Vulnerability Management
-
Upload
alexey-lukatsky -
Category
Technology
-
view
3.152 -
download
1
description
Transcript of Vulnerability Management
© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners 1/36
Сканеры безопасности: вчера, сегодня, завтра
Алексей Лукацкий
Бизнес-консультант по безопасности
Cisco Confidential 2/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
О чем пойдет речь?
Термины и определения
Зрелость технологий
Проблемы и сложности с классическими сканерами
Поколения сканеров
Сетевые сканеры
Системы управления уязвимостями
Системы оценки состояния ИБ
Что выбрать и на что обратить внимание?
Cisco Confidential 3/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Термины и определения
Cisco Confidential 4/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Что такое уязвимость
Слабость в процессе, управлении, технологии, организационной структуре или ПО, которые могут быть использованы для нанесения ущерба
Свойство или характеристика информационной системы, использование которой может привести к нанесению ущерба
Cisco Confidential 5/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
От анализа к управлению
Анализ
Что есть?
Оценка
Как влияет?
Аудит
А если сравнить?
Мониторинг
Постоянный аудит
Управление
Наладить процесс
Поиск уязвимостей – это всего лишь первая стадия
Penetration test – это тоже всего лишь анализ
Сканеры безопасности обычно этот Рубикон не
переходят!
Cisco Confidential 6/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Как говорить правильно
… но все зависит от интерпретации и принятой практики
Момент во времени Процесс
Анализ
рисков
Оценка
рисков
Аудит рисков Мониторинг
рисков
Управление
рисками
Анализ
соответствия
Оценка
соответствия
Аудит
соответствия
Мониторинг
соответствия
Управление
соответствием
Анализ
уязвимостей
Оценка
уязвимостей
Аудит
уязвимостей
Мониторинг
уязвимостей
Управление
уязвимостями
Анализ
безопасности
Оценка
безопасности
Аудит
безопасности
Мониторинг
безопасности
Управление
безопасностью
Анализ
политики
Оценка
политики
Аудит
политики
Мониторинг
политик
Управление
политиками
Cisco Confidential 7/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Зрелость технологий
Cisco Confidential 8/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Модель зрелости
Система оценки
состояния ИБ
Система управления
уязвимостями
Сетевой сканер
• Тесная интеграция с системой управления ИБ
• Интеграция с ИТ-процессами
• Анализ рисков
• Управление конфигурацией
• Compliance
• Централизованное управление
• Поиск дыр
• Сканирование сети и ОС
• Standalone
Cisco Confidential 9/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Технологии управления уязвимостями
Появление интересак технологии, запуск
продукта
Неоправданные ожидания
Интерес к технологии пропадает
Глубокие исследования. Постепенное понимание технологии, ее
преимуществ и рисков
Стабильная технология
зрелостьПлато будет достигнуто:
Меньше чем за 2 года
От 2 до 5 лет
От 5 до 10 лет Больше чем 10 летУстареет еще
до плато
SIEM (information)
ThreatIntelligence
МетодологияSDLC Security
Анализповедения сети
Сканеры базданных
Управлениепатчами
Сетевые сканеры
Управлениеконфигурацией SEM
Managed Services
Агентские сканерыSIEM (Event)
VAManaged Service
Интеграция с NAC
Пассивныйанализ сети
СканерыWeb-приложений
Сканерыисходных кодов
SIM Managed Service
IT/Security PolicyManagement
Рейтинг риска
Автоматизированныесредства для pentest
Cisco Confidential 10/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Сетевые сканеры
Cisco Confidential 11/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Типы сканирования
• Высочайшая эффективность (+)
• Сложность внедрения (-)
• Отсутствие влияния (+)
• Не все видно (-)
• Высокая эффективность (+)
• Сложность внедрения (-)
• Простота (+)
• Невысокая эффективность (-)
Активное (без
credential)
Активное (с
credential)
АгентскоеПассивное
Cisco Confidential 12/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Рост сканирующих возможностей
Сканирующее ядро
Сеть
Узел (ПК, сервер)
Мобильное устройство
Сетевое устройство
(router, switch, Wi-
Fi…)
Средства защиты
(FW, IPS, IdM…)
ИТ-устройство(IP Phone,
SAN…)
Приложение
Простое(Web,…)
Сложное (ERP,…)
Бизнес-логика
Вертикали-зированное(SCADA,…)
Средства защиты
База данных
Cisco Confidential 13/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Что сканируем дальше?..
Пассивный контент
HTML…
Активный контент
Java, ActiveX, ASP, PHP…
Исходные коды
Интеграция в SDLC
Процессы
Что же дальше?..
Аппаратная составляющая, люди…
Cisco Confidential 14/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Какой тип сканера выбрать?
Сеть
Полный анализ сетевого уровня
Инвентаризация
Ложные срабатывания
Полоса пропускания
Приложения
Прикладной уровень
Связи с БД (для Web)
Невидимость других уровней
СУБД
Контроль конфигурации
Этого не делают другие
Только популярные БД
Не тестируют связку с
приложениями
Cisco Confidential 15/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Сложности и проблемы с «обычными» сканерами
Cisco Confidential 16/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Тюнинг
Снижение числа ложных срабатываний
Резервирующие методы проверки, разные механизмы сканирования, «НИОКР»
Защита от сбоя ОС, приложений и сети
Quality Assurance, Awareness
Создание политик сканирования под свою компанию
Гибкость настроек
Cisco Confidential 17/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Обновление
Частота обновления
Gap между публикаций бюллетеня\exploit и появлением проверки
Объем обновления
Защита канала обновлений
Способ обновлений
Как обновить сканер без доступа в Интернет?
Cisco Confidential 18/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Бизнес-ориентация
«Понимание» рисков и ценности узлов
Инвентаризация и классификация активов
Поддержание базы активов (CMDB)
«Понимание» топологии
Cisco Confidential 19/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Устранение уязвимостей
Наиболее сложная задача
Без этого сканер не нужен!
Приоритезация рекомендаций (в зависимости от риска и ценности уязвимого актива)
В отличие от ориентации на саму уязвимость
Поддержка Vulnerability Lifecycle
В зависимости от наличия патча, мы можем порекомендовать его поставить, закрыть порт, изменить настройки ОС/приложений…
Cisco Confidential 20/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Интеграция
С внешними источниками
CVE (единое именование), CVSS (рейтинг)…
С отдельными технологиями
IPS, Anomaly Detection, NAC, управление патчами и конфигурацией и т.п.
В комплексную систему управления ИБ
SIEM
Service Desk
ИТ & ИБ, контроль & operations
Vulnerability Management Lifecycle
Cisco Confidential 21/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Другие сложности и проблемы
Спектр охвата устройств, приложений, ОС и БД
Особенно нестандартных или редких
IP Phone, POS-терминал, SAN…
Корреляция
Один узел с разных сторон (изнутри и снаружи) выглядит как один узел или как разные?
Сетевые уязвимости – это еще не все
Compliance, контроль конфигурации…
Cisco Confidential 22/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Система управления уязвимостями
Cisco Confidential 23/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
5 основных технологий
Vulnerability Management
Поиск уязвимостей
Управление конфигурацией
Compliance
Оценка рисков
SIEM
Cisco Confidential 24/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Классификация требований
Лучшие практики по настройке СЗИ (CIS, NSA...)
Лучшие практики по управлению ИБ (SAFE…)
Стандарты по управлению ИБ (ISO 2700x, СТО ИББР, PCI DSS…)
Стандарты по управлению ИТ (ITIL, COBIT…)
Законы, указы, постановления (ПД, КТ, SOX, Базель II…)
Cisco Confidential 25/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Множество требований
Cisco Confidential 26/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Не увлекайтесь стандартами!
Впервые стали говорить об атаках
Многошума
Не так страшен черт,как его малюют
Наработаны контрмеры Плато продуктивности
технологии
зрелость
Сентябрь 2006
Плато будет достигнуто:
Меньше чем за 2 года
От 2 до 5 лет
От 5 до 10 лет Больше чем 10 летУстареет еще до плато
RFID угрозыУгрозы виртуализации
Атаки на SOAАутсорсинговыеугрозы Бот-сети
Zero-Day атаки
Бумажная безопасность
Фишинг
Атаки на мобильные устройства
Шпионское ПО
Атаки на P2P
Уязвимости Embedded ОС
Спам
DNS атаки
Гибридныечерви
Кража identity
SOHO уязвимости
VoIP угрозыDoS-атаки
Социальный инжиниринг
Вирусы
WLANатаки
Web-атаки
Лучшеавтоматизировать!
Cisco Confidential 27/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Compliance & цели применения сканера
Законы («О персональных данных и т.п.)
ИТ-стандарты (ITIL, COBIT)
ИБ-стандарты (ISO 27001,ISO 13335, СТО ИББР)
Меры защиты (CIS, NSA, SAFE)
Управление уязвимостями
Контроль «безопасной» конфигурации
Контроль пользователей с привилегированным доступом
Контроль «контролей» (controls)
Cisco Confidential 28/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Система оценки состояния ИТ-безопасности
Cisco Confidential 29/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
ИТ и ИБ: борьба или единство!?
ИТ• Контроль конфигурации
• Контроль патчей
• Контроль приложений
• Контроль активов
ИБ• Compliance
• Контроль конфигурации
• Поиск дыр
• Контроль активов
Cisco Confidential 30/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Vulnerability Management Lifecycle
• «Безопасная» конфигурация• Требования регуляторов• Эталон
• Сканирование «как есть»
• Установка/внедрение ПО• Установка патчей• Блокирование порта/сервиса• Изменение конфигурации• NAC
• Процессный подход• Внедрение в
ежедневный процесс поддержки ИТ и ИБ
• Интеграция с SIEM• Сервисы уведомлений
• Отклонения от эталона
Cisco Confidential 31/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Связь с оценкой рисков
Понимание природы уязвимости
Удаленная/локальная, требуемый уровень доступа…
Публичность уязвимости\эксплойта
Возможность борьбы с уязвимостью\эксплойтом
Ценность уязвимого актива для бизнеса
Критичность уязвимости не должна зависеть только от точки зрения производителя сканера
Пользователь должен иметь возможность изменить
Cisco Confidential 32/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
В качестве заключения
Cisco Confidential 33/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Сканер безопасности сегодня
Трансляция политики ИБ компании в политику управления уязвимости
Проверка соответствия требованиям
Инвентаризация и приоритезация активов
Поддержка Vulnerability Management Lifecycle
Высокое качество и аккуратность сканирования
Широкий спектр поддерживаемых платформ
Обеспечение взаимодействия ИТ, ИБ и ВнА/ВнК
Генерация различных отчетов
Гибкость!!!
Cisco Confidential 34/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Критерии выбора
Зрелость технологии
Не только дыры в сети и приложениях
Наличие собственной исследовательской группы
Централизованное управление
Не только как продукт, но и как сервис
От множества сканеров к одному
Наличие сертификатов соответствия
Cisco Confidential 35/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
Cisco Confidential 36/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners