Clever Geek Handbook

Leia e faça: Verificando a rede você mesmo

À luz dos eventos recentes no mundo, muitas empresas mudaram para a operação remota. Paralelamente, de forma a preservar a eficiência dos processos de negócio, foram colocadas nos perímetros da rede aplicações que não se destinam a ser colocadas diretamente no perímetro, por exemplo, aplicações web corporativas internas, tendo recentemente sido realizada uma pesquisa sobre este tema . Se não houver uma ligação estreita entre a TI e os serviços de segurança da informação, surgem situações em que surge no perímetro da rede uma aplicação de negócio sobre a qual o serviço de segurança da informação não tem informação.



A solução para tais problemas pode ser o exame periódico do perímetro da organização. Scanners de rede, motores de busca IoT, scanners de vulnerabilidade e serviços de análise de segurança são adequados para resolver o problema. Mais adiante no artigo, consideraremos os tipos e parâmetros de digitalização, suas vantagens e desvantagens, ferramentas que são freqüentemente usadas e métodos para processar os resultados.



Verificação de ping



A primeira varredura a ser considerada é a varredura de ping. A principal tarefa é detectar nós "vivos" na rede. A varredura de ping refere-se à transmissão de pacotes ICMP. O scanner envia pacotes Echo REQUEST para os endereços IP especificados e espera pacotes Echo REPLY em resposta. Se uma resposta for recebida, o host será considerado presente na rede no endereço IP especificado.



O ICMP é amplamente utilizado por administradores de rede para diagnósticos, portanto, para evitar a divulgação de informações sobre os nós, é importante configurar corretamente a proteção de perímetro. Para redes corporativas, esse tipo de varredura não é relevante para varredura externa, porque a maioria das ferramentas de segurança bloqueia respostas ICMP ou ICMP por padrão. Na ausência de tarefas fora do padrão na rede corporativa, os seguintes tipos de mensagens ICMP geralmente têm permissão para sair: Destino inacessível, PEDIDO de eco, cabeçalho de IP ruim e REPLY de eco, Destino inacessível, Têmpera de origem, Tempo excedido, cabeçalho de IP ruim podem entrar. As redes locais não têm uma política de segurança tão rígida e os invasores podem usar esse método quando já entraram na rede, mas isso é facilmente detectado.



Varredura de porta



Vamos combinar varredura TCP e varredura UDP sob o nome geral - varredura de porta. A varredura com esses métodos determina as portas disponíveis nos nós e, em seguida, com base nos dados obtidos, uma suposição é feita sobre o tipo de sistema operacional usado ou o aplicativo específico em execução no nó de destino. A varredura de portas refere-se a tentativas de teste de conexão com hosts externos. Vamos considerar os principais métodos implementados em scanners de rede automatizados:



  1. TCP SYN,
  2. TCP CONNECT,
  3. Varredura UDP.


O método TCP SYN é o mais popular, sendo utilizado em 95% dos casos. Isso é chamado de varredura semi-aberta porque a conexão nunca é totalmente estabelecida. Uma mensagem SYN é enviada para a porta sob investigação, em seguida, uma resposta é esperada, com base na qual o status da porta é determinado. As respostas SYN / ACK indicam que a porta está escutando (aberta), enquanto uma resposta RST indica que não está escutando.



Se, após várias solicitações, nenhuma resposta for recebida, o tráfego de rede para a porta de destino é filtrado por firewalls (a seguir usaremos o termo "porta é filtrada"). Uma porta também é marcada como filtrada se uma mensagem ICMP for retornada com uma mensagem Destino inacessível e códigos e sinalizadores específicos.



O método TCP CONNECT é menos popular do que TCP SYN, mas ainda é comum na prática. Ao implementar o método TCP CONNECT, é feita uma tentativa de estabelecer uma conexão TCP com a porta desejada com o procedimento de handshake. O procedimento consiste na troca de mensagens para negociação de parâmetros de conexão, ou seja, mensagens de serviço SYN, SYN / ACK, ACK entre os nós. A conexão é estabelecida no nível do sistema operacional, portanto, há uma chance de que ela seja bloqueada pela ferramenta de proteção e acabe no log de eventos.



A varredura UDP é mais lenta e complexa que a varredura TCP. Devido às especificações da varredura de portas UDP, muitas vezes são esquecidos, porque o tempo total para varrer 65.535 portas UDP com parâmetros padrão por nó leva até 18 horas para a maioria dos scanners automatizados. Esse tempo pode ser reduzido paralelizando o processo de digitalização e de várias outras maneiras. Deve-se considerar a localização de serviços UDP porque os serviços UDP se comunicam com um grande número de serviços de infraestrutura que normalmente são do interesse dos invasores.



Os serviços UDP DNS (53), NTP (123), SNMP (161), VPN (500, 1194, 4500), RDG (3391) são freqüentemente encontrados em perímetros de rede. Serviços menos comuns, como echo (7), discard (9), chargen (19), bem como DAYTIME (13), TFTP (69), SIP (5060), NFS (2049), RPC (111, 137-139) , 761, etc.), DBMS (1434).



Um cabeçalho UDP vazio é enviado para determinar o status da porta, e se um erro ICMP de destino inacessível com o código de porta de destino inacessível for retornado, isso significa que a porta está fechada; outros erros de alcançabilidade ICMP (Host de destino inalcançável, Protocolo de destino inalcançável, Rede proibida administrativamente, Host administrativamente proibido, Comunicação proibida administrativamente) indicam que a porta está sendo filtrada. Se a porta responder com um pacote UDP, ela está aberta. Devido às especificidades do UDP e da perda de pacotes, as solicitações são repetidas várias vezes, geralmente três ou mais. Normalmente, se nenhuma resposta for recebida, o status da porta é determinado como "aberto" ou "filtrado" porque não está claro o que causou o tráfego - bloqueio de tráfego pela ferramenta de proteção ou perda de pacotes.



Para determinar com precisão o status da porta e do próprio serviço em execução na porta UDP, é usada uma carga especial, cuja presença deve causar uma certa reação na aplicação em estudo.



Métodos de digitalização raros



Métodos que praticamente não são usados:



  1. TCP ACK,
  2. TCP NULL, FIN, Xmas,
  3. Lazy Scan.


O objetivo direto do método de varredura ACK é identificar regras de proteção e também identificar portas filtradas. Apenas o sinalizador ACK é definido no pacote de solicitação para este tipo de varredura. As portas abertas e fechadas retornarão um pacote RST, pois as portas são acessíveis para pacotes ACK, mas o estado é desconhecido. As portas que não respondem ou respondem com uma mensagem ICMP Destination Unreachable com códigos específicos são consideradas filtradas.



Os métodos TCP NULL, FIN e Xmas são para enviar pacotes com sinalizadores desabilitados no cabeçalho TCP. As varreduras NULL não definem nenhum bit, as varreduras FIN configuram o bit TCP FIN e as varreduras Xmas configuram os sinalizadores FIN, PSH e URG. Os métodos são baseados em um recurso da especificação RFC 793 que, quando a porta é fechada, um segmento de entrada que não contém um RST resultará no envio de um RST em resposta. Quando a porta estiver aberta, não haverá resposta. Um erro alcançável ICMP significa que a porta está sendo filtrada. Esses métodos são considerados mais secretos do que as varreduras SYN, mas menos precisos porque nem todos os sistemas cumprem a RFC 793.



O Lazy Scanning é o método mais furtivo, pois usa um host diferente chamado host zumbi para fazer a varredura. O método é usado por intrusos para inteligência. A vantagem dessa varredura é que o status da porta é determinado para o host zumbi, portanto, usando hosts diferentes, relacionamentos de confiança podem ser estabelecidos entre os hosts. Uma descrição completa do método está disponível aqui .



Processo de identificação de vulnerabilidade



Por vulnerabilidade, entendemos um ponto fraco de um nó como um todo ou de seus componentes de software individuais, que pode ser usado para implementar um ataque. Em uma situação padrão, a presença de vulnerabilidades é explicada por erros no código do programa ou na biblioteca usada, bem como por erros de configuração.



A vulnerabilidade está arquivada no MITER CVE e os detalhes são publicados no NVD . A vulnerabilidade é atribuído um identificador CVE e uma pontuação geral de vulnerabilidade CVSS, que reflete o nível de risco que a vulnerabilidade representa para o sistema final. Para obter detalhes sobre como avaliar vulnerabilidades, consulte nosso artigo . A lista MITER CVE centralizada é um ponto de referência para scanners de vulnerabilidade, já que a tarefa de uma varredura é detectar software vulnerável.



Um erro de configuração também é uma vulnerabilidade, mas essas vulnerabilidades raramente são encontradas no banco de dados MITER; no entanto, eles ainda acabam nas bases de conhecimento de scanners com identificadores internos. Outros tipos de vulnerabilidades que não estão no MITER CVE também entram na base de conhecimento de scanners, portanto, ao escolher uma ferramenta para varredura, é importante prestar atenção à experiência de seu desenvolvedor. O Vulnerability Scanner pesquisará nós e comparará as informações coletadas com o banco de dados de vulnerabilidade ou uma lista de vulnerabilidades conhecidas. Quanto mais informações o scanner tiver, mais preciso será o resultado.



Vamos considerar os parâmetros de varredura, tipos de varredura e princípios de detecção de vulnerabilidades usando varreduras de vulnerabilidade.



Opções de digitalização



Em um mês, o perímetro da organização pode mudar repetidamente. A realização de uma varredura do perímetro da testa pode perder tempo em que os resultados se tornam irrelevantes. Com um forte aumento na velocidade de varredura, os serviços podem "cair". Precisamos encontrar um equilíbrio e escolher os parâmetros de varredura corretos. O tempo gasto, a precisão e a relevância dos resultados dependem da escolha. Um total de 65.535 portas TCP e o mesmo número de portas UDP podem ser verificados. Em nossa experiência, o perímetro estatístico médio de uma empresa que se enquadra no pool de varredura são duas redes completas de classe C com uma máscara de 24.



Parâmetros básicos:



  1. número de portas,
  2. profundidade de varredura,
  3. velocidade de varredura,
  4. parâmetros para determinar vulnerabilidades.


Pelo número de portas, a varredura pode ser dividida em três tipos - varredura de toda a lista de portas TCP e UDP, varredura de toda a lista de portas TCP e portas UDP populares, varredura de portas TCP e UDP populares. Como determinar a popularidade de uma porta? No utilitário nmap, com base nas estatísticas coletadas pelo desenvolvedor do utilitário, as mil portas mais populares são definidas no arquivo de configuração. Scanners comerciais também vêm pré-configurados com até 3500 portas.



Se a rede usa serviços em portas não padrão, eles também devem ser adicionados à lista de varredura. Para verificações regulares, recomendamos usar a opção do meio, que verifica todas as portas TCP e portas UDP populares. Esta opção é a mais equilibrada em termos de tempo e precisão dos resultados. Ao conduzir testes de penetração ou auditorias completas de perímetro de rede, é recomendável que você verifique todas as portas TCP e UDP.



Uma observação importante: não será possível ver a imagem real do perímetro ao fazer a varredura da rede local, porque as regras de firewall para o tráfego da rede interna se aplicarão ao scanner. A varredura de perímetro deve ser executada a partir de um ou mais sites externos; faz sentido usar sites diferentes apenas se eles estiverem localizados em países diferentes.



A profundidade da varredura se refere à quantidade de dados coletados sobre o alvo da varredura. Isso inclui o sistema operacional, versões de software, informações sobre a criptografia usada para vários protocolos, informações sobre aplicativos da web. Ao mesmo tempo, existe uma relação direta: quanto mais queremos saber, mais tempo o scanner funcionará e coletará informações sobre os nós.



Ao escolher uma velocidade, é necessário ser guiado pela largura de banda do canal a partir do qual a varredura ocorre, a largura de banda do canal que está sendo varrido e as capacidades do scanner. Existem valores limiares, excedendo os quais não garantem a precisão dos resultados, a preservação da operacionalidade dos nós digitalizados e serviços individuais. Não se esqueça de levar em consideração o tempo que leva para concluir a varredura.



Vulnerability Detection Options é a seção mais extensa de opções de varredura, que determina a velocidade da varredura e a quantidade de vulnerabilidades que podem ser detectadas. Por exemplo, verificações de banner não demoram muito. As simulações de ataques serão realizadas apenas para determinados serviços e também não levarão muito tempo. A visualização mais longa é o rastreamento da web.



Uma verificação completa de centenas de aplicativos da web pode levar semanas, dependendo dos vocabulários usados ​​e do número de pontos de entrada do aplicativo que precisam ser verificados. É importante entender que devido às peculiaridades da implementação de módulos web e rastreadores web, a verificação instrumental de vulnerabilidades web não dará cem por cento de precisão, mas pode retardar muito todo o processo.



É melhor conduzir as varreduras da Web separadamente das varreduras regulares, escolhendo cuidadosamente os aplicativos a serem verificados. Para uma análise aprofundada, use ferramentas de análise de aplicativos estáticos e dinâmicos ou serviços de teste de penetração. Não recomendamos o uso de varreduras perigosas ao realizar varreduras regulares, pois há o risco de interromper o desempenho dos serviços. Para obter detalhes sobre verificações, consulte a seção sobre a operação de scanners abaixo.



Ferramentas



Se você já estudou os logs de segurança de seus sites, provavelmente notou que a Internet é verificada por um grande número de pesquisadores, serviços online, botnets. Não faz sentido descrever todas as ferramentas em detalhes, vamos listar alguns scanners e serviços que são usados ​​para escanear perímetros de rede e a Internet. Cada uma das ferramentas de digitalização tem um propósito diferente, portanto, ao escolher uma ferramenta, deve-se entender por que ela está sendo usada. Às vezes, é correto usar vários scanners para obter resultados completos e precisos.



Scanners de rede: Masscan , Zmap , nmap... Na verdade, existem muitos outros utilitários para fazer a varredura de uma rede, mas você dificilmente precisará de outros para fazer a varredura de um perímetro. Esses utilitários resolvem a maioria das tarefas associadas à varredura de portas e serviços.



Os mecanismos de busca na Internet das Coisas, ou rastreadores online, são ferramentas importantes para coletar informações sobre a Internet em geral. Eles fornecem um resumo da associação do site, certificados, serviços ativos e outras informações. É possível concordar com os desenvolvedores deste tipo de scanner para excluir seus recursos da lista de varredura ou manter informações sobre recursos apenas para uso corporativo. Os motores de busca mais famosos: Shodan , Censys , Fofa .



Para resolver o problema, não é necessário usar uma ferramenta comercial complexa com um grande número de verificações: não é necessário digitalizar alguns aplicativos e serviços "leves". Nesses casos, scanners gratuitos serão suficientes. Existem muitos rastreadores da web gratuitos e é difícil selecionar os mais eficazes; aqui, a escolha é uma questão de gosto; os mais famosos: Skipfish , Nikto , ZAP , Acunetix , SQLmap .



Scanners comerciais de baixo custo com uma base de conhecimento constantemente atualizada de vulnerabilidades, bem como suporte e experiência do fornecedor, os certificados FSTEC podem ser adequados para executar tarefas mínimas de digitalização e garantir a segurança "no papel". Os mais famosos: XSpider, RedCheck, Scanner-VS.



Para uma análise manual cuidadosa, ferramentas Burp Suite, Metasploit e OpenVAS serão úteis. O scanner de tsunami do Google foi lançado recentemente .



Uma linha separada que vale a pena mencionar é o mecanismo de pesquisa de vulnerabilidades online Vulners... Este é um grande banco de dados de conteúdo de segurança da informação que coleta informações sobre vulnerabilidades de um grande número de fontes, que, além dos bancos de dados padrão, incluem boletins de segurança do fornecedor, programas de recompensa de bug e outros recursos temáticos. O recurso fornece uma API por meio da qual você pode obter resultados, para que possa implementar verificações de banner em seus sistemas sem realmente digitalizar aqui e agora. Ou use o verificador de vulnerabilidades de Vulners, que coletará informações sobre o sistema operacional, pacotes instalados e verificará vulnerabilidades por meio da API de Vulners. Algumas das funções do recurso são remuneradas.



Ferramentas de análise de segurança



Todos os sistemas de segurança comerciais suportam modos de varredura básicos, que são descritos abaixo, integração com vários sistemas externos, como sistemas SIEM, sistemas de gerenciamento de patches, CMBD, sistemas de tickets. Os sistemas comerciais de análise de vulnerabilidade podem enviar alertas com base em diferentes critérios e oferecer suporte a diferentes formatos e tipos de relatórios. Todos os desenvolvedores de sistema usam bancos de dados de vulnerabilidades comuns, bem como suas próprias bases de conhecimento, que são constantemente atualizadas com base em pesquisas.



As principais diferenças entre as ferramentas de análise de segurança comercial são os padrões suportados, licenças de órgãos governamentais, a quantidade e a qualidade dos cheques implementados, bem como o foco em um ou outro mercado de vendas, por exemplo, suporte para digitalização de software nacional. O artigo não tem como objetivo fornecer uma comparação qualitativa de sistemas de análise de vulnerabilidade. Em nossa opinião, cada sistema tem suas próprias vantagens e desvantagens. As ferramentas listadas são adequadas para análise de segurança, você pode usar suas combinações: Qualys , MaxPatrol 8 , Rapid 7 InsightVM , Tenable SecurityCenter .



Como funcionam os sistemas de análise de segurança



Os modos de digitalização são implementados de acordo com três princípios semelhantes:



  1. Auditoria ou modo de caixa branca.
  2. Conformidade, ou verificação da conformidade com as normas técnicas.
  3. Pentest ou modo de caixa preta.


O principal interesse na varredura de perímetro é o modo caixa preta, porque simula as ações de um invasor externo que não sabe nada sobre os nós rastreados. Abaixo está uma referência rápida para todos os modos.



A auditoria é um modo de caixa branca que permite realizar um inventário completo da rede, detectar todos os softwares, determinar suas versões e parâmetros e, com base nisso, tirar conclusões sobre a vulnerabilidade dos sistemas em um nível detalhado, bem como verificar os sistemas quanto ao uso de senhas fracas. O processo de digitalização requer um certo grau de integração com a rede corporativa, em particular, contas são necessárias para autorizar os nós.



É muito mais fácil para um usuário autorizado, que é um scanner, obter informações detalhadas sobre um nó, seu software e parâmetros de configuração. Durante a varredura, vários mecanismos e transportes de sistemas operacionais são usados ​​para coletar dados, dependendo das especificações do sistema do qual os dados são coletados. A lista de transportes inclui, mas não está limitada a WMI, NetBios, LDAP, SSH, Telnet, Oracle, MS SQL, SAP DIAG, SAP RFC, Remote Engine usando os protocolos e portas apropriados.



Conformidade é um modo de verificar a conformidade com quaisquer padrões, requisitos ou políticas de segurança. O modo usa mecanismos e transportes semelhantes aos de auditoria. Um recurso do modo é a capacidade de verificar a conformidade dos sistemas corporativos com os padrões incorporados aos scanners de segurança. Exemplos de padrões são PCI DSS para sistemas de pagamento e processamento, STO BR IBBS para bancos russos, GDPR para conformidade com os requisitos da UE. Outro exemplo são as políticas de segurança interna, que podem ter requisitos mais elevados do que os especificados nos padrões. Além disso, existem verificações de instalação de atualização e outras verificações personalizadas.



Pentest é um modo de caixa preta em que o scanner não possui outros dados além do endereço de destino ou nome de domínio. Considere os tipos de verificação que são usados ​​no modo:



  1. cheques de banner,
  2. imitação de ataques,
  3. verificações da web,
  4. verificando configurações,
  5. cheques perigosos.


As verificações de banner baseiam-se no fato de que o scanner determina as versões do software e sistema operacional usados ​​e, em seguida, verifica essas versões no banco de dados de vulnerabilidade interno. Para a busca de banners e versões, são utilizadas várias fontes, cuja confiabilidade também difere e é levada em consideração pela lógica interna do scanner. As fontes podem ser banners de serviço, logs, respostas de aplicativos e seus parâmetros e formato. Na análise de servidores e aplicações web, são verificadas as informações das páginas de erro e de acesso negado, são analisadas as respostas desses servidores e aplicações e de outras possíveis fontes de informação. Os scanners marcam as vulnerabilidades detectadas pela varredura de banner como vulnerabilidades suspeitas ou como vulnerabilidades não confirmadas.



Um ataque simulado é uma tentativa segura de explorar uma vulnerabilidade em um host. Ataques simulados têm baixa chance de falsos positivos e são exaustivamente testados. Quando o mecanismo de varredura detecta uma assinatura de vulnerabilidade no alvo da varredura, a vulnerabilidade é explorada. As verificações usam os métodos necessários para detectar a vulnerabilidade; por exemplo, uma solicitação atípica é enviada a um aplicativo que não causa uma negação de serviço, e a presença de uma vulnerabilidade é determinada pela resposta típica do aplicativo vulnerável.



Outro método: após a exploração bem-sucedida de uma vulnerabilidade que permite que o código seja executado, o scanner pode enviar uma solicitação PING ou DNS de saída do host vulnerável para si mesmo. É importante compreender que nem sempre é possível verificar vulnerabilidades com segurança, portanto, muitas vezes no modo pentest, as verificações aparecem mais tarde do que em outros modos de varredura.



As verificações da Web são o tipo de verificação mais extenso e demorado a que os aplicativos da Web detectados podem estar sujeitos. No primeiro estágio, os diretórios do aplicativo da web são verificados, parâmetros e campos são detectados onde pode haver vulnerabilidades potenciais. A velocidade dessa varredura depende do dicionário usado para iterar nos diretórios e do tamanho do aplicativo da web.



Na mesma fase, são coletados banners de CMS e plug-ins de aplicativos, que são utilizados para verificação de banners em busca de vulnerabilidades conhecidas. A próxima etapa são verificações básicas da web: pesquisa de injeção SQL de vários tipos, pesquisa de erros no sistema de autenticação e armazenamento de sessão, pesquisa de dados confidenciais e configurações desprotegidas, verificação de injeção XXE, script entre sites, desserialização insegura, carregamento de arquivos arbitrários, execução remota de código e passagem de caminho ... A lista pode ser mais ampla dependendo dos parâmetros de digitalização e capacidades do scanner; geralmente, nos parâmetros máximos, as verificações são realizadas de acordo com a lista OWASP Top Ten .



As verificações de configuração têm como objetivo detectar erros de configuração de software. Eles identificam senhas padrão ou tentam senhas usando um pequeno conjunto de senhas com contas diferentes. Revela painéis de autenticação administrativa e interfaces de controle, impressoras disponíveis, algoritmos de criptografia fracos, erros nos direitos de acesso e divulgação de informações confidenciais por meio de caminhos padrão, backups para download e outros erros semelhantes feitos por administradores de sistemas de TI e sistemas de segurança da informação.



Entre as verificações perigosas encontram-se aquelas cujo uso conduz potencialmente a uma violação da integridade ou disponibilidade dos dados. Isso inclui verificações de negação de serviço, opções de injeção SQL com parâmetros para excluir dados ou fazer alterações. Ataques de força bruta em senhas sem restrições de força bruta que levam ao bloqueio de contas. Verificações perigosas raramente são usadas devido às possíveis consequências, mas são apoiadas por verificadores de segurança como um meio de emular as ações de um invasor que não se preocupará com a segurança dos dados.



Scans e resultados



Revisamos os métodos e ferramentas de digitalização básicos, vamos passar para a questão de como usar esse conhecimento na prática. Primeiro, você precisa responder à pergunta sobre o que e como digitalizar. Para responder a essa pergunta, você precisa coletar informações sobre endereços IP externos e nomes de domínio que pertencem à organização. Em nossa experiência, é melhor separar os alvos de varredura em inventário e identificação de vulnerabilidade.



Uma varredura de inventário pode ser executada com muito mais freqüência do que uma varredura de vulnerabilidade. No inventário, é uma boa prática enriquecer os resultados com informações sobre o administrador do serviço, o endereço IP interno do serviço se o NAT for usado e a importância do serviço e sua finalidade. No futuro, as informações ajudarão a eliminar rapidamente os incidentes relacionados à detecção de serviços indesejados ou vulneráveis. Idealmente, a empresa tem um processo e uma política de colocação de serviços no perímetro da rede, estando envolvidos no processo os serviços de TI e segurança da informação.



Mesmo com essa abordagem, existe um potencial de erros devido a fatores humanos e várias falhas técnicas que levam ao aparecimento de serviços indesejados no perímetro. Um exemplo simples: uma regra é escrita em um dispositivo de rede Check Point que transmite a porta 443 da rede interna para o perímetro. O serviço que estava lá está desatualizado e fora de serviço. O serviço de TI não foi informado sobre isso, então a regra permaneceu. Neste caso, o perímetro pode terminar com autenticação no painel de administração do dispositivo Check Point ou outro serviço interno que não foi planejado para ser hospedado lá. Ao mesmo tempo, a imagem do perímetro não mudou formalmente e a porta está disponível.



Para detectar tais mudanças, é necessário fazer a varredura periodicamente e aplicar comparação diferencial dos resultados, então haverá uma mudança perceptível no banner do serviço, o que chamará a atenção e conduzirá à análise do incidente.



Eliminação de vulnerabilidades



A primeira etapa para a implementação técnica correta do processo de eliminação da vulnerabilidade é apresentar corretamente os resultados da varredura com os quais você terá que trabalhar. Se vários scanners diferentes forem usados, seria mais correto analisar e combinar informações sobre os nós em um só lugar. Para isso, recomenda-se a utilização de sistemas analíticos, que também armazenarão todas as informações sobre o inventário.

A maneira básica de corrigir a vulnerabilidade é instalar atualizações. Você também pode usar outro método - tirar o serviço do perímetro (você ainda precisa instalar as atualizações de segurança).



Você pode aplicar medidas de ajuste compensatórias, ou seja, excluir o uso de um componente ou aplicativo vulnerável. Outra opção é usar ferramentas de segurança especializadas, como IPS ou firewall de aplicativo. É claro que é mais correto evitar o aparecimento de serviços indesejados no perímetro da rede, mas essa abordagem nem sempre é possível devido a várias circunstâncias, principalmente aos requisitos de negócios.



Prioridade de eliminação de vulnerabilidade



A prioridade de corrigir vulnerabilidades depende dos processos internos da organização. Ao trabalhar para eliminar vulnerabilidades no perímetro da rede, é importante ter um entendimento claro de por que o serviço está localizado no perímetro, quem o administra e quem o possui. Em primeiro lugar, você pode eliminar vulnerabilidades nos nós que são responsáveis ​​pelas funções críticas de negócios da empresa. Naturalmente, tais serviços não podem ser retirados do perímetro, mas podem ser aplicadas medidas compensatórias ou adicionais de segurança. Com serviços menos significativos, é mais fácil: eles podem ser removidos temporariamente do perímetro, atualizados lentamente e colocados novamente em serviço.



Outra forma é a prioridade de eliminação pela gravidade ou pelo número de vulnerabilidades no nó. Quando 10-40 suspeitas de vulnerabilidade de varredura de banner são encontradas em um nó, não faz sentido verificar se todas elas existem ali, em primeiro lugar, é um sinal de que é hora de atualizar o software neste nó. Quando não há espaço para renovação, medidas compensatórias precisam ser elaboradas. Se uma organização tem um grande número de nós onde são encontrados componentes de software vulneráveis ​​para os quais não há atualizações, então é hora de pensar em mudar para um software que ainda está no ciclo de atualização (suporte). É possível que, para atualizar o software, você primeiro precise atualizar o sistema operacional.



Resultado



Todas as informações sobre serviços e serviços no perímetro de sua rede podem ser obtidas não apenas por você, mas também por qualquer pessoa na Internet. Com certa precisão, é possível identificar vulnerabilidades do sistema mesmo sem fazer a varredura. Para reduzir os riscos de incidentes de segurança da informação, você precisa monitorar o perímetro de sua rede, ocultar ou proteger serviços indesejados a tempo e instalar atualizações.



Não importa se o processo é organizado internamente ou com o envolvimento de especialistas terceirizados que prestam serviços de controle de perímetro ou análise de segurança. O mais importante é garantir o controle do perímetro e a correção da vulnerabilidade regularmente.



Postado por Maxim Fedotov, Especialista Sênior, Departamento de Serviços Online, PT Expert Security Center, Positive Technologies


More articles:


All Articles