Want create site? With Free visual composer you can do it easy.

notranji varnostni pregled

Smart Analysis je pregled iz notranjosti omrežja

V osnovi je del metodologije enak kot pri zunanjem varnostnem skeniranju. Pregledajo se strežniki, aplikacije in servisi, ki so dostopni. Posebnost je v tem, da se pregled izvede v različnih točkah notranjega omrežja. V primeru, ko ima naročnik vzpostavljen mehanizem notranjih omejitev prometa, je smiselno preveriti iz katerih delov omrežja so določeni deli informacijskega sistema vidni in dostopni.

Dodatno posebnost je v tem, da pregled ni nujno usmerjen zgolj v iskanje neposrednih ranljivosti na strežnikih in aplikacijah, ampak vsebuje tudi pregled ustreznosti nastavitev stikal, notranjih kontrol ipd. Pri zagotavljanju notranje varnosti ni nujno edina možna pot striktno zapiranje tehničnih varnostnih pomanjkljivosti. Teh bo v notranjem omrežju bistveno več, kot pri zunanjem pregledu. Zato se večkrat varnostne pomanjkljivosti odpravljajo z uvedbo dodatnih notranjih filtrov in podobnih mehanizmov.

Storitev se ne izvaja v obliki t.i. »black box« načina, kar pomeni, da je izvajalec obveščen o topologiji omrežja, obstoječih notranjih kontrolah ipd. Ker se storitev izvaja na lokaciji naročnika, je vpletenost naročnika v izvedbo večja kot pri zunanjem varnostnem pregledu.

Koristi, ki jih naročnik pridobi s takšno storitvijo so naslednje:

  • Identifikacija strežnikov in servisov, ki so vidni iz posameznega dela omrežja. Naročnik se včasih niti točno ne zaveda, kaj vse je v omrežju odprto, saj obstaja veliko sistemskih servisov ipd.).
  • Spoznanje, kateri podatki in aplikacije so dostopne posameznim segmentom uporabnikov.
  • Identifikacija posameznih varnostnih pomanjkljivosti, s čimer se lahko bistveno izboljša nivo varnosti strežnikov in servisov, ki so dostopni iz Internet omrežja.
  • Nabor priporočil za uvedbo različnih varnostnih mehanizmov in notranjih filtrov.

Storitev se izvede po metodologiji CVSS metrike, ki posamezne ranljivosti ustrezno rangira in točkuje po javno priznani metodologiji. S tem so rezultati primerljivi s podobnimi pregledi, ki jih je/bo naročnik morebiti izvedel sam ali preko drugih izvajalcev.

Pomembna lastnost storitve je, da se izvaja na način, ki minimizira vpliv na delovanje IT sistema. Izločijo se vsi testi, za katere se upravičeno sumi, da lahko povzročijo motnje (razen v primeru drugačnega dogovora z naročnikom). Tipičen primer so na primer naslednji testi:

  • »brute-force« napadi na prijavna okna, kjer je jasno, da napačni poizkusi »zaklenejo« uporabnika,
  • i. DOS preizkus napada, kjer je cilj napadalca onesposobiti delovanje servisa in
  • določeni »buffer-over-flow« test, kjer lahko nekontroliran poseg v spomin strežnikov povzroči nedelovanje aplikacij.

Rezultat storitve je podrobno poročilo, ki vsebuje:

  • Vodstveni pregled, ki vodstvu poda osnovno informacijo o stanju varnosti, brez tehničnih podrobnosti.
  • Podroben tehnični pregled, ki vsebuje celoten inventar strežnikov in servisov dostopnih iz Internet omrežja. Vse informacije, ki jih lahko uporabnik preko teh servisov pridobi, zaznane in potrjene varnostne pomanjkljivosti, opis možnih posledic zlorab teh varnostnih pomanjkljivosti ter priporočila/navodila za odpravo.

Najpogostejša vprašanja in odgovori naših strokovnjakov

  • Kaj vključuje notranji varnostni pregled?

    Notranji varnostni pregled vključuje pregled vseh strežnikov, servisov in aplikacij, ki so vidne iz posameznih segmentov omrežja. Vsaj del preverjanja se izvaja večkrat iz različnih točk omrežja. Smiselno je namreč ugotoviti, kaj je od kje dostopno.

    Dodatno notranji varnostni pregled vsebuje tudi pregled topologije omrežja, ustreznost nastavitev notranjih filtrov in podobnih varnostnih mehanizmov.

    Rezultati skeniranja so:

    • polni inventar strežnikov, servisov in aplikacij, ki so vidne iz posameznih segmentov omrežja,
    • tehnični podatki, ki so znotraj teh servisov in aplikacij vidni notranjim uporabnikom,
    • povzetek varnostne ocene ter rezultati preizkusov zlorab varnostnih pomanjkljivosti,
    • pregled zaznanih in potrjenih varnostnih pomanjkljivosti, vključno s podrobnejšim opisom, navedbo možnih posledic zlorab ter priporočili/navodili za odpravo.
  • Česa ne vključuje notranji varnostni pregled?

    Notranji varnostni pregled ne vključuje nujno vseh ročnih metod, ki so tipično primerne za podrobnejše odkrivanje pomanjkljivosti na raznih spletnih ali pa specifičnih aplikacijah. Praviloma se storitev omejuje na pomanjkljivosti, ki so zaznane z uporabo različnih orodij. Ročni del pa je namenjen potrjevanju teh pomanjkljivosti in ne toliko odkrivanju novih/dodatnih.

    Prav tako tovrstno preverjanje ne vključuje t.i. DOS in podobnih napadov, ki lahko povzročijo motnje v delovanju informacijskega sistema.

  • V čem se notranji varnostni pregled razlikuje od ostalih podobnih storitev?

    Notranji varnostni pregled se od zunanjega varnostnega pregleda razlikuje v tem, da se ga izvaja iz različnih točk notranjega omrežja, hkrati pa ta pregled vključuje tudi pregled dokumentacije, nastavitev varnostnih sistemov ipd.

    Skeniranje sloni na uporabi orodij. Uporabljajo se različna orodja, kar je pomembno za primerjavo rezultatov ter dodatno minimiziranje napačno zaznanih pomanjkljivosti (t.i. »false-positive«) ter minimiziranje možnost, da se določena pomanjkljivost spregleda (t.i. »false-negative«).

    Ročno delo se uporablja predvsem za dodatno preverjanje zaznanih ranljivosti in ne toliko za odkrivanje novih.

    Ker storitev torej sloni na uporabi orodij, je usmerjena v zaznavanje ranljivosti, ki izhajajo iz verzij operacijskih sistemov oz. servisov ter nastavitev, ki neposredno vplivajo na delovanje servisov. Specifične pomanjkljivosti, ki so pri naročniku unikatne, pa se preko tovrstnih pregledov ne preverja.

  • V čem je sploh smisel notranjega varnostnega pregleda?

    Notranji varnostni pregled je potreben in pomemben predvsem iz dveh vidikov:

    • Notranji uporabniki so lahko vedno izvor varnostnih groženj. Nezadovoljni uporabnik lahko bistveno lažje nepooblaščeno dostopa do pomembnih podatkov in sistemov, saj so notranji varnostni mehanizmi omejeni. Potrebno je vedenje o tem, kaj lahko posamezen uporabnik zlorabi.

    Zunanji napadalci lahko napad na naročnika izvedejo preko »social-engineering« napada ali drugega podobnega mehanizma, s čimer pridobijo dostop do notranje delovne postaje uporabnika. V primeru teh napadov je bistvena informacija, kaj je vidno iz notranje delovne postaje in ne toliko, koliko so ranljivi servisi in aplikacije, neposredno vidni z Internet omrežja.

  • Ali se lahko zaznane varnostne pomanjkljivosti potrdijo ali ne?

    Vedno je potrebno stremeti k temu, da se zaznane varnostne pomanjkljivosti potrdijo. Način ugotavljanja pomanjkljivosti sloni na dveh principih:

    • Med izvedbo se skuša ugotoviti verzija operacijskega sistema oz. verzija servisa. Ko je ta podatek znan, so hkrati znane tudi vse možne pomanjkljivosti na sistemu. Vendar tu lahko pride do dejanskih ali pa posrednih lažnih pomanjkljivosti (t.i. »false-positive«). Strežniki in servisi, ki so dostopni iz Internet omrežja so dobro zaščiteni in posledično ni nujno vedno možno natančno ugotoviti verzijo programske opreme. Včasih je ta podatek zgolj delno ugotovljiv ali pa celo napačen, zaradi česar obstaja verjetnost, da so ugotovljene pomanjkljivost v resnici lažne.
    • Dodaten princip ugotavljanja pomanjkljivosti je z dejanskim preizkusom odzivov aplikacij in servisov. Vendar ti odzivi ne preverjajo neposredno pomanjkljivosti, ampak iščejo le simptome pomanjkljivosti.

    Za natančen pregled dejanskih pomanjkljivosti je zaznane pomanjkljivosti potrebno vedno preveriti. S tem se izognemo nepotrebnim alarmom, hkrati pa postane poročilo bistveno bolj verodostojno.

    Dejanska možnost zlorabe posameznih pomanjkljivosti se vedno preverja ročno, saj je pri preizkusu zlorabe velikokrat potrebno uporabiti kakšen specifičen parameter, ali pa preizkus zlorabe izvesti na različne načine.

  • Kako tovrsten varnostni pregled poteka?

    Pregled poteka v več fazah.

    Prva faza vključuje enkratno ali večkratno varnostno preverjanje vidnih strežnikov in aplikacij. Večkratno preverjanje pomeni, da se isti oz. podobni testi ponovijo iz različnih točk v omrežju.

    Druga faza pa vključuje podrobnejši pregled nastavitev omrežja, topologije, nastavitev notranjih filtrov, ipd.

    Dodatno lahko tovrsten pregled vsebuje tudi pregled ustreznosti Wi-fi omrežja.

    Naročnik z izvajalcem bistveno bolj sodeluje že v fazi izvedbe in ne samo v končni fazi predstavitve poročila. Večina storitev se izvede na lokaciji naročnika.

  • Kaj so rezultati tovrstnega pregleda?

    Rezultat storitve je podrobno poročilo, ki vsebuje:

    • Vodstveni pregled, ki vodstvu poda osnovno informacijo o stanju varnosti, brez tehničnih podrobnosti.
    • Podroben tehnični pregled, ki vsebuje celoten inventar strežnikov in servisov, ki so dostopni iz posameznih delov omrežja, vse informacije, ki jih lahko uporabnik preko teh servisov pridobi, zaznane in potrjene varnostne pomanjkljivosti, opis možnih posledic zlorab teh varnostnih pomanjkljivosti ter priporočila/navodila za odpravo.

    Poročilo se vedno predstavi naročniku v obliki tehnične delavnice.

  • Kdaj je najprimernejši čas za izvedbo pregleda?

    Kadarkoli. Javni servisi so morebitnim napadalcem na voljo neprestano in nevarnost zlorabe je neprestana.

    Razni »izgovori« oz. razlogi za neizvedbo, ki so pri uporabnikih pogosti, a hkrati za varnost zelo nevarni so naslednji:

    • V naslednjem letu načrtujemo prenovo podatkovnega centra. Najbolje je, da pregled izvedemo takrat. Kaj pa je z varnostjo do takrat?
    • Notranjih uporabnikov se ne bojimo. Torej je pregled nepotreben. Ni res! Tudi če predpostavljamo, da notranji uporabniki ne bodo predstavljali grožnje (kar nikoli ni nujno res), še vedno velja, da lahko zunanji napadalec z ustreznim »social-engineering« napadom pridobi kontrolo nad delovno postajo uporabnika. To pomeni, da se nahaja v notranjem delu omrežja. Nepooblaščen dostop ali priklop v notranjost omrežja je vedno realna nevarnost.
    • Pred leti smo izvedli pregled, pa ni pokazal nič takšnega. Od takrat nismo nič spreminjali, tako da smo verjetno še vedno varni. Ne drži! Napadalci vedno znova in znova odkrivajo nove načine zlorab.
  • Kako pogosto naj takšen pregled izvajam?

    Splošno mišljenje je, da se pregled izvaja ob spremembah okolja. Vendar to mišljenje ni nujno ustrezno. Četudi v sistemu nič ne spreminjamo, se lahko zmožnost zlorab povečuje. Napadalci vedno znova odkrivajo nove napade na spletne aplikacije in če je bilo »včeraj« nekaj varno, še ne pomeni, da temu tako tudi danes.

    V resnici velja celo obratno! Če naročnik ni v sistemu »nič spreminjal« pomeni, da v zadnjem obdobju ni vpeljal novih popravkov in nadgradenj operacijskih sistemov ter strežnikov, je potreba po tovrstnem pregledu še toliko večja.

    Praviloma je boljši pristop s periodo. Notranji varnostni pregled naj bi se izvajal na 6 mesecev, najmanj pa na 12 mesecev. Smiselno je tudi, da spreminjamo izvajalce varnostnega pregleda, saj ima vsak izvajalec svoje izkušnje, svoja orodja, svojo metodologijo.

  • Kaj je varnostni skener?

    Varnostni skener je orodje, ki je namenjeno zaznavanju varnostnih pomanjkljivosti. Dobra orodja so zelo učinkovita in koristna.

    Vedno je potrebna uporaba več/različnih orodij, saj lahko le tako minimiziramo napačne zaznave oz. minimiziramo možnost, da spregledamo določene pomanjkljivosti.

    Prav tako velja pazljivost pri uporabi orodij. Orodja so lahko zelo »močna« – zgolj z ustreznimi izkušnjami ter znanjem lahko uporabnik zagotovi nastavitve, ki minimizirajo možnost, da orodje nehote povzroči škodo v delovanju aplikacij.

    Nikoli orodja ne preizkušajte na tujih sistemih. Orodje simulira določene faze napada, tako da se lahko uporaba orodja enači z napadom. Če nimate eksplicitnega dovoljenja lastnikov strežnikov oz. servisov, na katerih orodja preizkušate, ste lahko v resnih težavah.

  • Kaj je varnostna pomanjkljivost?

    Varnostna pomanjkljivost je določena znana napaka v servisu ali operacijskem sistemu. Če ta napaka ni zelo nova, popravek po navadi zanjo že obstaja.

    Varnostna pomanjkljivost lahko izhaja tudi iz neustreznih nastavitev, tako da se napada ne odpravi z nadgradnjo oz. instalacijo popravka, ampak je potrebna ustrezna prekonfiguracija sistema.

    Vsaka varnostna pomanjkljivost ima:

    • svojo oznako,
    • svoj opis,
    • možne posledice zlorabe (možne posledice so zelo tehnične, kakšen vpliv imajo te tehnične posledice na konkretno okolje, pa je odvisno od okolja) in
    • način odprave.

    Način zlorabe pomanjkljivosti praviloma ni del pomanjkljivosti. Orodja in podobni sistemi ne izvajajo zlorabe pomanjkljivosti, ampak z različnimi testi potrdijo oz. ovržejo simptome, ki z neko visoko gotovostjo zagotavljajo obstoj ranljivosti. Dejanska neposredna zloraba pomanjkljivosti se izvaja ročno oz. s t.i. penetracijskimi orodji oz. tehnikami.

  • Kaj je CVSS metrika?

    CVSS metrika je splošno priznana metrika, kjer velja naslednje:

    • Znane ranljivosti so enolično poimenovane. Tako lahko govorimo o kompatibilnosti različnih orodij in metodologij. Če torej neko orodje govori o pomanjkljivosti »A«, je to nedvoumno določena pomanjkljivost, ki je jasno opisana v različnih »knowledge« bazah.
    • Ranljivosti so prav tako rangirane. Pri varnostnih pregledih posledično ni možnosti, da bi izvajalec s svojo napačno subjektivno oceno zavedel naročnika. Vsaka pomanjkljivost je vnaprej rangirana. Pozor: za dejansko varnostno oceno je potrebno temu dodati še dejansko stopnjo grožnje, v primeru da pride do zlorabe te pomanjkljivost. Torej določena pomanjkljivost »A«, je recimo vedno rangirana kot »visoka grožnja«, ker omogoča nepooblaščen zagon datotek na strežniku. Šele naročnik lahko z lastno oceno doda drugačno vrednost, ker se ta ranljivost nanaša na testni strežnik, kjer podatkov ni.
    • Nastavljena je metoda za točkovanje ranljivosti. Točkovanje vsebuje tudi oceno določenih okoliščin, tako da posamezna pomanjkljivost ni v vseh meritvah ocenjena z istim številom točk. Je pa metodologija določanja točk natančno določena, tako da lahko naročnik preko te terminologije izvaja primerjavo rezultatov ipd.

    Več o tej metriki lahko najdete na https://nvd.nist.gov/cvss.cfm

  • Kaj je »false-positive«?

    »False-positive« je izraz za pomanjkljivost, ki je napačno deklarirana kot prisotna. To se lahko zgodi, ko pregled napačno ali pomanjkljivo določi verzijo operacijskega sistema oz. aplikacije.

    Tovrstne pomanjkljivosti (ki dejansko niso prisotne) posledično zameglijo celotno varnostno oceno in po nepotrebnem določajo ukrepe za odpravo. Če je v rezultatu storitve tovrstnih pomanjkljivosti preveč, postane poročilo neuporabno. Uporabnik porabi preveč časa, da preveri instalacijo določenih popravkov, ki jih je v resnici že pred časom implementiral, ipd.

    Zato je ključno, da se vse ali pa vsaj večina pomanjkljivosti dejansko preveri.

  • Kaj je »false-negative«?

    »False-negative« je izraz za pomanjkljivost, ki smo jo v pregledu spregledali. Seveda so takšne pomanjkljivosti lahko zelo kritične. Če pregled nečesa ne deklarira kot nevarno, lahko uporabnik živi v lažnem prepričanju, da je odpravil vse varnostne pomanjkljivosti. To je še nevarnejše od zavesnega sprejetja tveganja za znano pomanjkljivost.

    Seveda je razlogov, zakaj je bila določena pomanjkljivost spregledana, lahko zelo veliko. Bistveno pri pregledu je, da se:

    • uporabljajo različna orodja,

    da se enaki testi ponovijo večkrat v različnih časovnih obdobjih.

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]