Standardy badania luk bezpieczeństwa - SANS FBI TOP 20

Artykuł pobrano ze strony eioba.pl
Standardy badania luk bezpieczeństwa - SANS FBI TOP 20
Zgodnie z zaleceniami norm dotyczących bezpieczeństwa Informacji PN-ISO/IEC 17799 i serii 27001-3 należy
okresowo dokonywać przeglądów stanu zabezpieczeń urządzeń pracujących w sieci. Urządzeniami takimi będą
komputery, drukarki, serwery oraz urządzenia sieciowe: przełączniki i routery.
Zasadniczą cechą wspólną tych wszystkich urządzeń jest to, że wszystkie one oprócz "elektroniki" posiadają
również oprogramowanie systemowe, które zarządza ich działaniem. Jest ono konfigurowalne i stworzone przez
ludzi. Oprogramowanie systemowe działające w tych wszystkich komputerach ma za zadanie wykonywać różne
czynności: od ściśle przypisanych i skończonych funkcjonalnościach jak to ma miejsce w i routerach po nie
określone, albo ograniczone tylko ludzką wyobraźnią jak to ma miejsce w przypadku komputerów. Zawsze w
sytuacjach gdzie funkcjonuje oprogramowanie mogą wystąpić tak zwane luki bezpieczeństwa lub po prostu
podatności. Luki takie to nic innego jak stwierdzone i zinwentaryzowane miejsca, konfiguracje, systemów i
aplikacji, które można wykorzystać do przejęcia kontroli nad urządzeniem. Według powszechnie przytaczanej
definicji, prawdziwie bezpieczny system teleinformatyczny jest wyidealizowanym urządzeniem, które poprawnie i w
całości realizuje tylko i wyłącznie cele zgodne z intencjami właściciela. Budowa skomplikowanego systemu
spełniającego te założenia jest z reguły niemożliwa. Bezpieczeństwo systemu jest swojego rodzaju kompromisem
sprzecznych oczekiwań projektanta oprogramowania, programisty, prawowitego właściciela systemu, posiadacza
przetwarzanych danych, czy w końcu użytkownika końcowego.
W wielu przypadkach trudne lub niemożliwe jest dowiedzenie, że dany program spełnia sformalizowane
oczekiwania. Z tych względów, zapewnianie bezpieczeństwa sprowadza się najczęściej do całościowego
zarządzania ryzykiem: określane są potencjalne zagrożenia, szacowane jest prawdopodobieństwo ich wystąpienia,
oceniany potencjał strat - a następnie podejmowane są kroki zapobiegawcze w zakresie, który jest racjonalny z
uwagi na możliwości techniczne i względy ekonomiczne.
W wyniku analiz może się okazać, że zastosowanie zabezpieczenia przekroczy kosztowo prawdopodobieństwo
wystąpienia incydentu bezpieczeństwa i z tej perspektywy będzie nieopłacalne bo być może specjalistyczne
ubezpieczenie na wypadek jego wystąpienia będzie tańsze niż stosowanie drogiego zabezpieczenia.
Wśród ekspertów nie ma jednolitego sposobu porównywania poziomu bezpieczeństwa aplikacji czy systemów.
Liczenie wykrytych błędów i luk czasami prowadzi na manowce jak chodź by kampania reklamowa sponsorowana
przez Microsoft wykazująca na podstawie liczby wykrytych błędów, że systemy z pod znaku sympatycznego
pingwina są bardziej podatne na ataki niż systemy „okienkowe”.
Z drugiej strony osoby lub oprogramowanie złośliwe wybierają najłatwiejszą i najwygodniejszą drogę i
wykorzystują najbardziej znane luki, za pomocą najskuteczniejszych i najpowszechniejszych narzędzi. Licząc na to,
że organizacje podłączone do sieci nie zadbają o załatanie znanych błędów. Najczęściej atakują kogo się da,
skanując Internet w celu wyszukania podatnych systemów.
SANS Institute wspólnie z FBI w postaci amerykańskiego National Infrastructure Protection Center (NIPC)
opublikowały listę Dziesięciu Najbardziej Krytycznych Internetowych Luk Bezpieczeństwa - Ten Most Critical
Internet Security Vulnerabilites. Tysiące organizacji wykorzystało tę listę oraz późniejsze listy Top 20 do
zamknięcia najbardziej istotnych luk.
W ten sposób powstał standard badania podatności infrastruktury teleinformatycznej określany często mianem
SANS FBI. Początkowo był wykorzystywany do badania udostępnionych w sieci zasobów informatycznych lecz w
dobie szerokiego dostępu do Internetu oraz dużej liczbie komputerów pracujących w sieciach lokalnych może być
wykorzystywany w sieciach intranetowych.
Obecna uaktualniona lista SANS Top 20 składa się tak naprawdę z dwóch list Top 10: dziesięć najczęściej
wykorzystywanych podatności w usługach systemów Windows oraz dziesięć najczęściej wykorzystywanych
podatności w usługach systemów UNIX i Linux. Choć w sieci rokrocznie mamy do czynienia z tysiącami incydentów
naruszenia bezpieczeństwa, związanymi z tymi systemami operacyjnymi, znacząca większość udanych ataków
korzysta z jednej lub kilku z opisanych 20 podatnych usług.
Lista Top 20 jest listą luk, które wymagają natychmiastowej naprawy. Jest rezultatem procesu, w którym brało
udział wielu czołowych ekspertów od bezpieczeństwa. Specjaliści wywodzili się z najbardziej wyczulonych na
tematykę bezpieczeństwa agencji federalnych USA, Anglii i Singapuru, a także z wiodących producentów
systemów i rozwiązań bezpieczeństwa oraz firm konsultingowych, czołowych
akademickich programów
bezpieczeństwa, wielu organizacji zrzeszających użytkowników tych systemów oraz z SANS Institute.
Podatności opisane w dokumentach są w odpowiedni sposób zindeksowane i opisane. Opis obejmuje zakres luki i
co najważniejsze sposób jej „załatania”. W opisie znajdują się odwołania do wpisów CVE (Common Vulnerabilities
and Exposures) dla każdej luki. Mogą się także zdarzyć wpisy CAN. Wpisy CAN oznaczają kandydatów na wpisy
CVE. Wpisy CAN nie zostały poddane pełnej weryfikacji. Aby uzyskać więcej informacji na temat projektu CVE,
zobacz http://cve.mitre.org/ .
Wpisy CVE i CAN odzwierciedlają najistotniejsze podatności, które powinny zostać zweryfikowane dla każdej
pozycji na liście. Każdy odnośnik CVE jest skojarzony z serwisem indeksującym ICAT amerykańskiego National
Institute of Standards and Technology ( http://icat.nist.gov/ ). ICAT zawiera krótki opis każdej luki, jej cech
charakterystycznych (np.:zakres ataków i potencjalny rezultat), listę podatnego oprogramowania i ich wersji, a
także linki do zaleceń i informacji o aktualizacjach.
Podstawowa lista:
Obecnie lista została uzupełniona o nowego typu zagrożenia takie jak:
Client-side Vulnerabilities in: (podatności po stronie kilenta aplikacji)
C1. Web Browsers (przegladarki internetowe)
C2. Office Software (oprogramowanie biurowe)
C3. Email Clients (aplikacje pocztowe)
C4. Media Players (odtwarzacze mediów)
Server-side Vulnerabilities in: (podatnosci po stronie serwera)
S1. Web Applications (aplikacje webowe)
S2. Windows Services (serwisy systemu Windows)
S3. Unix and Mac OS Services (serwisy systemów Unix i Mac OS)
S4. Backup Software (oprogramowanie do sporządzania kopii zapasowych)
S5. Anti-virus Software (oprogramowanie antywirusowe)
S6. Management Servers (oprogramowanie do zarządzania serwerami)
S7. Database Software (bazy danych)
Security Policy and Personnel: (podatnosci związane z polityka bezpieczeństwa i personelem)
H1. Excessive User Rights and Unauthorized Devices (nadmierne prawa użytkownika i nieautoryzowane
urządzenia)
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media (niezaszyfrowane zasoby urządzeń przenośnych)
Application Abuse: (podatności związane z nadużyciem aplikacji)
A1. Instant Messaging (komunikatory)
A2. Peer-to-Peer Programs (programy typu p2p)
Network Devices: (urządzenia sieciowe)
N1. VoIP Servers and Phones (telefonia VoIP)
Z1. Zero Day Attacks (podatności związane z typem ataku, wykorzystującm nieodkrytą podatność systemu czy
aplikacji. To zazwyczaj nieznany jeszcze programom antywirusowym wirus czy koń trojański).
Na stronie http://www.sans.org znajdują się opisy metodologii badania oraz wykaz oprogramowania w tym również
o otwartym kodzie, które umożliwia sprawdzenie podatności swoich zasobów sieciowych według powszechnie
uznanego standardu jakim jest SANS FBI TOP 20
Autor: wicia
Artykuł pobrano ze strony eioba.pl