Enhets Herde, Sårbarhet Scanning og Trusselbekjempende for Compliance and Security
Enhets Herde, Sårbarhet Scanning og Trusselbekjempende for Compliance and Security
Av Mark Kedgley
Alle sikkerhetsstandarder og Corporate Governance Compliance politikk som PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, glba, ISO27000 og FISMA krever enheter som PCer, Windows-servere, Unix-servere, nettverksenheter som brannmurer, Innbruddsbeskyttelsessystemer (IPS) og rutere for å være sikre slik at de beskytter konfidensielle data sikkert.
Det er en rekke buzzwords som brukes i dette området – Sikkerhetssårbarheter og enhetsherding? ‘Herding’ en enhet krever kjente sikkerhetssårbarheter’ elimineres eller reduseres. En sårbarhet er enhver svakhet eller feil i programvaredesignet, implementering eller administrasjon av et system som gir en mekanisme for en trussel for å utnytte svakheten til et system eller en prosess. Det er to hovedområder å ta tak i for å eliminere sikkerhetssårbarheter – konfigurasjonsinnstillinger og programvarefeil i program- og operativsystemfiler. Å eliminere sårbarheter vil kreve enten "utbedring".’ – vanligvis en programvareoppgradering eller oppdatering for program- eller OS-filer – eller "avbøtende".’ – en endring i konfigurasjonsinnstillingene. Herding kreves like mye for servere, arbeidsstasjoner og nettverksenheter som brannmurer, brytere og rutere.
Hvordan identifiserer jeg sårbarheter? En sårbarhetsskanning eller ekstern penetrasjonstest vil rapportere om alle sårbarheter som gjelder for dine systemer og applikasjoner. Du kan kjøpe i tredjeparts skannings-/penntestingtjenester – pennetesting utføres i sin natur eksternt via det offentlige internett, da det er her enhver trussel vil bli utnyttet. Sårbarhetsskanningstjenester må leveres in situ på stedet. Dette kan enten utføres av en tredjepartskonsulent med skannemaskinvare, eller du kan kjøpe en "svart boks".’ løsning der en skanneenhet er permanent plassert i nettverket ditt og skanninger blir klargjort eksternt. Selvfølgelig, resultatene av enhver skanning er bare nøyaktige på skanningstidspunktet, og det er derfor løsninger som kontinuerlig sporer konfigurasjonsendringer, er den eneste virkelige måten å garantere sikkerheten til IT-eiendommen din.
Hva er forskjellen mellom ‘sanering’ og 'avbøting'? ‘Utbedring’ av en sårbarhet resulterer i at feilen blir fjernet eller løst permanent, så dette begrepet gjelder vanligvis for programvareoppdatering eller oppdatering. Oppdatering av oppdateringer blir stadig mer automatisert av operativsystemet og produktutvikleren – så lenge du implementerer oppdateringer når de slippes, da vil innebygde sårbarheter utbedres. Som et eksempel, den nylig rapporterte operasjonen Aurora, klassifisert som en avansert vedvarende trussel eller APT, var vellykket med å infiltrere Google og Adobe. En sårbarhet i Internet Explorer ble brukt til å plante skadelig programvare på målrettede brukere’ PC-er som ga tilgang til sensitive data. Utbedring av dette sikkerhetsproblemet er å "fikse’ Internet Explorer bruker Microsoft utgitte patcher. Sårbarhetsreduksjon’ via konfigurasjonsinnstillinger sikrer at sårbarheter er deaktivert. Konfigurasjonsbaserte sårbarheter er ikke mer eller mindre potensielt skadelige enn de som må utbedres via en patch, selv om en sikkert konfigurert enhet godt kan redusere en program- eller OS-basert trussel. Det største problemet med konfigurasjonsbaserte sårbarheter er at de kan re-introduseres eller aktiveres når som helst – bare noen få klikk er nødvendig for å endre de fleste konfigurasjonsinnstillingene.
Hvor ofte oppdages nye sårbarheter? dessverre, hele tiden! Enda verre, ofte er den eneste måten det globale samfunnet oppdager en sårbarhet på, etter at en hacker har oppdaget den og utnyttet den. Det er først når skaden er gjort og hacket spores tilbake til kilden at en forebyggende handling, enten patch eller konfigurasjonsinnstillinger, kan formuleres. Det finnes ulike sentraliserte arkiver for trusler og sårbarheter på nettet, for eksempel MITER CCE-listene, og mange sikkerhetsproduktleverandører kompilerer trusselrapporter eller "stormsenter".’ nettsteder.
Så alt jeg trenger å gjøre er å gå gjennom sjekklisten og så er jeg sikker? I teorien, men det er bokstavelig talt hundrevis av kjente sårbarheter for hver plattform og til og med i en liten IT-eiendom, oppgaven med å verifisere den herdede statusen til hver enhet er en nesten umulig oppgave å utføre manuelt.
Selv om du automatiserer sårbarhetsskanningsoppgaven ved å bruke et skanneverktøy for å identifisere hvor herdede enhetene dine er før du starter, du vil fortsatt ha arbeid å gjøre for å redusere og utbedre sårbarheter. Men dette er bare det første trinnet – hvis du vurderer en typisk konfigurasjonssårbarhet, for eksempel, en Windows Server bør ha gjestekontoen deaktivert. Hvis du kjører en skanning, identifisere hvor dette sikkerhetsproblemet finnes for enhetene dine, og deretter ta skritt for å redusere dette sikkerhetsproblemet ved å deaktivere gjestekontoen, da vil du ha herdet disse enhetene. derimot, hvis en annen bruker med administratorrettigheter får tilgang til de samme serverne og aktiverer gjestekontoen på nytt av en eller annen grunn, du vil da stå eksponert. Selvfølgelig, du vil ikke vite at serveren har blitt gjort sårbar før du neste gang kjører en skanning som kanskje ikke er for en annen 3 måneder eller til og med 12 måneder. Det er en annen faktor som ennå ikke er dekket, nemlig hvordan beskytter du systemer mot en intern trussel – mer om dette senere.
Så stram endringsledelse er avgjørende for å sikre at vi forblir kompatible? Faktisk – Seksjon 6.4 av PCI DSS beskriver kravene til en formelt administrert endringsadministrasjonsprosess nettopp av denne grunn. Enhver endring av en server eller nettverksenhet kan ha en innvirkning på enhetens "herdede".’ stat og derfor er det viktig at dette vurderes ved endringer. Hvis du bruker en kontinuerlig sporingsløsning for konfigurasjonsendringer, vil du ha et revisjonsspor tilgjengelig som gir deg en lukket sløyfe’ endringsledelse – slik at detaljene i den godkjente endringen er dokumentert, sammen med detaljer om de nøyaktige endringene som faktisk ble implementert. Dessuten, enhetene som er endret vil bli re-vurdert for sårbarheter og deres kompatible tilstand bekreftes automatisk.
Hva med interne trusler? Cybercrime blir med i Organized Crime-ligaen, noe som betyr at dette ikke bare handler om å stoppe ondsinnede hackere som beviser ferdighetene sine som et morsomt tidsfordriv! Brannmur, Innbruddsbeskyttelsessystemer, AntiVirus-programvare og fullt implementerte enhetsherdende tiltak vil fremdeles ikke stoppe eller til og med oppdage en useriøs ansatt som fungerer som en 'indre mann'. Denne typen trussel kan føre til at malware blir introdusert i ellers sikre systemer av en ansatt med administratorrettigheter, eller til og med bakdører som er programmert i kjernevirksomhetsapplikasjoner. på samme måte, med advent av avanserte vedvarende trusler (APT) slik som den omtalte ‘Aurora’ hack som bruker sosialteknikk for å lure ansatte til å innføre ‘Zero-Day’ skadevare. ‘Zero-Day’ trusler utnytter tidligere ukjente sårbarheter – en hacker oppdager en ny sårbarhet og formulerer en angrepsprosess for å utnytte den. Jobben er da å forstå hvordan angrepet skjedde og enda viktigere hvordan man kan rette opp eller dempe fremtidige gjenopptredener av trusselen. Av deres natur, antivirustiltak er ofte maktesløse mot "nulldager".’ trusler. Faktisk, den eneste måten å oppdage denne typen trusler på er å bruke teknologi for filintegritetsovervåking. “Alle brannmurene, Innbruddsbeskyttelsessystemer, Antivirus- og prosess-hvitlistingsteknologi i verden vil ikke redde deg fra et godt orkestrert internt hack der gjerningsmannen har administratorrettigheter til nøkkelservere eller legitim tilgang til applikasjonskode – filintegritetsovervåking brukt i forbindelse med tett endringskontroll er den eneste måten å styre sensitive betalingskortsystemer på riktig måte” Phil Snell, CTO, NNT
Se vår andre whitepaper 'File-Integrity Monitoring – Den siste forsvarslinjen til PCI DSS’ for mer bakgrunn til dette området, men dette er en kort oppsummering -Det er klart, det er viktig å verifisere alle tillegg, endringer og slettinger av filer, da enhver endring kan være vesentlig for å kompromittere sikkerheten til en vert. Dette kan oppnås ved å overvåke for eventuelle attributtendringer og størrelsen på filen.
derimot, siden vi ønsker å forhindre en av de mest sofistikerte typene hack, må vi introdusere et helt ufeilbarlig middel for å garantere filintegritet. Dette krever at hver fil er "DNA Fingerprinted", vanligvis generert ved hjelp av en Secure Hash-algoritme. En sikker hash-algoritme, slik som SHA1 eller MD5, produserer en unik, hash-verdi basert på innholdet i filen og sikrer at selv et enkelt tegn som endres i en fil vil bli oppdaget. Dette betyr at selv om et program er modifisert for å avsløre betalingskortdetaljer, men filen er da "polstret".’ for å få den til samme størrelse som den originale filen og med alle andre attributter redigert for å få filen til å se og føles den samme, modifikasjonene vil fortsatt være synlige. Dette er grunnen til at PCI DSS gjør filintegritetsovervåking til et obligatorisk krav, og hvorfor det i økende grad anses som en like viktig komponent i systemsikkerhet som brannmur og antivirusforsvar..
Konklusjon Enhetsherding er en viktig disiplin for enhver organisasjon som ser på sikkerhet. Dessuten, hvis organisasjonen din er underlagt noen foretaksstyring eller formell sikkerhetsstandard, slik som PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, da vil enhetsherding være et obligatorisk krav. – Alle servere, arbeidsstasjoner og nettverksenheter må herdes via en kombinasjon av konfigurasjonsinnstillinger og distribusjon av programvareoppdateringer – Enhver endring av en enhet kan påvirke dens herdede tilstand negativt og gjøre organisasjonen din utsatt for sikkerhetstrusler – filintegritetsovervåking må også brukes for å redusere "nulldager".’ trusler og trusselen fra «det indre mennesket».’ – sjekklister for sårbarhet vil endres regelmessig etter hvert som nye trusler identifiseres
Alle NewNetTechnologies programvareløsninger er bygget med den nyeste teknologien, noe som betyr at de kan tilpasses fullt ut for å passe alle forretningsmiljøer. For mer informasjon om Fil Integrity Monitoring se våre programvareløsninger på http://www.newnettechnologies.com som gir 100% av funksjonene du trenger, men til en brøkdel av prisen for tradisjonelle løsninger.