Standardy badania luk bezpieczeństwa - SANS FBI
Transkrypt
Standardy badania luk bezpieczeństwa - SANS FBI
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Standardy badania luk bezpieczeństwa - SANS FBI TOP 20 Autor: piotr 26.03.2008. Zmieniony 26.03.2008. Zgodnie z zaleceniami norm dotyczących bezpieczeństwa Informacji PN-ISO/IEC 17799 i 27001 należy okresowo dokonywać przeglądów stanu zabezpieczeń urządzeń pracujących w sieci. Urządzeniami takimi będą komputery, drukarki, serwery oraz urządzenia sieciowe: przełączniki i routery. Zasadniczą cechą wspólną tych wszystkich urządzeń jest to, że wszystkie one oprócz "elektroniki" posiadają również oprogramowanie systemowe, które zarządza ich działaniem. Jest ono konfigurowalne i stworzone przez ludzi. Oprogramowanie systemowe działające w tych wszystkich komputerach ma za zadanie wykonywać różne czynności: od ściśle przypisanych i skończonych funkcjonalnościach jak to ma miejsce w i routerach po nie określone, albo ograniczone tylko ludzką wyobraźnią jak to ma miejsce w przypadku komputerów. Zawsze w sytuacjach gdzie funkcjonuje oprogramowanie mogą wystąpić tak zwane luki bezpieczeństwa lub po prostu podatności. Luki takie to nic innego jak stwierdzone i zinwentaryzowane miejsca, konfiguracje, systemów i aplikacji, które można wykorzystać do przejęcia kontroli nad urządzeniem. Według powszechnie przytaczanej definicji, prawdziwie bezpieczny system teleinformatyczny jest wyidealizowanym urządzeniem, które poprawnie i w całości realizuje tylko i wyłącznie cele zgodne z intencjami właściciela. Budowa skomplikowanego systemu spełniającego te założenia jest z reguły niemożliwa. Bezpieczeństwo systemu jest swojego rodzaju kompromisem sprzecznych oczekiwań projektanta oprogramowania, programisty, prawowitego właściciela systemu, posiadacza przetwarzanych danych, czy w końcu użytkownika końcowego. W wielu przypadkach trudne lub niemożliwe jest dowiedzenie, że dany program spełnia sformalizowane oczekiwania. Z tych względów, zapewnianie bezpieczeństwa sprowadza się najczęściej do całościowego zarządzania ryzykiem: określane są potencjalne zagrożenia, szacowane jest prawdopodobieństwo ich wystąpienia, oceniany potencjał strat - a następnie podejmowane są kroki zapobiegawcze w zakresie, który jest racjonalny z uwagi na możliwości techniczne i względy ekonomiczne. W wyniku analiz może się okazać, że zastosowanie zabezpieczenia przekroczy kosztowo prawdopodobieństwo wystąpienia incydentu bezpieczeństwa i z tej perspektywy będzie nieopłacalne bo być może specjalistyczne ubezpieczenie na wypadek jego wystąpienia będzie tańsze niż stosowanie drogiego zabezpieczenia. Wśród ekspertów nie ma jednolitego sposobu porównywania poziomu bezpieczeństwa aplikacji czy systemów. Liczenie wykrytych błędów i luk czasami prowadzi na manowce jak chodź by kampania reklamowa sponsorowana przez Microsoft wykazująca na podstawie liczby wykrytych błędów, że systemy z pod znaku sympatycznego pingwina są bardziej podatne na ataki niż systemy „okienkowe”. Z drugiej strony osoby lub oprogramowanie złośliwe wybierają najłatwiejszą i najwygodniejszą drogę i wykorzystują najbardziej znane luki, za pomocą najskuteczniejszych i najpowszechniejszych narzędzi. Licząc na to, że organizacje podłączone do sieci nie zadbają o załatanie znanych błędów. Najczęściej atakują kogo się da, skanując Internet w celu wyszukania podatnych systemów. SANS Institute wspólnie z FBI w postaci amerykańskiego National Infrastructure Protection Center (NIPC) opublikowały listę Dziesięciu Najbardziej Krytycznych Internetowych Luk Bezpieczeństwa - Ten Most Critical Internet Security Vulnerabilites. Tysiące organizacji wykorzystało tę listę oraz późniejsze listy Top 20 do zamknięcia najbardziej istotnych luk. W ten sposób powstał standard badania podatności infrastruktury teleinformatycznej określany często mianem SANS FBI. Początkowo był wykorzystywany do badania udostępnionych w sieci zasobów informatycznych lecz w dobie szerokiego dostępu do Internetu oraz dużej liczbie komputerów pracujących w sieciach lokalnych może być wykorzystywany w sieciach intranetowych. Obecna uaktualniona lista SANS Top 20 składa się tak naprawdę z dwóch list Top 10: dziesięć najczęściej wykorzystywanych podatności w usługach systemów Windows oraz dziesięć najczęściej wykorzystywanych podatności w usługach systemów UNIX i Linux. Choć w sieci rokrocznie mamy do czynienia z tysiącami incydentów naruszenia bezpieczeństwa, związanymi z tymi systemami operacyjnymi, znacząca większość udanych ataków korzysta z jednej lub kilku z opisanych 20 podatnych usług. http://www.witczak.priv.pl Kreator PDF Utworzono 8 March, 2017, 22:29 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Lista Top 20 jest listą luk, które wymagają natychmiastowej naprawy. Jest rezultatem procesu, w którym brało udział wielu czołowych ekspertów od bezpieczeństwa. Specjaliści wywodzili się z najbardziej wyczulonych na tematykę bezpieczeństwa agencji federalnych USA, Anglii i Singapuru, a także z wiodących producentów systemów i rozwiązań bezpieczeństwa oraz firm konsultingowych, czołowych akademickich programów bezpieczeństwa, wielu organizacji zrzeszających użytkowników tych systemów oraz z SANS Institute. Podatności opisane w dokumentach są w odpowiedni sposób zindeksowane i opisane. Opis obejmuje zakres luki i co najważniejsze sposób jej „załatania”. W opisie znajdują się odwołania do wpisów CVE (Common Vulnerabilities and Exposures) dla każdej luki. Mogą się także zdarzyć wpisy CAN. Wpisy CAN oznaczają kandydatów na wpisy CVE. Wpisy CAN nie zostały poddane pełnej weryfikacji. Aby uzyskać więcej informacji na temat projektu CVE, zobacz http://cve.mitre.org/ . Wpisy CVE i CAN odzwierciedlają najistotniejsze podatności, które powinny zostać zweryfikowane dla każdej pozycji na liście. Każdy odnośnik CVE jest skojarzony z serwisem indeksującym ICAT amerykańskiego National Institute of Standards and Technology ( http://icat.nist.gov/ ). ICAT zawiera krótki opis każdej luki, jej cech charakterystycznych (np.:zakres ataków i potencjalny rezultat), listę podatnego oprogramowania i ich wersji, a także linki do zaleceń i informacji o aktualizacjach. Obecnie lista została uzupełniona o nowego typu zagrożenia takie jak: Client-side Vulnerabilities in: C1. C2. C3. C4. Web Browsers Office Software Email Clients Media Players Server-side Vulnerabilities in: S1. S2. S3. S4. S5. S6. S7. Web Applications Windows Services Unix and Mac OS Services Backup Software Anti-virus Software Management Servers Database Software Security Policy and Personnel: H1. Excessive User Rights and Unauthorized Devices H2. Phishing/Spear Phishing H3. Unencrypted Laptops and Removable Media Application Abuse: A1. Instant Messaging A2. Peer-to-Peer Programs Network Devices: N1. VoIP Servers and Phones Zero Day Attacks: Z1. Zero Day Attacks Na stronie http://www.sans.org znajdują się opisy metodologii badania oraz wykaz oprogramowania w tym również o otwartym kodzie, które umożliwia sprawdzenie podatności swoich zasobów sieciowych http://www.witczak.priv.pl Kreator PDF Utworzono 8 March, 2017, 22:29 Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT według powszechnie uznanego standardu jakim jest SANS FBI TOP 20. http://www.witczak.priv.pl Kreator PDF Utworzono 8 March, 2017, 22:29