Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upravljanje ranjivostima u
vremenima ciljanih prijetnji
Damir Paladin, CISA, CISM, CISSP
ISACA CC, 2.11.2015.
Damir Paladin, CISA, CISM, CISSP
Preko 20 godina rada u informacijskoj sigurnosti
Osnivač i direktor tvrtke Borea (1998...
Sadržaj
Definicija područja:
–Ciljane prijetnje
–Upravljanje računalnim ranjivostima
Manjkavosti procesa upravljanja ran...
Definicija područja
Ciljanje prijetnje i upravljanje računalnim ranjivostima
4
Ciljane prijetnje
Pojava – oko 2008/2009.
U početku sponzorirane od državnih
agencija, no ubrzo prihvaćene i u „privatno...
6
EVIDENCE OF COMPROMISE
Initial Compromise Establish Foothold Escalate Privileges Internal Recon Complete Mission
Move
La...
7
https://www.us-cert.gov/ncas/alerts/TA15-119A
Broj kompromitacija („exploit”) CVE ranjivosti u 2014. izraženo kroz godin...
Kako reducirati izloženost ciljanim
prijetnjama?
 Otklanjanje
ranjivosti značajno
reducira područje
izloženosti
(„Threat ...
9
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfig...
Upravljanje ranjivostima
 Upravljanje ranjivostima („Vulnerability
Management”) je proces identifikacije i
kategorizacije...
Regulatorni zahtjevi i najbolja
praksa
11
ISO 27001
A.12.6.1: Control of technical vulnerabilities
COBIT
BAI06.01: Evaluat...
Proces upravljanja računalnim
ranjivostima
Identifikacija resursa
Kategorizacija resursa
Procjena ranjivosti
Izvještavanje...
Upravljanje ranjivostima
Kako unaprijediti proces u vremenima ciljanih prijetnji?
13
14
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfi...
Obuhvat resursa procjene
ranjivosti
15
Perimetarski resursi
Unutarnji
serveri i
infrastruktura
Radne stanice
Konvencionaln...
Tehnike otkrivanja ranjivosti
Dominira tehnika mrežnog skeniranja
Dubina i detaljnost podataka
–Neautenticirani sken
–Au...
Tehnika skeniranja upotrebom
posebnih ovlasti
Pristup na Windows administratorski share
Pristup na razini administrators...
Usporedba tehnika skeniranja
18
Pregled ranjivosti radnih
stanica
Uobičajena praksa: radne stanice nisu
obuhvaćene procjenom ranjivosti
Tehnika skeniran...
Donošenje odluke o
popravcima
 Odgovornost za odlučivanje o ranjivosti
 Određivanje odgovornosti za primjenu
 Prihvaćan...
Kriteriji za napredno
odlučivanje
Minimalni kriterij: kritičnost utvrđenih
ranjivosti
Napredno odlučivanje bazirati na:
...
Odluka temeljena na
parametrima sustava
Jednostavan
postupak
Automatizacija
postupka
Ovisnost o
svojstvima sustava
22
Drugi elementi odlučivanja
Common Vulnerabilities and Exposures (CVE)
–https://nvd.nist.gov/home.cfm
Common Vulnerabilit...
Tijek eliminacije ranjivosti
24
Izvješće o procjeni ranjivosti Napredno odlučivanje
o prioritetima
Zahtjev za promjenu
Pri...
Otvaranje zahtjeva za
promjenama
 „Ticketing” sustav
– kreiranje zahtjeva iz samog sustava
– oprez: mogućnost zatrpavanja...
Primjena popravaka
 Nadležnost informatičke operative
 Najčešće „Patch Management”
 Česti razlozi za odgađanje primjene...
27
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfi...
Upravljanje sigurnosnim
postavkama
 Reduciranje rizika od lateralnog kretanja u ciljanim
prijetnjama
 Tipični nedostaci ...
Provjera usklađenosti postavki
29
30
Kategorije računalnih ranjivosti
Ranjivosti uzrokovane
programskim
nedostacima u
isporučenim
programskim
paketima
Konfi...
Ranjivosti web aplikacija i
ciljane prijetnje
Vanjske web aplikacije
–Upotreba kod socijalnog inženjeringa
Unutarnje web...
Druge kategorije resursa
Standardni aplikativni sustavi (npr. SAP)
Mrežno/komunikacijska oprema
Baze podataka
Industri...
Uloga IT revizora
Organizacijske pretpostavke procesa
upravljanja ranjivostima
–Interni akti
–Nadležnosti i odgovornosti
...
Zaključak
34
Upravljanje ranjivostima – djelotvorna, ali ne
i jedina, preventivna obrana od ciljanih
prijetnji
Novi pristup upravljan...
Pitanja i odgovori
dpaladin@borea.hr
36
Upcoming SlideShare
Loading in …5
×

Upravljanje ranjivostima u vremenima ciljanih prijetnji

848 views

Published on

How to manage computer vulnerabilities in the era of targeted threats? How to turn vulnerability management to preventive control against targeted threats?

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Upravljanje ranjivostima u vremenima ciljanih prijetnji

  1. 1. Upravljanje ranjivostima u vremenima ciljanih prijetnji Damir Paladin, CISA, CISM, CISSP ISACA CC, 2.11.2015.
  2. 2. Damir Paladin, CISA, CISM, CISSP Preko 20 godina rada u informacijskoj sigurnosti Osnivač i direktor tvrtke Borea (1998.), jedne od prvih tvrtki u Hrvatskoj koja se bavi isključivo informacijskom sigurnošću Područja rada: – Sigurnosno testiranje i procjena sigurnosnih rizika – Računalna forenzika – Revizija informacijskih sustava Član UO ISACA CC (2006. – 2012.) 2
  3. 3. Sadržaj Definicija područja: –Ciljane prijetnje –Upravljanje računalnim ranjivostima Manjkavosti procesa upravljanja ranjivostima u kontekstu ciljanih napada Prijedlozi za unaprjeđenje 3
  4. 4. Definicija područja Ciljanje prijetnje i upravljanje računalnim ranjivostima 4
  5. 5. Ciljane prijetnje Pojava – oko 2008/2009. U početku sponzorirane od državnih agencija, no ubrzo prihvaćene i u „privatnom sektoru” „Targeted threats” i/ili/? „Advanced Persistant Threats” (APT) 5
  6. 6. 6 EVIDENCE OF COMPROMISE Initial Compromise Establish Foothold Escalate Privileges Internal Recon Complete Mission Move Laterally Maintain Presence Unauthorized Use of Valid Accounts Known & Unknown Malware Command & Control Activity Suspicious Network Traffic Files Accessed by Attackers Valid Programs Used for Evil Purposes Trace Evidence & Partial Files Izvor: Mandiant (APT1: Exposing One of China’s Cyber Espionage Units) Pogledati i „Cyber Kill Chain” (Lockheed Martin Corporation) Model djelovanja ciljanih prijetnji
  7. 7. 7 https://www.us-cert.gov/ncas/alerts/TA15-119A Broj kompromitacija („exploit”) CVE ranjivosti u 2014. izraženo kroz godinu objave CVE ranjivosti 2015 Data Breach Investigations Report
  8. 8. Kako reducirati izloženost ciljanim prijetnjama?  Otklanjanje ranjivosti značajno reducira područje izloženosti („Threat Surface”) ciljanim prijetnjama 8
  9. 9. 9 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  10. 10. Upravljanje ranjivostima  Upravljanje ranjivostima („Vulnerability Management”) je proces identifikacije i kategorizacije računalnih ranjivosti, te njihovog otklanjanja  „Procjena ranjivosti” vs. „Upravljanje ranjivostima”  „Upravljanje ranjivostima” vs. „Primjena patch-eva”  „Upravljanje ranjivostima” vs. „Penetracijska testiranja”  Regulatorni zahtjevi 10
  11. 11. Regulatorni zahtjevi i najbolja praksa 11 ISO 27001 A.12.6.1: Control of technical vulnerabilities COBIT BAI06.01: Evaluate, prioritise and authorise change requests BAI06.02: Manage emergency changes BAI10.03: Maintain and control configuration items DSS05.01: Protect against malware PCI DSS 11.2: Run internal and external network vulnerability scans at least quarterly and after any significant change in the network CIS Critical Security Controls CSC 4: Continuous Vulnerability Assessment and Remediation
  12. 12. Proces upravljanja računalnim ranjivostima Identifikacija resursa Kategorizacija resursa Procjena ranjivosti Izvještavanje i odlučivanje Otklanjanje ranjivosti Verifikacija
  13. 13. Upravljanje ranjivostima Kako unaprijediti proces u vremenima ciljanih prijetnji? 13
  14. 14. 14 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  15. 15. Obuhvat resursa procjene ranjivosti 15 Perimetarski resursi Unutarnji serveri i infrastruktura Radne stanice Konvencionalni pristup Obavezno uključiti zbog ciljanih prijetnji
  16. 16. Tehnike otkrivanja ranjivosti Dominira tehnika mrežnog skeniranja Dubina i detaljnost podataka –Neautenticirani sken –Autenticirani sken Učestalost skeniranja Kontinuirano skeniranje 16
  17. 17. Tehnika skeniranja upotrebom posebnih ovlasti Pristup na Windows administratorski share Pristup na razini administratorskih ovlasti putem ssh 17 Kategorije ranjivosti 5 4 3 2 1 Total Neautenticirani 1 0 1 3 1 6 Autenticirani 51 65 29 11 1 157 Usporedba dvije tehnike skeniranja: Windows Server 2008
  18. 18. Usporedba tehnika skeniranja 18
  19. 19. Pregled ranjivosti radnih stanica Uobičajena praksa: radne stanice nisu obuhvaćene procjenom ranjivosti Tehnika skeniranja može biti neučinkovita Novi trend: primjena agenata Povezivanje ranjivosti s kontekstom primjene radnih stanica 19
  20. 20. Donošenje odluke o popravcima  Odgovornost za odlučivanje o ranjivosti  Određivanje odgovornosti za primjenu  Prihvaćanje odluke  Definicija prioriteta  Rokovi  Eskalacija  Izvještavanje  Pravilnik o upravljanju računalnim ranjivostima – definicija kriterija za određivanje prioriteta – određivanje nadležnosti 20
  21. 21. Kriteriji za napredno odlučivanje Minimalni kriterij: kritičnost utvrđenih ranjivosti Napredno odlučivanje bazirati na: –Kontekst resursa gdje je otkrivena ranjivost (značaj, kategorija resursa, profil korisnika…) –Svojstva ranjivosti: • Jednostavnost pristupa ranjivosti • Dostupnost„exploit” scenarija • Dostupnost popravka • Verifikacija ranjivosti 21
  22. 22. Odluka temeljena na parametrima sustava Jednostavan postupak Automatizacija postupka Ovisnost o svojstvima sustava 22
  23. 23. Drugi elementi odlučivanja Common Vulnerabilities and Exposures (CVE) –https://nvd.nist.gov/home.cfm Common Vulnerability Scoring System (CVSS) –https://www.first.org/cvss/user-guide Odlučivanje koje uključuju „Threat Intelligence” podatke 23
  24. 24. Tijek eliminacije ranjivosti 24 Izvješće o procjeni ranjivosti Napredno odlučivanje o prioritetima Zahtjev za promjenu Primjena popravka „Follow-up”
  25. 25. Otvaranje zahtjeva za promjenama  „Ticketing” sustav – kreiranje zahtjeva iz samog sustava – oprez: mogućnost zatrpavanja zahtjevima 25
  26. 26. Primjena popravaka  Nadležnost informatičke operative  Najčešće „Patch Management”  Česti razlozi za odgađanje primjene  Ograničenja WSUS-a – Non-Microsoft proizvodi nisu uključeni – Napredne tehnike kod primjene popravaka  Ne zaboravite: postoje ranjivosti koje nisu ili ne mogu biti pokriveni programskim popravcima  „Follow-up” 26
  27. 27. 27 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  28. 28. Upravljanje sigurnosnim postavkama  Reduciranje rizika od lateralnog kretanja u ciljanim prijetnjama  Tipični nedostaci iskorišteni u ciljanim prijetnjama: – Konfiguracija korisničkih računa – Pristupna prava – Rad nepotrebnih servisa  Izbor i prilagođavanje odgovarajućeg konfiguracijskog standarda – Primjer: Center for Internet Security Security Configuration Benchmarks 28
  29. 29. Provjera usklađenosti postavki 29
  30. 30. 30 Kategorije računalnih ranjivosti Ranjivosti uzrokovane programskim nedostacima u isporučenim programskim paketima Konfiguracijske manjkavosti ili rizične vrijednosti konfiguracijskih postavki Ranjivosti web aplikacija korištenih u organizaciji
  31. 31. Ranjivosti web aplikacija i ciljane prijetnje Vanjske web aplikacije –Upotreba kod socijalnog inženjeringa Unutarnje web aplikacije –Direktni pristup do ciljeva napada Niži standardi provjere sigurnosti kod unutarnjih web aplikacije 31
  32. 32. Druge kategorije resursa Standardni aplikativni sustavi (npr. SAP) Mrežno/komunikacijska oprema Baze podataka Industrial control system (ICS) 32
  33. 33. Uloga IT revizora Organizacijske pretpostavke procesa upravljanja ranjivostima –Interni akti –Nadležnosti i odgovornosti Verifikacija provedbe Tijek primjene popravaka Odstupanja 33
  34. 34. Zaključak 34
  35. 35. Upravljanje ranjivostima – djelotvorna, ali ne i jedina, preventivna obrana od ciljanih prijetnji Novi pristup upravljanju ranjivostima pružit će vam pogled na stanje sigurnosti iz vizure napadača Pomak od „check-list” pogleda na informacijsku sigurnost Upravljanje ranjivostima – od operativnog procesa prema „primijenjenom risk managementu” 35
  36. 36. Pitanja i odgovori dpaladin@borea.hr 36

×