Wanneer we momenteel een nieuwe server implementeren, doen we een Nessus-scan op de server vanuit de firewall en doen we een firewall-audit om te verifiëren dat alleen de gewenste poorten open zijn op de firewall (aangezien we af en toe IP-adressen recyclen).

Wat doet u in uw organisatie? Denk je dat het genoeg is? Wat zou je doen als je kon?

answer

Vertrouw nooit, maar dan ook nooit op één tool. Nessus is een goed begin, maar volg het op met extra scanners en audittools - hoe meer hoe beter.

GFI Languard, eEye Retina, Lumension Scan (voorheen Harris STAT), zijn allemaal leuk om te hebben, hoewel je wel geld moet uitgeven om ze te krijgen. Ze zullen enige overlap hebben, maar elk voert ook unieke controles uit, zodat ze elkaar alleen maar kunnen aanvullen bij het beoordelen hoe kwetsbaar een machine is. Natuurlijk moet u elke bevinding met gezond verstand controleren om valse positieven uit te sluiten - meerdere hulpmiddelen helpen hierbij.

Als u van plan bent om naast OS-scanners ook databases te hosten, kunt u overwegen AppDetectivePro te gebruiken. Ga voor websites naar HP WebInspect of Paros. Voor netwerkwachtwoordcontroles is Cain & Abel geweldig - maar zorg ervoor dat u toestemming hebt om het te gebruiken, met name enkele van de meer geavanceerde functies.

Ik raad aan om enkele van de open source-tools te bekijken -- nmap is een uitstekende manier om te zien welke poorten open zijn op een machine, samen met netcat om willekeurige gegevens te verzenden. Gebruik Wireshark om het netwerkverkeer dat van de host komt op te snuiven, hetzij via een spanpoort of een netwerktap, en analyseer de resultaten - dit helpt vaak bij het identificeren van onnodig en onveilig (zoals telnet, FTP en elke versie van SNMP onder v3) netwerk protocollen. SNMP lees-/schrijfreeksen zijn in feite wachtwoorden -- en SNMP v1 en v2 (of 2c) zijn volledig leesbare tekst. Gebruik ze niet en schakel ze uit als u dat wel bent.

Bekijk ten slotte, maar waarschijnlijk het belangrijkste, de NSA-configuratiehandleidingen voor het relevante besturingssysteem (als ze er een publiceren), de DISA Security Technical Implementation Guides van DoD, evenals de Microsoft Security Guides voor Microsoft-besturingssystemen. Deze kunnen u helpen bij het bouwen van een aantal gevalideerde, geharde machines en zouden een startpunt moeten zijn voor elke veilige systeemopbouw. Als u weet wat uw oorspronkelijke configuratie is, kunt u in grote mate bepalen of een systeem is gecompromitteerd, of zelfs maar of een bepaalde kwetsbaarheid uw omgeving beïnvloedt.

Een opmerking -- altijd, altijd een back-up van het systeem maken voordat u beveiligingsgerelateerde wijzigingen aanbrengt -- vooral als u de NSA- of DISA-handleidingen gebruikt -- ze richten zich op beveiliging, niet noodzakelijkerwijs operaties, als u begrijpt wat ik bedoel.

Nessus is een redelijk goed begin, omdat het kwetsbaarheidsbeoordelingen kan uitvoeren die iets diepgaander zijn dan alleen poortscannen en banner grabbing.

Een ding dat ik zou aanraden is om het niet te laten staan ​​zoals "we hebben de scan gedaan, het was ok, niets anders te doen" en misschien nieuwe scans te plannen om te controleren op configuratiewijzigingen.

Hoewel dit een goed begin is, gaat er niets boven handmatige opsomming van kwetsbaarheden / verkeerde configuraties. Maar dit kost natuurlijk tijd, energie en geld, ze zijn misschien niet de moeite waard.

Hebt u het gevoel dat de tijd, het geld en de energie die u steekt in het beveiligen van deze servers, wordt gecompenseerd door de kosten van bedrijfsverlies, verlies van gegevens, juridische stappen als uw gegevens buiten uw controle vallen?

U kunt nessus ook gebruiken om een ​​audit uit te voeren door in te loggen op een box en een auditscript uit te voeren op Windows en Unix. Tenable levert er een aantal voor PCI DSS, CIS Benchmark en de NSA Rhel5-gids.

We hebben een basislijn waarop alle machines zijn geïnstalleerd, met toevoegingen voor alle geïnstalleerde applicaties. Dit omvat een enorm scala aan dingen die moeten worden gecontroleerd, van open poorten tot setuig/gid-uitvoerbare bestanden tot strikte toegangscontrolecontroles. Alle wijzigingen die worden aangebracht, moeten worden geregistreerd en gekoppeld aan ons ticketingsysteem, waarbij alle wijzigingen worden goedgekeurd door het wijzigingsbeheer. Regelmatig voeren we scans uit om er zeker van te zijn dat alles is zoals het zou moeten zijn. Als dat niet het geval is, kunnen we uitzoeken wie de wijzigingen heeft aangebracht aan de hand van de audittrail die we in alle systemen hebben geïmplementeerd.

Dus op elk moment hebben we in een configuratie-DB precies hoe de machine eruit zou moeten zien, zowel van buitenaf met behulp van nessus en andere tools om het te controleren, en van binnenuit met behulp van nessus en de compliance-plug-in. Dus wanneer auditors verrassingsbezoeken afleggen en ons laten aantonen dat we de status van een willekeurige server kennen, kunnen we dit doen en ook een auditspoor bieden om aan de naleving te voldoen.

Niets van dit alles is gemakkelijk of leuk om in te stellen. Maar in de markt waarin we ons bevinden, moeten we voldoen aan de nalevingsvereisten, dus iemand moet dit in gang zetten.