Device Hardening, Kwetsbaarheidscans en Threat Mitigation voor compliance en beveiliging
Device Hardening, Kwetsbaarheidscans en Threat Mitigation voor compliance en beveiliging
Door Mark Kedgley
Alle veiligheidsnormen en Corporate Governance Compliance Policies zoals PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 en FISMA vereisen apparaten zoals pc's, Windows Servers, Unix-servers, netwerkapparaten zoals firewalls, Inbraakbeveiligingssystemen (IPS) en routers om veilig te zijn, zodat ze vertrouwelijke gegevens veilig beschermen.
Er worden op dit gebied een aantal modewoorden gebruikt – Beveiligingsproblemen en verharding van apparaten? 'Verharding’ een apparaat vereist bekende beveiligingskwetsbaarheden’ worden geëlimineerd of verzacht. Een kwetsbaarheid is elke zwakte of fout in het softwareontwerp, implementatie of beheer van een systeem dat een mechanisme biedt voor een dreiging om de zwakte van een systeem of proces te misbruiken. Er zijn twee hoofdgebieden die moeten worden aangepakt om beveiligingsproblemen te elimineren – configuratie-instellingen en softwarefouten in programma- en besturingssysteembestanden. Het wegwerken van vulnerabilites zal ofwel ‘sanering vereisen’ – typisch een software-upgrade of patch voor het programma of OS-bestanden – of ‘mitigatie’ – een verandering van de configuratie-instellingen. Harden is evenzeer nodig voor servers, workstations en netwerkapparaten zoals firewalls, switches en routers.
Hoe kan ik vaststellen van de kwetsbaarheden? Een Kwetsbaarheidscan of externe Penetration Test zal verslag uitbrengen over alle kwetsbaarheden van toepassing op uw systemen en applicaties. U kunt kopen in 3rd Party scanning / pen testdiensten – pen testen door haar aard wordt extern gebeurt via het publieke internet, omdat dit is waar iedere bedreiging zou worden geëxploiteerd uit. Kwetsbaarheidscans diensten moeten worden geleverd in situ on-site. Dit kan worden uitgevoerd door een 3e partij Consultant met scanning hardware, of u kunt een ‘zwarte doos’ oplossing waarbij een scanapparaat permanent binnen uw netwerk is geplaatst en scans op afstand worden geleverd. Natuurlijk, de resultaten van een scan zijn alleen nauwkeurig op het moment van de scan.Daarom zijn oplossingen die continu configuratiewijzigingen volgen de enige echte manier om te garanderen dat de veiligheid van uw IT-domein wordt gehandhaafd.
Wat is het verschil tussen 'sanering’ en ‘beperking’? ‘Herstel’ van een kwetsbaarheid resulteert in het verwijderen of permanent herstellen van de fout, dus deze term is in het algemeen van toepassing op elke software-update of patch. Patchbeheer wordt in toenemende mate geautomatiseerd door het besturingssysteem en de productontwikkelaar – zolang u patches implementeert wanneer ze worden vrijgegeven, dan worden ingebouwde kwetsbaarheden verholpen. Als voorbeeld, de onlangs gemeld Operation Aurora, geclassificeerd als een Advanced Persistent Threat of APT, was succesvol in het infiltreren van Google en Adobe. Een kwetsbaarheid in Internet Explorer werd gebruikt om planten malware op de beoogde gebruikers’ PC die toegang krijgen tot gevoelige gegevens. De sanering van deze kwetsbaarheid te ‘fix’ Internet Explorer met behulp van Microsoft patches. Kwetsbaarheid ‘mitigatie’ via configuratie-instellingen garandeert kwetsbaarheden zijn uitgeschakeld. Configureerbare kwetsbaarheden niet meer of minder potentieel schadelijke dan hoeven te saneren via een patch, Hoewel een goed geconfigureerde inrichting kan ook verzachten een programma of OS-gebaseerde bedreigingen. Het grootste probleem met de configuratie op basis van kwetsbaarheden is dat ze opnieuw kunnen worden ingevoerd of mogelijk op elk gewenst moment – slechts een paar klikken zijn nodig om de meeste configuratie-instellingen wijzigen.
Hoe vaak worden nieuwe kwetsbaarheden ontdekt? helaas, de hele tijd! Nog steeds slechter, vaak de enige manier waarop de internationale gemeenschap ontdekt een kwetsbaarheid is na een hacker het is ontdekt en benut deze. Het is pas wanneer de schade is aangericht en de hack terug te voeren naar de bron, dat een preventieve cursus van actie, ofwel patch of instellingen, kan worden geformuleerd. Er zijn verschillende gecentraliseerde repositories van bedreigingen en kwetsbaarheden op het web, zoals de MITRE CCE lijsten en veel security leveranciers van producten compileren levend dreigingsmeldingen of ‘storm center’ websites.
Dus alles wat ik moet doen is het werk door de checklist en dan ben ik veilig? In theorie, maar er zijn letterlijk honderden bekende kwetsbaarheden voor elk platform en zelfs in een kleine IT landgoed, tijdens het verifiëren de geharde toestand van elk apparaat een vrijwel onmogelijke taak om handmatig te voeren.
Zelfs als je de kwetsbaarheid scanning taak te automatiseren met behulp van een scanning tool om te bepalen hoe gehard uw apparaten zijn voordat je begint, je zult nog steeds werk te doen om te verminderen en te saneren kwetsbaarheden. Maar dit is slechts de eerste stap – als je bedenkt een normale configuratie kwetsbaarheid, bijvoorbeeld, een Windows Server moet de gast-account hebben uitgeschakeld. Als u een scan uit te voeren, identificeren waar dit beveiligingslek bestaat voor uw apparaten, en dan stappen te ondernemen om deze kwetsbaarheid te verminderen door het uitschakelen van de Gast-account, dan zult u deze apparaten verhard hebben. Echter, Als een andere gebruiker met beheerdersrechten vervolgens toegang tot deze zelfde servers en opnieuw kan de Gast-account om welke reden, zult u dan links worden blootgesteld. Natuurlijk, U zult niet weten dat de server is kwetsbaar waren gemaakt, totdat u de volgende keer een scan die misschien niet voor een ander lopen 3 maanden of zelfs 12 maanden. Er is een andere factor die nog niet is afgedekt dat is hoe ga je systemen te beschermen tegen een interne bedreiging – meer hierover later.
Zo strak change management is van essentieel belang om ervoor te zorgen dat we blijven compliant? Inderdaad – Sectie 6.4 van de PCI DSS beschrijft de eisen voor een formeel beheerde Change Management proces om deze reden. Elke wijziging van een server of netwerkapparaat kan een impact hebben op het apparaat ‘verhard hebben’ staat en het is daarom absoluut noodzakelijk dat dit wordt beschouwd als bij het maken van veranderingen. Als u gebruik maakt van een continue configuratie bijhouden van wijzigingen oplossing dan zult u een audit trail beschikbaar waardoor je ‘closed loop hebben’ change management – zodat de details van de goedgekeurde wijziging wordt gedocumenteerd, samen met de details van de exacte wijzigingen die daadwerkelijk zijn uitgevoerd. voorts, de apparaten veranderd zal opnieuw worden beoordeeld op kwetsbaarheden en hun compliant staat automatisch bevestigd.
Hoe zit het met interne bedreigingen? Cybercrime wordt toetreding tot de georganiseerde misdaad competitie, wat betekent dit niet alleen over het stoppen van kwaadwillende hackers bewijzen hun vaardigheden als een leuk tijdverdrijf! firewalling, Inbraakbeveiligingssystemen, AntiVirus software en volledig worden uitgevoerd apparaat verharden maatregelen nog steeds niet stoppen of zelfs op te sporen een schurkenstaat werknemer die werkt als een ‘Inside Man’. Dit soort dreiging kan leiden tot malware geïntroduceerd om anders veilige systemen door een werknemer met beheerdersrechten, of zelfs backdoors worden geprogrammeerd in het core-business toepassingen. evenzo, met de komst van Advanced Persistent Threats (APT) zoals de gepubliceerde ‘Aurora’ hacks die social engineering gebruiken om dupe werknemers in de invoering van ‘Zero-Day’ malware. ‘Zero-Day’ bedreigingen exploiteren voorheen onbekende kwetsbaarheden – een hacker ontdekt een nieuwe kwetsbaarheid en formuleert een aanval proces te exploiteren. De taak is dan om te begrijpen hoe de aanval is gebeurd en wat nog belangrijker is hoe om te saneren of te verminderen toekomst opnieuw optreden van de dreiging. Door hun aard, anti-virus maatregelen vaak machteloos tegen ‘zero-day’ gevaren. In feite, de enige manier om dit soort bedreigingen te detecteren is om File-Integrity Monitoring technologie te gebruiken. “Alle firewalls, Inbraakbeveiligingssystemen, Anti-virus en Process Whitelisting technologie in de wereld zal niet bespaart u van een goed georkestreerde interne hack waar de dader heeft admin rechten op belangrijke servers of rechtmatige toegang tot applicatiecode – file integriteitsbewaking gebruikt in combinatie met strakke change control is de enige manier om goed te regeren gevoelige betaalkaartsystemen” Phil Snell, CTO, NNT
Zie onze andere whitepaper ‘File-Integrity Monitoring – De laatste verdedigingslinie van de PCI DSS’ voor meer achtergrondinformatie over dit gebied, maar dit is een korte samenvatting - duidelijk, het is belangrijk om alle toevoegingen te verifiëren, wijzigingen en verwijderingen van bestanden, aangezien elke wijziging aanzienlijk kan zijn om de beveiliging van een host in gevaar te brengen. Dit kan worden bereikt door te controleren op eventuele wijzigingen in attributen en de grootte van het bestand.
Echter, aangezien we een van de meest geavanceerde soorten hack willen voorkomen, moeten we een volledig onfeilbare manier introduceren om de bestandsintegriteit te garanderen. Dit vereist dat elk bestand een ‘DNA-vingerafdruk’ krijgt, meestal gegenereerd met behulp van een beveiligd hash-algoritme. Een veilig hash-algoritme, zoals SHA1 of MD5, produceert een uniek, hashwaarde basis van de inhoud van het bestand en garandeert dat zelfs een enkel teken verandert in een bestand wordt gedetecteerd. Dit betekent dat zelfs als een programma wordt gewijzigd om de betaling card gegevens bloot, maar het bestand wordt dan ‘padded’ om het te maken dezelfde grootte als het oorspronkelijke bestand en met alle andere attributen bewerkt om het bestand te maken eruit zien en voelen hetzelfde, de modificaties nog steeds blootgesteld. Dit is de reden waarom de PCI DSS maakt File-Integrity Monitoring verplicht gesteld en waarom het steeds wordt beschouwd als essentieel onderdeel in het systeem van zekerheid als firewall en anti-virus verdediging.
Conclusie Device verharding is een essentiële discipline voor elke organisatie serieus over beveiliging. voorts, als uw organisatie is onderworpen aan een corporate governance of formele veiligheidsstandaard, zoals PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, dan Inrichting uitharding dwingende eis. – alle servers, workstations en netwerkapparaten te worden gehard door middel van een combinatie van configuratie-instellingen en software patchimplementatie – Elke wijziging van een apparaat negatief kan beïnvloeden geharde staat en geef uw organisatie bloot aan bedreigingen van de veiligheid – file-integriteit controle moet ook worden gebruikt om te verzachten ‘zero-day’ bedreigingen en de dreiging van de ‘Inside Man’ – kwetsbaarheid checklists zal regelmatig veranderen als nieuwe bedreigingen worden geïdentificeerd
Alle NewNetTechnologies software-oplossingen zijn gebouwd met behulp van de nieuwste technologie, wat betekent dat ze volledig kan worden aangepast aan alle zakelijke omgevingen. Voor meer informatie over File Integrity Monitoring onze softwareoplossingen op http://www.newnettechnologies.com die voorzien 100% van de functies die u nodig hebt, maar tegen een fractie van de kosten van traditionele oplossingen.
Bron van het artikel: http://EzineArticles.com/?expert = Mark_Kedgley