Skanowanie i weryfikacja podatności. Tomasz Zawicki CISSP Passus SA

Transkrypt

1 Skanowanie i weryfikacja podatności Tomasz Zawicki CISSP Passus SA

2 1. Podatności

3 Podział podatności Techniczne Systemów operacyjnych i oprogramowania Aplikacji WEB Konfiguracji Czynnika ludzkiego Użytkowników Deweloperów Administratorów

4 Jak przeprowadzane są ataki? Najczęściej wykorzystywane techniki: Próby wykorzystywania istniejących podatności Bazowane na słabości czynnika ludzkiego Malware Wektory ataku: Serwery, konta użytkowników Stacja robocza pracownika Ataki na webaplikacje

5 2. Hakerzy i przestępcy

6 Motywy Sprawdzenie własnych umiejętności i budowanie reputacji Działania ideologiczne, protesty: ośmieszenie, deface Przestępstwa: unieruchomienie usługi DOS kradzież lub szantaż walka z konkurencją szpiegostwo

7 3. Zagadnienia wspólne

8 Słownik Vulnerability - podatność, wrażliwość, słaby punkt Security hole - luka bezpieczeństwa, dziura systemowa Patch aktualizacja, aktualizacja bezpieczeństwa, łata Vulnerability scanner skaner podatności Vulnerability management zarządzanie podatnościami

9 Czas życia podatności Podatność istnieje od czasu wydania oprogramowania lub utworzenia niebezpiecznej konfiguracji Opublikowanie aktualizacji często nie powoduje zniknięcia podatności Czynnik ludzki jest zdolny do wygenerowania luki w dowolnym czasie

10 Klasyfikacja podatności Organizacje bezpieczeństwa tworzą opis podatności i klasyfikują ryzyko jej wykorzystania: MITRE - cve.mitre.org, oval.mitre.org NIST - nvd.nist.gov FIRST - first.org (Common Vulnerability Scoring System, max 10) Producenci systemów zarządzania podatnościami definiują podatne systemy i tworzą metody wykrywania ich poprzez sieć lub agentów programowych Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji

11 Wykorzystywanie podatności (podejście technicznie) Publiczne informacje są wykorzystywane przez cyberprzestępców do opracowania exploitów Skanowanie portów identyfikuje cele i dostarcza informacji o udostępnionych usługach Okno czasowe od informacji o podatności do powstania poprawki zapewnia przewagę atakującemu 0-day zapewnia ogromną przewagę

12 Wykorzystywanie podatności (podejście socjotechnicznie) Publiczne informacje są wykorzystywane do identyfikacji stanowisk pracowniczych Dane z BIP, serwisów społecznościowych: FB, Linkedin Podatność występuje w godzinach pracy Budowanie zaufania po pracy , Facebook, Linkedin

13 4. Liczby

14 Około 5 tyś. nowych podatności r/r (SourceFire: 25-Years-of-Vulnerabilities) Producent podatnego systemu klasyfikuje podatność jako niegroźną lub rozpoczyna przygotowywanie aktualizacji (nd. Windowsa XP)

15 CVSS Common Vulnerability Scoring System Zakres oceny: 0 10 Poziom zagrożenia: od 7.0 do 10 wysoki od 4.0 do 6.9 średni od 0 do 3.9 niski

16 Minimum 33% podatności stanowi poważne luki bezpieczeństwa Źródło: Raport: 25 Years of Vulnerabilities: CVSS>7 Sourcefire Vulnerability Research Team (VRTTM)

17 Liczby Źródło: Raport: 25 Years of Vulnerabilities: CVSS>7 Sourcefire Vulnerability Research Team (VRTTM)

18 Ponad 12 tyś. nowych podatności r/r (Secunia Vulnerability Review 2014) Szacowana ilość podatności w produktach wszystkich badanych dostawców oprogramowania

19 Podział podatności 2014r. Krytyczność Wektor ataku Źródło: Secunia Vulnerability Review 2014

20 Podatności 0 day Źródła informacji o zagrożeniach: Komercyjne TippingPoint - ZDI (0 Day Initiative) Verisign idefense CERT y, agencje rządowe Gen. Keith Alexander oświadczył przed kongresem USA: Rząd USA przeznacza co roku miliardy dolarów na ochronę cyberprzestrzeni i utrzymuje dziesiątki zespołów opracowujących sposoby ataku na sieci komputerowe

21 5. Ataki

22 Przykład ataku celowanego zawierającego 0 day Temat: Nowelizacja ustawy Prawo zamówień publicznych Od: "Ministerstwo XXXXXXXXXXXXXXXX" minister@bbbb.gov.pl Do: <marta.aaaaa@bbbb.gov.pl> Treść:

23 Atak SandWorm Rozwiązanie Csecurity + Network

24 Systemy sygnaturowe nie rozpoznają exploitów 0 day 0 day plik 1.exe

25 Webaplikacje i bezpieczne usługi Publiczne usługi dostępne 7 dni w tygodniu WWW FTP

26 Podatności webaplikacji Wektor ataku: Serwery WWW i webaplikacje Klasyfikacja OWASP Top 10: A1 - SQL Injection A2 - Błędy mechanizmów uwierzytelnienia i zarządzania sesjami A3 - Cross-Site Scripting (XSS)... A9 - Używanie komponentów i bibliotek zawierających błędy bezpieczeństwa (nowa kategoria)

27 Wyciek danych, infiltracja sieci Atak na JP Morgan Chase (czerwiec-sierpień 2014) Wykradziono dane 83 milionów użytkowników Informacje: I. Atak na jedną z głównych stron świadczących usługi bankowe (inf. Bloomberg) II. Wprowadzenie do sieci JP Morgan złośliwe oprogramowanie III. atakujący zapoznali się z listą oprogramowania wykorzystywanego przez JP Morgan (inf. NYT) Słaby punkt: luka na głównej stronie

28 Infiltracja sieci, rekonesans Atak na korporacyjne data center w Polsce Incydent jest analizowany od 16 maja 2015 Informacje: I. Wykryto malware ściągany przez serwer FTP z rosyjskiego adresu IP II. Po zalogowaniu do serwera wykryto zdeaktywowanie Symantec Endpoint Protection III. Atakujący przejęli kontrole nad serwerem Słaby punkt: konfiguracja firewall a i/lub podatność

29 Wykrycie ataku na serwer FTP Wykorzystano niezidentyfikowaną lukę

30 Identyfikacja ataku nastąpiła przez wykrycie kodu malware Joomla Drupal Wordpress

31 Bootnet y na serwerach linux Malware Mayhem zaczyna funkcjonować w systemach *nix obsługujących serwery WWW, posiada funkcjonalności tradycyjnego bot a Windowsowego Botnet Mayhem wykorzystuje ShellShock

32 Hakerzy szpiegowali komputery MSZ Finlandii ( ) Fiński resort spraw zagranicznych od wielu lat był inwigilowany przez grupę hakerów, którzy uzyskali dostęp do wielu tajemnic państwowych. Fińskie władze poinformowały, że hakerzy działali na zlecenie obcego rządu lub rządów. Na ich ślad kontrwywiad trafił dopiero w 2013 roku dzięki informacji uzyskanej od innego państwa.

33 6. Błędy specjalistów

34 Błędy administratorów i programistów Cyberprzestępcy chętnie wykorzystują znane podatności: Serwerów Webaplikacji np. systemów CMS, sklepów internetowych Winny brak aktualizacji

35 Błędy administratorów i IT Firma analityczna Gartner prognozuje: W 2018 roku ponad 95% włamań, przed którymi mógłby ochronić firewall, będzie możliwych z powodu złej konfiguracji firewalla, a nie jego wady.

36 Przykład systemu weryfikującego poprawność konfiguracji urządzeń sieciowych - FireMon Funkcjonalności: Tworzenie map zasobów Symulowanie ścieżek ataku z wykorzystaniem niepoprawnych reguł firewall i na podatne systemy, których podatności zaimportowano do systemu Nadzorowanie zmian w konfiguracji zapór sieciowych Weryfikacja zgodności z regulacjami np. PCI DSS Bogate możliwości raportowania

37

38

39 7. Zamawiane testy penetracyjne

40 Metody przeprowadzania testów BlackBox sprawdzenie odporności na atak hakera Zalety: realna próba odwzorowania ataku Wady: pełne informacje o systemie mogą dostarczyć więcej informacji o podatnościach i lukach WhiteBox test bezpieczeństwa bazujący na informacjach np. o architekturze systemu i kodzie źródłowym aplikacji Zalety: Efektywny sposób zapewnienia bezpieczeństwa, szczególnie w czasie tworzenia oprogramowania Wady: Duży zakres może skutkować wysoką ceną

41 Odcienie szarości GrayBox wersja pośrednia, po ustaleniu zakresu z zespołem pentesterów, opracowywany jest plan testu. Celem jest najkorzystniejsze wykorzystanie czasu i przeprowadzenie efektywnego testu. Wybór doświadczonego zespołu i ustalenie właściwego zakresu zapewnia najlepsze efekty. Ograniczenie zakresu testów wymusza tzw. poszukiwanie nisko wiszących owoców.

42 Dlaczego warto? Zasada ograniczonego zaufania kontrola własnej pracy jest subiektywna. Określenie poziomu zabezpieczeń wymaga obiektywnej oceny. Korzystanie z usług specjalistów dysponujących wiedzą przewyższającą przestępców. Umowa NDA zapewnia poufność i gwarantuje bezpieczeństwo

43 Z socjotechniką czy bez? Pentesterzy zalecają przeprowadzenie testów odtwarzających najczęstsze scenariusze ataku. Unikanie informowania o przeprowadzaniu testów Użytkownicy: 18% otworzy link w mailu phishingowym 8% kliknie w załącznik 8% wypełni formularz Kampania skierowana do 20 osób zwykle kończy się sukcesem Raport Verizon 2014r.

44 Narzędzie przeprowadzające zautomatyzowane testy Weryfikacja raportu skanera podatności i systemów zarządzających podatnościami Definiowanie zakresu testu wg potrzeb Brak ograniczeń w ilości przeprowadzanych testów

45 Weryfikacja podatności przy pomocy exploitów Narzędzie lub system przeprowadzający testy penetracyjne importuje wynik działania skanera podatności Wykluczone występowanie False Positive (FP) Możliwość wykonywania testu na szeroko zdefiniowanym zakresie w dowolnym czasie Możliwość testowania w dni wolne od pracy lub w godzinach nocnych

46 8. Zarządzanie podatnościami

47 Skanowanie nie wystarczy Skaner podatności: Narzędzie rozpoznające Wynik działania: raport dla administratorów, specjalistów IT Mogą występować False Positive (FP) Systemy do zarządzania podatnościami to: PLUS Skaner podatności Baza zasobów: serwery, stacje robocze, serwisy WEB owe Weryfikacja zgodności z regulacjami prawnymi System do koordynacji działań, stała analiza podatności

48 Skuteczność procesu zarządzania podatnościami warunkują m.in.: kompletność i jakość bazy aktywów objętych procesem czas wykrycia podatności w systemie efektywność testowania środków naprawczych przed ich produkcyjnym wdrożeniem Identyfikacja wszystkich aplikacji Skanowanie środowiska Badanie wykrytych podatności Źródło: janusznawrat.wordpress.com

49 Zarządzanie ryzykiem Ryzyko wobec bezpieczeństwa Poziom krytyczności Liczb potwierdzonych, raportowanych podatności Ryzyko biznesowe Pozwala nadać priorytet usunięcia podatności w procesie napraw

50 Rozliczność procesu naprawczego Automatyczne generowanie dyspozycji naprawy Bazujące na przypisanej polityce do grupy zasobów lub tagu Zlecenie oparte o Poziom zagrożenia, Wartość biznesową, Posiadacza zasobu Uruchamianie skanowań weryfikujących 50

51 Zgodność Policy Compliance Regulacje prawne Prawo RP Prawo międzynarodowe Pozostałe regulacje PCI-DSS Cyber SEC. ISO Regulaminy bezpieczeństwa Centralne Utrzymanie standardów Regulacje i regulaminu instytucji COBIT 4.0/4.1 CIS NIST-SP Kontrola zgodności z przyjętymi standardami bezpieczeństwa ISO 17799/27001 Nie technologiczne Bezpieczeństwo fizyczne Bezpieczeństwo osobowe Technologie-IT Kontrola konfiguracji systemów operacyjnych Kontrola dostępu do aplikacji Kontrola procesów Kontrola zmian HR Kontrola rekrutacji Powiązanie IT z aspektami organizacyjnymi 51

52 Qualys w szczegółach Funkcjonalności platformy: Continous Monitoring - nadzorowanie styku z Internetem Skanowanie zasobów (sprzęt, serwery i aplikacje) Identyfikowanie podatności Monitorowanie zmian w konfiguracji Certyfikaty - SSL Server Test

53 Podsumowanie

54 Proaktywość Aktywnie: uzyskanie wyniku pracy skanerów bezpieczeństwa nie zaczyna ani nie kończy zarządzania podatnościami. Proaktywnie: stosowanie systemu zarządzania podatnościami informacje o 0 day klasyfikacja systemów

55 Ochrona ofensywna Testy penetracyjne wspomagane oprogramowaniem: próba użycia exploitów wobec podatnych systemów wykonanie kampanii z zastosowaniem socjotechnik testowanie bezpieczeństwa webaplikacji Testy manualne: odpowiedniego typu właściwy zakres

56 Wszechobecne aplikacje mobilne

57 Co potrafi latarka?

58 Świeci - widzi, słyszy i co jeszcze?

59 Niezliczona ilość ataków (Verizon DATA BREACH INVESTIGATIONS REPORT) Raport współtworzony przez 50 organizacji, w tym Cert.pl

60 ? Dyskusja czego najbardziej się boimy?