کنترل شماره ۴:  ارزیابی و رفع آسیب پذیری مداوم

خلاصه:

در راستای بحث امنیت شبکه و در ادامه مطلب کنترل های حساس امنیتی به بررسی چهارمین کنترل می پردازیم. سازمان هایی که اسکن آسیب پذیری مداوم ندارند، قادر به کشف آسیب پذیری های شناخته شده موجود روی سیستم ها هم نخواهند بود و بنابراین احتمال رخنه به سیستم هایشان نیز بیشتر خواهد بود.

هدف از این کنترل:

محافظت از سیستم با رفع آسیب پذیری های شناخته شده

 

داستان یک نفوذ: گوگل

• در سال ۲۰۰۹ نفوذی به سیستم های داخلی گوگل بوقوع پیوست
• این حمله با استفاده از یک آسیب پذیری برروی Internet Explorer 6 SP1 اتفاق افتاد.
• یکی از هزاران موردی که یک نرم افزار آسیب پذیر به مهاجمین اجازه رخنه به سیستم را داده است.
• بعد ها این آسیب پذیری توسط MacAfee ، Operation Aurora لقب گرفت.

قبلا هم نوشتم که نمونه هایی که اسم میبریم، چیزهایی هستند که پر سر و صدا بوده، مطمئننا همین الان هم نرم افزار های آسیب پذیر زیادی وجود دارد، آیا شما تا به حال اسکن آسیب پذیری روی سازمان خودتون انجام دادید؟! همین الان که دارم این مطلب رو مینویسم یک آسیب پذیری روی libSSH داریم که میتونه مکانیزم اهراز هویت رو دور بزنه! خلاصه چیزی که میخوام بگم اینه که گوگل از گذشته خودش درس گرفته، سازمان های ما چی آیا درس گرفتیم؟!

 

مکانیزم های دفاعی:

۱- ابزار های خودکار  اسکن و تست آسیب پذیری را راه اندازی کنید و تمامی سیستم ها را اسکن کنید. این کار را در بازه های زمانی هفتگی و یا کمتر انجام دهید و گزارش آسیب پذیری ها را با ذکر اولویت و میزان خطرناک بودن به ادمین مربوط به سیستم ارائه دهید تا نسبت به رفع آنها اقدام کند، از اسکنرهایی استفاده کنید که از پرتکل SCAP پشتیبانی میکنند.

۲-لاگ های مربوط به اسکن آسیب پذیری را جمع آوری کنید تا به شما در راستای رسیدن به ۲ هدف کمک کند:

• اینکه مطمئن بشویم اسکنر وظایف خود را انجام می دهد و لاگ های آن موجود است
• در صورت پیدا شدن آسیب پذیری با مقایسه لاگ های جدید و قدیم مطمئن بشویم که آسیب پذیری ها رفع شده اند یا خیر

۳-agent مربوط به اسکنر باید روی سیستم ها نصب شود تا پیکربندی ها مشکل دار و آسیب پذیری ها بهتر شناسایی شوند و یا اینکه به اسکنر نام کاربری و کلمه عبوری با دسترسی ادمین برای بررسی سیستم داده شود. این نام کاربری برای هر سیستم باید منحصر به فرد بوده و نباید از یک نام کاربری برای اسکن تمامی سیستم ها استفاده کرد. همچنین از این نام کاربری برای هیچ کار مدیریتی دیگری نباید استفاده گردد.

۴-در سرویس ها و سایت هایی که آخرین آسیب پذیری ها را افشاء میکنند عضو شوید تا در صورت افشای یک آسیب پذیری با درجه خطرناک سریعا از آن مطلع گردید. همچنین از آپدیت اسکنر خود به صورت هفتگی مطمئن شوید.

۵-یک سیستم خودکار مدیریت و نصب وصله های امنیتی را راه اندازی و از بروزرسانی سیستم عامل و نرم افزار ها مطمئن شوید. تمامی سیستم ها باید آخرین وصله های امنیتی را به صورت خودکار دریافت و نصب کنند حتی اگر آن سیستم air-gapped باشد.

۶-لاگ های مربوط به اسکنر آسیب پذیری را که راه اندازی کردید پایش کرده و مطمئن شوید این لاگ ها در زمانی که شما در حال اسکن شبکه بوده اید اتفاق افتاده اند و همان سیستمی انجام داده که باید .

۷-نتایج مربوط به اسکن آسیب پذیری جدید را با قبلی مقایسه کنید تا مشخص شود آیا آسیب پذیری های قبلی حل شده اند، اگر خیر دلیل چه بوده؟ مثلا ممکن است هنوز وصله ای ارائه نشده باشد! حالا که نشده آیا لازم است ریسک این آسیب پذیری را بالا  ببریم؟!

۸-دارایی های خود را ارزش گذاری کرده و دسته بندی کنید مثل: DMZ،Internal Server،WorkStation و … و فرآیند نصب وصله های امنیتی را از حساس ترین و با ارزش تریت دارایی ها شروع کنید.

نکته: مکانیزم rollout برای زمانی که ممکن است به مشکل بخورید فرآموش نشود.

 

ابزار های تجاری برای این کنترل:

— NeXpose (Rapid7)

— Retina (eEye Digital Security)

— IP360 (Tripwire nCircle)

— QualysGuard (Qualys)

— Nessus (Tenable)

— Skybox Secure solution (Skybox security)

— SAINT & SAINTmanager (SAINT)

— SecureFusion (Symantec)

— Vulnerability Manager & Remediation Manager (McAfee)

 

ابزار های رایگان یا متن باز:

— OpenVAS

— Nmap Scripting Engine