Cisco CyberOps Associate - Ocena podatności punktów końcowych

1. Zrozumienie normalnego funkcjonowania sieci jest kluczowe do wykrywania poważnych incydentów związanych z bezpieczeństwem. Profilowanie sieci i urządzeń dostarcza statystyczną linię bazową, służącą jako punkt odniesienia. Odchylenia od tej linii bazowej mogą wskazywać na naruszenie bezpieczeństwa.

Podczas tworzenia linii bazowej ważne jest uwzględnienie wszystkich normalnych operacji sieciowych i utrzymanie jej aktualności. Narzędzia takie jak NetFlow i Wireshark mogą pomóc w charakteryzowaniu normalnego ruchu sieciowego.

Nieoczekiwane wzrosty wykorzystania łączy WAN lub nietypowe zachowania hostów, takie jak dostęp do nieznanych serwerów internetowych, mogą wskazywać na kompromitację. Wyznaczanie linii bazowej sieci powinno być przeprowadzane przez dłuższy okres, aby uwzględnić różne wymagania stawiane sieciom przez organizacje.

Element Profilu SieciowegoOpis
Czas trwania sesjiJest to czas między nawiązaniem przepływu danych a jego zakończeniem.
Całkowita przepustowośćJest to ilość danych przechodzących od danego źródła do danego miejsca docelowego w danym okresie czasu.
Używane portyJest to lista procesów TCP lub UDP, które są dostępne do przyjęcia danych.
Przestrzeń adresowa kluczowych zasobówSą to adresy IP lub logiczne lokalizacje niezbędnych systemów lub danych.

2. Dodatkowo, profil typów ruchu, które zwykle wchodzą i wychodzą z sieci, jest ważnym narzędziem do zrozumienia zachowania sieci. Malware może korzystać z nietypowych portów, które zazwyczaj nie są widoczne podczas normalnej pracy sieci. Ruch między hostami to kolejna ważna metryka. Większość klientów sieciowych komunikuje się bezpośrednio z serwerami, więc wzrost ruchu między klientami może wskazywać, że malware rozprzestrzenia się bocznie przez sieć.

3. Profilowanie serwera służy do ustalenia akceptowanego stanu operacyjnego serwerów. Profil serwera to podstawowy poziom bezpieczeństwa dla danego serwera. Ustala parametry sieci, użytkowników i aplikacji, które są akceptowane dla konkretnego serwera.

Aby ustalić profil serwera, ważne jest zrozumienie funkcji, którą serwer ma pełnić w sieci. Od tego punktu można zdefiniować i udokumentować różne parametry operacyjne i użytkowania.

Element profilu serweraOpis
Słuchające portySą to demony TCP i UDP oraz porty, które zazwyczaj są dozwolone do otwarcia na serwerze.
Zalogowani użytkownicy i kontaSą to parametry definiujące dostęp użytkownika i jego zachowanie.
Konta usługSą to definicje typu usługi, którą aplikacja ma prawo uruchomić.
Środowisko oprogramowaniaSą to zadania, procesy i aplikacje, które są dozwolone do uruchomienia na serwerze.

4. Analiza zachowań sieci (NBA) wykorzystuje techniki Big Data do analizy różnorodnych danych sieciowych w celu wykrywania ataków. Używa zaawansowanych technik statystycznych i uczenia maszynowego do porównywania normalnej wydajności sieci z jej aktualnym stanem, a znaczne odchylenia mogą wskazywać na naruszenia. Wykrywanie anomalii pozwala na identyfikację niepokojących zachowań, takich jak aktywność robaków sieciowych czy zainfekowane hosty skanujące sieć w poszukiwaniu innych podatnych hostów.

5. Większość organizacji łączy się z publicznymi sieciami w pewien sposób ze względu na potrzebę dostępu do internetu. Te organizacje muszą również dostarczać różnego rodzaju usługi zorientowane na internet do publiczności. Ze względu na ogromną liczbę potencjalnych podatności i fakt, że nowe podatności mogą powstawać w sieci organizacji i jej usługach zorientowanych na internet, okresowe testy bezpieczeństwa są niezbędne.

Testy, które można przeprowadzić:

TerminOpis
Analiza ryzykaJest to dyscyplina, w której analitycy oceniają ryzyko związane z podatnościami dla konkretnej organizacji. Analiza ryzyka obejmuje ocenę prawdopodobieństwa ataków, identyfikuje typy prawdopodobnych aktorów zagrożeń i ocenia wpływ udanych exploitów na organizację.
Ocena podatnościTen test wykorzystuje oprogramowanie do skanowania serwerów zorientowanych na internet i wewnętrznych sieci pod kątem różnych typów podatności. Podatności te obejmują nieznane infekcje, słabości w usługach baz danych zorientowanych na sieć, brakujące łatki oprogramowania, niepotrzebne porty nasłuchujące itp. Narzędzia do oceny podatności obejmują platformę OpenVAS open source, Microsoft Baseline Security Analyzer, Nessus, Qualys i usługi FireEye Mandiant. Ocena podatności obejmuje, ale nie ogranicza się do, skanowania portów.
Testy penetracyjneTen rodzaj testu wykorzystuje autoryzowane symulowane ataki do testowania siły zabezpieczeń sieci. Wewnętrzny personel z doświadczeniem w hakowaniu lub profesjonalni etyczni hakerzy identyfikują aktywa, które mogą być celem aktorów zagrożeń. Seria exploitów jest używana do testowania bezpieczeństwa tych aktywów. Często używane są narzędzia do symulacji exploitów. Testy penetracyjne nie tylko weryfikują, że istnieją podatności, ale faktycznie wykorzystują te podatności, aby określić potencjalny wpływ udanego exploitu. Indywidualny test penetracyjny jest często nazywany testem pen. Metasploit jest narzędziem używanym w testach penetracyjnych. CORE Impact oferuje oprogramowanie i usługi do testów penetracyjnych.

Przykłady działań i narzędzi, które są używane w testach podatności:

DziałanieOpisNarzędzia
Analiza ryzykaOsoby przeprowadzają kompleksową analizę wpływów ataków na kluczowe aktywa i funkcjonowanie firmyWewnętrzni lub zewnętrzni konsultanci, ramy zarządzania ryzykiem
Ocena podatnościZarządzanie łatkami, skany hostów, skanowanie portów, inne skany podatności i usługiOpenVas, Microsoft Baseline Analyzer, Nessus, Qualys, Nmap
Testy penetracyjneUżycie technik i narzędzi hakowania do penetracji obrony sieciowej i identyfikacji głębokości potencjalnej penetracjiMetasploit, CORE Impact, etyczni hakerzy

6. Common Vulnerability Scoring System (CVSS) to narzędzie do oceny ryzyka, które ma na celu przekazanie wspólnych atrybutów i nasilenia podatności w systemach sprzętowych i oprogramowania komputerowego. Korzyści z CVSS można podsumować następująco:
  • Dostarcza standaryzowane wyniki podatności, które powinny być znaczące dla różnych organizacji.
  • Dostarcza otwartą strukturę, w której znaczenie każdej metryki jest otwarcie dostępne dla wszystkich użytkowników.
  • Pomaga priorytetyzować ryzyko w sposób znaczący dla poszczególnych organizacji.
7. CVSS to narzędzie oceny ryzyka, które wymaga zrozumienia kluczowych terminów. Autorytet, czyli jednostka komputerowa zarządzająca dostępem, jest istotnym elementem. Ocena CVSS uwzględnia cechy podatności, które są stałe (możliwość wykorzystania i wpływ) oraz te, które zmieniają się z czasem. Nasilenie podatności zmienia się w miarę wykrywania i opracowywania środków zaradczych. CVSS bierze pod uwagę również aspekty podatności specyficzne dla środowiska organizacji.

8. Tabela zawiera kryteria dla metryk Możliwości Wykorzystania z Grupy Metryk Podstawowych.
KryteriumOpis
Wektor atakuJest to metryka odzwierciedlająca bliskość aktora zagrożenia do podatnego komponentu. Im bardziej zdalny jest aktor zagrożenia w stosunku do komponentu, tym wyższe jest nasilenie. Aktorzy zagrożeń blisko Twojej sieci lub wewnątrz Twojej sieci są łatwiejsi do wykrycia i zneutralizowania.
Złożoność atakuJest to metryka wyrażająca liczbę komponentów, oprogramowania, sprzętu lub sieci, które są poza kontrolą atakującego i które muszą być obecne, aby podatność mogła być skutecznie wykorzystana.
Wymagane uprawnieniaJest to metryka, która rejestruje poziom dostępu, który jest wymagany do skutecznego wykorzystania podatności.
Interakcja użytkownikaTa metryka wyraża obecność lub brak wymogu interakcji użytkownika, aby exploit był skuteczny.
ZakresTa metryka wyraża, czy w exploit muszą być zaangażowane wielokrotne autorytety. Wyraża się to jako zmiana początkowego autorytetu na drugi autorytet podczas exploitu.

Metryki wpływu z Grupy Metryk Podstawowych wzrastają wraz ze stopniem lub konsekwencją straty spowodowanej przez skomponowany komponent. Tabela zawiera komponenty metryki wpływu.

TerminOpis
Wpływ na poufnośćJest to metryka mierząca wpływ na poufność spowodowany skutecznie wykorzystaną podatnością. Poufność odnosi się do ograniczenia dostępu tylko do autoryzowanych użytkowników.
Wpływ na integralnośćJest to metryka mierząca wpływ na integralność spowodowany skutecznie wykorzystaną podatnością. Integralność odnosi się do wiarygodności i autentyczności informacji.
Wpływ na dostępnośćJest to metryka mierząca wpływ na dostępność spowodowany skutecznie wykorzystaną podatnością. Dostępność odnosi się do dostępności informacji i zasobów sieciowych. Ataki, które zużywają przepustowość sieci, cykle procesora lub miejsce na dysku, wpływają na dostępność.

Kalkulator: https://www.first.org/cvss/calculator/4.0

9. Zarządzanie ryzykiem jest częścią programu bezpieczeństwa informacji organizacji. Polega na identyfikacji, szacowaniu i priorytetyzacji ryzyka na podstawie związku między zagrożeniami, podatnościami i charakterem organizacji. Ten proces nazywa się oceną ryzyka i obejmuje odpowiadanie na pytania o potencjalnych aktorów zagrożeń, wykorzystywalne podatności, wpływ ataków i prawdopodobieństwo różnych ataków.

Proces oceny ryzyka obejmuje identyfikację zagrożeń i podatności oraz dopasowanie ich w pary zagrożenie-podatność (T-V). Te pary służą jako punkt odniesienia do wskazywania ryzyka przed wdrożeniem kontroli bezpieczeństwa i do oceny skuteczności zarządzania ryzykiem.

Po zidentyfikowaniu ryzyka, można je ocenić lub przypisać im wagę, aby priorytetyzować strategie redukcji ryzyka. Podatności, które odpowiadają wielu zagrożeniom lub te, które mają największy wpływ na instytucję, otrzymują wyższe oceny.

Istnieją cztery potencjalne odpowiedzi na zidentyfikowane ryzyka: unikanie ryzyka (zaprzestanie ryzykownych działań), redukcja ryzyka (zmniejszenie podatności), dzielenie ryzyka (przeniesienie ryzyka na inne strony) i retencja ryzyka (akceptacja ryzyka i jego konsekwencji). Wybór odpowiedzi zależy od wagi lub wyniku ryzyka. Na przykład ryzyka o niskim potencjalnym wpływie i wysokim koszcie łagodzenia mogą być zatrzymane, podczas gdy te o wysokim wpływie mogą wymagać strategii redukcji ryzyka lub dzielenia ryzyka.

10. Zarządzanie podatnościami to proaktywna praktyka bezpieczeństwa mająca na celu zapobieganie wykorzystaniu podatności IT w organizacji. Polega na identyfikacji podatności za pomocą źródeł takich jak biuletyny bezpieczeństwa dostawców i CVE, ocenie ich wpływu, wdrażaniu rozwiązań i testowaniu, aby upewnić się, że podatność została wyeliminowana. Ta praktyka redukuje czas, wysiłek i koszty związane z radzeniem sobie z podatnościami i ich wykorzystaniem.

11. Cykl życia zarządzania podatnościami:

  1. Inwentaryzacja wszystkich zasobów w sieci i identyfikacja szczegółów hosta, w tym systemów operacyjnych i otwartych usług, w celu identyfikacji podatności.
  2. Opracowanie bazy sieci.
  3. Identyfikacja podatności bezpieczeństwa według regularnego zautomatyzowanego harmonogramu.
  4. Kategoryzacja zasobów na grupy lub jednostki biznesowe i przypisanie wartości biznesowej grupom zasobów na podstawie ich krytyczności dla operacji biznesowych.
  5. Określenie profilu ryzyka bazowego w celu eliminacji ryzyka na podstawie krytyczności zasobów, podatności, zagrożeń i klasyfikacji zasobów.
  6. Pomiar poziomu ryzyka biznesowego związanego z zasobami zgodnie z politykami bezpieczeństwa.
  7. Dokumentacja planu bezpieczeństwa, monitorowanie podejrzanych działań i opisywanie znanych podatności.
  8. Priorytetyzacja według ryzyka biznesowego i zajmowanie się podatnościami według ryzyka.
  9. Weryfikacja, że zagrożenia zostały wyeliminowane poprzez audyty kontrolne.

12. Zarządzanie zasobami śledzi lokalizację, konfigurację i oprogramowanie urządzeń w całej organizacji. Zapewnia to, że do sieci mają dostęp tylko autoryzowane urządzenia i pomaga identyfikować te nieautoryzowane. NISTIR 8011 Tom 2 określa proces zarządzania zasobami, który obejmuje automatyczne wykrywanie, definiowanie pożądanych stanów urządzeń, identyfikowanie niezgodnych zasobów oraz regularne aktualizacje planu bezpieczeństwa.

13. Zarządzanie urządzeniami mobilnymi (MDM) jest kluczowe dla zabezpieczenia urządzeń, które nie są fizycznie kontrolowane przez organizację, jak w scenariuszach BYOD (Bring Your Own Device - przynoszenia własnych urządzeń). Strategie MDM obejmują wyłączanie zgubionych urządzeń, szyfrowanie danych i solidne uwierzytelnianie. Administratorzy sieci powinni traktować wszystkie urządzenia mobilne jako niezaufane do czasu ich zabezpieczenia.

Zarządzanie konfiguracją polega na zarządzaniu konfiguracjami sprzętu i oprogramowania w celu zmniejszenia ryzyka bezpieczeństwa. Obejmuje to tworzenie bazowych konfiguracji dla urządzeń, kontrolowanie dostępu użytkowników i określanie standardów sprzętowych.

Działania NIST dotyczące zarządzania konfiguracją skupiają się na utrzymaniu integralności produktów i systemów poprzez monitorowanie i kontrolowanie zmian konfiguracji.

Zarządzanie łatkami dotyczy podatności w systemach operacyjnych, firmware i aplikacjach. Polega na identyfikacji, pozyskiwaniu, dystrybucji, instalacji i weryfikacji łatek. Regulacje zgodności mogą wymagać systematycznego zarządzania łatkami, które opiera się na danych zarządzania zasobami do implementacji. Narzędzia takie jak Puppet, Chef, Ansible, SaltStack i Microsoft SCCM pomagają w zarządzaniu konfiguracjami i łatkami, szczególnie w środowiskach chmurowych i wirtualizowanych.