kalenie zariadenia, Skenovanie zraniteľnosti a Threat Mitigation o zhode a bezpečnosť
kalenie zariadenia, Skenovanie zraniteľnosti a Threat Mitigation o zhode a bezpečnosť
Autor: mark Kedgley
Všetky bezpečnostné normy a Corporate Governance politiky dodržiavanie predpisov, ako sú PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 a FISMA vyžadujú zariadenia, ako sú počítače, windows Servers, unix Servery, sieťových zariadení, ako sú firewally, Systémy ochrany pred narušením (IPS) a smerovače, aby boli bezpečné, aby bezpečne chránili dôverné údaje.
V tejto oblasti sa používa množstvo módnych slov – Chyby zabezpečenia a spevnenie zariadenia? „Kalenie’ zariadenie vyžaduje známe bezpečnostné „slabosti“.’ odstrániť alebo zmierniť. Zraniteľnosť je akákoľvek slabosť alebo chyba v dizajne softvéru, implementácia alebo správa systému, ktorý poskytuje mechanizmus pre hrozbu na využitie slabých stránok systému alebo procesu. Existujú dve hlavné oblasti, ktoré je potrebné riešiť, aby sa eliminovali bezpečnostné nedostatky – konfiguračné nastavenia a softvérové chyby v súboroch programu a operačného systému. Odstránenie zraniteľných miest si bude vyžadovať buď „nápravu“.’ – zvyčajne ide o aktualizáciu softvéru alebo opravu programov alebo súborov OS – alebo „zmiernenie“.’ – zmena konfiguračných nastavení. Spevnenie sa vyžaduje rovnako pre servery, pracovné stanice a sieťové zariadenia, ako sú brány firewall, prepínače a smerovače.
Ako identifikujem slabé miesta? Skenovanie zraniteľnosti alebo externý penetračný test oznámi všetky zraniteľnosti, ktoré sa vzťahujú na vaše systémy a aplikácie. Môžete si kúpiť v službách skenovania/testovania pera tretích strán – testovanie pera sa zo svojej podstaty vykonáva externe prostredníctvom verejného internetu, pretože práve odtiaľ by mohla byť zneužitá akákoľvek hrozba. Služby skenovania zraniteľností je potrebné dodať priamo na mieste. To môže vykonať buď konzultant tretej strany so skenovacím hardvérom, alebo si môžete kúpiť „čiernu skrinku“.’ riešenie, pri ktorom je skenovacie zariadenie trvalo umiestnené vo vašej sieti a skenovanie sa poskytuje na diaľku. Samozrejme, výsledky akéhokoľvek skenovania sú presné iba v čase skenovania, a preto sú riešenia, ktoré neustále sledujú zmeny konfigurácie, jediným skutočným spôsobom, ako zaručiť zachovanie bezpečnosti vášho IT majetku.
Aký je rozdiel medzi „sanáciou’ a „zmiernenie“? „Oprava’ zraniteľnosti má za následok odstránenie alebo trvalé odstránenie chyby, takže tento výraz sa vo všeobecnosti vzťahuje na akúkoľvek aktualizáciu alebo opravu softvéru. Správa opráv je stále viac automatizovaná operačným systémom a vývojárom produktov – pokiaľ implementujete opravy pri vydaní, potom budú opravené zabudované zraniteľnosti. Ako príklad, nedávno oznámená operácia Aurora, klasifikované ako pokročilá perzistentná hrozba alebo APT, bol úspešný pri infiltrácii Google a Adobe. Zraniteľnosť v programe Internet Explorer bola použitá na nasadenie malvéru na cieľových používateľov’ PC, ktoré umožňovali prístup k citlivým údajom. Nápravou tejto zraniteľnosti je „opraviť“.’ Internet Explorer, ktorý používa Microsoft, vydal opravy. Vulnerability ‘zmiernenie’ cez konfiguračné nastavenia zaisťuje, že sú zraniteľné miesta zakázané. Zraniteľnosti založené na konfigurácii nie sú viac ani menej potenciálne škodlivé ako tie, ktoré je potrebné opraviť pomocou opravy, aj keď bezpečne nakonfigurované zariadenie môže zmierniť program alebo hrozbu založenú na OS. Najväčší problém s chybami zabezpečenia založenými na konfigurácii je, že ich možno kedykoľvek znovu zaviesť alebo povoliť – na zmenu väčšiny konfiguračných nastavení je potrebných len niekoľko kliknutí.
Ako často sa objavujú nové zraniteľnosti? Bohužiaľ, celú dobu! Ešte horšie, často jediný spôsob, ako globálna komunita objaví zraniteľnosť, je potom, čo ju objavil a zneužil hacker. Preventívny postup je možný až vtedy, keď dôjde k poškodeniu a hacknutiu sa vypátra jeho zdroj, buď patch alebo konfiguračné nastavenia, možno formulovať. Na webe sú rôzne centralizované úložiská hrozieb a zraniteľností, ako sú zoznamy MITER CCE a mnohí dodávatelia bezpečnostných produktov zostavujú správy o hrozbách alebo „storm center“.’ webové stránky.
Takže všetko, čo musím urobiť, je prejsť kontrolným zoznamom a potom som v bezpečí? Teoreticky, ale existujú doslova stovky známych zraniteľností pre každú platformu a dokonca aj v malom IT zariadení, úloha overenia spevneného stavu každého jedného zariadenia je takmer nemožná úloha vykonať manuálne.
Dokonca aj vtedy, ak automatizujete úlohu skenovania zraniteľnosti pomocou skenovacieho nástroja, aby ste pred začatím identifikovali, do akej miery sú vaše zariadenia odolné, stále budete mať čo robiť, aby ste zmiernili a napravili slabé miesta. Ale toto je len prvý krok – ak vezmete do úvahy typickú zraniteľnosť konfigurácie, napríklad, Windows Server by mal mať deaktivovaný účet hosťa. Ak spustíte skenovanie, zistite, kde pre vaše zariadenia existuje táto zraniteľnosť, a potom podniknite kroky na zmiernenie tejto zraniteľnosti deaktiváciou účtu hosťa, potom tieto zariadenia vytvrdíte. však, ak iný používateľ s oprávneniami správcu potom pristúpi k tým istým serverom a z akéhokoľvek dôvodu znova povolí účet hosťa, potom zostanete odhalený. Samozrejme, nebudete vedieť, že server sa stal zraniteľným, kým nabudúce nespustíte kontrolu, ktorá nemusí byť pre inú 3 mesiacov alebo dokonca 12 mesiacov. Existuje ďalší faktor, ktorý ešte nebol pokrytý, a to spôsob ochrany systémov pred vnútornou hrozbou – viac o tom neskôr.
Prísne riadenie zmien je preto nevyhnutné na zabezpečenie toho, aby sme zachovali súlad? Naozaj – oddiel 6.4 PCI DSS popisuje požiadavky na formálne riadený proces riadenia zmien práve z tohto dôvodu. Akákoľvek zmena servera alebo sieťového zariadenia môže mať vplyv na „zosilnenie“ zariadenia’ stavu, a preto je nevyhnutné, aby sa to pri zmenách zohľadnilo. Ak používate riešenie na nepretržité sledovanie zmien konfigurácie, budete mať k dispozícii auditnú stopu, ktorá vám poskytne „uzavretú slučku“.’ riadenie zmien – tak je zdokumentovaný detail schválenej zmeny, spolu s podrobnosťami o presných zmenách, ktoré boli skutočne implementované. Ďalej, vymenené zariadenia budú znovu posúdené z hľadiska zraniteľnosti a ich vyhovujúci stav bude automaticky potvrdený.
Čo sa týka vnútorných hrozieb? Počítačová kriminalita sa pripája k Lige organizovaného zločinu, čo znamená, že nejde len o zastavenie zákerných hackerov preukazujúcich svoje schopnosti ako zábavnú zábavu.! Firewalling, Systémy ochrany pred narušením, Antivírusový softvér a plne implementované opatrenia na posilnenie zariadení stále nezastavia a dokonca ani neodhalia nečestného zamestnanca, ktorý pracuje ako „človek z vnútra“. Tento druh hrozby môže viesť k tomu, že do inak zabezpečených systémov zavedie malvér zamestnanec s právami správcu, alebo dokonca zadné dvierka naprogramované do kľúčových obchodných aplikácií. Podobne, s príchodom pokročilých perzistentných hrozieb (APT) ako napríklad propagovaná „Aurora“.’ hacky, ktoré využívajú sociálne inžinierstvo na oklamanie zamestnancov, aby zaviedli „Zero-Day“.’ malvér. „Nultý deň’ hrozby využívajú predtým neznáme zraniteľnosti – hacker objaví novú zraniteľnosť a sformuluje proces útoku na jej zneužitie. Úlohou potom je pochopiť, ako k útoku došlo, a čo je dôležitejšie, ako napraviť alebo zmierniť budúce opätovné výskyty hrozby.. Zo svojej podstaty, antivírusové opatrenia sú proti „nultému dňu“ často bezmocné’ vyhrážky. v skutočnosti, jediný spôsob, ako odhaliť tieto typy hrozieb, je použiť technológiu File-Integrity Monitoring. “Všetky brány firewall, Systémy ochrany pred narušením, Antivírusová a procesná technológia Whitelisting na svete vás nezachráni pred dobre organizovaným interným hackom, kde má páchateľ práva správcu na kľúčové servery alebo legitímny prístup ku kódu aplikácie. – monitorovanie integrity súborov používané v spojení s prísnou kontrolou zmien je jediný spôsob, ako správne riadiť citlivé systémy platobných kariet” Phil Snell, CTO, NNT
Pozrite si našu ďalšiu bielu knihu „Monitorovanie integrity súborov“. – Posledná obranná línia PCI DSS’ pre viac informácií o tejto oblasti, ale toto je stručné zhrnutie - Jasné, je dôležité overiť všetky doplnky, zmeny a vymazania súborov, pretože akákoľvek zmena môže byť významná pri ohrození bezpečnosti hostiteľa. To sa dá dosiahnuť monitorovaním akýchkoľvek zmien atribútov a veľkosti súboru.
však, keďže sa snažíme zabrániť jednému z najsofistikovanejších typov hackingu, musíme zaviesť úplne neomylný spôsob zaručenia integrity súborov. To vyžaduje, aby bol každý súbor „odtlačok DNA“, zvyčajne generované pomocou algoritmu Secure Hash. Bezpečný hashovací algoritmus, ako napríklad SHA1 alebo MD5, produkuje unikát, hash hodnotu založenú na obsahu súboru a zaisťuje, že bude detekovaný aj jeden znak, ktorý sa v súbore zmení. To znamená, že aj keď je program upravený tak, aby odhalil údaje o platobnej karte, ale súbor je potom „vyplnený“.’ aby mal rovnakú veľkosť ako pôvodný súbor a všetky ostatné atribúty boli upravené tak, aby súbor vyzeral a pôsobil rovnako, úpravy budú stále vystavené. To je dôvod, prečo PCI DSS robí z monitorovania integrity súborov povinnú požiadavku a prečo sa stále viac považuje za dôležitý komponent v bezpečnosti systému, ako je firewall a antivírusová ochrana..
Záver Hardening zariadení je základnou disciplínou pre každú organizáciu, ktorá sa vážne zaoberá bezpečnosťou. Ďalej, ak vaša organizácia podlieha akýmkoľvek štandardom podnikového riadenia alebo formálnej bezpečnosti, ako napríklad PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, Spoločnosť GCSx Co, potom bude vytvrdzovanie zariadenia povinnou požiadavkou. – Všetky servery, pracovné stanice a sieťové zariadenia je potrebné posilniť kombináciou konfiguračných nastavení a nasadením softvérových opráv – Akákoľvek zmena zariadenia môže nepriaznivo ovplyvniť jeho spevnený stav a vystaviť vašu organizáciu bezpečnostným hrozbám – Na zmiernenie „nultého dňa“ sa musí použiť aj monitorovanie integrity súboru’ vyhrážky a hrozba z ‘vnútorného človeka’ – kontrolné zoznamy zraniteľnosti sa budú pravidelne meniť, keď budú identifikované nové hrozby
Všetky softvérové riešenia NewNetTechnologies sú postavené pomocou najnovších technológií, čo znamená, že sa dajú plne prispôsobiť všetkým podnikateľským prostrediam. Pre viac informácií na Súbor monitorovanie integrity pozrite si naše softvérové riešenia na http://www.newnettechnologies.com ktoré poskytujú 100% funkcií, ktoré potrebujete, ale za zlomok ceny tradičných riešení.
Článok Zdroj: http://EzineArticles.com/?expert=Mark_Kedgley