Want create site? With Free visual composer you can do it easy.

INSPIRED (2)

Smart White Hat odpriva pomanjkljivosti na strežnikih, servisih in aplikacijah, ki jih naročnik ponuja v Internet omrežje

Storitev se izvaja v obliki t.i. »black box« načina, kjer naročnik posreduje zgolj nabor javnih IP naslovov, ki mu pripadajo. Izvajalec nato sam preveri, katere aplikacije, strežniki in servisi so vidni navzven in varnostne pomanjkljivosti, ki jih vsebujejo.

Prednosti tovrstne storitve so predvsem naslednje:

  • Storitev ne zahteva sodelovanja naročnika pri izvedbi. Sodelovanje je priporočljivo zgolj pri predstavitvi in analizi prejetih rezultatov/poročila.
  • Storitev je izvedena relativno hitro in z optimalnimi stroški.
  • Storitev je usmerjena v javne storitve naročnika, ki so po navadi najbolj na udaru morebitnih napadalcev.

Koristi, ki jih naročnik pridobi s takšno storitvijo so naslednje:

  • Identifikacija strežnikov in servisov, ki so vidni iz Internet omrežja. Naročnik se včasih niti točno ne zaveda, kaj vse je proti Internet omrežju odprto.
  • Identifikacija posameznih varnostnih pomanjkljivosti, s čimer se lahko bistveno izboljša nivo varnosti strežnikov in servisov, ki so dostopni iz Internet omrežja.
  • Storitev se izvede po metodologiji CVSS metrike, ki posamezne ranljivosti ustrezno rangira in točkuje po javno priznani metodologiji. S tem so rezultati primerljivi s podobnimi pregledi, ki jih je/bo naročnik morebiti izvedel sam ali preko drugih izvajalcev.

Pomembna lastnost storitve je, da se izvaja na način, ki minimizira vpliv na delovanje IT sistema. Izločijo se vsi testi, za katere se upravičeno sumi, da lahko povzročijo motnje (razen v primeru drugačnega dogovora z naročnikom). Tipičen primer so na primer naslednji testi:

  • »brute-force« napadi na prijavna okna, kjer je jasno, da napačni poizkusi »zaklenejo« uporabnika,
  • t.i. DOS preizkus napada, kjer je cilj napadalca onesposobiti delovanje servisa in
  • določeni »buffer-over-flow« test, kjer lahko nekontroliran poseg v spomin strežnikov povzroči nedelovanje aplikacij.

Rezultat storitve je podrobno poročilo, ki vsebuje:

  • Vodstveni pregled, ki vodstvu poda osnovno informacijo o stanju varnosti, brez tehničnih podrobnosti.
  • Podroben tehnični pregled, ki vsebuje celoten inventar strežnikov in servisov dostopnih iz Internet omrežja. Vse informacije, ki jih lahko uporabnik preko teh servisov pridobi, zaznane in potrjene varnostne pomanjkljivosti, opis možnih posledic zlorab teh varnostnih pomanjkljivosti ter priporočila/navodila za odpravo.

Najpogostejša vprašanja in odgovori naših strokovnjakov

  • Kaj vključuje zunanje varnostno skeniranje?

    • Zunanje varnostno skeniranje vključuje pregled vseh strežnikov, servisov in aplikacij, ki so vidne iz Internet omrežja in se nahajajo na IP naslovu, ki je javno deklariran, da pripada naročniku.

    Rezultati skeniranja so:

    • polni inventar strežnikov, servisov in aplikacij, ki so vidne iz Internet omrežja,
    • tehnični podatki, ki so znotraj teh servisov in aplikacij vidni zunanjim uporabnikom,
    • povzetek varnostne ocene ter rezultati preizkusov zlorab varnostnih pomanjkljivosti,
    • pregled zaznanih in potrjenih varnostnih pomanjkljivosti, vključno s podrobnejšim opisom, navedbo možnih posledic zlorab ter priporočili/navodili za odpravo.
  • Česa ne vključuje zunanje varnostno skeniranje?

    Zunanje varnostno skeniranje se ne nanaša na aplikacije in servise naročnika, ki so v gostovanju pri tretjih osebah (tipičen primer je spletna stran naročnika, če je le-ta v gostovanju pri ponudniku tovrstnih storitev).

    Prav tako zunanje varnostno skeniranje ne vključuje nujno vseh ročnih metod, ki so tipično primerne za podrobnejše odkrivanje pomanjkljivosti na raznih spletnih ali pa specifičnih aplikacijah. Praviloma se storitev omejuje na pomanjkljivosti, ki so zaznane z uporabo različnih orodij. Ročni del je potem namenjen potrjevanju teh pomanjkljivosti in ne toliko odkrivanju novih/dodatnih.

    Zunanje varnostno skeniranje prav tako ne vključuje pregledov dokumentacij, nastavitev varnostnih sistemov ter »source« kode različnih aplikacij. Tovrstne aktivnosti so vključene v druge tipe varnostnih preverjanj.

    Prav tako tovrstno preverjanje ne vključuje t.i. DOS napadov (preverjanje pomanjkljivosti, ki predstavljajo zmožnost napadalca za prekinitev delovanja servisa).

  • V čem se zunanje varnostno skeniranje razlikuje od ostalih podobnih storitev?

    Poleg tega, da je tovrstno skeniranje usmerjeno zgolj v tiste dele sistema, ki so vidni oz. dostopni iz Internet omrežja, so razlike tudi v pristopu in metodologiji.

    Skeniranje sloni na uporabi orodij. Uporabljajo se različna orodja, kar je pomembno za primerjavo rezultatov. Kot tudi za minimiziranje napačno zaznanih pomanjkljivosti (t.i. »false-positive«) ter minimiziranje možnosti, da se določena pomanjkljivost spregleda (t.i. »false-negative«).

    Ročno delo se uporablja predvsem za dodatno preverjanje zaznanih ranljivosti, in ne toliko za odkrivanje novih.

    Ker storitev torej sloni na uporabi orodij, je tipično usmerjena v zaznavanje ranljivosti, ki izhajajo iz verzij operacijskih sistemov oz. servisov ter nastavitev, ki neposredno vplivajo na delovanje servisov. Specifične pomanjkljivosti, ki so unikatne za naročnika, se praviloma preko tovrstnih pregledov ne preverja.

  • Ali se lahko zaznane varnostne pomanjkljivosti potrdijo ali ne?

    Vedno je potrebno strmeti k temu, da se zaznane varnostne pomanjkljivosti potrdijo. Namreč način ugotavljanja pomanjkljivosti sloni na dveh principih:

    • Med izvedbo se poizkuša ugotoviti verzija operacijskega sistema oz. verzija servisa. Ko je ta podatek znan, so hkrati znane tudi vse možne pomanjkljivosti na sistemu. Vendar tu lahko pride do dejanskih ali pa posrednih lažnih pomanjkljivosti (t.i. »false-positive«). Namreč, strežniki in servisi, ki so dostopni z Internet omrežja so praviloma dobro zaščiteni in posledično ni nujno vedno možno natančno ugotoviti verzijo programske opreme. Včasih je ta podatek zgolj delno ugotovljiv ali pa celo napačen, zaradi česar obstaja verjetnost, da so ugotovljene pomanjkljivost v resnici lažne.
    • Dodaten princip ugotavljanja pomanjkljivosti je z dejanskim preizkusom odzivov aplikacij in servisov. Vendar ti odzivi praviloma iščejo simptome pomanjkljivosti in ne preverjajo neposredno pomanjkljivosti.

    Za natančen pregled dejanskih pomanjkljivosti je torej potrebno zaznane pomanjkljivosti vedno preveriti. S tem se izognemo nepotrebnim alarmom in hkrati postane poročilo bistveno bolj verodostojno.

    Dejanska možnost zlorabe posameznih pomanjkljivosti se vedno preverja ročno, saj je velikokrat potrebno pri preizkusu zlorabe uporabiti kakšen specifičen parameter ali pa je potrebno preizkus zlorabe izvesti na različne načine.

  • Kako tovrsten varnostni pregled poteka?

    Tovrstni pregled poteka po t.i. »Black box« načinu, kjer naročnik posreduje izvajalcu zgolj informacijo o IP naslovih, ki naj bodo vključeni v test.

    Vse ostalo izvede izvajalec, kar pomeni, da nam podrobnosti okolja (varnostnih sistemov, topologije, ipd.) niso znani. Tudi v primerih, ko so nam tovrstni podatki znani (recimo, da smo kot podjetje v preteklosti sodelovali pri postavitvi teh sistemov), se pregled izvede kot da teh podatkov nimamo. Osnovni princip je, da se postavimo »v kožo« napadalca, ki o samih podrobnostih naročnikovega okolja nima veliko informacij. Vse informacije mora preko raznih pregledov, testov, ipd. ugotoviti sam.

  • Kaj so rezultati tovrstnega pregleda?

    Rezultat storitve je podrobno poročilo, ki vsebuje:

    Vodstveni pregled, ki vodstvu poda osnovno informacijo o stanju varnosti, brez tehničnih podrobnosti.

    Podroben tehnični pregled, ki vsebuje celoten inventar strežnikov in servisov dostopnih z Internet omrežja. Vse informacije, ki jih lahko uporabnik preko teh servisov pridobi, zaznane in potrjene varnostne pomanjkljivosti, opis možnih posledic zlorab teh varnostnih pomanjkljivosti ter priporočila/navodila za odpravo.

    Poročilo se vedno predstavi naročniku v obliki tehnične delavnice.

  • Kdaj je najprimernejši čas za izvedbo pregleda?

    Kadarkoli. Javni servisi so morebitnim napadalcem na voljo neprestano in nevarnost za zlorabo je torej neprestana.

    Razni »izgovori« oz. razlogi za neizvedbo, ki so pri uporabnikih pogosti, a hkrati za varnost zelo nevarni so naslednji:

    • V naslednjem letu načrtujemo prenovo požarne pregrade, tako da je najbolje da pregled izvedemo takrat. Kaj pa je z varnostjo do takrat?
    • Nič takšnega nimamo v Internet omrežju. Spletna stran je v gostovanju. Že itak smo kot podjetje verjetno bolj nezanimivi za napadalce. Torej je pregled nepotreben. Ni res! Velikokrat je v Internet omrežju vidno bistveno več kot se naročnik zaveda. Prav tako velja princip, da nikoli nisi nezanimiv za napadalce. Napadalci lahko na primer izkoristijo pomanjkljivost za nadaljnji napad na večje sisteme.

    Pred leti smo izvedli pregled, pa ni pokazal nič posebnega. Od takrat nismo nič spreminjali, tako da smo verjetno še vedno varni. Ne drži! Napadalci vedno znova in znova odkrivajo nove načine zlorab.

  • Kako pogosto naj takšen pregled izvajam?

    Splošno mišljenje je, da se pregled izvaja ob spremembah okolja. Vendar to mišljenje ni nujno ustrezno. Četudi v sistemu nič ne spreminjamo, se lahko zmožnost zlorab povečuje. Napadalci namreč vedno znova in znova odkrivajo nove napade na spletne aplikacije in če je bilo »včeraj« nekaj varno, ni nujno, da je temu tako tudi danes.

    V resnici velja celo obratno. Če v sistemu naročnik ni »nič spreminjal« in to pomeni, da v resnici v zadnjem obdobju ni vpeljal novih popravkov in nadgradenj operacijskih sistemov in strežnikov, je potreba po tovrstnem pregledu še toliko večja.

    Praviloma je boljši pristop s periodo. Zunanji varnostni skening naj bi se izvajal vsakih 6 mesecev, najmanj pa vsakih 12 mesecev. Smiselno je tudi, da spreminjamo izvajalce varnostnega pregleda, saj ima vsak izvajalec svoje izkušnje, svoja orodja, svojo metodologijo.

  • Kaj je varnostni skener?

    Varnostni skener je orodje, ki je namenjeno zaznavanju varnostnih pomanjkljivosti. Dobra orodja so zelo učinkovita in koristna.

    Vedno je potrebna uporaba več/različnih orodij, saj lahko le tako minimiziramo napačne zaznave oz. minimiziramo možnost, da spregledamo določene pomanjkljivosti.

    Prav tako velja pazljivost pri uporabi orodij. Orodja so lahko zelo »močna« – zgolj z ustreznimi izkušnjami ter znanjem lahko uporabnik zagotovi nastavitve, ki minimizirajo možnost, da orodje nehote povzroči škodo v delovanju aplikacij.

    Nikoli orodja ne preizkušajte na tujih sistemih. Orodje simulira določene faze napada, tako da se lahko uporaba orodja enači z napadom. Če nimate eksplicitnega dovoljenja lastnikov strežnikov oz. servisov, na katerih orodja preizkušate, ste lahko v resnih težavah.

  • Kaj je varnostna pomanjkljivost?

    Varnostna pomanjkljivost je določena znana napaka v servisu ali operacijskem sistemu. Če ta napaka ni zelo nova, popravek po navadi zanjo že obstaja.

    Varnostna pomanjkljivost lahko izhaja tudi iz neustreznih nastavitev, tako da se napada ne odpravi z nadgradnjo oz. instalacijo popravka, ampak je potrebna ustrezna prekonfiguracija sistema.

    Vsaka varnostna pomanjkljivost ima:

    • svojo oznako,
    • svoj opis,
    • možne posledice zlorabe (možne posledice so zelo tehnične, kakšen vpliv imajo te tehnične posledice na konkretno okolje, pa je odvisno od okolja) in
    • način odprave.

    Način zlorabe pomanjkljivosti praviloma ni del pomanjkljivosti. Orodja in podobni sistemi ne izvajajo zlorabe pomanjkljivosti, ampak z različnimi testi potrdijo oz. ovržejo simptome, ki z neko visoko gotovostjo zagotavljajo obstoj ranljivosti. Dejanska neposredna zloraba pomanjkljivosti se izvaja ročno oz. s t.i. penetracijskimi orodji oz. tehnikami.

  • Kaj je CVSS metrika?

    CVSS metrika je splošno priznana metrika, kjer velja naslednje:

    • Znane ranljivosti so enolično poimenovane. Tako lahko govorimo o kompatibilnosti različnih orodij in metodologij. Če torej neko orodje govori o pomanjkljivosti »A«, je to nedvoumno določena pomanjkljivost, ki je jasno opisana v različnih »knowledge« bazah.
    • Ranljivosti so prav tako rangirane. Pri varnostnih pregledih posledično ni možnosti, da bi izvajalec s svojo napačno subjektivno oceno zavedel naročnika. Vsaka pomanjkljivost je vnaprej rangirana. Pozor: za dejansko varnostno oceno je potrebno temu dodati še dejansko stopnjo grožnje, v primeru da pride do zlorabe te pomanjkljivost. Torej določena pomanjkljivost »A«, je recimo vedno rangirana kot »visoka grožnja«, ker omogoča nepooblaščen zagon datotek na strežniku. Šele naročnik lahko z lastno oceno doda drugačno vrednost, ker se ta ranljivost nanaša na testni strežnik, kjer podatkov ni.
    • Nastavljena je metoda za točkovanje ranljivosti. Točkovanje vsebuje tudi oceno določenih okoliščin, tako da posamezna pomanjkljivost ni v vseh meritvah ocenjena z istim številom točk. Je pa metodologija določanja točk natančno določena, tako da lahko naročnik preko te terminologije izvaja primerjavo rezultatov ipd.

    Več o tej metriki lahko najdete na https://nvd.nist.gov/cvss.cfm

  • Kaj je »false-positive«?

    »False-positive« je izraz za pomanjkljivost, ki je napačno deklarirana kot prisotna. To se lahko zgodi, ko pregled napačno ali pomanjkljivo določi verzijo operacijskega sistema oz. aplikacije.

    Tovrstne pomanjkljivosti (ki dejansko niso prisotne) posledično zameglijo celotno varnostno oceno in po nepotrebnem določajo ukrepe za odpravo. Če je v rezultatu storitve tovrstnih pomanjkljivosti preveč, postane poročilo neuporabno. Uporabnik porabi preveč časa, da preveri instalacijo določenih popravkov, ki jih je v resnici že pred časom implementiral, ipd.

    Zato je ključno, da se vse ali pa vsaj večina pomanjkljivosti dejansko preveri.

  • Kaj je »false-negative«?

    »False-negative« je izraz za pomanjkljivost, ki smo jo v pregledu spregledali. Seveda so takšne pomanjkljivosti lahko zelo kritične. Če pregled nečesa ne deklarira kot nevarno, lahko uporabnik živi v lažnem prepričanju, da je odpravil vse varnostne pomanjkljivosti. To je še nevarnejše od zavesnega sprejetja tveganja za znano pomanjkljivost.

    Seveda je razlogov, zakaj je bila določena pomanjkljivost spregledana, lahko zelo veliko. Bistveno pri pregledu je, da se:

    • uporabljajo različna orodja,

    da se enaki testi ponovijo večkrat v različnih časovnih obdobjih.

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]