Standardy badania luk bezpieczeństwa - SANS FBI

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Standardy badania luk bezpieczeństwa - SANS FBI TOP 20
Autor: piotr
26.03.2008.
Zmieniony 26.03.2008.
Zgodnie z zaleceniami norm dotyczących bezpieczeństwa Informacji PN-ISO/IEC 17799 i 27001 należy
okresowo dokonywać przeglądów stanu zabezpieczeń urządzeń pracujących w sieci. Urządzeniami takimi
będą komputery, drukarki, serwery oraz urządzenia sieciowe: przełączniki i routery. Zasadniczą cechą
wspólną tych wszystkich urządzeń jest to, że wszystkie one oprócz "elektroniki" posiadają również
oprogramowanie systemowe, które zarządza ich działaniem. Jest ono konfigurowalne i stworzone przez
ludzi. Oprogramowanie systemowe działające w tych wszystkich komputerach ma za zadanie wykonywać
różne czynności: od ściśle przypisanych i skończonych funkcjonalnościach jak to ma miejsce w i
routerach po nie określone, albo ograniczone tylko ludzką wyobraźnią jak to ma miejsce w przypadku
komputerów. Zawsze w sytuacjach gdzie funkcjonuje oprogramowanie mogą wystąpić tak zwane luki
bezpieczeństwa lub po prostu podatności. Luki takie to nic innego jak stwierdzone i zinwentaryzowane
miejsca, konfiguracje, systemów i aplikacji, które można wykorzystać do przejęcia kontroli nad
urządzeniem. Według powszechnie przytaczanej definicji, prawdziwie bezpieczny system
teleinformatyczny jest wyidealizowanym urządzeniem, które poprawnie i w całości realizuje tylko i
wyłącznie cele zgodne z intencjami właściciela. Budowa skomplikowanego systemu spełniającego te
założenia jest z reguły niemożliwa. Bezpieczeństwo systemu jest swojego rodzaju kompromisem
sprzecznych oczekiwań projektanta oprogramowania, programisty, prawowitego właściciela systemu,
posiadacza przetwarzanych danych, czy w końcu użytkownika końcowego.
W wielu przypadkach trudne lub niemożliwe jest dowiedzenie, że dany program spełnia sformalizowane
oczekiwania. Z tych względów, zapewnianie bezpieczeństwa sprowadza się najczęściej do całościowego
zarządzania ryzykiem: określane są potencjalne zagrożenia, szacowane jest prawdopodobieństwo ich
wystąpienia, oceniany potencjał strat - a następnie podejmowane są kroki zapobiegawcze w zakresie,
który jest racjonalny z uwagi na możliwości techniczne i względy ekonomiczne.
W wyniku analiz może się okazać, że zastosowanie zabezpieczenia przekroczy kosztowo
prawdopodobieństwo wystąpienia incydentu bezpieczeństwa i z tej perspektywy będzie nieopłacalne bo
być może specjalistyczne ubezpieczenie na wypadek jego wystąpienia będzie tańsze niż stosowanie
drogiego zabezpieczenia.
Wśród ekspertów nie ma jednolitego sposobu porównywania poziomu bezpieczeństwa aplikacji czy
systemów. Liczenie wykrytych błędów i luk czasami prowadzi na manowce jak chodź by kampania
reklamowa sponsorowana przez Microsoft wykazująca na podstawie liczby wykrytych błędów, że systemy
z pod znaku sympatycznego pingwina są bardziej podatne na ataki niż systemy
„okienkowe”.
Z drugiej strony osoby lub oprogramowanie złośliwe wybierają najłatwiejszą i najwygodniejszą drogę i
wykorzystują najbardziej znane luki, za pomocą najskuteczniejszych i najpowszechniejszych narzędzi.
Licząc na to, że organizacje podłączone do sieci nie zadbają o załatanie znanych błędów. Najczęściej
atakują kogo się da, skanując Internet w celu wyszukania podatnych systemów.
SANS Institute wspólnie z FBI w postaci amerykańskiego National Infrastructure Protection Center
(NIPC) opublikowały listę Dziesięciu Najbardziej Krytycznych Internetowych Luk Bezpieczeństwa - Ten
Most Critical Internet Security Vulnerabilites. Tysiące organizacji wykorzystało tę listę oraz późniejsze
listy Top 20 do zamknięcia najbardziej istotnych luk.
W ten sposób powstał standard badania podatności infrastruktury teleinformatycznej określany często
mianem SANS FBI. Początkowo był wykorzystywany do badania udostępnionych w sieci zasobów
informatycznych lecz w dobie szerokiego dostępu do Internetu oraz dużej liczbie komputerów
pracujących w sieciach lokalnych może być wykorzystywany w sieciach intranetowych.
Obecna uaktualniona lista SANS Top 20 składa się tak naprawdę z dwóch list Top 10: dziesięć najczęściej
wykorzystywanych podatności w usługach systemów Windows oraz dziesięć najczęściej
wykorzystywanych podatności w usługach systemów UNIX i Linux. Choć w sieci rokrocznie mamy do
czynienia z tysiącami incydentów naruszenia bezpieczeństwa, związanymi z tymi systemami
operacyjnymi, znacząca większość udanych ataków korzysta z jednej lub kilku z opisanych 20 podatnych
usług.
http://www.witczak.priv.pl
Kreator PDF
Utworzono 8 March, 2017, 22:29
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Lista Top 20 jest listą luk, które wymagają natychmiastowej naprawy. Jest rezultatem procesu, w
którym brało udział wielu czołowych ekspertów od bezpieczeństwa. Specjaliści wywodzili się z
najbardziej wyczulonych na tematykę bezpieczeństwa agencji federalnych USA, Anglii i Singapuru, a
także z wiodących producentów systemów i rozwiązań bezpieczeństwa oraz firm konsultingowych,
czołowych akademickich programów bezpieczeństwa, wielu organizacji zrzeszających użytkowników
tych systemów oraz z SANS Institute.
Podatności opisane w dokumentach są w odpowiedni sposób zindeksowane i opisane. Opis obejmuje
zakres luki i co najważniejsze sposób jej „załatania”. W opisie znajdują się odwołania do
wpisów CVE (Common Vulnerabilities and Exposures) dla każdej luki. Mogą się także zdarzyć wpisy CAN.
Wpisy CAN oznaczają kandydatów na wpisy CVE. Wpisy CAN nie zostały poddane pełnej weryfikacji. Aby
uzyskać więcej informacji na temat projektu CVE, zobacz http://cve.mitre.org/ .
Wpisy CVE i CAN odzwierciedlają najistotniejsze podatności, które powinny zostać zweryfikowane dla
każdej pozycji na liście. Każdy odnośnik CVE jest skojarzony z serwisem indeksującym ICAT
amerykańskiego National Institute of Standards and Technology ( http://icat.nist.gov/ ). ICAT zawiera
krótki opis każdej luki, jej cech charakterystycznych (np.:zakres ataków i potencjalny rezultat), listę
podatnego oprogramowania i ich wersji, a także linki do zaleceń i informacji o aktualizacjach.
Obecnie lista została uzupełniona o nowego typu zagrożenia takie jak:
Client-side Vulnerabilities in:
C1.
C2.
C3.
C4.
Web Browsers
Office Software
Email Clients
Media Players
Server-side Vulnerabilities in:
S1.
S2.
S3.
S4.
S5.
S6.
S7.
Web Applications
Windows Services
Unix and Mac OS Services
Backup Software
Anti-virus Software
Management Servers
Database Software
Security Policy and Personnel:
H1. Excessive User Rights and Unauthorized Devices
H2. Phishing/Spear Phishing
H3. Unencrypted Laptops and Removable Media
Application Abuse:
A1. Instant Messaging
A2. Peer-to-Peer Programs
Network Devices:
N1. VoIP Servers and Phones
Zero Day Attacks:
Z1. Zero Day Attacks
Na stronie http://www.sans.org znajdują się opisy metodologii badania oraz wykaz oprogramowania w
tym również o otwartym kodzie, które umożliwia sprawdzenie podatności swoich zasobów sieciowych
http://www.witczak.priv.pl
Kreator PDF
Utworzono 8 March, 2017, 22:29
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
według powszechnie uznanego standardu jakim jest SANS FBI TOP 20.
http://www.witczak.priv.pl
Kreator PDF
Utworzono 8 March, 2017, 22:29