Ograniczenie kosztu i złożoności. związanych z zarządzaniem lukami w zabezpieczeniach sieci WWW

Transkrypt

1 OPRACOWANIE TECHNICZNE: Ograniczenie kosztu i złożoności związanych z zarządzaniem lukami w zabezpieczeniach sieci WWW Opracowanie techniczne Ograniczenie kosztu i złożoności związanych z zarządzaniem lukami w zabezpieczeniach sieci WWW

2 Ograniczenie kosztu i złożoności związanych z zarządzaniem lukami w zabezpieczeniach sieci WWW Spis treści Zapotrzebowanie na uproszczoną ocenę luk w zabezpieczeniach sieci 3 Niezabezpieczone luki to zagrożenie dla strony internetowej nowe luki w zabezpieczeniach 3 Wzrost liczby ataków na sieć WWW o 93% 3 Tradycyjne rozwiązania są kosztowne i złożone Uproszczone wykrywanie luk w zabezpieczeniach sieci WWW: podejście zarządzane Usługa oceny luk w zabezpieczeniach witryn w skrócie 4 Ocena luk w zabezpieczeniach witryn a skanowanie pod kątem destrukcyjnego oprogramowania 4 Konfigurowanie usługi oceny luk w zabezpieczeniach 5 Skanowanie w poszukiwaniu luk w zabezpieczeniach 5 Sprawdzanie raportów dotyczących oceny luk w zabezpieczeniach 7 Wnioski Słownik Program typu crimeware 8 Nieautoryzowane osadzanie skryptów (XSS) 8 Kradzież tożsamości 8 Atak typu wstrzyknięcie kodu SQL 8 Luka w zabezpieczeniach 8 2

3 Zapotrzebowanie na uproszczoną ocenę luk w zabezpieczeniach sieci WWW W czerwcu 2010 r. grupa hakerów uzyskała adresy ponad 120 tys. użytkowników urządzeń Apple ipad 1 m.in. wysokich urzędników państwowych oraz przedstawicieli branży finansowej, technologicznej, mediów i przemysłu obronnego 2 wykorzystując lukę w zabezpieczeniach strony internetowej firmy AT&T. Niestety takie sytuacje zdarzają się często. Liczba ataków opartych na sieci WWW wzrosła o 93 procent w 2010 r., a każde naruszenie integralności zabezpieczeń danych spowodowało ujawnienie średnio tożsamości 3. Wyniki badania 4 przeprowadzonego niedawno przez firmę Ponemon Institute wskazują, że 90 procent respondentów padło ofiarą naruszenia integralności danych co najmniej dwukrotnie w ciągu ostatnich 12 miesięcy, a prawie dwie trzecie badanych zaobserwowało w tym okresie większą liczbę takich ataków. Naruszenie integralności danych może powodować znaczne koszty. Badania wykazują, że średni koszt przypadku naruszenia integralności w Stanach Zjednoczonych sięga 7,2 mln USD, a usunięcie skutków jednego z najpoważniejszych ataków tego rodzaju pochłonęło 35,3 mln USD 5. Luki w zabezpieczeniach informacji osobistych mogą również obniżyć poziom zaufania klientów ponad połowa użytkowników Internetu unika zakupów online 6 ze względu na obawy o potencjalną kradzież informacji finansowych. Stawka jest wysoka, zatem organizacje powinny skupić się na działaniach w zakresie zabezpieczeń, aby zapobiec tym i innym atakom. Niezabezpieczone luki to zagrożenie dla strony internetowej 6253 nowe luki w zabezpieczeniach Firma Symantec odnotowała w 2010 r. więcej luk w zabezpieczeniach niż w poprzednich latach, w których raport był publikowany. Co więcej, liczba firm, które padły ofiarą takich ataków, zwiększyła się do 1914 co stanowi wzrost o 161% w porównaniu z poprzednim rokiem. Wzrost liczby ataków na sieć WWW o 93% Rosnąca popularność zestawów do przeprowadzania ataków za pośrednictwem sieci WWW spowodowała zwiększenie liczby takich zagrożeń w 2010 r. o 93 procent w porównaniu z 2009 r. Jedną z przyczyn takiego stanu rzeczy są skrócone adresy URL. W trzymiesięcznym okresie objętym obserwacją w 2010 r. aż 65% destrukcyjnych adresów URL wykrytych w sieciach społecznościowych było adresami skróconymi. Hakerzy i inni przestępcy działający w Internecie mają dostęp do niezliczonych metod naruszania integralności, dostępności i poufności informacji oraz usług. Wiele ataków jest opartych na typowych lukach w oprogramowaniu, które zwiększają ogólną podatność komputera lub sieci na ataki. Inne metody polegają na utworzeniu nieprawidłowej konfiguracji komputera lub zabezpieczeń. Liczba znanych luk w zabezpieczeniach sięga kilkudziesięciu tysięcy, a w samym 2010 r. firma Symantec odnotowała 6253 nowe zagrożenia 7 więcej niż kiedykolwiek wcześniej. W większości przypadków twórcy oprogramowania szybko eliminują wykryte luki w zabezpieczeniach, udostępniając aktualizacje i poprawki. Mimo to organizacje nie zawsze dysponują wystarczającą ilością zasobów lub liczbą pracowników, aby utrzymać przewagę nad hakerami, którzy stale poszukują najłatwiejszych sposobów przeniknięcia do maksymalnie dużej liczby witryn w celu kradzieży poufnych danych lub zainstalowania destrukcyjnego kodu. 1 CNET News AT&T Hacker Indicted, Report Says (7 lipca 2011 r.) 2 CNET News, AT&T Web Site Exposes Data of 114,000 ipad Users (10 czerwca 2010 r.) 3 Raport firmy Symantec na temat zagrożeń bezpieczeństwa pochodzących z Internetu, wydanie 16 (marzec 2011 r.) 4 Ponemon Institute, Perceptions About Network Security (czerwiec 2011 r.) 5 Ponemon Institute i firma Symantec, 2010 Annual Study: U.S. Cost of a Data Breach (marzec 2011 r.) 6 Javelin Strategy and Research: 2011 Identity Fraud Survey Report. Marzec 2011 r. 7 Raport firmy Symantec na temat zagrożeń bezpieczeństwa pochodzących z Internetu, wydanie 16 (marzec 2011 r.) symantec.com/business/threatreport / 3

4 Najbardziej niebezpieczne są ataki automatyczne, takie jak ataki polegające na wstrzyknięciu kodu SQL, które służą do uzyskiwania dostępu do bazy danych, oraz nieautoryzowane osadzanie skryptów w witrynach umożliwiające dodawanie kodu wykonującego określone działania. Metody te umożliwiają atakującym przejęcie kontroli nad aplikacjami WWW i dostęp do serwerów, baz danych oraz innych zasobów. Po uzyskaniu dostępu do tych zasobów przestępcy mogą przejąć numery kart kredytowych i inne prywatne informacje klientów. Firma Symantec odnotowała w 2010 r. ponad 3 mld przypadków ataków destrukcyjnego oprogramowania, zaś liczba ataków opartych na sieci WWW wzrosła o prawie 90 procent od 2009 r. Jedną z przyczyn jest wzrost popularności zautomatyzowanych skryptów i zestawów do przeprowadzania ataków na sieć WWW. Zestawy te zawierają zwykle gotowy destrukcyjny kod, wykorzystujący luki w zabezpieczeniach i ułatwiający przeprowadzanie masowych ataków w celu kradzieży tożsamości lub innych działań. Tradycyjne rozwiązania są kosztowne i złożone Wraz ze wzrostem ryzyka ataków opartych na sieci WWW i naruszenia integralności danych zarządzanie lukami w zabezpieczeniach staje się coraz trudniejsze. Wiele tradycyjnych rozwiązań jest przeznaczonych dla dużych przedsiębiorstw, które muszą spełniać wysokie wymagania dotyczące zgodności, takie jak standard bezpieczeństwa danych PCI (Payment Card Industry). Rozwiązania te są precyzyjnie dostosowane do wymogu wykrywania określonej liczby zagrożeń, zaś część z nich generuje duże ilości niepotrzebnych danych na temat luk o niskim priorytecie, co może opóźnić zastosowanie niezbędnych środków zaradczych. Nic zatem dziwnego, że prawie połowa organizacji uczestniczących w badaniu firmy Ponemon Institute wskazuje złożoność i ograniczony dostęp do zasobów informatycznych jako najważniejsze przeszkody we wdrożeniu rozwiązań do ochrony sieci, natomiast aż 76 procent z nich oczekuje uproszczenia obsługi zabezpieczeń w sieci. Uproszczone wykrywanie luk w zabezpieczeniach sieci WWW: podejście zarządzane Aby zapewnić sobie ochronę przed hakerami, organizacje potrzebują elastycznego rozwiązania, które ułatwia szybkie identyfikowanie najważniejszych luk w stronach internetowych. Usługi oferowane przez firmę Symantec to prosty, oparty na chmurze obliczeniowej mechanizm oceny luk w zabezpieczeniach, który pozwala szybko określać najsłabsze punkty witryny i podejmować odpowiednie działania zaradcze. Usługa oceny luk w zabezpieczeniach witryn w skrócie Usługa oceny luk w zabezpieczeniach firmy Symantec ułatwia szybkie identyfikowanie słabych punktów strony internetowej. Usługa jest dostępna bezpłatnie przy zakupie certyfikatów SSL Symantec Premium, Pro i Extended Validation (EV). Uzupełnia ona dotychczasową ochronę o następujące możliwości: Automatyczne cotygodniowe skanowanie publicznych stron WWW, aplikacji internetowych, oprogramowania serwerów i portów sieciowych w poszukiwaniu luk w zabezpieczeniach. Dostęp do raportu umożliwiającego działanie, który zawiera opis luk o znaczeniu krytycznym wymagających natychmiastowego zbadania, oraz zestawienie elementów stwarzających mniejsze zagrożenie. Funkcja ponownego skanowania witryny w celu potwierdzenia rozwiązania problemów. Ocena luk w zabezpieczeniach witryn a skanowanie pod kątem destrukcyjnego oprogramowania Ocena luk w zabezpieczeniach stron internetowych obejmuje skanowanie punktów potencjalnego naruszenia integralności i odpowiednie raporty na ten temat. Funkcja skanowania w poszukiwaniu destrukcyjnych programów próbuje wykryć szkodliwe oprogramowanie, które już działa w witrynie i sieci firmowej. Jeśli w witrynie znajduje się destrukcyjne oprogramowanie, prawdopodobnie została naruszona integralność danych. Usunięcie luk w zabezpieczeniach witryny umożliwia powstrzymanie potencjalnych ataków, w tym destrukcyjnego oprogramowania. 4

5 W połączeniu z certyfikatem SSL firmy Symantec i codziennym skanowaniem zagrożeń w stronie internetowej usługa pozwala na zapewnienie ochrony zasobów WWW i klientów firmy. Konfigurowanie usługi oceny luk w zabezpieczeniach Obecni lub nowi klienci albo użytkownicy odnawiający subskrypcję mogą włączyć usługę oceny luk w zabezpieczeniach za pośrednictwem narzędzia Symantec Trust Center, Symantec Trust Center Enterprise lub konsoli zarządzania infrastrukturą PKI certyfikatów SSL*. Usługa obejmuje tę samą kwalifikowaną nazwę domeny (FQDN), która jest używana jako wspólna nazwa powiązanego certyfikatu SSL. W przypadku ochrony wielu domen za pomocą certyfikatów SSL ocenę luk w zabezpieczeniach można aktywować dla każdej z nich za pomocą konsoli zarządzania. *Opcje konfiguracji alertów mogą się różnić w zależności od używanej konsoli zarządzania Skanowanie w poszukiwaniu luk w zabezpieczeniach Usługa oceny luk w zabezpieczeniach umożliwia sprawdzanie punktów dostępu używanych do przeprowadzania typowych ataków. Pierwsza operacja skanowania rozpocznie się w ciągu 24 godzin od aktywacji. Następnie witryna będzie skanowana automatycznie co tydzień, a użytkownik może ponownie przeskanować witrynę w dogodnym momencie. Usługa oceny luk w zabezpieczeniach skanuje wszystkie często używane porty sieciowe łącznie ponad Skanowanie wykrywa większość typowych luk w zabezpieczeniach, m.in. nieaktualne programy lub oprogramowanie bez zainstalowanych poprawek, ataki typu XSS i wstrzyknięcie kodu SQL oraz tylne wejścia. Usługa jest często aktualizowana po wykryciu nowych luk. 5

6 Tabela 1. Szczegółowe informacje na temat skanowania za pomocą usługi oceny luk w zabezpieczeniach Obszar Poziom sieci Oprogramowanie serwera WWW Oprogramowanie SMTP Usługi Telnet Usługi SSH Usługi FTP Platformy sieci WWW Luki w zabezpieczeniach aplikacji WWW Potencjalne problemy z użytkowaniem certyfikatów SSL Nieszyfrowana transmisja danych Przykłady skanowanych elementów Podstawowe sondowanie portów i analiza danych w celu nieinwazyjnego identyfikowania potencjalnych luk w zabezpieczeniach. Serwer HTTP Apache (i popularne dodatki) Microsoft IIS Tomcat JBoss Sendmail Postfix Microsoft Exchange Server Systemy Unix OpenSSH Oprogramowanie SSH.com Popularne demony FTP Microsoft ASP.NET, Adobe JRun, Adobe ColdFusion, Perl, PHP, ColdFusion, ASP/ASP.NET, J2EE/JSP Popularne systemy CMS (WordPress, Django, Joomla, Drupal itd.) Aplikacje e-commerce (CubeCart, ColdFusion Shopping Cart, KonaKart itd.) Oprogramowanie do zarządzania siecią WWW (phpmyadmin) Oprogramowanie forum Aplikacje do monitorowania reklam/statystyk Ataki odbijające typu XSS Podstawowe ataki typu wstrzyknięcie kodu SQL Niezaufane certyfikaty SSL (podpisane przez nieznany urząd CA) Kontrola samodzielnie podpisanego certyfikatu Niezgodność wspólnej nazwy certyfikatu Użycie słabego mechanizmu szyfrowania Nieważne lub wycofane certyfikaty Strony logowania z przesyłaniem formularzy docelowych bez szyfrowania SSL W przypadku wykrycia luki w zabezpieczeniach podczas skanowania i podjęcia określonych działań zaradczych użytkownik może poprosić o ponowne przeskanowanie witryny w celu potwierdzenia rozwiązania problemu. 6

7 Sprawdzanie raportów dotyczących oceny luk w zabezpieczeniach Po ukończeniu skanowania luk w zabezpieczeniach można uzyskać pełny raport PDF na temat witryny z programu Symantec Trust Center, Symantec Trust Center Enterprise lub z konsoli zarządzania infrastrukturą PKI certyfikatów SSL. W przypadku wykrycia luk o znaczeniu krytycznym w konsoli zostanie uruchomiony alarm. Każdy raport zawiera dane umożliwiające pracownikom działu informatyki zbadanie problemów i poinformowanie o nich kierownictwa. Raport wskazuje najważniejsze luki w zabezpieczeniach wraz z informacjami o ryzyku, istotności, powiązanych zagrożeniach i potencjalnych konsekwencjach. Raport zawiera także opis działań naprawczych, które trzeba podjąć w celu rozwiązania każdego problemu. Wnioski Hakerzy i przestępcy internetowi nieustannie doskonalą metody ataków i precyzują cele. Firmy potrzebują elastycznych narzędzi zapewniających przewagę. Dzięki zautomatyzowanej usłudze oceny luk w zabezpieczeniach, która pozwala na zidentyfikowanie potencjalnych słabych stron i działań naprawczych, można ograniczyć ryzyko skutecznego ataku na witrynę firmową. Usługa oceny luk w zabezpieczeniach firmy Symantec ułatwia ograniczenie kosztów i złożoności związanych z zarządzaniem zabezpieczeniami dzięki zautomatyzowanym operacjom skanowania, rzetelnym raportom oraz architekturze opartej na chmurze obliczeniowej, która nie wymaga instalacji ani konserwacji oprogramowania. Rozwiązanie stanowi optymalny wybór w przypadku organizacji, które chcą szybko oceniać zakres luk w zabezpieczeniach witryny. Usługa oceny luk w zabezpieczeniach firmy Symantec jest także idealna dla organizacji, które korzystają już z podobnego rozwiązania zapewniającego zgodność z przepisami, takimi jak PCI, i potrzebują uzupełniającego narzędzia pozwalającego na weryfikację wyników oraz poprawę zabezpieczeń. W połączeniu z certyfikatem SSL firmy Symantec i codziennym skanowaniem luk w zabezpieczeniach witryn usługa oceny pozwala na zapewnienie ochrony witryny i klientów. 7

8 Słownik Program typu crimeware Program typu crimeware to program służący do popełnienia przestępstwa. Podobnie jak wiele jest rodzajów przestępstw internetowych, pojęcie programu typu crimeware obejmuje szeroką gamę destrukcyjnego lub potencjalnie destrukcyjnego oprogramowania. Nieautoryzowane osadzanie skryptów (XSS) Atak umożliwiający wprowadzenie nieautoryzowanego skryptu omijającego mechanizmy zabezpieczające przeglądarki. Kradzież tożsamości Jest to kradzież tożsamości innej osoby i podszycie się pod nią w celu dokonania oszustwa lub innego przestępstwa. Atak typu wstrzyknięcie kodu SQL Atak internetowy umożliwiający osobie z zewnątrz wydanie nieautoryzowanego polecenia SQL z wykorzystaniem niezabezpieczonego kodu części witryny połączonej z Internetem. Po wydaniu takiego polecenia można uzyskać dostęp do poufnych informacji przechowywanych w bazie danych oraz hostów w organizacji. Luka w zabezpieczeniach Luka w zabezpieczeniach (uniwersalna) to stan komputera lub zbioru komputerów, który umożliwia osobie atakującej wykonywanie poleceń w imieniu innego użytkownika, dostęp do danych niezgodny z określonymi ograniczeniami dotyczącymi tych danych, podszywanie się pod inny podmiot lub przeprowadzenie ataku typu odmowa usługi (DoS, denial-of-service). 8

9 Więcej informacji Odwiedź naszą stronę internetową Usługa oceny luk w zabezpieczeniach firmy Symantec jest dostępna bez opłat przy zakupie certyfikatów SSL Symantec Premium, Pro i Extended Validation (EV). Dodatkowo firma Symantec wskazała liderów branżowych, którzy ułatwiają wyeliminowanie luk w zabezpieczeniach oraz utrzymanie optymalnej wydajności witryny i sieci. Do grona polecanych podmiotów należą m.in. konsultanci i dostawcy oprogramowania, którzy specjalizują się w usuwaniu luk w zabezpieczeniach. Więcej informacji na temat certyfikatów SSL firmy Symantec można uzyskać, telefonując pod numer lub + 41 (0) , albo wysyłając wiadomość na adres: talk2us-ch@symantec.com. Kontakt ze specjalistą ds. produktu Numer telefonu: lub + 41 (0) Firma Symantec informacje Firma Symantec jest światowym liderem w dziedzinie zarządzania zabezpieczeniami, pamięcią masową i systemami, który pomaga klientom indywidualnym i organizacjom administrować danymi w bezpieczny sposób. Nasze oprogramowanie oraz usługi skutecznie i wydajnie chronią przed wieloma zagrożeniami, zapewniając bezpieczeństwo podczas korzystania z informacji niezależnie od miejsca ich przechowywania. Symantec Poland Sp. z o.o. ul. Postępu 17A Warszawa, Polska Symantec Corporation. Wszelkie prawa zastrzeżone. Nazwa Symantec, logo Symantec, logo Checkmark oraz nazwa Norton Secured i logo Norton Secured są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej oddziałów, zarejestrowanymi w USA i w innych krajach. Nazwa VeriSign oraz inne powiązane znaki są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy VeriSign, Inc. lub jej oddziałów w Stanach Zjednoczonych i innych krajach. Firma Symantec Corporation uzyskała na nie licencję. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli.