How to manage computer vulnerabilities in the era of targeted threats? How to turn vulnerability management to preventive control against targeted threats?
2. Damir Paladin, CISA, CISM, CISSP
Preko 20 godina rada u informacijskoj sigurnosti
Osnivač i direktor tvrtke Borea (1998.), jedne od
prvih tvrtki u Hrvatskoj koja se bavi isključivo
informacijskom sigurnošću
Područja rada:
– Sigurnosno testiranje i procjena sigurnosnih rizika
– Računalna forenzika
– Revizija informacijskih sustava
Član UO ISACA CC (2006. – 2012.)
2
5. Ciljane prijetnje
Pojava – oko 2008/2009.
U početku sponzorirane od državnih
agencija, no ubrzo prihvaćene i u „privatnom
sektoru”
„Targeted threats” i/ili/? „Advanced
Persistant Threats” (APT)
5
6. 6
EVIDENCE OF COMPROMISE
Initial Compromise Establish Foothold Escalate Privileges Internal Recon Complete Mission
Move
Laterally
Maintain
Presence
Unauthorized
Use of Valid
Accounts
Known &
Unknown
Malware
Command &
Control Activity
Suspicious
Network Traffic
Files Accessed
by Attackers
Valid Programs
Used for Evil
Purposes
Trace Evidence
& Partial Files
Izvor: Mandiant (APT1: Exposing One of China’s Cyber Espionage Units)
Pogledati i „Cyber Kill Chain” (Lockheed Martin Corporation)
Model djelovanja ciljanih prijetnji
8. Kako reducirati izloženost ciljanim
prijetnjama?
Otklanjanje
ranjivosti značajno
reducira područje
izloženosti
(„Threat Surface”)
ciljanim
prijetnjama
8
9. 9
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfiguracijske
manjkavosti ili rizične
vrijednosti
konfiguracijskih
postavki
Ranjivosti web
aplikacija korištenih u
organizaciji
10. Upravljanje ranjivostima
Upravljanje ranjivostima („Vulnerability
Management”) je proces identifikacije i
kategorizacije računalnih ranjivosti, te njihovog
otklanjanja
„Procjena ranjivosti” vs. „Upravljanje ranjivostima”
„Upravljanje ranjivostima” vs. „Primjena patch-eva”
„Upravljanje ranjivostima” vs. „Penetracijska
testiranja”
Regulatorni zahtjevi
10
11. Regulatorni zahtjevi i najbolja
praksa
11
ISO 27001
A.12.6.1: Control of technical vulnerabilities
COBIT
BAI06.01: Evaluate, prioritise and authorise
change requests
BAI06.02: Manage emergency changes
BAI10.03: Maintain and control configuration
items
DSS05.01: Protect against malware
PCI DSS
11.2: Run internal and external network
vulnerability scans at least quarterly and after
any significant change in the network
CIS Critical Security Controls
CSC 4: Continuous Vulnerability Assessment and
Remediation
16. Tehnike otkrivanja ranjivosti
Dominira tehnika mrežnog skeniranja
Dubina i detaljnost podataka
–Neautenticirani sken
–Autenticirani sken
Učestalost skeniranja
Kontinuirano skeniranje
16
17. Tehnika skeniranja upotrebom
posebnih ovlasti
Pristup na Windows administratorski share
Pristup na razini administratorskih ovlasti
putem ssh
17
Kategorije ranjivosti
5 4 3 2 1 Total
Neautenticirani 1 0 1 3 1 6
Autenticirani 51 65 29 11 1 157
Usporedba dvije tehnike skeniranja: Windows Server 2008
19. Pregled ranjivosti radnih
stanica
Uobičajena praksa: radne stanice nisu
obuhvaćene procjenom ranjivosti
Tehnika skeniranja može biti neučinkovita
Novi trend: primjena agenata
Povezivanje ranjivosti s kontekstom primjene
radnih stanica
19
20. Donošenje odluke o
popravcima
Odgovornost za odlučivanje o ranjivosti
Određivanje odgovornosti za primjenu
Prihvaćanje odluke
Definicija prioriteta
Rokovi
Eskalacija
Izvještavanje
Pravilnik o upravljanju računalnim ranjivostima
– definicija kriterija za određivanje prioriteta
– određivanje nadležnosti
20
23. Drugi elementi odlučivanja
Common Vulnerabilities and Exposures (CVE)
–https://nvd.nist.gov/home.cfm
Common Vulnerability Scoring System (CVSS)
–https://www.first.org/cvss/user-guide
Odlučivanje koje uključuju „Threat
Intelligence” podatke
23
25. Otvaranje zahtjeva za
promjenama
„Ticketing” sustav
– kreiranje zahtjeva iz samog sustava
– oprez: mogućnost zatrpavanja zahtjevima
25
26. Primjena popravaka
Nadležnost informatičke operative
Najčešće „Patch Management”
Česti razlozi za odgađanje primjene
Ograničenja WSUS-a
– Non-Microsoft proizvodi nisu uključeni
– Napredne tehnike kod primjene popravaka
Ne zaboravite: postoje ranjivosti koje nisu ili ne
mogu biti pokriveni programskim popravcima
„Follow-up”
26
27. 27
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfiguracijske
manjkavosti ili rizične
vrijednosti
konfiguracijskih
postavki
Ranjivosti web
aplikacija korištenih u
organizaciji
28. Upravljanje sigurnosnim
postavkama
Reduciranje rizika od lateralnog kretanja u ciljanim
prijetnjama
Tipični nedostaci iskorišteni u ciljanim prijetnjama:
– Konfiguracija korisničkih računa
– Pristupna prava
– Rad nepotrebnih servisa
Izbor i prilagođavanje odgovarajućeg
konfiguracijskog standarda
– Primjer: Center for Internet Security Security
Configuration Benchmarks
28
30. 30
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfiguracijske
manjkavosti ili rizične
vrijednosti
konfiguracijskih
postavki
Ranjivosti web
aplikacija korištenih u
organizaciji
31. Ranjivosti web aplikacija i
ciljane prijetnje
Vanjske web aplikacije
–Upotreba kod socijalnog inženjeringa
Unutarnje web aplikacije
–Direktni pristup do ciljeva napada
Niži standardi provjere sigurnosti kod
unutarnjih web aplikacije
31
32. Druge kategorije resursa
Standardni aplikativni sustavi (npr. SAP)
Mrežno/komunikacijska oprema
Baze podataka
Industrial control system (ICS)
32
33. Uloga IT revizora
Organizacijske pretpostavke procesa
upravljanja ranjivostima
–Interni akti
–Nadležnosti i odgovornosti
Verifikacija provedbe
Tijek primjene popravaka
Odstupanja
33
35. Upravljanje ranjivostima – djelotvorna, ali ne
i jedina, preventivna obrana od ciljanih
prijetnji
Novi pristup upravljanju ranjivostima pružit
će vam pogled na stanje sigurnosti iz vizure
napadača
Pomak od „check-list” pogleda na
informacijsku sigurnost
Upravljanje ranjivostima – od operativnog
procesa prema „primijenjenom risk
managementu”
35