Miesiąc: grudzień 2022

Gdy skończymy i zidentyfikujemy luki, będzie to zależeć od aplikacji, z której korzystamy w jednej formie lub w sposób, poinformujemy o tym, jakie luki znaleźli i jakich poprawek brakuje. Albo po prostu prześlą nam raport, albo, w zależności od systemu, da nam to możliwość naprawienia tych rzeczy. Będzie informować o znalezionych lukach. Może brakować poprawek. To może być błędna konfiguracja zabezpieczeń. Możemy mieć aplikacje, które po prostu ustawiliśmy źle, a może nie mamy ich ustawionych zgodnie z najlepszymi praktykami. Znane exploity w naszych systemach, każda aplikacja lub każda usługa będą miały swój własny zestaw znanych exploitów. Następnie możemy zidentyfikować brak kontroli bezpieczeństwa, które możemy mieć na miejscu. Możemy myśleć, że możemy iść, ale dobra ocena podatności może nam pokazać, gdzie leżą te luki. Kiedy chcemy przejść przez proces identyfikacji kontroli bezpieczeństwa, często chodzi o coś więcej niż tylko źle skonfigurowana kontrola bezpieczeństwa. Może tam jest, ale po prostu może nie być skonfigurowany zgodnie z najlepszymi praktykami lub może go brakować. Sama kontrola bezpieczeństwa może tam nie być, więc możemy nie mieć zainstalowanego programu antywirusowego lub zainstalowanej zapory, ale możemy mieć zainstalowane te rzeczy i być może po prostu brakuje nam łatek. Ale są chwile, kiedy sama kontrola bezpieczeństwa po prostu zniknęła. Zrozumiemy to, gdy przejdziemy i przejrzymy nasze dzienniki. Oprócz zautomatyzowanego audytu możemy wykonać audyt ręczny. Możemy również przeprowadzić wywiady z personelem. Możemy przejść z punktu widzenia bezpieczeństwa i przeprowadzić wywiad z każdą osobą odpowiedzialną za różne funkcje w środowisku, dowiedzieć się, co robią, czego nie robią, jakie praktyki stosują, aby upewnić się, że wszystko jest zgodne z najlepszymi praktykami , a wszyscy są na tej samej stronie.

Faza inwentaryzacji zasobów ma na celu rejestrowanie zasobów obliczeniowych, które posiada organizacja, aby ułatwić ich śledzenie podczas przeprowadzania aktualizacji. Oto niektóre z narzędzi, które można wykorzystać w tej fazie.

Narzędzia wędrowne

Peregrine to firma zajmująca się tworzeniem oprogramowania, która została przejęta przez HP w 2005 roku. Wydała trzy najczęściej używane narzędzia do inwentaryzacji zasobów. Jednym z nich jest centrum aktywów. Jest to narzędzie do zarządzania zasobami, które zostało specjalnie dostosowane do potrzeb zasobów oprogramowania. Narzędzie umożliwia organizacjom przechowywanie informacji licencyjnych dotyczących ich oprogramowania. Jest to ważna informacja, którą pomija wiele innych systemów inwentaryzacji aktywów. To narzędzie może rejestrować tylko informacje o urządzeniach i oprogramowaniu w organizacji. Czasami jednak istnieje potrzeba czegoś, co może rejestrować szczegóły dotyczące sieci. Peregrine stworzył inne narzędzia inwentaryzacyjne zaprojektowane specjalnie do rejestrowania zasobów w sieci. Są to narzędzia do wykrywania sieci i inwentaryzacji pulpitu, które są powszechnie używane razem. Utrzymują zaktualizowaną bazę danych wszystkich komputerów i urządzeń podłączonych do sieci organizacji. Mogą również dostarczyć szczegółowe informacje na temat sieci, jej fizycznej topologii, konfiguracji podłączonych komputerów oraz informacji licencyjnych. Wszystkie te narzędzia są udostępniane organizacji w ramach jednego interfejsu. Narzędzia Peregrine są skalowalne, łatwo integrują się i są wystarczająco elastyczne, aby dostosować się do zmian w sieci. Ich wada ujawnia się, gdy w sieci znajdują się nieuczciwi klienci komputerów stacjonarnych, ponieważ narzędzia zwykle ich ignorują.

Ta sekcja dotyczy przede wszystkim szkolenia użytkowników w zakresie ochrony ich dzieci. Pedofilię definiuje się jako podniecenie seksualne w odpowiedzi na kontakt z dziećmi przed okresem dojrzewania lub obrazy przedstawiające je. Niektórzy pedofile fałszywie przedstawiają się jako młodzi ludzie na czatach lub za pośrednictwem poczty elektronicznej i nakłaniają dzieci do nawiązania przyjaźni z rówieśnikami. W jednym głośnym przypadku Paul Brown Jr., 47-letni mężczyzna, w e-mailu do 12-letniej dziewczynki z New Jersey podał się za 15-letniego chłopca. Matka ofiary natknęła się na związek na odległość, gdy znalazła na swoim progu paczkę od córki do nieznanego mężczyzny; dziecko umieściło na nim niewłaściwą opłatę pocztową i poczta odesłała go. Otwierając paczkę, znalazła kasetę wideo, na której jej córka bawiła się nago przed kamerą rodziny. Zrozpaczona matka przeszukała pokój córki i znalazła parę męskich majtek w rozmiarze 44 w jednej z szuflad dziecięcego biurka. Brown został aresztowany w lutym 1997 roku. Policja znalazła korespondencję z co najmniej 10 innymi nastolatkami w całym kraju, dzięki której Brown przekonał swoje młode ofiary, niektóre w wieku zaledwie 12 lat, do wykonywania różnych czynności seksualnych przed kamerami i wysyłania mu zdjęć i kasety wideo. W czerwcu przyznał się do nakłaniania nieletniego do robienia pornografii. W sierpniu 1997 r., podczas rozprawy skazującej, jedna z jego licznych ofiar powiedziała sądowi, że doznała wyśmiewania i upokorzenia w wyniku uwięzienia i opuściła szkołę, aby uciec od traumy. Oskarżyła Browna o gwałt emocjonalny. Przedstawiając zdumiewającą interpretację własnego zachowania, Brown powiedział na rozprawie skazującej: „To był po prostu zły osąd z mojej strony”. Kierując się zdrowym rozsądkiem, sąd skazał go na pięć lat więzienia. W marcu 2000 roku Patrick Naughton, były dyrektor firmy internetowej INFOSEEK, przyznał się do przekroczenia granic stanu w celu popełnienia ustawowego gwałtu na dziecku. W sierpniu urzędnicy FBI powiedzieli, że Naughton udzielał pomocy w dochodzeniach organów ścigania w sprawie pedofilii w sieci. W zamian za jego współpracę prokuratorzy zażądali od sądu 5 lat w zawieszeniu (zamiast ewentualnych 15 lat więzienia), pomocy psychologicznej, grzywny w wysokości 20 tys. trzymać się z dala od czatów erotycznych online. Problem prześladowania pedofilów za pośrednictwem Internetu osiągnął wymiar międzynarodowy. W styczniu 1999 roku siły policyjne na całym świecie współpracowały w celu wyśledzenia i zamknięcia ogólnoświatowej siatki pedofilów handlujących dziecięcą pornografią za pośrednictwem sieci. Eksperci ds. bezpieczeństwa dzieci ostrzegli komisję Kongresu USA ds. ochrony dzieci w Internecie, że wraz ze spadkiem średniego wieku użytkowników sieci (dzieci w wieku od dwóch do siedmiu lat należą do najszybciej rosnących kohort użytkowników Internetu), dzieci są coraz bardziej narażone na ryzyko przez ich nieostrożne lub ignoranckie działania w Internecie.

Będziemy mówić o definiowaniu procesu skanowania podatności. Omówimy kilka rzeczy związanych ze skanowaniem podatności i ogólnie z tym procesem. Porozmawiamy o pasywnym testowaniu kontroli bezpieczeństwa. Omówimy również, jak zidentyfikować lukę. Omówimy również identyfikowanie braku kontroli bezpieczeństwa. Zidentyfikuj także typowe błędy konfiguracji. Jest to skanowanie w poszukiwaniu luk w zabezpieczeniach, więc jest to proces pasywny. Porozmawiamy o inwazyjnym kontra nieinwazyjnym. W tym procesie skanowania porozmawiamy również o poświadczeniach i braku poświadczeń. Następnie omówimy fałszywe alarmy. Chodźmy dalej i zacznijmy. Skanowanie podatności różni się od testów penetracyjnych tym, że jest inwazyjne i nieinwazyjne. Po prostu obserwujemy i składamy sprawozdania, podczas gdy testy penetracyjne są nachalne. Może powodować zakłócenia w biznesie. Jednak skanowanie podatności powinno być wykonywane w tandemie z testowaniem pisakiem. W ten sposób pracują nad sobą. Nie jest inwazyjny i można go wykonać z poświadczeniami lub bez poświadczeń, w zależności od tolerancji ryzyka. Kiedy wprowadzasz firmę, musisz jako firma zdecydować, jakie będzie Twoje stanowisko. Czy zamierzasz zezwolić ludziom na posiadanie poświadczeń do monitorowania lub komunikowania się z różnymi rzeczami w Twojej sieci? A może zamierzasz nie dać im żadnego dostępu i po prostu pozwolić im dowiedzieć się, co mogą za pomocą narzędzi, które mają pod ręką? Przeciwieństwem testu natrętnego byłby test pasywny. Kiedy myślimy o bierności, myślimy o medytacji. Zwykle nie jest tak spokojnie, ale podstawowym założeniem jest to, że będzie to nieinwazyjny test pasywny. Nie wychodzimy aktywnie i nie wchodzimy w interakcję z tymi systemami. Być może zbieramy rzeczy w drodze. Odkładamy kilka pni na bok. Możemy przechwytywać niektóre dane, a następnie zgłaszać wykryte luki w zabezpieczeniach. Bez zakłóceń w biznesie. Obserwuje i raportuje wyniki. Nie wyłącza żadnych systemów, aplikacji ani usług. To test pasywny.

Dostępnych jest wiele narzędzi do zarządzania podatnościami, a dla uproszczenia w tej sekcji zostaną omówione narzędzia zgodnie z fazą, w której są używane. Dlatego każda faza będzie miała omówione odpowiednie narzędzia oraz podane ich zalety i wady. Warto zauważyć, że nie wszystkie omawiane narzędzia mogą same radzić sobie z podatnościami. Ich wkład jest jednak bardzo ważny w całym procesie.

Na szczególną uwagę zasługuje jedna szczególna klasa wiadomości e-mail: groźby. E-maile z pogróżkami mogą być skierowane do osób, systemów, organizacji lub procesów, na których polegają te podmioty. Podobnie jak inne rodzaje nielegalnej działalności w Internecie, odpowiednia edukacja, świadomość i reagowanie mogą ograniczyć liczbę przyszłych ofiar.

Groźby obrażeń fizycznych.

Każdy, kto otrzymuje groźby pocztą elektroniczną, ma prawo, a być może obowiązek, poinformowania lokalnych organów ścigania. W dzisiejszym klimacie strachu i przemocy każde zagrożenie zasługuje na uwagę. Oprócz niepokoju, jaki mogą wywołać takie wiadomości, mogą one być sygnałami ostrzegawczymi poważnych problemów. Wczesne ostrzeżenie, które pozwala władzom na interwencję w celu rozładowania potencjalnie wybuchowej sytuacji, może stanowić w szczególności groźby przemocy w pracy, w szkole lub wobec jakiejkolwiek określonej grupy. Wysyłanie wiadomości e-mail z pogróżkami nie jest akceptowalnym żartem ani drobnym żartem, zwłaszcza jeśli groźba obejmuje przemoc. Niektórzy ludzie, wierząc, że mogą ukryć swoją prawdziwą tożsamość, niemądrze wysyłali groźby śmierci do Białego Domu; Ponieważ Secret Service jest prawnie zobowiązane do zbadania wszelkich gróźb pod adresem prezydenta i pierwszej rodziny, agenci pojawiają się w ciągu kilku godzin, aby przesłuchać złoczyńców. Na przykład młodzież z dziesiątej klasy w Profile High School w Bethlehem w stanie New Hampshire wysyłała groźby śmierci na stronę internetową Białego Domu ze swoich szkolnych komputerów. Wiadomości zostały namierzone przez Secret Service w ciągu kilku minut, dzieci zostały zawieszone w szkole i straciły przywileje korzystania z Internetu na następne dwa lata.

Innym terminem, z którym chcę, żebyś się zapoznał, jest coś, co określa się jako czerwone zespoły kontra niebieskie zespoły. Czerwona drużyna to drużyna agresorów. Czerwony zespół to zespół ds. testów penetracyjnych z ograniczonym dostępem do celu, co oznacza, że ​​nie będą wiedzieć wszystkiego o tym celu. Przychodzą jako strona zewnętrzna i mogą uruchamiać exploity z ostrzeżeniem lub bez niego. Niekoniecznie podejdą i zapukają do drzwi wejściowych i powiedzą: „Cześć, za dwie godziny będziemy testować, przygotujcie się”. Mogą to zrobić bez zapowiedzi. W firmie może być kilka osób, które wiedzą, że przychodzą; to oni podpisali kontrakt z czerwonym zespołem, aby wykonać ćwiczenia z testów piórkowych, ale nie wszyscy w firmie o tym wiedzą. Następnie mamy niebieską drużynę. Niebieska drużyna to drużyna defensywna. Mają dostęp do wszystkich wewnętrznych i zewnętrznych zasobów, a ich celem jest obrona w drużynie czerwonej, a ostatecznie obrona przed hakerami w ogóle. Istnieje również kombinacja obu, w których mogą przejść po obu stronach ogrodzenia. Czasami określano je mianem fioletowych drużyn. Jeden zespół zajmuje się znajdowaniem luk w zabezpieczeniach i ich wykorzystywaniem. Drugi zespół stara się znaleźć te luki i je zaostrzyć. Oboje pracują razem, aby upewnić się, że pozycja bezpieczeństwa firmy jest tak silna, jak to tylko możliwe. Przechodząc przez te ćwiczenia, jako pen tester powinniśmy wszystko dokumentować. Na koniec musimy w pełni udokumentować i zgłosić się do kierownictwa wykonawczego. Chcemy mieć pewność, że w pełni rozumieją wszystkie luki w zabezpieczeniach występujące w różnych systemach, aby mogli zawrócić i naprawić luki w zabezpieczeniach. Dla nas jako testerów piórkowych bardzo ważne jest dostarczenie jak największej ilości informacji, ale równie ważne jest, aby firma zlecająca nam współpracę coś z tymi informacjami zrobiła. Mówiłem już o zobowiązaniach, które potencjalnie istnieją, jeśli te rzeczy nie zostaną zrobione. Więc po prostu o tym pamiętaj.

Planowanie reakcji można uznać za najłatwiejszy, ale mimo to bardzo ważny krok w strategii zarządzania podatnością. Jest to łatwe, ponieważ cała ciężka praca zostanie wykonana w poprzednich pięciu krokach. Jest to ważne, ponieważ bez jego realizacji organizacja nadal będzie narażona na zagrożenia. W tej fazie liczy się tylko szybkość wykonania. Duże organizacje napotykają poważne przeszkody, jeśli chodzi o jego realizację, ze względu na dużą liczbę urządzeń, które wymagają poprawek i uaktualnień. Incydent miał miejsce, gdy Microsoft ogłosił istnienie MS03-023 i wydał do niego łatkę. Mniejsze organizacje, które mają plany krótkich reakcji, były w stanie zaktualizować swoje systemy operacyjne za pomocą aktualizacji wkrótce po ogłoszeniu. Jednak większe organizacje, którym brakowało lub mają długie plany odpowiedzi na swoje komputery, zostały mocno zaatakowane przez hakerów. Hakerzy wypuścili robaka MS Blaster, który atakował niezałatane systemy operacyjne zaledwie 26 dni po tym, jak Microsoft udostępnił użytkownikom działającą łatkę. To wystarczyło nawet dużym firmom, aby w całości załatać swoje systemy. Jednak brak planów reagowania lub stosowanie długich planów reagowania spowodował, że niektórzy padli ofiarą robaka. Robak powodował spowolnienie sieci lub awarię zainfekowanych komputerów. Innym znanym incydentem, który miał miejsce całkiem niedawno, był incydent z oprogramowaniem ransomware WannaCry. Jest to największy w historii atak ransomware, spowodowany rzekomo skradzioną z NSA luką o nazwie Eternal Blue (3). Atak rozpoczął się w maju, ale Microsoft opublikował w marcu poprawkę na lukę Eternal Blue. Nie wydała jednak łaty dla starszych wersji systemu Windows, takich jak XP (3). Od marca do dnia rozpoznania pierwszego ataku firmy miały wystarczająco dużo czasu na załatanie swoich systemów. Jednak większość firm nie zrobiła tego przed rozpoczęciem ataku z powodu złego planowania reakcji. Gdyby atak nie został powstrzymany, ofiarą padłoby jeszcze więcej komputerów. To pokazuje, jak ważna jest szybkość, jeśli chodzi o planowanie reakcji. Poprawki należy zainstalować w momencie ich udostępnienia. Wyzwania stojące przed tą fazą są liczne, ponieważ wiąże się ona z rzeczywistym zaangażowaniem użytkowników końcowych i ich maszyn. Pierwszym z tych wyzwań jest dostarczenie na czas odpowiedniej komunikacji do właściwych osób. Gdy łata zostaje opublikowana, hakerzy nigdy nie ociągają się z szukaniem sposobów na złamanie zabezpieczeń organizacji, które jej nie instalują. Dlatego ważny jest dobrze ugruntowany łańcuch komunikacyjny. Kolejnym wyzwaniem jest odpowiedzialność. Organizacja musi wiedzieć, kto ponosi odpowiedzialność za nieinstalowanie poprawek. Czasami użytkownicy mogą być odpowiedzialni za anulowanie instalacji. W innych przypadkach może to być zespół IT, który nie zainicjował procesu aktualizacji na czas. Zawsze powinna istnieć osoba, która może zostać pociągnięta do odpowiedzialności za nieinstalowanie poprawek. Ostatnim wyzwaniem jest powielanie wysiłków. Zwykle dzieje się tak w dużych organizacjach, w których jest wielu pracowników ds. bezpieczeństwa IT. Mogą korzystać z tego samego planu reagowania, ale z powodu słabej komunikacji mogą w efekcie powielać swoje wysiłki, robiąc bardzo małe postępy.

Inne programy szybkiego wzbogacenia się w sieci wykorzystują myślenie życzeniowe ofiar, ich brak sceptycyzmu i zwykle brak zdrowego rozsądku. Pojawiły się twierdzenia, że ​​możesz zarobić ćwierć miliona dolarów rocznie, pielęgnując pudle w swoim domu. Albo że możesz zostać milionerem, pracując cztery godziny tygodniowo, wysyłając materiały promocyjne produktów, których nawet nie musisz sprzedawać. Często niebezpieczni ludzie ogłaszają takie plany; na przykład niektóre ekstremistyczne grupy milicji żądają od ludzi setek dolarów, aby nauczyli się oszukiwać rząd, żądając zastawów na własności rządowej, a następnie zastawiając bezsensowne zastawy jako zabezpieczenie pożyczek. Inni przestępcy rozpowszechniają programy do generowania fałszywych numerów kart kredytowych i wykorzystywania ich do kradzieży towarów. W innych przypadkach przestępcy pobierają pieniądze, aby nauczyć ofiary, jak sfałszować ich złą historię kredytową, aby mogły uzyskać jeszcze bardziej oszukańczy kredyt, cały czas twierdząc, że ich metody przestępcze są w 100 procentach legalne. Z korporacyjnego punktu widzenia takie łańcuszki i schematy powodują marnotrawstwo przepustowości i stwarzają możliwość poważnego zakłopotania, gdy zasoby przedsiębiorstwa są wykorzystywane do rozpowszechniania bezsensownych materiałów. Jednak bezpieczeństwo korporacyjne może zyskać przychylność użytkowników, pomagając im uniknąć pułapek związanych z takimi oszustwami, nawet jeśli korzystają z własnych systemów komputerowych. Korzyści są szczególnie duże, gdy pomaga się pracownikom uczyć własne dzieci, jak unikać tego rodzaju kłopotów. Aby zilustrować kłopoty, w jakie mogą wpaść dzieci, stosując te techniki, rozważmy przypadek Drew Henry’ego Maddena. W 1996 roku ten 16-letni Australijczyk z Brisbane tuż po ukończeniu szkoły zaczął oszukiwać firmy przy użyciu skradzionych i sfałszowanych numerów kart kredytowych. Ukradł towary o wartości 18 000 dolarów, a w lutym 1997 roku przyznał się do 104 oszustw i został skazany na rok więzienia. Jednak śledczy odkryli dodatkowe oszustwo i okazało się, że ukradł dodatkowe 100 000 dolarów w towarach i usługach. W październiku 1997 roku przyznał się do kolejnych 294 zarzutów oszustwa i otrzymał dodatkowy wyrok w zawieszeniu. Jego obrońca za straty obwiniał słabe zabezpieczenia: „Madden zaczął od bardzo drobnych oszustw związanych z kartami kredytowymi, ale sytuacja zaczęła się niepokojąco eskalować, ponieważ zabezpieczenia były tak niewystarczające”. Pomimo niezwykłego strumienia dochodów młodzieńca, jego matka wydawała się akceptować jego podróże po świecie i masowe zakupy losów na loterię bez komentarza. W pewnym momencie powiedziała dziennikarzom: „Gdybyśmy byli zamożną rodziną, byłby w prywatnej szkole, gdzie jego talenty mogłyby być odpowiednio ukierunkowane”. Stosunkowo nowym rodzajem oszustwa w Internecie jest młyn dyplomowy. Organizacje te udają instytucje edukacyjne; w rzeczywistości jest to jedna lub więcej oszukańczych osób, które sprzedają fałszywe dyplomy rzekomo reprezentujące uznane stopnie naukowe, ale nie oszukują nikogo poza nabywcą. Chociaż zakłady dyplomowe nie są akredytowane, brak akredytacji nie oznacza automatycznie, że szkoła jest podmiotem oszukańczym.

Jaka jest różnica między testami penetracyjnymi a konserwowaniem podatności? Czasami te terminy są używane zamiennie, ale są różnice. Przede wszystkim z perspektywy audytu bezpieczeństwa, kiedy przeprowadzamy audyt bezpieczeństwa, który nie jest testem pisemnym, ani nie jest to skanowanie podatności. Tylko dla wyjaśnienia. Audyt bezpieczeństwa ocenia środowisko, aby upewnić się, że jest ono zgodne z polityką. Nie identyfikuje luk, nie analizuje i nie sprawdza, jaki jest rzeczywisty wpływ tych luk. Mówi tylko, czy przestrzegasz ustalonych przez nas zasad. To pierwszy element tej układanki. Następnie mamy ocenę podatności. Będzie to szukać luk w zabezpieczeniach sieci. Zidentyfikuje, jakie są te luki. Nie mówi ci, jak je koniecznie naprawić, jaki jest wpływ, ani jak prawdopodobne jest, że zostaną wykorzystane. W tym miejscu wchodzimy w testy penetracyjne. Test pisakowy prowadzi dalej ocenę podatności i szuka tych podatności. Ale następnie oceni również potencjalne szkody, które mogą wynikać z tych luk. Gdyby zostały wykorzystane, oto, co mogłoby się wydarzyć. Wtedy też mamy realne prawdopodobieństwo, że ta luka może zostać wykorzystana. Istnieje dodatkowy poziom wiedzy i doświadczenia, który mówi, że masz te trzy lub cztery luki w swoim środowisku, ale jest to sekcja całkowicie pozbawiona powietrza, a może za strefą DMZ i ma wiele zapór ogniowych i IDS. Rzeczywista szansa na wykorzystanie tej konkretnej luki wynosi około dwóch lub trzech procent. Jeśli naprawienie tej luki może kosztować dziesięć milionów dolarów, cóż, kierownictwo tej firmy ma możliwość przyjrzenia się temu i powiedzenia tego; „Tak, to będzie kosztować dziesięć milionów i może tylko nas naprawić lub uratować nas przed uszkodzeniami o wartości 500 000 dolarów, jeśli zostanie wykorzystany. Z tego ryzyka nie ma nagrody. To nie jest tego warte.” Podajemy te dodatkowe informacje i wyjaśniamy, co istnieje; Oto rzeczywisty wpływ wykorzystania tych luk. Daje to firmie, że przeprowadzamy test piórkowy, aby uzyskać dużo więcej informacji, dużo bardziej szczegółowych informacji, aby podejmować świadome decyzje.