He aqui la 4.0 vulnerabilidad de las 20 vulnerabilidades criticas.
Evaluación de la vulnerabilidad continua y Remediación
¿Cómo atacantes aprovechan de la ausencia de este control?
Al poco tiempo se descubren nuevas vulnerabilidades y reportados por los investigadores de seguridad o vendedores, ingeniero atacantes explotar código y luego lanzar el código con los objetivos de interés. Los retrasos significativos en la búsqueda o la fijación de software con vulnerabilidades peligrosas ofrece amplias oportunidades para que los atacantes persistentes para abrirse paso, ganar control sobre las máquinas vulnerables y tener acceso a los datos confidenciales que contienen. Las organizaciones que no escanear en busca de vulnerabilidades y fallas de dirección descubiertos de forma proactiva frente a una probabilidad significativa de que sus sistemas informáticos comprometida. Las vulnerabilidades también debe estar ligada a la inteligencia de amenazas y priorizar adecuadamente.
Como análisis de vulnerabilidades se vuelven más comunes, los atacantes están utilizando ellos como punto de explotación. Es importante controlar cuidadosamente los análisis de vulnerabilidad y autenticadas por el administrador de la cuenta asociada. Los atacantes tomar el control de una máquina con privilegios locales, y esperar a un análisis autenticado que se produzca contra la máquina. Cuando el escáner se conecta con privilegios de administrador de dominio, el atacante agarra la señal del. Registrados en la exploración de herramientas, o huele la respuesta al desafío y las grietas que De cualquier manera, el atacante puede girar en cualquier otro lugar en la organización como administrador de dominio.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Ejecutar escaneo automático de vulnerabilidades herramientas contra todos los sistemas en sus redes sobre una base semanal o más frecuente con un escáner de vulnerabilidades SCAP-validado que mira para ambos basados en código vulnerabilidades (CVE) y configuración basadas en vulnerabilidades (CCE). Cuando sea posible, el análisis de vulnerabilidades debe ocurrir sobre una base diaria usando una herramienta de vulnerabilidad hasta al día de exploración. Cualquier vulnerabilidad determinada debe ser remediado de manera oportuna, con vulnerabilidades críticas fijados dentro de las 48 horas.
2. Victorias rápidas: Los registros de eventos se correlacionan con la información de vulnerabilidad computarizadas para cumplir dos objetivos. En primer lugar, el personal debe verificar que la actividad de las herramientas de detección regulares vulnerabilidad se ha iniciado sesión. En segundo lugar, el personal debe ser capaz de correlacionar eventos de detección de ataques a la vulnerabilidad antes de barrido resultados para determinar si la hazaña dado fue usado contra un objetivo conocido por ser vulnerable.
3. Victorias rápidas: Utilizar una cuenta especial para las exploraciones de vulnerabilidades autenticados. La cuenta de exploración no se debe utilizar para todas las actividades administrativas y otros ligados a determinadas direcciones IP. Asegúrese de que sólo los empleados autorizados tienen acceso a la interfaz de usuario de gestión de vulnerabilidad y que los roles se aplican a cada usuario.
4. Ganancias rápidas: Suscribirse a los servicios de inteligencia de vulnerabilidad a fin de mantenerse al tanto de los riesgos emergentes.
5. Visibilidad / Reconocimiento: implementar herramientas automatizadas de gestión de parches y herramientas de actualización de software para el sistema operativo y el software / aplicaciones en todos los sistemas para los que estas herramientas están disponibles y segura. Los parches deben ser aplicados a todos los sistemas, incluso en sistemas que estén debidamente espacio de aire.
6. Visibilidad / Reconocimiento: Es importante vigilar cuidadosamente los registros asociados con cualquier actividad de exploración y cuentas asociadas administrador para asegurarse de que todas las actividades de exploración y de acceso asociado a través de la cuenta privilegiada se limita a los plazos de exploraciones legítimos.
7. Configuración / Higiene: Además de los análisis de vulnerabilidad sin autenticación, las organizaciones deben garantizar que todos los análisis de vulnerabilidad se realiza en modo autenticado ya sea con agentes que se ejecutan de forma local en cada sistema final para analizar la configuración de seguridad o con escáneres remotos que se dan permisos de administrador en el sistema de bienestar probado.
8. Configuración / Higiene: Comparar los resultados de back-to-back vulnerabilidad analiza para verificar que las vulnerabilidades se abordaron ya sea por aplicación de parches, la implementación de un control de compensación, o documentar y aceptar un riesgo comercial razonable. Tal aceptación de los riesgos de negocio para las vulnerabilidades existentes deben ser revisados periódicamente para determinar si los nuevos controles de compensación o parches posteriores pueden tratar las vulnerabilidades que fueron aceptadas con anterioridad, o si han cambiado las condiciones que aumenta el riesgo.
9. Configuración / Higiene: herramientas de exploración de vulnerabilidades debe ser ajustado para comparar los servicios que están escuchando en cada equipo con una lista de servicios autorizados. Las herramientas deben estar más afinado para identificar los cambios a través del tiempo en los sistemas para los servicios autorizados y no autorizados.
10. Configuración / Higiene: Mida el retardo de las vulnerabilidades de parches y cerciorarse de que el retraso es igual o inferior a los valores de referencia establecidos por la organización. Medidas alternativas se debe considerar si los parches no están disponibles.
11. Configuración / Higiene: parches críticos deben ser evaluados en un entorno de prueba antes de ser empujados a la producción de sistemas de la empresa. Si dichos parches romper las aplicaciones críticas de negocio en las máquinas de prueba, la organización debe diseñar otros controles de mitigación que la explotación bloque en sistemas en los que el parche no se puede implementar por su impacto en la funcionalidad empresarial.
12. Configuración / Higiene: Atender las vulnerabilidades más perjudiciales primero. Dar prioridad a los activos vulnerables basadas tanto en los aspectos técnicos y específicos de la organización los riesgos del negocio. Un ranking de vulnerabilidad a nivel industrial o empresarial amplio puede ser insuficiente para dar prioridad a que los activos específicos para abordar en primer lugar. Una ejecución por fases se puede utilizar para minimizar el impacto en la organización.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
RA-3 (a, b, c, d), RA-5 (A, B, 1, 2, 5, 6)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Hito 6: Gestión de Parches
Procedimientos y herramientas para implementar y automatizar este control
Un gran número de herramientas de análisis de vulnerabilidad están disponibles para evaluar la configuración de seguridad de los sistemas. Algunas empresas han encontrado también servicios comerciales que utilizan gestionados remotamente dispositivos de escaneo para ser eficaz. Para ayudar a estandarizar las definiciones de las vulnerabilidades descubiertas en los diferentes departamentos de una organización o incluso a través de las organizaciones, es preferible utilizar herramientas de escaneo de vulnerabilidades que los defectos de Medidas de Seguridad y asignarlos a las vulnerabilidades y problemas categorizados utilizando uno o más de los siguientes reconocida por la industria vulnerabilidad , configuración y esquemas de clasificación de plataforma y lenguajes: CVE, CCE, OVAL, CPE, CVSS, y / o XCCDF.
Herramientas avanzadas de escaneo de vulnerabilidades puede ser configurado con las credenciales de usuario para conectarse a los sistemas escaneados y realizar análisis más completos que se pueden lograr sin credenciales de inicio de sesión. La frecuencia de las actividades de análisis, sin embargo, debe aumentar a medida que la diversidad de sistemas de una organización aumenta para dar cuenta de los ciclos de parches variables de cada proveedor.
Además de las herramientas de análisis que detectan las vulnerabilidades y errores de configuración de la red, varias herramientas gratuitas y comerciales pueden evaluar las opciones de seguridad y configuraciones de los equipos locales en los que están instalados. Estas herramientas pueden proporcionar de grano fino idea de los cambios no autorizados en la configuración o la introducción inadvertida de fallos de seguridad por los administradores.
Las organizaciones eficaces vincular sus escáneres de vulnerabilidad con problemas sistemas de ticketing que controla automáticamente e informar sobre los avances en la solución de problemas, y que hacen que no mitigados vulnerabilidades críticas visibles a los niveles superiores de la administración para asegurar que los problemas se resuelven.
Las herramientas de escaneo de vulnerabilidades más eficaces comparar los resultados de la exploración actual con exploraciones previas para determinar cómo las vulnerabilidades en el entorno han cambiado con el tiempo. El personal de seguridad utilizar estas características para llevar a cabo la vulnerabilidad de tendencias de mes a mes.
Como vulnerabilidades relacionadas con los sistemas sin parches son descubiertos mediante el análisis de las herramientas, el personal de seguridad debe determinar y documentar la cantidad de tiempo que transcurre entre la publicación de un parche para el sistema y la aparición de la exploración de vulnerabilidades. Si este periodo de tiempo superior a los puntos de referencia de la organización para el despliegue de nivel de criticidad del parche determinado, personal de seguridad debe tener en cuenta la demora y determinar si la desviación ha sido documentada formalmente por el sistema y su parche. Si no, el equipo de seguridad debería trabajar con la administración para mejorar el proceso de actualización.
Además, algunas herramientas de parches automatizados no pueden detectar o instalar algunos parches debido a un error por parte del vendedor o administrador. Debido a esto, todos los cheques de parches deben conciliar los parches del sistema con una lista de parches de cada fabricante ha anunciado en su página web.
Control 4 Metric:
Todas las máquinas identificadas por el sistema de inventario de activos asociados a críticos de control 1 deben ser analizados en busca de vulnerabilidades. Además, si el escáner de vulnerabilidades identifica todos los dispositivos no incluidos en el inventario de activos, debe alertar o enviar un correo electrónico a la iniciativa personal administrativo dentro de las 24 horas. El sistema debe ser capaz de alertar o correo electrónico personal de la empresa administrativas dentro de una hora de vulnerabilidad automatizado semanal o diaria exploraciones se completó. Si el análisis no puede ser completado con éxito, el sistema debe alertar o enviar un correo electrónico al personal administrativo dentro de la hora que indica que la digitalización no se ha realizado correctamente. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado de las exploraciones incompletas, hasta que se reanude exploración normal.
Herramientas automatizadas de gestión de parches debe alertar o enviar un correo electrónico al personal administrativo dentro de las 24 horas siguientes a la instalación correcta de los nuevos parches. Si bien los plazos de 24 horas y una hora-representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en el futuro, las organizaciones deben esforzarse para aún más rápido de alerta, con notificación sobre un activo no autorizado conectado a la red o una vulnerabilidad incompleto escanear enviar dentro de dos minutos.
Control 4 Test:
Para evaluar la aplicación de Control 4 en forma periódica, el equipo evaluador debe verificar que las herramientas de análisis se han completado con éxito sus exploraciones semanales o diarias de los últimos 30 ciclos de barrido mediante la revisión de las alertas y los informes archivados para asegurar que la exploración se ha completado. Si el análisis no se pudo completar en ese período de tiempo, el equipo evaluador debe verificar que una alerta por correo electrónico o se ha generado lo que indica que la exploración no terminó.
Entidad de Control 4 Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la forma de aplicar temperatura, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos para la gestión, mando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, los escáneres de vulnerabilidad, sistemas de gestión, sistemas de gestión de parches y líneas de base de configuración de todo el trabajo en conjunto para abordar la gestión de una organización vulnerabilidad y la estrategia de remediación. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.
Paso 1: El servicio de inteligencia de vulnerabilidad provee insumos para escáner de vulnerabilidades
Paso 2: Vulnerabilidad de los sistemas de producción escáneres de exploración
Paso 3: Los scanners de vulnerabilidades reportar vulnerabilidades detectadas para un sistema de gestión de vulnerabilidad (VMS)
Paso 4: El VMS compara los sistemas de producción de las líneas de base de configuración
Paso 5: El VMS envía la información al registro del sistema de gestión de correlación
Paso 6: El VMS elabora informes para la gestión
Paso 7: Un sistema de gestión de parches aplica actualizaciones de software para los sistemas de producción
Fente:http://www.sans.org/critical-security-controls/control.php?id=4
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario