dyfais Caledu, Sganio agored i niwed ac Lliniaru Bygythiad ar gyfer Cydymffurfio a Diogelwch
dyfais Caledu, Sganio agored i niwed ac Lliniaru Bygythiad ar gyfer Cydymffurfio a Diogelwch
By Mark Kedgley
Yr holl safonau diogelwch a Pholisïau Cydymffurfiaeth Llywodraethu Corfforaethol fel PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), CIP NERC, HIPAA, HITECH, GLBA, Mae ISO27000 a FISMA yn gofyn am ddyfeisiau fel cyfrifiaduron personol, Gweinyddion Windows, Gweinyddion Unix, dyfeisiau rhwydwaith fel waliau tân, Systemau Diogelu Ymyrraeth (IPS) a llwybryddion i fod yn ddiogel er mwyn iddynt ddiogelu data cyfrinachol yn ddiogel.
Mae nifer o eiriau bywiog yn cael eu defnyddio yn yr ardal hon – Bregusrwydd Diogelwch a Chaledu Dyfeisiau? ‘Caledu’ mae dyfais yn gofyn am wendidau diogelwch ‘hysbys’’ i gael ei ddileu neu ei liniaru. Gwendid yw unrhyw wendid neu ddiffyg yn nyluniad y feddalwedd, gweithredu neu weinyddu system sy'n darparu mecanwaith i fygythiad fanteisio ar wendid system neu broses. Mae dau brif faes i fynd i'r afael â nhw er mwyn dileu gwendidau diogelwch – gosodiadau cyfluniad a diffygion meddalwedd mewn ffeiliau rhaglen a system weithredu. Bydd dileu naill ai gwendidau yn gofyn am naill ai ‘adferiad’’ – yn nodweddiadol uwchraddiad meddalwedd neu ddarn ar gyfer ffeiliau rhaglen neu OS – neu ‘lliniaru’ – mae gosodiadau cyfluniad yn newid. Mae angen caledu yn gyfartal ar gyfer gweinyddwyr, gweithfannau a dyfeisiau rhwydwaith fel waliau tân, switshis a llwybryddion.
Sut mae nodi Bregusrwydd? Bydd sgan Bregusrwydd neu Brawf Treiddiad allanol yn adrodd ar yr holl wendidau sy'n berthnasol i'ch systemau a'ch cymwysiadau. Gallwch brynu mewn gwasanaethau sganio / profi pen 3ydd Parti – mae profion ysgrifbin yn ôl ei natur yn cael eu gwneud yn allanol trwy'r rhyngrwyd cyhoeddus gan mai dyma lle y byddai unrhyw fygythiad yn cael ei ecsbloetio. Mae angen darparu gwasanaethau Sganio Bregusrwydd yn y fan a'r lle ar y safle. Gall un ai Ymgynghorydd 3ydd Parti wneud hyn gyda sganio caledwedd, neu gallwch brynu blwch ‘du’’ datrysiad lle mae peiriant sganio wedi'i leoli'n barhaol yn eich rhwydwaith a darperir sganiau o bell. Wrth gwrs, dim ond ar adeg y sgan y mae canlyniadau unrhyw sgan yn gywir a dyna pam mai datrysiadau sy'n olrhain newidiadau ffurfweddiad yn barhaus yw'r unig ffordd wirioneddol i warantu diogelwch eich ystâd TG..
Beth yw’r gwahaniaeth rhwng ‘adfer’’ a ‘lliniaru’? ‘Adferiad’ mae bregusrwydd yn arwain at dynnu neu osod y diffyg yn barhaol, felly mae'r term hwn yn gyffredinol yn berthnasol i unrhyw ddiweddariad neu ddarn meddalwedd. Mae rheoli patsh yn cael ei awtomeiddio fwyfwy gan y System Weithredu a'r Datblygwr Cynnyrch – cyhyd â'ch bod yn gweithredu clytiau wrth gael eich rhyddhau, yna bydd gwendidau mewnol yn cael eu hadfer. Fel enghraifft, Ymgyrch Aurora a adroddwyd yn ddiweddar, wedi'i ddosbarthu fel Bygythiad Parhaus Uwch neu APT, llwyddodd i ymdreiddio i Google ac Adobe. Defnyddiwyd bregusrwydd o fewn Internet Explorer i blannu meddalwedd faleisus ar ddefnyddwyr wedi'u targedu’ Cyfrifiaduron personol a oedd yn caniatáu mynediad at ddata sensitif. Yr adferiad ar gyfer y bregusrwydd hwn yw ‘trwsio’ Internet Explorer gan ddefnyddio darnau a ryddhawyd gan Microsoft. Lliniaru bregusrwydd ‘’ trwy leoliadau Ffurfweddu yn sicrhau bod gwendidau yn anabl. Nid yw gwendidau sy'n seiliedig ar ffurfweddiad yn fwy neu'n llai niweidiol o bosibl na'r rhai y mae angen eu hadfer trwy ddarn, er y gallai dyfais sydd wedi'i ffurfweddu'n ddiogel liniaru rhaglen neu fygythiad wedi'i seilio ar OS. Y broblem fwyaf gyda gwendidau sy'n seiliedig ar Gyfluniad yw y gellir eu hailgyflwyno neu eu galluogi ar unrhyw adeg – dim ond ychydig o gliciau sydd eu hangen i newid y mwyafrif o leoliadau cyfluniad.
Pa mor aml y darganfyddir gwendidau newydd? Yn anffodus, trwy'r amser! Yn waeth byth, yn aml yr unig ffordd y mae'r gymuned fyd-eang yn darganfod bregusrwydd yw ar ôl i haciwr ei ddarganfod a'i ecsbloetio. Dim ond pan fydd y difrod wedi'i wneud a bod yr hac wedi'i olrhain yn ôl i'w ffynhonnell y dylid cymryd camau ataliol, naill ai gosodiadau patsh neu ffurfweddiad, gellir ei lunio. Mae amryw ystorfeydd canolog o fygythiadau a gwendidau ar y we megis rhestrau MITER CCE ac mae llawer o werthwyr cynhyrchion diogelwch yn llunio adroddiadau bygythiad byw neu ‘storm storm’’ gwefannau.
Felly'r cyfan sydd angen i mi ei wneud yw gweithio trwy'r rhestr wirio ac yna rwy'n ddiogel? Mewn theori, ond yn llythrennol mae cannoedd o wendidau hysbys ar gyfer pob platfform a hyd yn oed mewn ystâd TG fach, mae'r dasg o wirio statws caledu pob dyfais yn dasg bron yn amhosibl i'w chynnal â llaw.
Hyd yn oed os ydych chi'n awtomeiddio'r dasg sganio bregusrwydd gan ddefnyddio teclyn sganio i nodi pa mor galed yw'ch dyfeisiau cyn i chi ddechrau, bydd gennych waith i'w wneud o hyd i liniaru ac adfer gwendidau. Ond dim ond y cam cyntaf yw hwn – os ydych chi'n ystyried bregusrwydd cyfluniad nodweddiadol, er enghraifft, dylai Gweinyddwr Windows gael y cyfrif Guest yn anabl. Os ydych chi'n rhedeg sgan, nodi lle mae'r bregusrwydd hwn yn bodoli ar gyfer eich dyfeisiau, ac yna cymryd camau i liniaru'r bregusrwydd hwn trwy analluogi'r Cyfrif Gwesteion, yna byddwch wedi caledu'r dyfeisiau hyn. Fodd bynnag, os yw defnyddiwr arall sydd â breintiau Gweinyddwr yna'n cyrchu'r un gweinyddwyr hyn ac yn ail-alluogi'r Cyfrif Gwestai am unrhyw reswm, yna cewch eich gadael yn agored. Wrth gwrs, ni fyddwch yn gwybod bod y gweinydd wedi'i wneud yn agored i niwed nes i chi redeg sgan nesaf na fydd o bosib ar gyfer un arall 3 misoedd neu hyd yn oed 12 misoedd. Mae ffactor arall nad yw wedi cael sylw eto, sef sut ydych chi'n amddiffyn systemau rhag bygythiad mewnol – mwy ar hyn yn nes ymlaen.
Felly mae rheoli newid tynn yn hanfodol er mwyn sicrhau ein bod yn parhau i gydymffurfio? Yn wir – Adran 6.4 o'r PCI Mae DSS yn disgrifio'r gofynion ar gyfer proses Rheoli Newid a reolir yn ffurfiol am yr union reswm hwn. Efallai y bydd unrhyw newid i weinydd neu ddyfais rhwydwaith yn cael effaith ar galedu’r ddyfais’ nodi ac felly mae'n hanfodol bod hyn yn cael ei ystyried wrth wneud newidiadau. Os ydych yn defnyddio datrysiad olrhain newid cyfluniad parhaus yna bydd gennych lwybr archwilio ar gael sy’n rhoi ‘dolen gaeedig’ i chi’ rheoli newid – felly mae manylion y newid cymeradwy yn cael eu dogfennu, ynghyd â manylion yr union newidiadau a roddwyd ar waith mewn gwirionedd. Ymhellach, bydd y dyfeisiau a newidir yn cael eu hail-asesu ar gyfer gwendidau a chaiff eu cyflwr cydymffurfiol ei gadarnhau'n awtomatig.
Beth am fygythiadau mewnol? Mae seiberdroseddu yn ymuno â'r gynghrair Troseddau Cyfundrefnol sy'n golygu nad yw hyn yn ymwneud ag atal hacwyr maleisus yn unig rhag profi eu sgiliau fel difyrrwch hwyliog! Mur Tân, Systemau Diogelu Ymyrraeth, Ni fydd meddalwedd AntiVirus a mesurau caledu dyfeisiau a weithredir yn llawn yn dal i stopio na hyd yn oed ganfod gweithiwr twyllodrus sy’n gweithio fel ‘dyn y tu mewn’. Gallai'r math hwn o fygythiad arwain at gyflwyno meddalwedd maleisus i weithwyr sydd fel arall yn ddiogel gan weithwyr â Hawliau Gweinyddwr, neu hyd yn oed backdoors yn cael eu rhaglennu mewn cymwysiadau busnes craidd. Yn yr un modd, gyda dyfodiad Bygythiadau Cyson Uwch (APT) megis yr ‘Aurora’ cyhoeddus’ haciau sy’n defnyddio peirianneg gymdeithasol i dupe gweithwyr i gyflwyno ‘Zero-Day’ drwgwedd. ‘Zero-Day’ mae bygythiadau yn ecsbloetio gwendidau nad oedd yn hysbys o'r blaen – mae haciwr yn darganfod bregusrwydd newydd ac yn llunio proses ymosod i'w hecsbloetio. Y swydd wedyn yw deall sut y digwyddodd yr ymosodiad ac yn bwysicach fyth sut i adfer neu liniaru'r bygythiad yn y dyfodol. Yn ôl eu natur, mae mesurau gwrth firws yn aml yn ddi-rym yn erbyn ‘diwrnod sero’ bygythiadau. Yn wir, yr unig ffordd i ganfod y mathau hyn o fygythiadau yw defnyddio technoleg Monitro Uniondeb Ffeil. “Yr holl waliau tân, Systemau Diogelu Ymyrraeth, Nid yw technoleg gwrth-firws a Phroses Whitelisting yn y byd yn eich arbed rhag darnia mewnol wedi'i drefnu'n dda lle mae gan y tramgwyddwr hawliau gweinyddol i weinyddion allweddol neu fynediad cyfreithlon i god cais – monitro cywirdeb ffeiliau a ddefnyddir ar y cyd â rheolaeth newid tynn yw'r unig ffordd i lywodraethu systemau cardiau talu sensitif yn iawn” Phil Snell, CTO, NNT
Gweler ein papur gwyn arall ‘File-Uniondeb Monitro – Llinell Amddiffyn Olaf y PCI DSS’ am fwy o gefndir i'r ardal hon, ond crynodeb byr yw hwn -Clearly, mae'n bwysig gwirio pob ychwanegiad, newidiadau a dileu ffeiliau gan y gallai unrhyw newid fod yn sylweddol wrth gyfaddawdu ar ddiogelwch gwesteiwr. Gellir cyflawni hyn trwy fonitro a ddylai unrhyw newidiadau priodoleddau a maint y ffeil.
Fodd bynnag, gan ein bod yn ceisio atal un o'r mathau mwyaf soffistigedig o hac, mae angen i ni gyflwyno dull cwbl anffaeledig o warantu cywirdeb ffeiliau. Mae hyn yn galw am i bob ffeil fod yn ‘DNA Fingerprinted’, a gynhyrchir yn nodweddiadol gan ddefnyddio Algorithm Hash Diogel. Algorithm Hash Diogel, megis SHA1 neu MD5, yn cynhyrchu unigryw, gwerth hash yn seiliedig ar gynnwys y ffeil ac yn sicrhau y bydd hyd yn oed un cymeriad sy'n newid mewn ffeil yn cael ei ganfod. Mae hyn yn golygu, hyd yn oed os yw rhaglen yn cael ei haddasu i ddatgelu manylion cardiau talu, ond mae’r ffeil wedyn yn ‘padio’ i'w gwneud yr un maint â'r ffeil wreiddiol a chyda'r holl briodoleddau eraill wedi'u golygu i wneud i'r ffeil edrych a theimlo'r un peth, bydd yr addasiadau yn dal i fod yn agored. Dyma pam mae'r PCI DSS yn gwneud Monitro Uniondeb Ffeil yn ofyniad gorfodol a pham ei fod yn cael ei ystyried fwyfwy fel cydran hanfodol mewn diogelwch system fel amddiffynfeydd tân a gwrth-firws.
Casgliad Mae caledu dyfeisiau yn ddisgyblaeth hanfodol i unrhyw sefydliad sydd o ddifrif ynglŷn â diogelwch. Ymhellach, os yw'ch sefydliad yn ddarostyngedig i unrhyw lywodraethu corfforaethol neu safon diogelwch ffurfiol, megis PCI DSS, SOX, HIPAA, CIP NERC, ISO 27K, GCSx Co Co., yna bydd caledu dyfeisiau yn ofyniad gorfodol. – Pob gweinydd, mae angen caledu gweithfannau a dyfeisiau rhwydwaith trwy gyfuniad o leoliadau cyfluniad a defnyddio patsh meddalwedd – Gall unrhyw newid i ddyfais effeithio'n andwyol ar ei gyflwr caledu a gwneud eich sefydliad yn agored i fygythiadau diogelwch – rhaid defnyddio monitro cywirdeb ffeiliau hefyd i liniaru ‘diwrnod sero’ bygythiadau a’r bygythiad gan y dyn ‘y tu mewn’’ – bydd rhestrau gwirio bregusrwydd yn newid yn rheolaidd wrth i fygythiadau newydd gael eu nodi
Mae holl atebion meddalwedd NewNetTechnologies yn cael eu hadeiladu gan ddefnyddio'r dechnoleg ddiweddaraf, sy'n golygu y gellir eu haddasu'n llawn i weddu i bob amgylchedd busnes. Am fwy o wybodaeth ar Ffeil Monitro Uniondeb gweld ein datrysiadau meddalwedd ar http://www.newnettechnologies.com sy'n darparu 100% o'r nodweddion sydd eu hangen arnoch ond ar ffracsiwn o gost datrysiadau traddodiadol.
Ffynhonnell Erthygl: http://EzineArticles.com/?arbenigwr = Mark_Kedgley