He aqui la 5.0 vulnerabilidad de las 20 vulnerabilidades criticas.
Hoy nostoca un exelente tema.
Defensas Malware
¿Cómo atacantes aprovechan de la ausencia de este control?
El software malicioso es un aspecto integral y peligrosa de las amenazas de Internet, dirigido a los usuarios finales y de las organizaciones a través del navegador web, archivos adjuntos de correo electrónico, dispositivos móviles, la nube y otros vectores. El código malicioso puede alterar el contenido del sistema, capturar datos sensibles, y se extendió a otros sistemas. El malware moderno tiene como objetivo evitar la detección basada en firmas y de comportamiento, y puede desactivar el anti-virus herramientas que se ejecutan en el sistema de destino. Anti-virus y anti-spyware software, denominados colectivamente como herramientas anti-malware, ayudar a defenderse contra estas amenazas, tratando de detectar programas maliciosos y bloquear su ejecución.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Emplear herramientas automatizadas para monitorear continuamente las estaciones de trabajo, servidores y dispositivos móviles para activo, up-to-fecha de protección anti-malware con anti-virus, anti-spyware, firewall personal, y basado en host funcionalidad IPS. Todas las pruebas de detección de malware se deben enviar a las herramientas de administración empresarial anti-malware y servidores de registro de eventos. La solución de seguridad de punto final debe incluir protección de día cero, como la heurística de comportamiento de red.
2. Victorias rápidas: Emplear software anti-malware y características de la firma de actualización automática o manualmente los administradores han empujar cambios a todas las máquinas en una base diaria. Después de aplicar la actualización, los sistemas automatizados deben verificar que cada sistema ha recibido su actualización de firmas.
3. Ganancias rápidas: Configurar los ordenadores portátiles, estaciones de trabajo y servidores para que no se auto-run contenido de tokens USB (es decir, "pen drives"), discos duros USB, CD / DVD, dispositivos firewire externos, dispositivos Serial avanzadas Technology Attachment, montado recursos compartidos de red, u otros medios extraíbles. Si los dispositivos no son necesarios para el uso del negocio, que debe ser desactivada.
4. Ganancias rápidas: Configurar sistemas para que lleven a cabo un sistema automatizado de escaneo anti-malware de medios extraíbles cuando se inserta.
5. Ganancias rápidas: Todos los archivos adjuntos de correo electrónico que entran en la organización e-mail gateway debe ser escaneado y bloqueado si contienen código malicioso o tipos de archivos innecesarios para el negocio de la organización. Esta exploración se debe hacer antes de que el correo electrónico se coloca en la bandeja de entrada del usuario. Esto incluye el correo electrónico filtrado de contenidos y filtrado de contenidos web.
6. Ganancias rápidas: Aplicar el análisis antivirus en el gateway de Proxy Web. El filtrado de contenido para tipos de archivo se debe aplicar en el perímetro.
7. Ganancias rápidas: características Implementar y herramientas tales como la prevención de ejecución de datos (DEP) y Enhanced Experience Toolkit Mitigación (EMET), productos que proporcionan espacio aislado (por ejemplo, ejecutar el navegador en una máquina virtual), y otras técnicas que evitan la explotación malware.
8. Ganancias rápidas: limitar el uso de dispositivos externos a los que tienen necesidad del negocio. Monitor para el uso y el intento de uso de dispositivos externos.
9. Visibilidad / Atribución: Bloquear el acceso a correo electrónico externas de sistemas, servicios de mensajería instantánea y otras herramientas de medios sociales.
10. Visibilidad / Reconocimiento: Las herramientas automatizadas de control debe utilizar un comportamiento basado en la detección de anomalías para complementar y mejorar tradicional detección basada en firmas.
11. Visibilidad / Reconocimiento: Utilizar la red basados en herramientas anti-malware para analizar todo el tráfico entrante y filtrar el contenido malicioso antes de que llegue al punto final.
12. Avanzado: La vigilancia continua debería llevarse a cabo en todo el tráfico entrante y saliente. Las grandes transferencias de datos o tráfico no autorizado debe ser marcado y, de ser validado como malicioso, el equipo debe ser trasladado a una VLAN aislada.
13. Avanzado: Implementar un proceso de respuesta a incidentes que permita su organización de TI Soporte para abastecer su equipo de seguridad con muestras de malware ejecutándose sin ser detectado en los sistemas corporativos. Las muestras deben ser proporcionada al proveedor de seguridad para "out-of-band" de creación de firma y desplegado a la empresa por los administradores del sistema.
14. Avanzado: Utilizar la red basados en herramientas de análisis de flujo para analizar el tráfico entrante y saliente en busca de anomalías, indicadores de malware y sistemas comprometidos.
15. Avanzado: Deploy "basado en la reputación tecnologías" en todos los dispositivos de punto final para cubrir la brecha de las tecnologías basadas en firmas.
16. Avanzado: Habilitar nombre de dominio del sistema (DNS) consulta el registro para detectar búsqueda de nombre de host para dañinos conocidos dominios C2.
17. Avanzado: Aplicar la tecnología proxy para todas las comunicaciones entre la red interna e Internet.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
SC-18, SC-26, IS-3 (a, b, 1, 2, 5, 6)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Antivirus y sistemas de prevención de intrusiones de host (HIPS)
Personal Electronic Device (PED) Gestión
Network Access Protection / Control (NAP / NAC)
Security Gateways, Proxies y Firewalls
Red de Monitoreo de Seguridad
Procedimientos y herramientas para implementar y automatizar este control
Basándose en la política y la acción del usuario para guardar herramientas anti-malware hasta la fecha ha sido ampliamente desacreditado, ya que muchos usuarios no han demostrado ser capaces de manejar consistentemente esta tarea. Para asegurarse de firmas antivirus estén actualizados, las organizaciones utilizan la automatización. Ellos usan el. Funciones integradas administrativas de suites de seguridad empresarial de punto final para verificar que anti-virus, anti-spyware, y basadas en host IDS funciones están activas en cada sistema administrado Corren evaluaciones automatizadas diario y revisar los resultados para encontrar y mitigar los sistemas que se han desactivado este tipo de protecciones, así como los sistemas que no cuentan con las últimas definiciones de malware.
Algunas empresas desplegar honeypot libre o comercial y las herramientas para identificar a los atacantes TARPIT en su entorno. El personal de seguridad debe supervisar continuamente honeypots y Tarpits para determinar si el tráfico se dirige a ellos y las cuentas de acceso se intentó. Cuando identifican este tipo de eventos, este personal debe reunir la dirección de la fuente de la que este tráfico se origina y otros detalles relacionados con el ataque para el seguimiento de la investigación.
Control 5 Metric:
El sistema debe identificar cualquier software malicioso que se instala, trató de ser instalado, ejecutado, o tratado de ser ejecutado en un sistema informático dentro de una hora, alertas o el envío de notificaciones por correo electrónico a una lista de personal de la empresa a través de su central anti-malware consola o sistema de registro de eventos. Los sistemas deben bloquear la instalación, evitar la ejecución, o software malicioso cuarentena dentro de una hora, alertas o enviar e-mail cuando esta acción se ha producido. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del código malicioso hasta que la amenaza ha sido completamente mitigado en ese sistema. Si bien el plazo de una hora representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para la detección más rápida y aislamiento viral.
Control 5 Test:
Para evaluar la aplicación de control 5 en forma periódica, el equipo de evaluación debe mover un programa de prueba de software benigno que parece ser malware (tal como un archivo EICAR o herramientas de hackers benignos), pero que no está incluido en la lista de software funcionario autorizado para 10 sistemas de la red a través de un recurso compartido de red. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con el malware benigno en una hora. El equipo también debe verificar que la alerta o e-mail indicando que el software ha sido bloqueado o puesto en cuarentena se recibe dentro de una hora. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada máquina con este nuevo archivo de prueba, incluida la información sobre el propietario de los activos. Posteriormente, el equipo debe verificar que el archivo se bloquea al intentar ejecutar o abrirlo y comprobar que no se le permite tener acceso.
Una vez que esta prueba se ha realizado la transferencia de los archivos a los sistemas de organización a través de medios extraíbles, la misma prueba debe repetirse, pero esta vez de transferir el malware benigna en 10 sistemas a través de correo electrónico en lugar. La organización debe esperar los resultados notificación que, como se indica con la prueba de medios extraíbles.
Entidad de Control 5 del Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos para la gestión, mando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los sistemas anti-malware y vectores de amenazas tales como los medios extraíbles. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.
Paso 1: Anti-malware de los sistemas de análisis de los sistemas de producción y medios extraíbles
Paso 2: Los medios extraíbles se analiza cuando se conecta a los sistemas de producción
Paso 3: Email / Web y dispositivos de red proxy de analizar todo el tráfico entrante y saliente
Paso 4: Control de acceso a la red monitorea todos los sistemas conectados a la red
Paso 5: Intrusión / red de sistemas de vigilancia realiza un seguimiento continuo en busca de signos de malware.
Fuente:http://www.sans.org/critical-security-controls/control.php?id=5
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario