Geräte-Hardening, Schwachstellen-Scans und Threat Mitigation für Compliance und Sicherheit
Geräte-Hardening, Schwachstellen-Scans und Threat Mitigation für Compliance und Sicherheit
Durch Mark Kedgley
Alle Sicherheits-Standards und Corporate Governance Compliance-Richtlinien wie PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 und FISMA erfordern Geräte wie PCs, Windows-Server, Unix-Server, Netzwerkgeräte wie Firewalls, Intrusion Protection Systems (IPS) und Router zu sicher sein, damit sie vertrauliche Daten sicher schützen.
Es sind eine Reihe von Schlagwörtern, die in diesem Bereich verwendet – Sicherheitsrisiken und Geräte Härten? "Härten’ ein Gerät benötigt bekannten Sicherheits 'Schwachstellen’ beseitigt oder verringert werden. Eine Schwachstelle ist jede Schwäche oder Fehler in der Software-Design, Implementierung oder Verwaltung eines Systems, das einen Mechanismus sieht eine Bedrohung für die Schwäche eines Systems oder Prozesses zu nutzen. Es gibt zwei Hauptbereiche, um zur Beseitigung von Sicherheitslücken – Konfigurationseinstellungen und Software-Schwachstellen in Programm- und Betriebssystemdateien. Beseitigung von Schwachstellen werden so oder "Sanierung erforderlich’ – typischerweise ein Software-Upgrade oder Patch-Programm oder Betriebssystemdateien – oder "Minderungs’ – ein Konfigurationseinstellungen Wechsel. Aushärtung erfolgt gleichermaßen für Server erforderlich, Workstations und Netzwerkgeräten wie Firewalls, Switches und Router.
Wie identifiziere ich Schwachstellen? Schwachstellen-Suche oder externe Penetration Test wird für alle Schwachstellen, die für Ihre Systeme und Anwendungen zu melden. Sie können in 3rd Party Scannen / Stift Prüfdienstleistungen kaufen – Pen-Testing von Natur aus von außen über das öffentliche Internet getan, wie das ist, wo jede Bedrohung würde aus genutzt werden. Schwachstellen-Scans Dienstleistungen müssen vor Ort vor Ort geliefert werden. Dies kann entweder durch eine 3rd-Party-Consultant mit Scan-Hardware durchgeführt werden, oder Sie können eine "Black Box kaufen’ Lösung, bei der ein Scan-Gerät ist dauerhaft in Ihrem Netzwerk angesiedelt und Scans remote bereitgestellt. Natürlich, die Ergebnisse jeder Scan sind nur zum Zeitpunkt des Scans weshalb Lösungen, die kontinuierlich verfolgen Konfigurationsänderungen sind der einzige Weg, um die Sicherheit Ihrer IT-Immobilien garantieren aufrechterhalten genaue.
Was ist der Unterschied zwischen "Sanierung’ und "Eindämmung"? "Remediation’ einer Sicherheitsanfälligkeit in der Fehler entfernt wird oder fest ange, so dass dieser Begriff generell jede Software-Update oder Patch-. Patch-Management wird zunehmend von der Betriebssystem und Produktentwickler automatisiert – solange Sie Patches zu implementieren, wenn sie losgelassen, dann eingebauten Schwachstellen werden beseitigt werden. Als ein Beispiel, die vor kurzem berichtet Operation Aurora, als Advanced Persistent Threat oder APT klassifiziert, war in infiltrieren Google und Adobe erfolgreich. Eine Sicherheitslücke in Internet Explorer wurde verwendet, um Malware auf gezielte Benutzer zu pflanzen’ PCs, die Zugang zu sensiblen Daten erlaubt. Die Sanierung für diese Sicherheitslücke ist es, "fix’ Internet Explorer mit Hilfe von Microsoft veröffentlichten Patches. Vulnerability 'Mitigation’ über Konfigurationseinstellungen sorgt für Schwachstellen sind deaktiviert. Konfigurationsbasierte Schwachstellen sind nicht mehr oder weniger als den potenziell schädlichen benötigen, um über einen Patch beseitigt werden, obwohl ein sicher konfiguriertes Gerät kann auch ein Programm oder OS-basierte Bedrohung zu mildern. Das größte Problem, mit dem Configuration-basierte Schwachstellen ist, dass sie wieder eingeführt oder jederzeit aktiviert werden, – nur ein paar Klicks sind nötig, um die meisten Konfigurationseinstellungen zu ändern.
Wie oft werden neue Sicherheitslücken entdeckt,? Bedauerlicherweise, die ganze Zeit! Schlimmer noch:, oft die einzige Möglichkeit, die die Weltgemeinschaft entdeckt eine Schwachstelle ist nach einem Hacker hat es entdeckt und ausgebeutet es. Nur dann, wenn der Schaden getan wurde und der Hack zurück zu seiner Quelle zurückverfolgen, dass eine präventive Vorgehens, entweder Patch- oder Konfigurationseinstellungen, formulieren. Es gibt verschiedene zentralen Repositories von Bedrohungen und Schwachstellen im Internet, wie die MITRE CCE Listen und viele Security-Produkt-Anbieter kompilieren Live Bedrohung Berichte oder 'Sturmzentrum’ Webseiten.
Also alles, was ich tun müssen, ist, um die Checkliste durcharbeiten und dann bin ich sicher? In der Theorie, aber es gibt buchstäblich Hunderte von bekannten Schwachstellen für jede Plattform und sogar in einem kleinen IT Immobilien, Aufgabe der Verifizierung des gehärteten Zustand einer jeden Vorrichtung ist eine fast unmögliche Aufgabe manuell durchzuführen.
Auch wenn Sie automatisieren die Schwachstellen-Scans Aufgabe mit einem Scan-Tool, um festzustellen, wie gehärtet Ihre Geräte vor dem Start, haben Sie noch zu tun, um zu mildern und Beseitigung von Schwachstellen. Aber dies ist nur der erste Schritt – wenn Sie eine typische Konfiguration Sicherheitslücke betrachten, beispielsweise, ein Windows Server sollte das Gastkonto deaktiviert haben. Wenn Sie eine Prüfung ausführen, festzustellen, wo diese Sicherheitsanfälligkeit für Ihre Geräte vorhanden, und dann Maßnahmen ergreifen, um diese Sicherheitsanfälligkeit durch Deaktivieren des Gastkontos zu mildern, dann werden Sie diese Geräte ausgehärtet sein. aber, Wenn ein anderer Benutzer mit Administratorrechten greift dann auf die gleichen Server und wieder kann der Gastkonto aus irgendeinem Grund, Sie werden dann nach links ausgesetzt werden. Natürlich, Sie werden nicht wissen, dass der Server ist anfällig machen, bis Sie das nächste Mal einen Scan, die nicht für eine andere sein kann 3 Monate oder sogar 12 Monate. Es ist ein weiterer Faktor, der noch nicht abgedeckt wurde, die, wie Sie Systeme aus einer internen Bedrohung zu schützen ist – dazu später mehr.
So eng, Change-Management ist unerlässlich für die Gewährleistung bleiben wir konform? Tatsächlich – Abschnitt 6.4 des PCI DSS beschreibt die Anforderungen an ein formal verwaltet Change Management Prozess aus diesem Grund. Jede Änderung an einem Server oder Netzwerkgerät können sich auf dem Gerät zu haben "gehärtet’ Zustand und deshalb ist es zwingend erforderlich, dass dies berücksichtigt werden, wenn Änderungen. Wenn Sie einen Dauerkonfigurationsänderung Tracking-Lösung sind, dann werden Sie ein Protokoll zur Verfügung stehen Ihnen "Closed-Loop-’ Änderungsmanagement – so dass die Einzelheiten der genehmigten Änderung wird dokumentiert, zusammen mit Angaben zu den genauen Änderungen, die tatsächlich durchgeführt wurden. Außerdem, Schwachstellen die geänderten Geräte werden neu bewertet werden und deren konformen Zustand bestätigt automatisch.
Was ist mit internen Bedrohungen? Cybercrime schließt sich der organisierten Kriminalität Liga was bedeutet dies nicht nur zu stoppen Hacker beweisen ihre Fähigkeiten als angenehmer Zeitvertreib! Firewalling, Intrusion Protection Systems, Antivirus-Software und vollständig umgesetzt Gerät Härten Maßnahmen weiterhin nicht zu stoppen oder sogar ein Schelm Mitarbeiter, der als "Inside Man" arbeitet erkennen. Diese Art der Bedrohung könnte Malware führen, eingeführt, um ansonsten sichere Systeme von einem Mitarbeiter mit Administratorrechten, oder auch Backdoors, die in zentralen Unternehmensanwendungen programmiert. Ähnlich, mit dem Aufkommen der Advanced Persistent Threats (APT) wie beispielsweise die veröffentlichten "Aurora’ Hacks, die Social Engineering verwenden, um Mitarbeiter in der Einführung "Zero-Day tölpeln’ Malware. "Zero-Day-’ Bedrohungen nutzen bisher unbekannte Schwachstellen – ein Hacker entdeckt eine neue Schwachstelle und formuliert einen Angriff Prozess, um ihn zu nutzen. Die Aufgabe besteht also darin, zu verstehen, wie der Angriff geschah und was noch wichtiger ist, wie man zu sanieren oder zu mindern künftige Wieder Vorkommen der Bedrohung. Aufgrund ihrer Art, Anti-Virus-Maßnahmen sind oft gegen "Zero-Day machtlos’ Bedrohungen. Eigentlich, der einzige Weg, um diese Art von Bedrohungen zu erkennen ist die Überwachung der Dateiintegrität Technologie. “Alle Firewalls, Intrusion Protection Systems, Antivirus und Prozesswhitelisting Technologie in der Welt werden Sie von einem gut organisierten internen hack, wo der Täter hat Admin-Rechte auf wichtige Server oder legitimen Zugang zu Anwendungscode nicht speichern – Dateiintegritätsüberwachung in Verbindung mit engen Wechselsteuerung verwendet wird, ist der einzige Weg, um richtig zu regieren sensiblen Zahlungskartensysteme” Phil Snell, CTO, NNT
Sehen Sie unsere Whitepaper 'Datei-Integritätsüberwachung – Die letzte Verteidigungslinie des PCI DSS’ für mehr Hintergrund dieses Gebiet, aber das ist eine kurze Zusammenfassung -Clearly, ist es wichtig zu überprüfen, alles summiert, Änderungen und Löschungen von Dateien, da eine Änderung kann dabei die Sicherheit eines Wirts signifikant sein. Dies kann durch Überwachung sollte irgendein Attribut ändert und die Größe der Datei erreicht werden.
aber, da wir uns auf einer der anspruchsvollsten Arten von Hack zu vermeiden müssen wir ein komplett unfehlbare Mittel zur Gewährleistung der Dateiintegrität einführen. Dies erfordert für jede Datei zu sein 'DNA Fingerprinted', mit einem Secure Hash Algorithm Regel erzeugt. Ein Secure Hash Algorithm, wie SHA1 oder MD5, erzeugt eine einzigartige, Hash-Wert auf der Grundlage des Inhalts der Datei und stellt sicher, dass selbst ein einzelnes Zeichen Änderung in einer Datei erkannt. Das bedeutet, dass selbst dann, wenn ein Programm modifiziert werden, um Kreditkarteninformationen aussetzen, aber die Datei wird dann "aufgefüllt’ , es die gleiche Größe wie die Originaldatei und alle anderen Attribute bearbeitet, um die Datei aussehen zu lassen und fühlen die gleiche, Änderungen werden weiterhin ausgesetzt werden. Deshalb ist die PCI DSS macht Datei-Integritätsüberwachung eine zwingende Voraussetzung und warum es wird zunehmend als lebenswichtige Komponente in der Systemsicherheit als Firewall und Virenabwehr als.
Fazit Geräte Aushärtung ist eine wesentliche Disziplin für jede Organisation das Thema Sicherheit ernst. Außerdem, wenn Ihre Organisation ist vorbehaltlich einer Unternehmensführung oder formale Sicherheitsstandard, wie zum Beispiel PCI-DSS-, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, dann Gerät Aushärtung wird eine zwingende Voraussetzung sein. – Alle Server, Workstations und Netzwerkgeräte müssen über eine Kombination von Konfigurationseinstellungen und Software-Patch-Bereitstellung ausgehärtet werden – Jede Änderung an einem Gerät können sich negativ auf seine gehärteten Zustand und machen Ihre Organisation auf Sicherheitsbedrohungen ausgesetzt – Dateiintegritätsüberwachung muss auch eingesetzt werden, um zu mildern "Zero-Day werden’ Bedrohungen und die Bedrohung durch die "Inside Man’ – Sicherheitslücke Checklisten regelmäßig zu ändern, wenn neue Bedrohungen identifiziert werden
Alle NewNetTechnologies Software-Lösungen sind mit der neuesten Technologie gebaut, das heißt, sie kann vollständig angepasst, um alle Geschäftsumgebungen angepasst werden. Für weitere Informationen über Dateiintegritätsüberwachung unsere Software-Lösungen zu sehen auf http://www.newnettechnologies.com die vorsehen, 100% der Funktionen, die Sie brauchen, aber zu einem Bruchteil der Kosten herkömmlicher Lösungen.
Artikelquelle: http://EzineArticles.com/?Experten = Mark_Kedgley