Vulnerability Management

© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners 1/36

Сканеры безопасности: вчера, сегодня, завтра

Алексей Лукацкий

Бизнес-консультант по безопасности

Cisco Confidential 2/36© 2006 Cisco Systems, Inc. All rights reserved.Security Scanners

О чем пойдет речь?

Термины и определения

Зрелость технологий

Проблемы и сложности с классическими сканерами

Поколения сканеров

Сетевые сканеры

Системы управления уязвимостями

Системы оценки состояния ИБ

Что выбрать и на что обратить внимание?


Термины и определения


Что такое уязвимость

Слабость в процессе, управлении, технологии, организационной структуре или ПО, которые могут быть использованы для нанесения ущерба

Свойство или характеристика информационной системы, использование которой может привести к нанесению ущерба


От анализа к управлению

Анализ

Что есть?

Оценка

Как влияет?

Аудит

А если сравнить?

Мониторинг

Постоянный аудит

Управление

Наладить процесс

Поиск уязвимостей – это всего лишь первая стадия

Penetration test – это тоже всего лишь анализ

Сканеры безопасности обычно этот Рубикон не

переходят!


Как говорить правильно

… но все зависит от интерпретации и принятой практики

Момент во времени Процесс

Анализ

рисков

Оценка

рисков

Аудит рисков Мониторинг

рисков


рисками

Анализ

соответствия

Оценка


Аудит





соответствием

Анализ

уязвимостей

Оценка


Аудит





уязвимостями

Анализ

безопасности

Оценка


Аудит





безопасностью

Анализ

политики

Оценка

политики

Аудит

политики


политик


политиками


Зрелость технологий


Модель зрелости

Система оценки

состояния ИБ

Система управления

уязвимостями

Сетевой сканер

• Тесная интеграция с системой управления ИБ

• Интеграция с ИТ-процессами

• Анализ рисков

• Управление конфигурацией

• Compliance

• Централизованное управление

• Поиск дыр

• Сканирование сети и ОС

• Standalone


Технологии управления уязвимостями

Появление интересак технологии, запуск

продукта

Неоправданные ожидания

Интерес к технологии пропадает

Глубокие исследования. Постепенное понимание технологии, ее

преимуществ и рисков

Стабильная технология

зрелостьПлато будет достигнуто:

Меньше чем за 2 года

От 2 до 5 лет

От 5 до 10 лет Больше чем 10 летУстареет еще

до плато

SIEM (information)

ThreatIntelligence

МетодологияSDLC Security

Анализповедения сети

Сканеры базданных

Управлениепатчами


Управлениеконфигурацией SEM

Managed Services

Агентские сканерыSIEM (Event)

VAManaged Service

Интеграция с NAC

Пассивныйанализ сети

СканерыWeb-приложений

Сканерыисходных кодов

SIM Managed Service

IT/Security PolicyManagement

Рейтинг риска

Автоматизированныесредства для pentest


Типы сканирования

• Высочайшая эффективность (+)

• Сложность внедрения (-)

• Отсутствие влияния (+)

• Не все видно (-)

• Высокая эффективность (+)

• Сложность внедрения (-)

• Простота (+)

• Невысокая эффективность (-)

Активное (без

credential)

Активное (с

credential)

АгентскоеПассивное


Рост сканирующих возможностей

Сканирующее ядро

Сеть

Узел (ПК, сервер)

Мобильное устройство

Сетевое устройство

(router, switch, Wi-

Fi…)

Средства защиты

(FW, IPS, IdM…)

ИТ-устройство(IP Phone,

SAN…)

Приложение

Простое(Web,…)

Сложное (ERP,…)

Бизнес-логика

Вертикали-зированное(SCADA,…)

Средства защиты

База данных


Что сканируем дальше?..

Пассивный контент

HTML…

Активный контент

Java, ActiveX, ASP, PHP…

Исходные коды

Интеграция в SDLC

Процессы

Что же дальше?..

Аппаратная составляющая, люди…


Какой тип сканера выбрать?

Сеть

Полный анализ сетевого уровня

Инвентаризация

Ложные срабатывания

Полоса пропускания

Приложения

Прикладной уровень

Связи с БД (для Web)

Невидимость других уровней

СУБД

Контроль конфигурации

Этого не делают другие

Только популярные БД

Не тестируют связку с

приложениями


Сложности и проблемы с «обычными» сканерами


Тюнинг

Снижение числа ложных срабатываний

Резервирующие методы проверки, разные механизмы сканирования, «НИОКР»

Защита от сбоя ОС, приложений и сети

Quality Assurance, Awareness

Создание политик сканирования под свою компанию

Гибкость настроек


Обновление

Частота обновления

Gap между публикаций бюллетеня\exploit и появлением проверки

Объем обновления

Защита канала обновлений

Способ обновлений

Как обновить сканер без доступа в Интернет?


Бизнес-ориентация

«Понимание» рисков и ценности узлов

Инвентаризация и классификация активов

Поддержание базы активов (CMDB)

«Понимание» топологии


Устранение уязвимостей

Наиболее сложная задача

Без этого сканер не нужен!

Приоритезация рекомендаций (в зависимости от риска и ценности уязвимого актива)

В отличие от ориентации на саму уязвимость

Поддержка Vulnerability Lifecycle

В зависимости от наличия патча, мы можем порекомендовать его поставить, закрыть порт, изменить настройки ОС/приложений…


Интеграция

С внешними источниками

CVE (единое именование), CVSS (рейтинг)…

С отдельными технологиями

IPS, Anomaly Detection, NAC, управление патчами и конфигурацией и т.п.

В комплексную систему управления ИБ

SIEM

Service Desk

ИТ & ИБ, контроль & operations

Vulnerability Management Lifecycle


Другие сложности и проблемы

Спектр охвата устройств, приложений, ОС и БД

Особенно нестандартных или редких

IP Phone, POS-терминал, SAN…

Корреляция

Один узел с разных сторон (изнутри и снаружи) выглядит как один узел или как разные?

Сетевые уязвимости – это еще не все

Compliance, контроль конфигурации…


Система управления уязвимостями


5 основных технологий

Vulnerability Management

Поиск уязвимостей

Управление конфигурацией

Compliance

Оценка рисков

SIEM


Классификация требований

Лучшие практики по настройке СЗИ (CIS, NSA...)

Лучшие практики по управлению ИБ (SAFE…)

Стандарты по управлению ИБ (ISO 2700x, СТО ИББР, PCI DSS…)

Стандарты по управлению ИТ (ITIL, COBIT…)

Законы, указы, постановления (ПД, КТ, SOX, Базель II…)


Множество требований


Не увлекайтесь стандартами!

Впервые стали говорить об атаках

Многошума

Не так страшен черт,как его малюют

Наработаны контрмеры Плато продуктивности

технологии

зрелость

Сентябрь 2006

Плато будет достигнуто:

Меньше чем за 2 года

От 2 до 5 лет

От 5 до 10 лет Больше чем 10 летУстареет еще до плато

RFID угрозыУгрозы виртуализации

Атаки на SOAАутсорсинговыеугрозы Бот-сети

Zero-Day атаки

Бумажная безопасность

Фишинг

Атаки на мобильные устройства

Шпионское ПО

Атаки на P2P

Уязвимости Embedded ОС

Спам

DNS атаки

Гибридныечерви

Кража identity

SOHO уязвимости

VoIP угрозыDoS-атаки

Социальный инжиниринг

Вирусы

WLANатаки

Web-атаки

Лучшеавтоматизировать!


Compliance & цели применения сканера

Законы («О персональных данных и т.п.)

ИТ-стандарты (ITIL, COBIT)

ИБ-стандарты (ISO 27001,ISO 13335, СТО ИББР)

Меры защиты (CIS, NSA, SAFE)

Управление уязвимостями

Контроль «безопасной» конфигурации

Контроль пользователей с привилегированным доступом

Контроль «контролей» (controls)


Система оценки состояния ИТ-безопасности


ИТ и ИБ: борьба или единство!?

ИТ• Контроль конфигурации

• Контроль патчей

• Контроль приложений

• Контроль активов

ИБ• Compliance

• Контроль конфигурации

• Поиск дыр

• Контроль активов


Vulnerability Management Lifecycle

• «Безопасная» конфигурация• Требования регуляторов• Эталон

• Сканирование «как есть»

• Установка/внедрение ПО• Установка патчей• Блокирование порта/сервиса• Изменение конфигурации• NAC

• Процессный подход• Внедрение в

ежедневный процесс поддержки ИТ и ИБ

• Интеграция с SIEM• Сервисы уведомлений

• Отклонения от эталона


Связь с оценкой рисков

Понимание природы уязвимости

Удаленная/локальная, требуемый уровень доступа…

Публичность уязвимости\эксплойта

Возможность борьбы с уязвимостью\эксплойтом

Ценность уязвимого актива для бизнеса

Критичность уязвимости не должна зависеть только от точки зрения производителя сканера

Пользователь должен иметь возможность изменить


В качестве заключения


Сканер безопасности сегодня

Трансляция политики ИБ компании в политику управления уязвимости

Проверка соответствия требованиям

Инвентаризация и приоритезация активов

Поддержка Vulnerability Management Lifecycle

Высокое качество и аккуратность сканирования

Широкий спектр поддерживаемых платформ

Обеспечение взаимодействия ИТ, ИБ и ВнА/ВнК

Генерация различных отчетов

Гибкость!!!


Критерии выбора

Зрелость технологии

Не только дыры в сети и приложениях

Наличие собственной исследовательской группы

Централизованное управление

Не только как продукт, но и как сервис

От множества сканеров к одному

Наличие сертификатов соответствия


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

Vulnerability Management

Technology

Transcript of Vulnerability Management