تصلب الجهاز, الضوئي الضعف والتخفيف من التهديد للامتثال والأمن
تصلب الجهاز, الضوئي الضعف والتخفيف من التهديد للامتثال والأمن
بواسطة مارك كيدجلي
جميع معايير الأمن وسياسات الامتثال حوكمة الشركات مثل PCI DSS, GCSx كوكو, SOX (ساربينز أوكسلي), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 وFISMA تتطلب أجهزة مثل أجهزة الكمبيوتر, خوادم ويندوز, خوادم يونكس, أجهزة الشبكة مثل الجدران النارية, أنظمة حماية التطفل (IPS) وأجهزة التوجيه آمنة من أجل حماية البيانات السرية.
هناك عدد من الكلمات الطنانة المستخدمة في هذه المنطقة – الثغرات الأمنية وتقوية الجهاز? "تصلب’ يتطلب الجهاز وجود ثغرات أمنية معروفة’ يتم التخلص منها أو التخفيف من حدتها. الثغرة الأمنية هي أي ضعف أو عيب في تصميم البرنامج, تنفيذ أو إدارة نظام يوفر آلية للتهديد لاستغلال ضعف نظام أو عملية. هناك مجالان رئيسيان يجب معالجتهما من أجل القضاء على الثغرات الأمنية – إعدادات التكوين وعيوب البرامج في ملفات البرامج ونظام التشغيل. سيتطلب القضاء على نقاط الضعف إما "الإصلاح’ – عادةً ما تكون ترقية للبرنامج أو تصحيحًا لملفات البرنامج أو نظام التشغيل – أو "التخفيف’ – تغيير إعدادات التكوين. التصلب مطلوب بالتساوي للخوادم, محطات العمل وأجهزة الشبكة مثل جدران الحماية, مفاتيح وأجهزة التوجيه.
كيف يمكنني تحديد نقاط الضعف? سيقوم فحص الثغرات الأمنية أو اختبار الاختراق الخارجي بالإبلاغ عن جميع نقاط الضعف المطبقة على أنظمتك وتطبيقاتك. يمكنك شراء خدمات المسح الضوئي / اختبار القلم من طرف ثالث – يتم إجراء اختبار القلم بطبيعته خارجيًا عبر الإنترنت العام حيث يمكن استغلال أي تهديد منه. يجب تسليم خدمات فحص الثغرات الأمنية في الموقع في الموقع. يمكن إجراء ذلك إما بواسطة استشاري طرف ثالث باستخدام جهاز مسح ضوئي, أو يمكنك شراء "الصندوق الأسود"’ حل يتم بموجبه وضع جهاز المسح بشكل دائم داخل شبكتك ويتم توفير عمليات الفحص عن بُعد. بالطبع, تكون نتائج أي فحص دقيقة فقط في وقت الفحص وهذا هو السبب في أن الحلول التي تتعقب تغييرات التكوين باستمرار هي الطريقة الحقيقية الوحيدة لضمان الحفاظ على أمن ملكية تكنولوجيا المعلومات الخاصة بك.
ما هو الفرق بين "المعالجة’ و "التخفيف"? "العلاج’ من ثغرة أمنية تؤدي إلى إزالة الخلل أو إصلاحه بشكل دائم, لذلك ينطبق هذا المصطلح بشكل عام على أي تحديث أو تصحيح للبرنامج. تتم إدارة التصحيح آليًا بشكل متزايد بواسطة نظام التشغيل ومطور المنتج – طالما أنك تقوم بتنفيذ التصحيحات عند إصدارها, ثم سيتم معالجة الثغرات الداخلية. كمثال, تم الإبلاغ عن عملية Aurora مؤخرًا, تم تصنيفها على أنها تهديد مستمر متقدم أو APT, كان ناجحًا في اختراق Google و Adobe. تم استخدام ثغرة أمنية في Internet Explorer لزرع برامج ضارة على المستخدمين المستهدفين’ أجهزة الكمبيوتر التي سمحت بالوصول إلى البيانات الحساسة. علاج هذه الثغرة الأمنية هو "الإصلاح’ Internet Explorer باستخدام تصحيحات Microsoft التي تم إصدارها. تخفيف الضعف’ عبر إعدادات التكوين ، يضمن تعطيل الثغرات الأمنية. لا تعد الثغرات الأمنية المستندة إلى التكوين أكثر أو أقل ضررًا من تلك التي تحتاج إلى إصلاح عبر التصحيح, على الرغم من أن الجهاز الذي تم تكوينه بشكل آمن قد يخفف بشكل جيد من أحد البرامج أو التهديدات المستندة إلى نظام التشغيل. أكبر مشكلة تتعلق بالثغرات الأمنية المستندة إلى التكوين هي أنه يمكن إعادة تقديمها أو تمكينها في أي وقت – فقط بضع نقرات مطلوبة لتغيير معظم إعدادات التكوين.
كم مرة يتم اكتشاف نقاط ضعف جديدة? لسوء الحظ, كل الوقت! والأسوأ من ذلك, غالبًا ما تكون الطريقة الوحيدة التي يكتشف بها المجتمع العالمي ثغرة أمنية بعد أن يكتشفها أحد المتطفلين ويستغلها. فقط عندما يتم حدوث الضرر وتعقب الاختراق إلى مصدره ، يتم اتخاذ مسار وقائي, إما التصحيح أو إعدادات التكوين, يمكن صياغتها. هناك العديد من المستودعات المركزية للتهديدات ونقاط الضعف على الويب مثل قوائم MITER CCE والعديد من بائعي منتجات الأمان يقومون بتجميع تقارير التهديدات الحية أو "مركز العاصفة"’ المواقع.
لذلك كل ما علي فعله هو العمل من خلال القائمة المرجعية وبعد ذلك أكون آمنًا? نظريا, ولكن هناك المئات من نقاط الضعف المعروفة لكل منصة وحتى في عقارات تكنولوجيا المعلومات الصغيرة, مهمة التحقق من الحالة المتشددة لكل جهاز هي مهمة شبه مستحيلة إجراؤها يدويًا.
حتى إذا قمت بأتمتة مهمة فحص الثغرات الأمنية باستخدام أداة مسح لتحديد مدى صلابة أجهزتك قبل أن تبدأ, سيظل لديك عمل يجب القيام به للتخفيف من الثغرات الأمنية ومعالجتها. لكن هذه ليست سوى الخطوة الأولى – إذا كنت تفكر في ثغرة أمنية نموذجية في التكوين, على سبيل المثال, يجب أن يتم تعطيل حساب الضيف في خادم Windows. إذا قمت بإجراء فحص, تحديد مكان وجود هذه الثغرة الأمنية لأجهزتك, ثم اتخذ خطوات للتخفيف من هذه الثغرة الأمنية عن طريق تعطيل حساب الضيف, عندها ستصلب هذه الأجهزة. لكن, إذا قام مستخدم آخر لديه امتيازات المسؤول بالوصول إلى هذه الخوادم نفسها وإعادة تمكين حساب الضيف لأي سبب من الأسباب, سوف تترك بعد ذلك مكشوفًا. بالطبع, لن تعرف أن الخادم قد أصبح ضعيفًا حتى تقوم بتشغيل فحص آخر قد لا يكون بالنسبة لآخر 3 أشهر أو حتى 12 الشهور. هناك عامل آخر لم تتم تغطيته بعد وهو كيفية حماية الأنظمة من التهديد الداخلي – المزيد عن هذا لاحقًا.
لذا فإن الإدارة الصارمة للتغيير ضرورية لضمان التزامنا بالامتثال? في الواقع – الجزء 6.4 من PCI DSS يصف متطلبات عملية إدارة التغيير المُدارة رسميًا لهذا السبب بالذات. قد يكون لأي تغيير في الخادم أو جهاز الشبكة تأثير على "تصلب الجهاز’ الدولة وبالتالي من الضروري أخذ ذلك في الاعتبار عند إجراء التغييرات. إذا كنت تستخدم حل تتبع تغيير التكوين المستمر ، فسيكون لديك مسار تدقيق متاح يمنحك "حلقة مغلقة’ إدارة التغيير – لذلك يتم توثيق تفاصيل التغيير المعتمد, جنبًا إلى جنب مع تفاصيل التغييرات الدقيقة التي تم تنفيذها بالفعل. بالإضافة إلى, ستتم إعادة تقييم الأجهزة التي تم تغييرها بحثًا عن نقاط الضعف ويتم تأكيد حالة توافقها تلقائيًا.
ماذا عن التهديدات الداخلية? تنضم جرائم الإنترنت إلى دوري الجريمة المنظمة مما يعني أن الأمر لا يتعلق فقط بإيقاف المتسللين الأشرار من إثبات مهاراتهم على أنها هواية ممتعة! جدار الحماية, أنظمة حماية التطفل, لن تتوقف برامج مكافحة الفيروسات وإجراءات تقوية الجهاز المنفذة بالكامل أو حتى تكتشف موظفًا مارقًا يعمل كـ "رجل داخلي". قد يؤدي هذا النوع من التهديد إلى إدخال برامج ضارة إلى أنظمة آمنة من قبل موظف لديه حقوق المسؤول, أو حتى الأبواب الخلفية التي تتم برمجتها في تطبيقات الأعمال الأساسية. بصورة مماثلة, مع ظهور التهديدات المستمرة المتقدمة (ملائم) مثل "Aurora" المعلن عنها’ الاختراقات التي تستخدم الهندسة الاجتماعية لخداع الموظفين لتقديم "Zero-Day’ البرمجيات الخبيثة. 'صفر يوم’ التهديدات تستغل نقاط الضعف التي لم تكن معروفة من قبل – يكتشف المتسلل ثغرة أمنية جديدة ويصوغ عملية هجوم لاستغلالها. المهمة إذن هي فهم كيفية حدوث الهجوم والأهم من ذلك كيفية معالجة أو التخفيف من تكرار حدوث التهديد في المستقبل. بطبيعتها, غالبًا ما تكون الإجراءات المضادة للفيروسات عاجزة عن "صفر يوم"’ التهديدات. حقيقة, الطريقة الوحيدة لاكتشاف هذه الأنواع من التهديدات هي استخدام تقنية مراقبة سلامة الملفات. “كل جدران الحماية, أنظمة حماية التطفل, لن تنقذك تقنية القائمة البيضاء لمكافحة الفيروسات والعمليات في العالم من الاختراق الداخلي المنظم جيدًا حيث يتمتع الجاني بحقوق المسؤول في الخوادم الرئيسية أو الوصول الشرعي إلى رمز التطبيق – تُعد مراقبة سلامة الملفات المستخدمة جنبًا إلى جنب مع التحكم الصارم في التغيير هي الطريقة الوحيدة للتحكم بشكل صحيح في أنظمة بطاقات الدفع الحساسة” فيل سنيل, CTO, NNT
اطلع على ورقتنا البيضاء الأخرى "مراقبة سلامة الملفات" – خط الدفاع الأخير لـ PCI DSS’ لمزيد من المعلومات الأساسية عن هذه المنطقة, لكن هذا ملخص موجز - من الواضح, من المهم التحقق من جميع الإضافات, التغييرات وحذف الملفات لأن أي تغيير قد يكون مهمًا في اختراق أمان المضيف. يمكن تحقيق ذلك من خلال مراقبة أي سمات يجب أن تتغير وحجم الملف.
لكن, نظرًا لأننا نتطلع إلى منع أحد أكثر أنواع الاختراق تعقيدًا ، فنحن بحاجة إلى تقديم وسيلة معصومة تمامًا لضمان سلامة الملفات. هذا يستدعي أن يكون كل ملف "DNA Fingerprinted", عادةً ما يتم إنشاؤها باستخدام خوارزمية تجزئة آمنة. خوارزمية تجزئة آمنة, مثل SHA1 أو MD5, تنتج فريدة من نوعها, قيمة التجزئة استنادًا إلى محتويات الملف وتضمن اكتشاف حتى تغيير حرف واحد في الملف. هذا يعني أنه حتى إذا تم تعديل البرنامج لفضح تفاصيل بطاقة الدفع, ولكن الملف بعد ذلك "مبطن’ لجعله بنفس حجم الملف الأصلي ومع تحرير جميع السمات الأخرى لجعل الملف يبدو كما هو, سيتم الكشف عن التعديلات. هذا هو السبب في أن PCI DSS يجعل من مراقبة سلامة الملفات مطلبًا إلزاميًا ولماذا يتم اعتباره بشكل متزايد مكونًا حيويًا في أمان النظام مثل جدار الحماية والدفاعات المضادة للفيروسات.
الاستنتاج تصلب الجهاز هو نظام أساسي لأي منظمة جادة في مجال الأمن. بالإضافة إلى, إذا كانت مؤسستك تخضع لأي حوكمة مؤسسية أو معيار أمان رسمي, مثل PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, شركة GCSx, ثم سيكون تصلب الجهاز مطلبًا إلزاميًا. – جميع الخوادم, تحتاج محطات العمل وأجهزة الشبكة إلى تقوية عبر مجموعة من إعدادات التكوين ونشر تصحيح البرامج – قد يؤثر أي تغيير في الجهاز سلبًا على حالته المتشددة ويجعل مؤسستك عرضة لتهديدات أمنية – يجب أيضًا استخدام مراقبة سلامة الملفات للتخفيف من "صفر يوم"’ التهديدات والتهديد من الداخل’ – ستتغير قوائم التحقق الخاصة بالثغرات الأمنية بانتظام مع تحديد التهديدات الجديدة
تم تصميم جميع حلول برمجيات NewNetTechnologies باستخدام أحدث التقنيات, مما يعني أنه يمكن تكييفها بالكامل لتناسب جميع بيئات العمل. لمزيد من المعلومات حول ملف مراقبة النزاهة عرض حلولنا البرمجية على http://www.newnettechnologies.com التي تقدم 100% من الميزات التي تحتاجها ولكن بجزء بسيط من تكلفة الحلول التقليدية.
مصدر المقال: HTTP://EzineArticles.com/?خبير = Mark_Kedgley