View
400
Download
4
Category
Preview:
Citation preview
ОДИТ И АНАЛИЗ НА УЯЗВИМОСТИТЕ,
ЗАПЛАХИТЕ И РИСКОВЕТЕ
8МА НАЦИОНАЛНА КОНФЕРЕНЦИЯ
ИНФОРМАЦИОННА СИГУРНОСТ И СИСТЕМИ ЗА СЪХРАНЕНИЕ НА ДАННИТЕ
СОФИЯ, 30 СЕПТЕМВРИ 2009 Г.
Николай Димитров, CISA, CIA, CCSA
Мениджър Одиторски услуги
DFK ANDA Consulting Ltd.
Уязвимост?
Всяка слабост в даден ИТ актив, която ако бъде експлоатирана може да
доведе до компрометиране на неговата сигурност (поверителност,
цялост и наличност) и до щети за организацията
Най-чести причини за уязвимости
Програмни грешки
Неправилна конфигурация
Други фактори
Сложност на системите
Известност (популярност) и достъпност на приложението или устройството
Небрежност на потребителите
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 2
Риск?
Вероятността дадена заплаха да
експлоатира съществуваща
уязвимост в актив или група
активи и да попречи на
организацията да постигне
своите цели
Рискът, свързан с уязвимостите
зависи от:
Оценката на тяхната
същественост от доставчика
Броят на засегнатите ИТ активи в
организацията
Критичната значимост на
засегнатите ИТ активи за бизнеса
Щетите, които може да понесе
организацията, ако засегнатите
активи бъдат компрометирани
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 3
Връзка между уязвимости, заплахи и рискове
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 4
Източник: по ISO/IEC 27005:2008 Information security risk management
http://www.iso.org/iso/catalogue_detail?csnumber=42107
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 5
Филтриран
порт
Експлоатиране
на уязвимости в
системата
Актив, цел на
атаката
Зловреден код
под карантина
Превантивна
защита
Жизнен цикъл на уязвимостите
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 6
Източник: HP Open Source Middleware Stacks White Paper: Security of Open Source Middleware Stacks
http://docs.hp.com/en/5991-7435/5991-7435.pdf
Публични бази данни за открити уязвимости
National Institute of Standards and Technology’s National Vulnerability Database
http://nvd.nist.gov/
SecurityFocus
http://www.securityfocus.com/vulnerabilities
Common Vulnerabilities and Exposures List
http://cve.mitre.org/
The Open Source Vulnerability Database
http://osvdb.org/
Secunia Advisories
http://secunia.com/advisories/
US-CERT Vulnerability Notes Database
https://www.kb.cert.org/vuls/
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 7
Оценка и управление на риска – процес
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 8
Определете
важните активи и
тяхната стойност
Идентифицирайте
приложимите
уязвимости
Дефинирайте
релевантни сценарии
за заплахи и
уязвимости
Оценете риска
(приложимостта,
вероятността,
щетите)
Идентифицирайте
съществените
заплахи
Разработете план
за ограничаване
на рисковете
Опишете
използваемите
контролни мерки
Оценете
разходите и
ефективността
на контролите
Определете
нивото на
остатъчния риск
Рамка за управлението на уязвимости
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 9
Идентифициране и потвърждение
Инвентарен списък с ИТ активите
Откриване на уязвимости
Потвърждаване на откритията
Оценка и приоритизация на риска
Оценка на риска
Приоритизация на уязвимостите
Третиране
Мониторинг
Управление на инциденти
Управление на промени
Тестване на актуализации
Поддръжка и подобряване
Управление на конфигурациите
Споразумения за предоставяне на услуги
Политики и нормативни изисквания
Източник: The IIA Global Technology Audit Guide #6 Managing and Auditing IT Vulnerabilities
http://www.theiia.org/guidance/standards-and-guidance/ippf/practice-guides/gtag/gtag6/
Връзка между управлението на уязвимости и ИТ дейностите
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 10
6 индикатора за незадоволително управление на уязвимостите
По-висок от допустимото брой
на инцидентите в рамките на
даден период
Невъзможност систематично и
последователно да се
идентифицират уязвимостите
Неприемливо излагане на риск
на критични активи
Невъзможност да се оценят
рисковете, свързани с всяка
уязвимост и да се подберат и
приоритизират мерките за
тяхното управление
Лоши работни връзки между
отговорниците за управлението
на ИТ активите и сигурността
Невъзможност да се извършват
контролирано промени в
конфигурациите на ИТ активите
Липса на система за управление
на ИТ активите
Липса на процес за управление
на конфигурациите, интегриран с
усилията за минимизиране на
уязвимостите
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 11
Одит и анализ на уязвимостите – фази
1. Определяне на обхвата на одита
Кои активи ще се проверяват?
Каква методология ще се използва?
2. Събиране на информация за ИТ активите
Определяне на версии на приложения и операционни системи
3. Оценка на риска
4. Проверка и потвърждаване на уязвимости в откритите приложения (елиминиране на ‘false positives’)
5. Анализ и идентифициране на причините за уязвимостите
6. Докладване за нивото на остатъчен риск и препоръки за отстраняване на причините или последиците
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 12
Ключови показатели за оценка на ефективността на управлението
на уязвимостите
Процентен дял на наблюдаваните и сканирани системи
Брой на откритите уникални уязвимости
Процентен дял на управляваните системи
Процентен дял на потвърдените уязвимости
Средно време за реакция и пачване на уязвимост
Operational Level Agreement (OLA)
Отделено време за непланирана работа
Брой на инцидентите, в следствие на уязвимост
Въздействие на инцидентите
Комплексни скенери за уязвимости
Одит и анализ на уязвимостите, заплахите и рисковете
Nessus
Откриване и профилиране
на устройства
Тестване на конфигурации
за съответствие с
установени политики в
организацията
Тества за наличие на
пачове без да изисква
инсталиране на агент
Над 30 хил. плъгина за
тестване на конкретни
уязвимости
30 септември 2009 г. 14
Платформи за създаване на експлойти
Metasploit
Среда за разработка, зареждане
и изпълнение на експлойти
срещу дадена машина
• Избор и настройване на експлойт
• Проверка дали мишената е
уязвима към избрания експлойт
• Избор и настройване на payload
• Избор на начин за криптиране на
payload-а, за да не бъде открит
• Изпълнение на експлойта
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 15
LiveCD penetration testing toolkit
BackTrack 4
Базиран на Ubuntu Interpid
Над 300 инструмента, логически групирани по стадиите на penetration testing
методологиите
• Information Systems Security Assessment Framework (ISSAF)
• The Open Source Security Testing Methodology Manual (OSSTMM)
Тясно интегриран с Metasploit
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 16
Благодаря за вниманието!
Николай Димитров, CISA, CIA, CCSA Мениджър Одиторски услуги
DFK ANDA Consulting Ltd.
е ndimitrov@dfkanda.bg
t (02) 859 0122
m (088) 969 0361
w http://www.dfkanda.bg
30 септември 2009 г. Одит и анализ на уязвимостите, заплахите и рисковете 17
Recommended