Hardening thiết bị, Quét lỗ hổng và giảm nhẹ mối đe dọa cho Tuân thủ và an ninh
Hardening thiết bị, Quét lỗ hổng và giảm nhẹ mối đe dọa cho Tuân thủ và an ninh
Qua Đánh dấu Kedgley
Tất cả các tiêu chuẩn an ninh và quản trị tuân thủ Chính sách công ty như PCI DSS, GCSx CoCo, SOX (Đạo luật Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 và FISMA đòi hỏi các thiết bị như máy tính, Máy chủ của windows, Unix Servers, các thiết bị mạng như tường lửa, Xâm nhập hệ thống bảo vệ (IPS) và router để được an toàn để họ bảo vệ dữ liệu bí mật an toàn.
Có một số thuật ngữ thông dụng được sử dụng trong lĩnh vực này – An ninh lỗ hổng và thiết bị làm đông cứng? ‘Hardening’ một thiết bị đòi hỏi lỗ hổng đã biết an ninh ‘’ để được loại bỏ hoặc giảm nhẹ. Một lỗ hổng là bất kỳ yếu đuối hoặc lỗ hổng trong thiết kế phần mềm, thực hiện hoặc điều hành một hệ thống cung cấp cơ chế cho một mối đe dọa để khai thác sự yếu kém của hệ thống hoặc quá trình. Có hai khu vực chính để địa chỉ để loại bỏ lỗ hổng bảo mật – thiết lập cấu hình và lỗ hổng phần mềm trong chương trình và hoạt động tập tin hệ thống. Loại bỏ vulnerabilites sẽ yêu cầu hoặc ‘khắc phục’ – thường là một phần mềm nâng cấp hoặc bản vá cho các tập tin chương trình hoặc hệ điều hành – hoặc ‘giảm nhẹ’ – một sự thay đổi các thiết lập cấu hình. Cứng được yêu cầu bình đẳng cho các máy chủ, máy trạm và các thiết bị mạng như tường lửa, switch và router.
Làm thế nào để xác định lỗ hổng? Một lỗ hổng quét hoặc thâm nhập thử nghiệm bên ngoài sẽ báo cáo về tất cả các lỗ hổng áp dụng đối với các hệ thống và các ứng dụng của bạn. Bạn có thể mua ở các dịch vụ thử nghiệm quét / bút 3rd Party – bút thử nghiệm bởi bản chất của nó được thực hiện từ bên ngoài thông qua mạng Internet công cộng vì đây là nơi mà bất kỳ mối đe dọa sẽ được khai thác từ. dịch vụ dễ bị tổn thương quét cần phải được cung cấp tại chỗ tại chỗ. Đây một trong hai có thể được thực hiện bởi một chuyên gia tư vấn với phần cứng quét 3rd Party, hoặc bạn có thể mua một ‘hộp đen’ giải pháp theo đó một thiết bị quét tọa lạc vĩnh viễn trong mạng của bạn và quét được trích lập dự phòng từ xa. Tất nhiên, kết quả của bất kỳ quét chỉ chính xác tại thời điểm quá trình quét đó là lý do tại sao các giải pháp tiếp tục theo dõi những thay đổi cấu hình là cách duy nhất để đảm bảo thực sự an toàn của bất động CNTT của bạn được duy trì.
sự khác biệt giữa ‘khắc phục là gì’ và ‘giảm nhẹ’? ‘Xử lý ô nhiễm’ một kết quả dễ bị tổn thương trong các lỗ hổng đang được gỡ bỏ hoặc cố định vĩnh viễn, vì thế thuật ngữ này thường được áp dụng cho bất kỳ bản cập nhật phần mềm hoặc vá. quản lý bản vá ngày càng tự động bởi hệ điều hành và sản phẩm cho nhà phát triển – miễn là bạn thực hiện các bản vá lỗi khi phát hành, sau đó các lỗ hổng trong xây dựng sẽ được điều đình lại. Như một ví dụ, thời gian gần đây báo cáo Operation Aurora, phân loại như một mối đe dọa dai dẳng nâng cao hoặc APT, đã thành công trong xâm nhập Google và Adobe. Một lỗ hổng trong Internet Explorer đã được sử dụng để phần mềm độc hại thực vật trên người sử dụng nhắm mục tiêu’ Máy tính mà truy cập được phép dữ liệu nhạy cảm. Việc xử lý cho lỗ hổng này là để ‘sửa chữa’ Internet Explorer sử dụng bản vá lỗi Microsoft phát hành. giảm thiểu tính dễ tổn thương ‘’ qua cấu hình các thiết lập Đảm bảo các lỗ hổng bị vô hiệu hóa. lỗ hổng cấu hình dựa trên là không nhiều thì ít có khả năng gây tổn hại hơn những người cần phải được xử qua một bản vá, mặc dù một thiết bị cấu hình một cách an toàn cũng có thể giảm thiểu một chương trình hoặc mối đe dọa OS-based. Vấn đề lớn nhất với lỗ hổng Cấu hình dựa trên là họ có thể được tái giới thiệu hoặc kích hoạt bất cứ lúc nào – chỉ là một vài cú nhấp chuột là cần thiết để thay đổi hầu hết các thiết lập cấu hình.
Bao lâu thì các lỗ hổng mới được phát hiện? không may, tất cả thời gian! Tệ hơn nữa, thường là cách duy nhất mà cộng đồng thế giới phát hiện ra một lỗ hổng bảo là sau khi một hacker đã phát hiện ra nó và khai thác nó. Đó là chỉ khi những thiệt hại đã được thực hiện và hack ngược trở lại nguồn gốc của nó mà một khóa học phòng ngừa hành động, hoặc thiết lập bản vá hoặc cấu hình, có thể được xây dựng. Có kho tập trung khác nhau của các mối đe dọa và các lỗ hổng trên web chẳng hạn như danh sách MITRE CCE và nhiều nhà cung cấp sản phẩm bảo mật biên dịch báo cáo mối đe dọa trực tiếp hoặc ‘trung tâm bão’ trang web.
Vì vậy, tất cả những gì cần làm là để làm việc thông qua danh sách kiểm tra và sau đó tôi an toàn? Về lý thuyết, nhưng có nghĩa là hàng trăm lỗ hổng đã biết cho mỗi nền tảng và ngay cả trong một bất động CNTT nhỏ, nhiệm vụ xác minh tình trạng cứng của mỗi và mọi thiết bị là một nhiệm vụ gần như không thể thực hiện bằng tay.
Thậm chí nếu bạn tự động hóa các nhiệm vụ quét lỗ hổng sử dụng một công cụ quét để xác định cách cứng thiết bị của bạn trước khi bạn bắt đầu, bạn vẫn sẽ có việc phải làm để giảm thiểu và các lỗ hổng khắc phục. Nhưng đây chỉ là bước đầu tiên – nếu bạn xem xét một lỗ hổng cấu hình tiêu biểu, ví dụ, Windows Server nên có một tài khoản người khuyết tật Guest. Nếu bạn chạy một quét, xác định nơi lỗ hổng này tồn tại cho các thiết bị của bạn, và sau đó thực hiện các bước để giảm thiểu lỗ hổng này bằng cách vô hiệu hóa tài khoản Guest, sau đó bạn sẽ có những thiết bị cứng. Tuy nhiên, nếu một người dùng khác với quyền Administrator sau đó truy cập vào những máy chủ này cùng và bật lại tài khoản Guest vì lý do bất kỳ, sau đó bạn sẽ được tiếp xúc với trái. Tất nhiên, bạn wont biết rằng các máy chủ đã được trả lại dễ bị tổn thương cho đến khi bạn tiếp theo chạy một quét mà có thể không được cho người khác 3 tháng hoặc thậm chí 12 tháng. Có một yếu tố khác chưa được đề cập đó là làm thế nào để bạn bảo vệ hệ thống từ một mối đe dọa nội bộ – thêm về sau này.
Vì vậy, quản lý thay đổi chặt chẽ là điều cần thiết để đảm bảo chúng tôi tiếp tục tuân thủ? Thật – Phần 6.4 của PCI DSS mô tả các yêu cầu cho một quá trình Quản lý thay đổi chính thức được quản lý vì lý do này rất. Bất kỳ sự thay đổi đến một máy chủ hoặc mạng điện thoại có thể có tác động trên thiết bị của ‘cứng’ nhà nước và do đó nó là bắt buộc rằng đây được coi là khi thực hiện những thay đổi. Nếu bạn đang sử dụng một giải pháp theo dõi sự thay đổi cấu hình liên tục sau đó bạn sẽ có một đường mòn kiểm toán có sẵn cho bạn ‘vòng khép kín’ thay đổi cách quản lý – vì vậy các chi tiết của sự thay đổi đã được phê duyệt là tài liệu, cùng với các chi tiết về những thay đổi chính xác mà thực sự đã được thực hiện. hơn nữa, các thiết bị thay đổi sẽ được đánh giá lại các lỗ hổng và nhà nước phù hợp của họ xác nhận tự động.
Những gì về các mối đe dọa nội bộ? Tội phạm mạng đang gia nhập Organized Crime giải đấu có nghĩa là đây không phải là chỉ là về ngăn chặn tin tặc nguy hiểm chứng minh kỹ năng của họ như một trò tiêu khiển vui vẻ! firewall, Xâm nhập hệ thống bảo vệ, phần mềm Antivirus và các biện pháp thiết bị cứng thực hiện đầy đủ sẽ vẫn không dừng lại hoặc thậm chí phát hiện một nhân viên giả mạo người làm việc như là một ‘người đàn ông bên trong’. Đây là loại mối đe dọa có thể dẫn đến phần mềm độc hại được giới thiệu với các hệ thống khác an toàn bởi một nhân viên với quản trị Quyền, hoặc thậm chí backdoors được lập trình vào các ứng dụng kinh doanh cốt lõi. tương tự như vậy, với sự ra đời của Advanced mối đe dọa dai dẳng (ĐÚNG CÁCH) chẳng hạn như công bố ‘Aurora’ hacks có sử dụng kỹ thuật xã hội để nhân viên dupe vào giới thiệu ‘Zero-Day’ phần mềm độc hại. 'Không ngày’ mối đe dọa khai thác lỗ hổng chưa từng được biết – một hacker phát hiện ra một lỗ hổng mới và formulates một quá trình tấn công để khai thác nó. Công việc sau đó là phải hiểu như thế nào tấn công đã xảy ra và quan trọng hơn là làm thế nào để khắc phục hoặc tương lai Giảm thiểu tái xuất hiện của các mối đe dọa. Bởi bản chất của họ, các biện pháp chống virus thường chống lại bất lực ‘zero-day’ các mối đe dọa. Trong thực tế, cách duy nhất để phát hiện các loại mối đe dọa là sử dụng File-Liêm công nghệ giám sát. “Tất cả các bức tường lửa, Xâm nhập hệ thống bảo vệ, Anti-virus và Process danh sách trắng công nghệ trên thế giới sẽ không tiết kiệm bạn khỏi một hack nội nổi dàn nơi thủ phạm có quyền quản trị đến các máy chủ chính hoặc truy cập hợp pháp để mã ứng dụng – tính toàn vẹn file giám sát sử dụng kết hợp với kiểm soát thay đổi chặt chẽ là cách duy nhất để quản lý đúng cách hệ thống thẻ thanh toán nhạy cảm” Phil Snell, CTO, NNT
Xem whitepaper khác ‘File-Liêm giám sát của chúng tôi – The Last Line of Defense của PCI DSS’ cho nền hơn cho khu vực này, nhưng đây là một bản tóm tắt ngắn gọn -Clearly, điều quan trọng là để xác minh tất cả các bổ sung, thay đổi và xóa các tập tin như bất kỳ thay đổi có thể ảnh hưởng đáng kể trong sự an toàn của một loạt. Điều này có thể đạt được bằng cách giám sát cho nên có bất kỳ thuộc tính thay đổi và kích thước của tập tin.
Tuy nhiên, vì chúng ta đang tìm cách để ngăn chặn một trong những loại tinh vi nhất hack chúng ta cần phải giới thiệu một phương tiện hoàn toàn không thể sai lầm của đảm bảo tính toàn vẹn file. Đây gọi cho mỗi tập tin được ‘DNA lấy dấu vân tay’, thường được tạo ra bằng cách sử dụng an toàn Hash Algorithm. Một an toàn Hash Algorithm, như SHA1 hoặc MD5, tạo ra một độc đáo, giá trị băm dựa trên nội dung của tập tin và đảm bảo rằng ngay cả một nhân vật duy nhất thay đổi trong một tập tin sẽ được phát hiện. Điều này có nghĩa rằng ngay cả khi một chương trình được sửa đổi để lộ chi tiết thẻ thanh toán, nhưng tập tin là rồi ‘đệm’ để làm cho nó kích thước tương tự như các tập tin ban đầu và với tất cả các thuộc tính khác chỉnh sửa để làm cho các tập tin nhìn và cảm thấy như vậy, những sửa đổi vẫn sẽ được tiếp xúc. Đây là lý do tại sao PCI DSS làm File-Liêm Giám sát là một yêu cầu bắt buộc và tại sao nó ngày càng được coi là thành phần quan trọng trong một hệ thống an ninh như firewall và anti-virus bảo vệ.
Kết luận Device cứng là một kỷ luật cần thiết cho bất kỳ tổ chức nghiêm túc về an ninh. hơn nữa, nếu tổ chức của bạn phụ thuộc vào bất kỳ quản trị doanh nghiệp hoặc tiêu chuẩn an ninh chính thức, như PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Cổ Cò, sau đó thiết bị xơ cứng sẽ là một yêu cầu bắt buộc. – Tất cả các máy chủ, máy trạm và các thiết bị mạng cần phải được cứng thông qua một sự kết hợp của thiết lập cấu hình và triển khai bản vá phần mềm – Bất kỳ sự thay đổi với một thiết bị có thể ảnh hưởng xấu đến trạng thái cứng của nó và đưa ra tổ chức của bạn tiếp xúc với các mối đe dọa an ninh – giám sát tập tin toàn vẹn cũng phải được sử dụng để giảm thiểu ‘zero-day’ mối đe dọa và các mối đe dọa từ ‘người đàn ông bên trong’ – danh sách kiểm tra lỗ hổng sẽ thay đổi thường xuyên như các mối đe dọa mới được xác định
Tất cả các giải pháp phần mềm NewNetTechnologies được xây dựng bằng cách sử dụng công nghệ mới nhất, đó có nghĩa là họ có thể được điều chỉnh hoàn toàn phù hợp với tất cả các môi trường kinh doanh. Để biết thêm thông tin về Nộp Liêm giám sát xem giải pháp phần mềm của chúng tôi trên http://www.newnettechnologies.com cung cấp 100% of the features you need but at a fraction of the cost of traditional solutions.
Nguồn bài viết: http://EzineArticles.com/?expert=Mark_Kedgley