SlideShare une entreprise Scribd logo

Upravljanje ranjivostima u vremenima ciljanih prijetnji

Télécharger en tant que PPTX, PDF
Damir Paladin
Damir Paladin

How to manage computer vulnerabilities in the era of targeted threats? How to turn vulnerability management to preventive control against targeted threats?

Technologie
1  sur  36
Upravljanje ranjivostima u vremenima ciljanih prijetnji Damir Paladin, CISA, CISM, CISSP ISACA CC, 2.11.2015.
Damir Paladin, CISA, CISM, CISSP Preko 20 godina rada u informacijskoj sigurnosti Osnivač i direktor tvrtke Borea (1998.), jedne od prvih tvrtki u Hrvatskoj koja se bavi isključivo informacijskom sigurnošću Područja rada: – Sigurnosno testiranje i procjena sigurnosnih rizika – Računalna forenzika – Revizija informacijskih sustava Član UO ISACA CC (2006. – 2012.) 2
Sadržaj Definicija područja: –Ciljane prijetnje –Upravljanje računalnim ranjivostima Manjkavosti procesa upravljanja ranjivostima u kontekstu ciljanih napada Prijedlozi za unaprjeđenje 3
Definicija područja Ciljanje prijetnje i upravljanje računalnim ranjivostima 4
Ciljane prijetnje Pojava – oko 2008/2009. U početku sponzorirane od državnih agencija, no ubrzo prihvaćene i u „privatnom sektoru” „Targeted threats” i/ili/? „Advanced Persistant Threats” (APT) 5
6 EVIDENCE OF COMPROMISE Initial Compromise Establish Foothold Escalate Privileges Internal Recon Complete Mission Move Laterally Maintain Presence Unauthorized Use of Valid Accounts Known & Unknown Malware Command & Control Activity Suspicious Network Traffic Files Accessed by Attackers Valid Programs Used for Evil Purposes Trace Evidence & Partial Files Izvor: Mandiant (APT1: Exposing One of China’s Cyber Espionage Units) Pogledati i „Cyber Kill Chain” (Lockheed Martin Corporation) Model djelovanja ciljanih prijetnji
7 https://www.us-cert.gov/ncas/alerts/TA15-119A Broj kompromitacija („exploit”) CVE ranjivosti u 2014. izraženo kroz godinu objave CVE ranjivosti 2015 Data Breach Investigations Report
Kako reducirati izloženost ciljanim prijetnjama?  Otklanjanje ranjivosti značajno reducira područje izloženosti („Threat Surface”) ciljanim prijetnjama 8
9 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
Upravljanje ranjivostima  Upravljanje ranjivostima („Vulnerability Management”) je proces identifikacije i kategorizacije računalnih ranjivosti, te njihovog otklanjanja  „Procjena ranjivosti” vs. „Upravljanje ranjivostima”  „Upravljanje ranjivostima” vs. „Primjena patch-eva”  „Upravljanje ranjivostima” vs. „Penetracijska testiranja”  Regulatorni zahtjevi 10
Regulatorni zahtjevi i najbolja praksa 11 ISO 27001 A.12.6.1: Control of technical vulnerabilities COBIT BAI06.01: Evaluate, prioritise and authorise change requests BAI06.02: Manage emergency changes BAI10.03: Maintain and control configuration items DSS05.01: Protect against malware PCI DSS 11.2: Run internal and external network vulnerability scans at least quarterly and after any significant change in the network CIS Critical Security Controls CSC 4: Continuous Vulnerability Assessment and Remediation
Proces upravljanja računalnim ranjivostima Identifikacija resursa Kategorizacija resursa Procjena ranjivosti Izvještavanje i odlučivanje Otklanjanje ranjivosti Verifikacija
Upravljanje ranjivostima Kako unaprijediti proces u vremenima ciljanih prijetnji? 13
14 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
Obuhvat resursa procjene ranjivosti 15 Perimetarski resursi Unutarnji serveri i infrastruktura Radne stanice Konvencionalni pristup Obavezno uključiti zbog ciljanih prijetnji
Tehnike otkrivanja ranjivosti Dominira tehnika mrežnog skeniranja Dubina i detaljnost podataka –Neautenticirani sken –Autenticirani sken Učestalost skeniranja Kontinuirano skeniranje 16
Tehnika skeniranja upotrebom posebnih ovlasti Pristup na Windows administratorski share Pristup na razini administratorskih ovlasti putem ssh 17 Kategorije ranjivosti 5 4 3 2 1 Total Neautenticirani 1 0 1 3 1 6 Autenticirani 51 65 29 11 1 157 Usporedba dvije tehnike skeniranja: Windows Server 2008
Usporedba tehnika skeniranja 18
Pregled ranjivosti radnih stanica Uobičajena praksa: radne stanice nisu obuhvaćene procjenom ranjivosti Tehnika skeniranja može biti neučinkovita Novi trend: primjena agenata Povezivanje ranjivosti s kontekstom primjene radnih stanica 19
Donošenje odluke o popravcima  Odgovornost za odlučivanje o ranjivosti  Određivanje odgovornosti za primjenu  Prihvaćanje odluke  Definicija prioriteta  Rokovi  Eskalacija  Izvještavanje  Pravilnik o upravljanju računalnim ranjivostima – definicija kriterija za određivanje prioriteta – određivanje nadležnosti 20
Kriteriji za napredno odlučivanje Minimalni kriterij: kritičnost utvrđenih ranjivosti Napredno odlučivanje bazirati na: –Kontekst resursa gdje je otkrivena ranjivost (značaj, kategorija resursa, profil korisnika…) –Svojstva ranjivosti: • Jednostavnost pristupa ranjivosti • Dostupnost„exploit” scenarija • Dostupnost popravka • Verifikacija ranjivosti 21
Odluka temeljena na parametrima sustava Jednostavan postupak Automatizacija postupka Ovisnost o svojstvima sustava 22
Drugi elementi odlučivanja Common Vulnerabilities and Exposures (CVE) –https://nvd.nist.gov/home.cfm Common Vulnerability Scoring System (CVSS) –https://www.first.org/cvss/user-guide Odlučivanje koje uključuju „Threat Intelligence” podatke 23
Tijek eliminacije ranjivosti 24 Izvješće o procjeni ranjivosti Napredno odlučivanje o prioritetima Zahtjev za promjenu Primjena popravka „Follow-up”
Otvaranje zahtjeva za promjenama  „Ticketing” sustav – kreiranje zahtjeva iz samog sustava – oprez: mogućnost zatrpavanja zahtjevima 25
Primjena popravaka  Nadležnost informatičke operative  Najčešće „Patch Management”  Česti razlozi za odgađanje primjene  Ograničenja WSUS-a – Non-Microsoft proizvodi nisu uključeni – Napredne tehnike kod primjene popravaka  Ne zaboravite: postoje ranjivosti koje nisu ili ne mogu biti pokriveni programskim popravcima  „Follow-up” 26
27 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
Upravljanje sigurnosnim postavkama  Reduciranje rizika od lateralnog kretanja u ciljanim prijetnjama  Tipični nedostaci iskorišteni u ciljanim prijetnjama: – Konfiguracija korisničkih računa – Pristupna prava – Rad nepotrebnih servisa  Izbor i prilagođavanje odgovarajućeg konfiguracijskog standarda – Primjer: Center for Internet Security Security Configuration Benchmarks 28
Provjera usklađenosti postavki 29
30 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
Ranjivosti web aplikacija i ciljane prijetnje Vanjske web aplikacije –Upotreba kod socijalnog inženjeringa Unutarnje web aplikacije –Direktni pristup do ciljeva napada Niži standardi provjere sigurnosti kod unutarnjih web aplikacije 31
Druge kategorije resursa Standardni aplikativni sustavi (npr. SAP) Mrežno/komunikacijska oprema Baze podataka Industrial control system (ICS) 32
Uloga IT revizora Organizacijske pretpostavke procesa upravljanja ranjivostima –Interni akti –Nadležnosti i odgovornosti Verifikacija provedbe Tijek primjene popravaka Odstupanja 33
Zaključak 34
Upravljanje ranjivostima – djelotvorna, ali ne i jedina, preventivna obrana od ciljanih prijetnji Novi pristup upravljanju ranjivostima pružit će vam pogled na stanje sigurnosti iz vizure napadača Pomak od „check-list” pogleda na informacijsku sigurnost Upravljanje ranjivostima – od operativnog procesa prema „primijenjenom risk managementu” 35
Pitanja i odgovori dpaladin@borea.hr 36

Recommandé

Ranjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaRanjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustava
Andjelko Markulin
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
Dinko Korunic
 
Sigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavimaSigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavima
Damir Delija
 
30
3030
30
dejancakic
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
Damir Delija
 
Informacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursimaInformacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursima
Dejan Jeremic
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
Damir Delija
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 

Recommandé

Ranjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaRanjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustava
Andjelko Markulin
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
Dinko Korunic
 
Sigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavimaSigurnost i upravljanje distribuiranim sustavima
Sigurnost i upravljanje distribuiranim sustavima
Damir Delija
 
30
3030
30
dejancakic
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
Damir Delija
 
Informacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursimaInformacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursima
Dejan Jeremic
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
Damir Delija
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

Contenu connexe

En vedette

How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

En vedette (20)

Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 

Upravljanje ranjivostima u vremenima ciljanih prijetnji

  • 1. Upravljanje ranjivostima u vremenima ciljanih prijetnji Damir Paladin, CISA, CISM, CISSP ISACA CC, 2.11.2015.
  • 2. Damir Paladin, CISA, CISM, CISSP Preko 20 godina rada u informacijskoj sigurnosti Osnivač i direktor tvrtke Borea (1998.), jedne od prvih tvrtki u Hrvatskoj koja se bavi isključivo informacijskom sigurnošću Područja rada: – Sigurnosno testiranje i procjena sigurnosnih rizika – Računalna forenzika – Revizija informacijskih sustava Član UO ISACA CC (2006. – 2012.) 2
  • 3. Sadržaj Definicija područja: –Ciljane prijetnje –Upravljanje računalnim ranjivostima Manjkavosti procesa upravljanja ranjivostima u kontekstu ciljanih napada Prijedlozi za unaprjeđenje 3
  • 4. Definicija područja Ciljanje prijetnje i upravljanje računalnim ranjivostima 4
  • 5. Ciljane prijetnje Pojava – oko 2008/2009. U početku sponzorirane od državnih agencija, no ubrzo prihvaćene i u „privatnom sektoru” „Targeted threats” i/ili/? „Advanced Persistant Threats” (APT) 5
  • 6. 6 EVIDENCE OF COMPROMISE Initial Compromise Establish Foothold Escalate Privileges Internal Recon Complete Mission Move Laterally Maintain Presence Unauthorized Use of Valid Accounts Known & Unknown Malware Command & Control Activity Suspicious Network Traffic Files Accessed by Attackers Valid Programs Used for Evil Purposes Trace Evidence & Partial Files Izvor: Mandiant (APT1: Exposing One of China’s Cyber Espionage Units) Pogledati i „Cyber Kill Chain” (Lockheed Martin Corporation) Model djelovanja ciljanih prijetnji
  • 7. 7 https://www.us-cert.gov/ncas/alerts/TA15-119A Broj kompromitacija („exploit”) CVE ranjivosti u 2014. izraženo kroz godinu objave CVE ranjivosti 2015 Data Breach Investigations Report
  • 8. Kako reducirati izloženost ciljanim prijetnjama?  Otklanjanje ranjivosti značajno reducira područje izloženosti („Threat Surface”) ciljanim prijetnjama 8
  • 9. 9 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  • 10. Upravljanje ranjivostima  Upravljanje ranjivostima („Vulnerability Management”) je proces identifikacije i kategorizacije računalnih ranjivosti, te njihovog otklanjanja  „Procjena ranjivosti” vs. „Upravljanje ranjivostima”  „Upravljanje ranjivostima” vs. „Primjena patch-eva”  „Upravljanje ranjivostima” vs. „Penetracijska testiranja”  Regulatorni zahtjevi 10
  • 11. Regulatorni zahtjevi i najbolja praksa 11 ISO 27001 A.12.6.1: Control of technical vulnerabilities COBIT BAI06.01: Evaluate, prioritise and authorise change requests BAI06.02: Manage emergency changes BAI10.03: Maintain and control configuration items DSS05.01: Protect against malware PCI DSS 11.2: Run internal and external network vulnerability scans at least quarterly and after any significant change in the network CIS Critical Security Controls CSC 4: Continuous Vulnerability Assessment and Remediation
  • 12. Proces upravljanja računalnim ranjivostima Identifikacija resursa Kategorizacija resursa Procjena ranjivosti Izvještavanje i odlučivanje Otklanjanje ranjivosti Verifikacija
  • 13. Upravljanje ranjivostima Kako unaprijediti proces u vremenima ciljanih prijetnji? 13
  • 14. 14 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  • 15. Obuhvat resursa procjene ranjivosti 15 Perimetarski resursi Unutarnji serveri i infrastruktura Radne stanice Konvencionalni pristup Obavezno uključiti zbog ciljanih prijetnji
  • 16. Tehnike otkrivanja ranjivosti Dominira tehnika mrežnog skeniranja Dubina i detaljnost podataka –Neautenticirani sken –Autenticirani sken Učestalost skeniranja Kontinuirano skeniranje 16
  • 17. Tehnika skeniranja upotrebom posebnih ovlasti Pristup na Windows administratorski share Pristup na razini administratorskih ovlasti putem ssh 17 Kategorije ranjivosti 5 4 3 2 1 Total Neautenticirani 1 0 1 3 1 6 Autenticirani 51 65 29 11 1 157 Usporedba dvije tehnike skeniranja: Windows Server 2008
  • 19. Pregled ranjivosti radnih stanica Uobičajena praksa: radne stanice nisu obuhvaćene procjenom ranjivosti Tehnika skeniranja može biti neučinkovita Novi trend: primjena agenata Povezivanje ranjivosti s kontekstom primjene radnih stanica 19
  • 20. Donošenje odluke o popravcima  Odgovornost za odlučivanje o ranjivosti  Određivanje odgovornosti za primjenu  Prihvaćanje odluke  Definicija prioriteta  Rokovi  Eskalacija  Izvještavanje  Pravilnik o upravljanju računalnim ranjivostima – definicija kriterija za određivanje prioriteta – određivanje nadležnosti 20
  • 21. Kriteriji za napredno odlučivanje Minimalni kriterij: kritičnost utvrđenih ranjivosti Napredno odlučivanje bazirati na: –Kontekst resursa gdje je otkrivena ranjivost (značaj, kategorija resursa, profil korisnika…) –Svojstva ranjivosti: • Jednostavnost pristupa ranjivosti • Dostupnost„exploit” scenarija • Dostupnost popravka • Verifikacija ranjivosti 21
  • 22. Odluka temeljena na parametrima sustava Jednostavan postupak Automatizacija postupka Ovisnost o svojstvima sustava 22
  • 23. Drugi elementi odlučivanja Common Vulnerabilities and Exposures (CVE) –https://nvd.nist.gov/home.cfm Common Vulnerability Scoring System (CVSS) –https://www.first.org/cvss/user-guide Odlučivanje koje uključuju „Threat Intelligence” podatke 23
  • 24. Tijek eliminacije ranjivosti 24 Izvješće o procjeni ranjivosti Napredno odlučivanje o prioritetima Zahtjev za promjenu Primjena popravka „Follow-up”
  • 25. Otvaranje zahtjeva za promjenama  „Ticketing” sustav – kreiranje zahtjeva iz samog sustava – oprez: mogućnost zatrpavanja zahtjevima 25
  • 26. Primjena popravaka  Nadležnost informatičke operative  Najčešće „Patch Management”  Česti razlozi za odgađanje primjene  Ograničenja WSUS-a – Non-Microsoft proizvodi nisu uključeni – Napredne tehnike kod primjene popravaka  Ne zaboravite: postoje ranjivosti koje nisu ili ne mogu biti pokriveni programskim popravcima  „Follow-up” 26
  • 27. 27 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  • 28. Upravljanje sigurnosnim postavkama  Reduciranje rizika od lateralnog kretanja u ciljanim prijetnjama  Tipični nedostaci iskorišteni u ciljanim prijetnjama: – Konfiguracija korisničkih računa – Pristupna prava – Rad nepotrebnih servisa  Izbor i prilagođavanje odgovarajućeg konfiguracijskog standarda – Primjer: Center for Internet Security Security Configuration Benchmarks 28
  • 30. 30 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  • 31. Ranjivosti web aplikacija i ciljane prijetnje Vanjske web aplikacije –Upotreba kod socijalnog inženjeringa Unutarnje web aplikacije –Direktni pristup do ciljeva napada Niži standardi provjere sigurnosti kod unutarnjih web aplikacije 31
  • 32. Druge kategorije resursa Standardni aplikativni sustavi (npr. SAP) Mrežno/komunikacijska oprema Baze podataka Industrial control system (ICS) 32
  • 33. Uloga IT revizora Organizacijske pretpostavke procesa upravljanja ranjivostima –Interni akti –Nadležnosti i odgovornosti Verifikacija provedbe Tijek primjene popravaka Odstupanja 33
  • 35. Upravljanje ranjivostima – djelotvorna, ali ne i jedina, preventivna obrana od ciljanih prijetnji Novi pristup upravljanju ranjivostima pružit će vam pogled na stanje sigurnosti iz vizure napadača Pomak od „check-list” pogleda na informacijsku sigurnost Upravljanje ranjivostima – od operativnog procesa prema „primijenjenom risk managementu” 35