Enhets Härdning, Sårbarhetsskanning och hot Mitigation för efterlevnads- och säkerhetschef
Enhets Härdning, Sårbarhetsskanning och hot Mitigation för efterlevnads- och säkerhetschef
Av Mark Kedgley
Alla säkerhetsstandarder och bolagsstyrning efterlevnadspolicyer såsom PCI DSS, GCSx CoCo, SOX (Sarbanes Oxley), NERC CIP, HIPAA, HITECH, GLBA, ISO27000 och FISMA kräver enheter såsom persondatorer, Windows-servrar, Unix-servrar, nätverksenheter som brandväggar, Inbrottsskydd Systems (IPS) och routrar för att vara säker så att de skyddar konfidentiella data säkra.
Det finns ett antal slagord som används inom detta område – Säkerhetsproblem och Device Härdning? 'Härdning’ en anordning kräver känd säkerhets ’sårbarheter’ som skall elimineras eller mildras. En sårbarhet är någon svaghet eller fel i software design, genomförande eller administrering av ett system som tillhandahåller en mekanism för ett hot för att utnyttja svagheten i ett system eller förfarande. Det finns två huvudområden för att ta itu med för att eliminera säkerhetsproblem – konfigurationsinställningar och programvaru brister i program och operativsystem filer. Eliminera vulnerabilites kommer att kräva antingen ’sanering’ – vanligtvis en programvaruuppgradering eller plåster för program eller OS-filer – eller ’lindring’ – en konfigurationsinställningar förändring. Härdning krävs lika för servrar, arbetsstationer och nätverksenheter som brandväggar, switchar och routrar.
Hur gör jag identifiera sårbarheter? En sårbarhet skanning eller extern Penetration Test kommer att rapportera om alla sårbarheter som gäller för dina system och applikationer. Du kan köpa i 3: e parts scanning / penna provning – penna testning till sin natur sker externt via det publika Internet eftersom det är där något hot skulle utnyttjas från. Sårbarhetsskanning tjänster måste levereras på plats på plats. Detta kan antingen ske genom en 3: e part konsult med scanning hårdvara, eller så kan du köpa en ’black box’ lösning där en scanning apparat är permanent placerad i ditt nätverk och genomsökningar avsättas på distans. Självklart, resultaten av alla scan är endast vilken vid tidpunkten för scanningen vilket är anledningen till lösningar som kontinuerligt följa konfigurationsändringar är det enda riktiga sättet att garantera säkerheten för din IT egendom bibehålls.
Vad är skillnaden mellan ’sanering’ och ’begränsning’? ’Remediation’ av en sårbarhetsresulterar i att fel tas bort eller fast permanent, så denna term gäller generellt för alla programuppdatering eller patch. Patchhantering alltmer automatiserat av operativsystemet och produktutvecklare – så länge du implementera patchar när de släpps, sedan in-byggda sårbarheter kommer att saneras. Som ett exempel, den nyligen rapporterade Operation Aurora, klassificeras som en avancerad Ihållande Hot eller APT, lyckades infiltrera Google och Adobe. En sårbarhet i Internet Explorer användes för att plantera skadlig kod på riktade användare’ Datorer som tillåts åtkomst till känsliga uppgifter. Sanering för denna sårbarhet är att ’fix’ Internet Explorer använder Microsoft släppt patchar. Sårbarhet ’begränsning’ via konfigurationsinställningar säkerställer sårbarheter är inaktive. Konfiguration baserade sårbarheter är varken mer eller mindre potentiellt skadliga än dem som behöver att saneras via en patch, även om ett säkert konfigurerad anordning kan väl dämpa ett program eller OS-baserade hot. Det största problemet med konfigurationsbaserade sårbarheter är att de kan återinföras eller aktiveras när som helst – bara behövs ett par klick för att ändra de flesta inställningar.
Hur ofta nya sårbarheter upptäcks? Tyvärr, hela tiden! ännu värre, ofta det enda sättet att den globala gemenskapen upptäcker en sårbarhet är efter en hacker har upptäckt det och utnyttjade det. Det är först när skadan har skett och hack spåras tillbaka till sin källa som en förebyggande tillvägagångssättet, antingen patch eller konfigurationsinställningar, kan formuleras. Det finns olika centraliserade förråd av hot och sårbarheter på webben såsom MITRE CCE listor och många säkerhetsproduktleverantörer sammanställa levande rapporter hot eller ’storm center’ webbplatser.
Så allt jag behöver göra är att arbeta igenom checklistan och då är jag säker? I teorin, men det finns bokstavligen hundratals kända sårbarheter för varje plattform och även i en liten IT estate, uppgiften att kontrollera den härdade status varje enhet är en nästan omöjlig uppgift att genomföra manuellt.
Även om du automatisera sårbarhetsskanning uppgift med hjälp av ett felsökningsverktyg för att identifiera hur härdade enheter är innan du börjar, du kommer fortfarande att ha arbete att göra för att mildra och åtgärda sårbarheter. Men detta är bara det första steget – Om du anser att en typisk konfiguration sårbarhet, till exempel, en Windows Server ska ha gästkontot inaktiv. Om du kör en scan, identifiera var denna sårbarhet existerar för dina enheter, och sedan vidta åtgärder för att minska denna sårbarhet genom att inaktivera gästkontot, då du kommer att ha härdat dessa enheter. dock, Om en annan användare med administratörsbehörighet åtkomst sedan dessa samma servrar och återaktiverar gäst konto av någon anledning, du kommer då att lämnas exponerad. Självklart, du inte vet att servern har gjorts sårbar tills nästa köra en scan som kanske inte för en annan 3 månader eller till och med 12 månader. Det finns en annan faktor som ännu inte täckts vilket är hur du skyddar system från en intern hot – mer om detta senare.
Så hårt förändringsarbete är viktigt för att säkerställa att vi fortsätter att följa? Verkligen – Sektion 6.4 av PCI DSS beskriver kraven för en formellt hanteras Change Management process för just denna anledning. Varje ändring till en server eller nätverksenhet kan ha en inverkan på enhetens ’härdat’ tillstånd och därför är det viktigt att detta anses när du gör ändringar. Om du använder en kontinuerlig konfigurationsändring spårning lösning då du kommer att ha en verifieringskedja finns ger dig ’sluten slinga’ förändringsledning – så detaljerna i den godkända ändringen dokumenteras, tillsammans med uppgifter om de exakta förändringar som faktiskt genomfördes. Dessutom, enheterna ändrats kommer att omprövas efter sårbarheter och deras kompatibel tillstånd bekräftas automatiskt.
Hur är det interna hot? Cyberbrott ansluter sig till organiserad brottslighet ligan, vilket innebär att detta är inte bara om att stoppa illvilliga hackare bevisar sina färdigheter som en kul tidsfördriv! brandväggar, Inbrottsskydd Systems, Antivirusprogram och fullt genomfört enhets härdning åtgärder fortfarande inte stoppa eller ens upptäcka en skurk anställd som fungerar som en ’inre människan’. Denna typ av hot kan leda till skadlig kod införs på annat sätt säkra system av en anställd med administratörsrättigheter, eller ens bakdörrar som programmeras in i kärnaffärsapplikationer. Liknande, med tillkomsten av avancerade ihållande hot (BENÄGEN) såsom den publicerade ’Aurora’ hacks som använder social ingenjörskonst för att lura de anställda till att införa ’Zero-Day’ skadliga program. ’Zero-Day’ hot utnyttjar tidigare okända sårbarheter – en hacker upptäcker en ny sårbarhet och formulerar en attack process för att utnyttja den. Jobbet är då att förstå hur attacken hände och ännu viktigare hur att sanera eller mildra framtida åter förekomster av hot. Genom sin natur, antivirusåtgärder är ofta maktlösa mot ’zero-day’ hot. Faktiskt, det enda sättet att upptäcka dessa typer av hot är att använda File-Integrity övervakningsteknik. “Alla brandväggar, Inbrottsskydd Systems, Anti-virus och process vitlistning teknik i världen kommer inte att rädda dig från en väl iscensatt interna hack där förövaren har administratörsrättigheter till viktiga servrar eller legitim tillgång till programkoden – filintegritet övervakning används i samband med stram ändringshantering är det enda sättet att korrekt styra känslig betalkortssystem” Phil Snell, CTO, NNT
Se våra andra whitepaper ’File-Integrity Monitoring – Den sista försvarslinjen av PCI DSS’ mer bakgrunden till detta område, men det är en kort sammanfattning -Clearly, är det viktigt att kontrollera alla lägger, ändringar och strykningar av filer som någon förändring kan vara betydande vid äventyra säkerheten för en värd. Detta kan åstadkommas genom övervakning av bör vara några attribut förändringar och storleken på filen.
dock, eftersom vi funderar på att förhindra en av de mest sofistikerade typer av hack måste vi införa en helt ofelbara sätt att garantera filintegritet. Detta kräver för varje fil för att vara ’DNA fingeravtryck’, typiskt genereras med användning av en Secure Hash Algorithm. En Secure Hash Algorithm, såsom SHA1 eller MD5, producerar en unik, hash värde baserat på innehållet i filen och säkerställer att även ett enda tecken förändras i en fil kommer att upptäckas. Detta innebär att även om ett program modifieras för att exponera betalkortsuppgifter, men filen sedan ’stoppad’ att göra det samma storlek som originalfilen och alla andra attribut redigeras för att göra filen utseendet samma, modifiering kommer fortfarande att utsättas. Detta är anledningen till att PCI DSS gör File-integritetsövervakning ett obligatoriskt krav och varför det i allt högre grad betraktas som vital komponent i systemets säkerhet som brandväggar och antivirusprogram försvar.
Slutsats Device härdning är en viktig disciplin för alla organisationer allvar med säkerhet. Dessutom, om din organisation är föremål för någon bolagsstyrning eller formell säkerhetsstandard, såsom PCI DSS, SOX, HIPAA, NERC CIP, ISO 27K, GCSx Co Co, sedan enheten härdning kommer att bli ett obligatoriskt krav. – alla servrar, arbetsstationer och nätverksenheter behöver härdas genom en kombination av konfigurationsinställningar och programvara patch driftsättning – Varje ändring till en enhet kan negativt påverka dess härdade tillstånd och göra din organisation utsätts för säkerhetshot – file-integritetsövervakning måste också användas för att mildra ’zero-day’ hot och hotet från ’Inside Man’ – sårbarhets checklistor ändras regelbundet som nya hot identifieras
Alla NewNetTechnologies mjukvarulösningar är byggda med den senaste tekniken, vilket innebär att de kan vara helt anpassas för att passa alla affärsmiljöer. För mer information om File Integrity Monitoring se våra mjukvarulösningar på http://www.newnettechnologies.com vilka tillhandahåller 100% av de funktioner du behöver, men till en bråkdel av kostnaden för traditionella lösningar.