стврднување уред, Ранливоста скенирање и закана за ублажување за усогласеност и безбедност
стврднување уред, Ранливоста скенирање и закана за ублажување за усогласеност и безбедност
Од страна на Марк Kedgley
Сите стандарди за безбедност и политики за корпоративно управување за усогласеност, како што се PCI ДСС, GCSx Коко, SOX (Sarbanes Oxley), NERC ЦИП, HIPAA, HITECH, GLBA, ISO27000 и FISMA бараат уреди како што се компјутери, Windows сервери, Unix сервери, мрежни уреди, како што се firewalls, Intrusion Protection Systems (IPS) and routers to be secure in order that they protect confidential data secure.
There are a number of buzzwords being used in this area – Security Vulnerabilities and Device Hardening? ‘Hardening’ a device requires known security ‘vulnerabilities’ to be eliminated or mitigated. A vulnerability is any weakness or flaw in the software design, implementation or administration of a system that provides a mechanism for a threat to exploit the weakness of a system or process. There are two main areas to address in order to eliminate security vulnerabilities – configuration settings and software flaws in program and operating system files. Eliminating vulnerabilites will require either ‘remediation’ – typically a software upgrade or patch for program or OS files – or ‘mitigation’ – a configuration settings change. Hardening is required equally for servers, workstations and network devices such as firewalls, switches and routers.
How do I identify Vulnerabilities? A Vulnerability scan or external Penetration Test will report on all vulnerabilities applicable to your systems and applications. You can buy in 3rd Party scanning/pen testing services – pen testing by its very nature is done externally via the public internet as this is where any threat would be exploited from. Vulnerability Scanning services need to be delivered in situ on-site. This can either be performed by a 3rd Party Consultant with scanning hardware, or you can purchase a ‘black box’ решение со кое апаратот за скенирање е трајно поставен во вашата мрежа и скенирањата се обезбедуваат од далечина. Секако, резултатите од секое скенирање се точни само во моментот на скенирањето, затоа решенијата кои постојано ги следат промените во конфигурацијата се единствениот вистински начин да се гарантира безбедноста на вашиот ИТ имот..
Која е разликата помеѓу „санација’ и „ублажување“? „Ремедијација’ ранливоста резултира со трајно отстранување или фиксирање на пропустот, така што овој термин генерално се однесува на секое ажурирање или закрпа на софтверот. Управувањето со закрпи се повеќе се автоматизира од страна на оперативниот систем и развивачот на производи – сè додека имплементирате закрпи кога ќе бидат објавени, тогаш вградените пропусти ќе бидат санирани. Како пример, the recently reported Operation Aurora, classified as an Advanced Persistent Threat or APT, was successful in infiltrating Google and Adobe. A vulnerability within Internet Explorer was used to plant malware on targeted users’ PCs that allowed access to sensitive data. The remediation for this vulnerability is to ‘fix’ Internet Explorer using Microsoft released patches. Vulnerability ‘mitigation’ via Configuration settings ensures vulnerabilities are disabled. Configuration-based vulnerabilities are no more or less potentially damaging than those needing to be remediated via a patch, although a securely configured device may well mitigate a program or OS-based threat. The biggest issue with Configuration-based vulnerabilities is that they can be re-introduced or enabled at any time – just a few clicks are needed to change most configuration settings.
How often are new vulnerabilities discovered? За жал, all of the time! Worse still, often the only way that the global community discovers a vulnerability is after a hacker has discovered it and exploited it. It is only when the damage has been done and the hack traced back to its source that a preventative course of action, either patch or configuration settings, can be formulated. There are various centralized repositories of threats and vulnerabilities on the web such as the MITRE CCE lists and many security product vendors compile live threat reports or ‘storm center’ websites.
So all I need to do is to work through the checklist and then I am secure? In theory, but there are literally hundreds of known vulnerabilities for each platform and even in a small IT estate, the task of verifying the hardened status of each and every device is an almost impossible task to conduct manually.
Even if you automate the vulnerability scanning task using a scanning tool to identify how hardened your devices are before you start, you will still have work to do to mitigate and remediate vulnerabilities. But this is only the first step – if you consider a typical configuration vulnerability, for example, a Windows Server should have the Guest account disabled. If you run a scan, identify where this vulnerability exists for your devices, and then take steps to mitigate this vulnerability by disabling the Guest Account, then you will have hardened these devices. However, ако друг корисник со администраторски привилегии, тогаш пристапува на истите тие сервери и повторно ја овозможува гостинската сметка од која било причина, тогаш ќе останете изложени. Секако, нема да знаете дека серверот е ранлив додека следно не извршите скенирање кое можеби нема да биде за друг 3 месеци или дури 12 месеци. Постои уште еден фактор што сè уште не е покриен, а тоа е како да ги заштитите системите од внатрешна закана – повеќе за ова подоцна.
Значи, строгото управување со промените е од суштинско значење за да се осигураме дека ќе останеме усогласени? Навистина – Секција 6.4 на PCI DSS ги опишува барањата за формално управуван процес на управување со промени токму поради оваа причина. Секоја промена на сервер или мрежен уред може да има влијание врз „зацврстувањето“ на уредот’ наведете и затоа е императив тоа да се земе предвид кога се прават промени. Ако користите континуирано решение за следење промени во конфигурацијата, тогаш ќе имате достапна ревизорска трага што ќе ви даде „затворена јамка’ управување со промени – па се документира деталноста на одобрената промена, заедно со детали за точните промени кои всушност биле имплементирани. Понатаму, променетите уреди ќе бидат повторно проценети за пропусти и нивната усогласена состојба ќе се потврди автоматски.
Што е со внатрешните закани? Сајбер криминалот се приклучува на лигата за организиран криминал, што значи дека ова не е само за запирање на злонамерните хакери да ги докажат своите вештини како забавна забава! Заштитен ѕид, Intrusion Protection Systems, AntiVirus software and fully implemented device hardening measures will still not stop or even detect a rogue employee who works as an ‘inside man’. This kind of threat could result in malware being introduced to otherwise secure systems by an employee with Administrator Rights, or even backdoors being programmed into core business applications. Similarly, with the advent of Advanced Persistent Threats (APT) such as the publicized ‘Aurora’ hacks that use social engineering to dupe employees into introducing ‘Zero-Day’ malware. ‘Zero-Day’ threats exploit previously unknown vulnerabilities – a hacker discovers a new vulnerability and formulates an attack process to exploit it. The job then is to understand how the attack happened and more importantly how to remediate or mitigate future re-occurrences of the threat. By their very nature, anti-virus measures are often powerless against ‘zero-day’ threats. In fact, the only way to detect these types of threats is to use File-Integrity Monitoring technology. “All the firewalls, Intrusion Protection Systems, Anti-virus and Process Whitelisting technology in the world won’t save you from a well-orchestrated internal hack where the perpetrator has admin rights to key servers or legitimate access to application code – file integrity monitoring used in conjunction with tight change control is the only way to properly govern sensitive payment card systems” Phil Snell, CTO, NNT
See our other whitepaper ‘File-Integrity Monitoring – The Last Line of Defense of the PCI DSS’ for more background to this area, but this is a brief summary -Clearly, it is important to verify all adds, changes and deletions of files as any change may be significant in compromising the security of a host. This can be achieved by monitoring for should be any attributes changes and the size of the file.
However, since we are looking to prevent one of the most sophisticated types of hack we need to introduce a completely infallible means of guaranteeing file integrity. This calls for each file to be ‘DNA Fingerprinted’, typically generated using a Secure Hash Algorithm. A Secure Hash Algorithm, such as SHA1 or MD5, produces a unique, хаш вредност врз основа на содржината на датотеката и гарантира дека дури и еден знак што се менува во датотеката ќе биде откриен. Ова значи дека дури и ако некоја програма е изменета за да ги открие деталите за платежната картичка, но датотеката потоа е „пополнета“.’ да се направи со иста големина како оригиналната датотека и со сите други атрибути уредени за да се направи датотеката да изгледа и да се чувствува исто, модификациите сè уште ќе бидат изложени. Ова е причината зошто PCI DSS го прави следењето на интегритетот на датотеката задолжителен услов и зошто тоа се повеќе се смета за витална компонента во безбедноста на системот, како што се заштитниот ѕид и антивирусната одбрана..
Заклучок Стврднувањето на уредите е суштинска дисциплина за секоја организација сериозна во врска со безбедноста. Понатаму, ако вашата организација е предмет на какво било корпоративно управување или формален безбедносен стандард, such as PCI DSS, SOX, HIPAA, NERC ЦИП, ISO 27K, GCSx Co Co, then device hardening will be a mandatory requirement. – All servers, workstations and network devices need to be hardened via a combination of configuration settings and software patch deployment – Any change to a device may adversely affect its hardened state and render your organization exposed to security threats – file-integrity monitoring must also be employed to mitigate ‘zero-day’ threats and the threat from the ‘inside man’ – vulnerability checklists will change regularly as new threats are identified
All NewNetTechnologies software solutions are built using the latest technology, which means they can be fully adapted to suit all business environments. For more information on File интегритет следење view our software solutions on http://www.newnettechnologies.com which provide 100% of the features you need but at a fraction of the cost of traditional solutions.
консултантска компанија посветена на подобрување на перформансите на е-трговија на повеќеканалните трговци на мало: http://консултантска компанија посветена на подобрување на перформансите на е-трговија на повеќеканалните трговци на мало?expert=Mark_Kedgley