Device Hardening, Uyğunluq və təhlükəsizlik üçün açığı Scanning və Threat azaldılması
Device Hardening, Uyğunluq və təhlükəsizlik üçün açığı Scanning və Threat azaldılması
By Mark Kedgley
Bütün təhlükəsizlik standartları və PCI DSS kimi Korporativ İdarəetmə Uyğunluq Siyasətləri, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 və FISMA kompüterlər kimi cihazlar tələb edir, Windows Serverləri, Unix serverləri, firewall kimi şəbəkə cihazları, Müdaxilədən Mühafizə Sistemləri (IPS) və marşrutlaşdırıcılar məxfi məlumatları təhlükəsiz şəkildə qorumaq üçün təhlükəsiz olmalıdırlar.
Bu sahədə istifadə olunan bir sıra sözlər var – Təhlükəsizlik Zəiflikləri və Cihazın Sərtləşməsi? 'Sərtləşmə’ cihaz məlum təhlükəsizlik zəifliklərini tələb edir’ aradan qaldırılmalı və ya yüngülləşdirilməlidir. Zəiflik proqram dizaynında hər hansı zəiflik və ya qüsurdur, sistemin və ya prosesin zəifliyindən istifadə etmək üçün təhlükə mexanizmini təmin edən sistemin tətbiqi və ya idarə edilməsi. Təhlükəsizlik zəifliklərini aradan qaldırmaq üçün iki əsas sahəyə diqqət yetirilməlidir – proqram və əməliyyat sistemi fayllarında konfiqurasiya parametrləri və proqram qüsurları. Zəifliklərin aradan qaldırılması ya “təmizləmə” tələb edəcək’ – adətən proqram və ya OS faylları üçün proqram yeniləməsi və ya yamaqdır – və ya ‘azaltma’ – konfiqurasiya parametrlərinin dəyişməsi. Sertləşdirmə serverlər üçün eyni dərəcədə tələb olunur, iş stansiyaları və firewall kimi şəbəkə cihazları, açarları və marşrutlaşdırıcılar.
Zəiflikləri necə müəyyən edə bilərəm? Zəifliyin skanı və ya xarici Penetrasiya Testi sistemlərinizə və proqramlarınıza aid olan bütün zəifliklər haqqında hesabat verəcəkdir.. Siz 3-cü Tərəfin skan/qələm testi xidmətlərində satın ala bilərsiniz – Təbiətinə görə qələm sınağı xaricdən ictimai internet vasitəsilə həyata keçirilir, çünki burada hər hansı bir təhlükə istifadə oluna bilər.. Zəifliklərin Skanlanması xidmətləri yerində yerinə yetirilməlidir. Bu, ya skaner aparatı olan 3-cü Tərəf Məsləhətçisi tərəfindən həyata keçirilə bilər, və ya "qara qutu" ala bilərsiniz’ skan edən cihazın daimi olaraq şəbəkənizdə yerləşdiyi və skanların uzaqdan təmin edildiyi həll. Əlbəttə, hər hansı bir skanın nəticələri yalnız skan zamanı dəqiqdir, buna görə də konfiqurasiya dəyişikliklərini davamlı olaraq izləyən həllər İT əmlakınızın təhlükəsizliyini təmin etməyin yeganə real yoludur..
'Remediasiya' arasındakı fərq nədir’ və "azaltma"? ‘İlahiləşdirmə’ zəifliyin aradan qaldırılması və ya daimi olaraq düzəldilməsi ilə nəticələnir, buna görə də bu termin ümumiyyətlə hər hansı proqram yeniləməsinə və ya yamağa aiddir. Yamaqların idarə edilməsi Əməliyyat Sistemi və Məhsul Tərtibatçı tərəfindən getdikcə daha çox avtomatlaşdırılır – buraxıldıqda yamaqları tətbiq etdiyiniz müddətcə, sonra daxili zəifliklər aradan qaldırılacaq. Nümunə olaraq, Bu yaxınlarda məlumat verilmiş Aurora əməliyyatı, Qabaqcıl Davamlı Təhdid və ya APT kimi təsnif edilir, Google və Adobe-a sızmaqda müvəffəq oldu. Hədəflənmiş istifadəçilərə zərərli proqram yerləşdirmək üçün Internet Explorer-dəki boşluqdan istifadə edilib’ Həssas məlumatlara giriş imkanı verən kompüterlər. Bu zəifliyin aradan qaldırılması yolu “düzəltmək”dir’ Microsoft-dan istifadə edən Internet Explorer yamaqlar buraxdı. Zəifliyin azaldılması’ vasitəsilə Konfiqurasiya parametrləri zəifliklərin aradan qaldırılmasını təmin edir. Konfiqurasiyaya əsaslanan zəifliklər yamaq vasitəsilə aradan qaldırılmalı olanlardan daha çox və ya daha az potensial ziyan vurmur., although a securely configured device may well mitigate a program or OS-based threat. The biggest issue with Configuration-based vulnerabilities is that they can be re-introduced or enabled at any time – just a few clicks are needed to change most configuration settings.
How often are new vulnerabilities discovered? Təəssüf ki,, all of the time! Worse still, often the only way that the global community discovers a vulnerability is after a hacker has discovered it and exploited it. It is only when the damage has been done and the hack traced back to its source that a preventative course of action, either patch or configuration settings, can be formulated. There are various centralized repositories of threats and vulnerabilities on the web such as the MITRE CCE lists and many security product vendors compile live threat reports or ‘storm center’ websites.
So all I need to do is to work through the checklist and then I am secure? In theory, but there are literally hundreds of known vulnerabilities for each platform and even in a small IT estate, the task of verifying the hardened status of each and every device is an almost impossible task to conduct manually.
Even if you automate the vulnerability scanning task using a scanning tool to identify how hardened your devices are before you start, you will still have work to do to mitigate and remediate vulnerabilities. But this is only the first step – if you consider a typical configuration vulnerability, for example, a Windows Server should have the Guest account disabled. If you run a scan, identify where this vulnerability exists for your devices, and then take steps to mitigate this vulnerability by disabling the Guest Account, then you will have hardened these devices. lakin, if another user with Administrator privileges then accesses these same servers and re-enables the Guest Account for any reason, you will then be left exposed. Əlbəttə, you wont know that the server has been rendered vulnerable until you next run a scan which may not be for another 3 months or even 12 months. There is another factor that hasn’t yet been covered which is how do you protect systems from an internal threat – more on this later.
Buna görə də dəyişikliklərin ciddi şəkildə idarə edilməsi bizim uyğunluğumuzu təmin etmək üçün vacibdir? Həqiqətən – Bölmə 6.4 PCI DSS-i məhz bu səbəbdən rəsmi idarə olunan Dəyişikliklərin İdarə Edilməsi prosesi üçün tələbləri təsvir edir. Serverə və ya şəbəkə cihazına edilən hər hansı dəyişiklik cihazın “bərkləşmiş” vəziyyətinə təsir göstərə bilər’ və buna görə də dəyişikliklər edərkən bunun nəzərə alınması zəruridir. Davamlı konfiqurasiya dəyişikliyi izləmə həllindən istifadə edirsinizsə, onda sizə "qapalı dövrə" verən audit izi olacaq.’ dəyişikliklərin idarə edilməsi – beləliklə, təsdiq edilmiş dəyişikliyin təfərrüatı sənədləşdirilir, faktiki olaraq həyata keçirilmiş dəqiq dəyişikliklərin təfərrüatları ilə birlikdə. Bundan əlavə, dəyişdirilmiş cihazlar zəifliklərə görə yenidən qiymətləndiriləcək və onların uyğunluq vəziyyəti avtomatik olaraq təsdiqlənəcək.
Bəs daxili təhdidlər? Kibercinayətkarlıq Mütəşəkkil Cinayətkarlıqla Mübarizə Liqasına qoşulur, bu o deməkdir ki, bu, sadəcə olaraq öz bacarıqlarını əyləncəli bir əyləncə kimi sübut edən zərərli hakerləri dayandırmaq deyil.! Firewalling, Müdaxilədən Mühafizə Sistemləri, AntiVirus proqramı və tam tətbiq edilmiş cihazın sərtləşdirilməsi tədbirləri hələ də “daxili adam” kimi işləyən yaramaz işçini dayandırmayacaq və hətta aşkar etməyəcək.. Bu cür təhlükə zərərli proqram təminatının inzibatçı hüquqlarına malik olan işçi tərəfindən təhlükəsiz sistemlərə daxil edilməsi ilə nəticələnə bilər., və ya hətta arxa qapılar əsas biznes proqramlarına proqramlaşdırılır. oxşar, Qabaqcıl Davamlı Təhdidlərin meydana gəlməsi ilə (TUTARLI) məsələn, ictimailəşdirilmiş "Avrora"’ “Zero-Day” proqramını təqdim etmək üçün işçiləri aldatmaq üçün sosial mühəndislikdən istifadə edən hakerlər’ zərərli proqram. 'Sıfır gün’ təhdidlər əvvəllər məlum olmayan zəifliklərdən istifadə edir – a hacker discovers a new vulnerability and formulates an attack process to exploit it. The job then is to understand how the attack happened and more importantly how to remediate or mitigate future re-occurrences of the threat. By their very nature, anti-virus measures are often powerless against ‘zero-day’ threats. Faktiki olaraq, the only way to detect these types of threats is to use File-Integrity Monitoring technology. “All the firewalls, Müdaxilədən Mühafizə Sistemləri, Anti-virus and Process Whitelisting technology in the world won’t save you from a well-orchestrated internal hack where the perpetrator has admin rights to key servers or legitimate access to application code – file integrity monitoring used in conjunction with tight change control is the only way to properly govern sensitive payment card systems” Phil Snell, CTO, NNT
See our other whitepaper ‘File-Integrity Monitoring – The Last Line of Defense of the PCI DSS’ for more background to this area, but this is a brief summary -Clearly, it is important to verify all adds, changes and deletions of files as any change may be significant in compromising the security of a host. This can be achieved by monitoring for should be any attributes changes and the size of the file.
lakin, since we are looking to prevent one of the most sophisticated types of hack we need to introduce a completely infallible means of guaranteeing file integrity. This calls for each file to be ‘DNA Fingerprinted’, typically generated using a Secure Hash Algorithm. A Secure Hash Algorithm, such as SHA1 or MD5, produces a unique, hash value based on the contents of the file and ensures that even a single character changing in a file will be detected. This means that even if a program is modified to expose payment card details, but the file is then ‘padded’ to make it the same size as the original file and with all other attributes edited to make the file look and feel the same, the modifications will still be exposed. This is why the PCI DSS makes File-Integrity Monitoring a mandatory requirement and why it is increasingly considered as vital a component in system security as firewalling and anti-virus defences.
Conclusion Device hardening is an essential discipline for any organization serious about security. Bundan əlavə, if your organization is subject to any corporate governance or formal security standard, such as PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, then device hardening will be a mandatory requirement. – All servers, workstations and network devices need to be hardened via a combination of configuration settings and software patch deployment – Any change to a device may adversely affect its hardened state and render your organization exposed to security threats – file-integrity monitoring must also be employed to mitigate ‘zero-day’ threats and the threat from the ‘inside man’ – vulnerability checklists will change regularly as new threats are identified
All NewNetTechnologies software solutions are built using the latest technology, which means they can be fully adapted to suit all business environments. For more information on Integrity Monitorinq Fayl view our software solutions on http://www.newnettechnologies.com which provide 100% of the features you need but at a fraction of the cost of traditional solutions.
Maddə Mənbə: http://EzineArticles.com/?expert=Mark_Kedgley