de software NewNetTechnologies são construídos utilizando a mais recente tecnologia, o que significa que pode ser totalmente adaptado para atender todos os ambientes de negócios. Para mais informações sobre Arquivos de Monitoramento de Integridade ver nossas soluções de software em http://www.newnettechnologies.com que fornecem 100% as características que você precisa, mas em uma fração do custo das soluções tradicionais.
Fonte do artigo: http://EzineArticles.com/?especialista = Mark_Kedgley