IT Business Services Magyarország Kft.
ESETTANULMÁNY
Informatikai eszközök sérülékenység vizsgálata McAfee Foundstone FS1000 eszközzel
ÚJ, Foundstone 6.5-ös verzióra aktualizált változat!
Készítette: Székhely: Kapcsolattartó neve: Telefon: E-mail:
IT Business Services Magyarország Kft. 1188 Budapest, Tigriskő u. 5/a. Kaczúr Zsolt – ügyvezető 06 (20) 550 0020
[email protected]
Budapest, 2009. augusztus 21.
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
1/1
Bevezető – IT sérülékenységek és fenyegetettségek kihívása Minden szervezet a fenyegetésekről és sérülékenységekről szóló információáradattal néz szembe – már maga a puszta adattömeg is szinte lehetetlenné teheti annak a meghatározását, hogy mely fenyegetések számítanak kritikusnak és melyek bírnak kisebb jelentőséggel. A rendszergazda figyelméért versengő tételek, sérülékenységek és fenyegetések nem egyformán fontosak. A sikeres sérülékenység menedzsment annak meghatározásával kezdődik, hogy mely tételek a legfontosabbak, az adott tételek sérülékenységének azonosításával, a fenyegetésekre adott válaszokkal és a kiegyensúlyozással. Egy hatékony, prioritásalapú kockázat menedzsment nélkül egy szervezet mindig veszélyben van.
A McAfee Foundstone-ról röviden A McAfee Foundstone Enterprise egy prioritás-alapú sérülékenység-menedzsment megoldás: lehetővé teszi a szervezetek számára, hogy a hálózaton található eszközöket (operációs rendszereket, különféle adatbázisokat, Wi-Fi Access Pointokat, aktív eszközöket, stb.) különféle szabványi ajánlásokhoz (pl. ISO 17799, CoBiT, FBI Top20, stb.) hozzámérje. A talált sérülékenység komolysága és a fenyegetés kritikussága osztályozásra kerül, valamint képes kezelni és ezáltal csökkenteni a sérülékenységekhez társuló üzleti kockázatokat a fenyegetések és a közöttük levőkapcsolatok összevetésével (Threat Correlation). A Foundstone Enterprise ezen kívül nyomkövetést, helpdesk modult (Remediation), és részletes jelentéskészítést is tartalmaz.
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
2/2
Az FS 1000 appliance felépítése A McAfee Foundstone FS 1000 a Foundstone Enterprise 6.5 szoftvert futtató célhardver (appliance), amely komplett plug-and-play megoldás a sérülékenységmenedzseléshez és a kockázatok csökkentéséhez. A Foundstone FS 1000 appliance néhány óra alatt teljesen működésképes állapotba hozható, és hozzáigazítható bármilyen környezethez. A Foundstone FS 1000 típusú appliance 1U magas, RACK kivitelő Dell hardverre épül. Rendszerkövetelmények kliens oldalon •
IE 6.0 vagy újabb böngésző
Appliance: • • • •
2 GB RAM Dual 2,8 GHz-‐es Intel Xeon Pentium 4 processzor 143 GB hibatűrő tárolóhely A szerverben 2 db 10/100/1000 integrált hálózati kártya található. A Foundstone alkalmazás képes mindkét kártyát külön használni, de alapvetően elég az egyik kártyát a hálózatba kötni.
A Foundstone Enterprise 6.5 verziószámú alkalmazás Windows 2003 operációs rendszer alatt, MS SQL 2005 adatbázis és IIS 6.0 webszerver segítségével fut.
Az FS1000 szerver nagymértékben módosított, gyárilag megerősített Windows 2003 operációs rendszerű, de különféle hardening eszközökkel a legtöbb Windows funkció és szerviz, valamint a hálózati portok tiltásra kerültek. A különféle hardening mechanizmusok hatására a szerver mint appliance működik, a teljesítménye és a működése nagymértékben optimalizált. Ezért a Foundstone programon kívül egyéb program telepítése nem javasolt (pl. víruskereső, tűzfal, Host IDS programok, stb.). A Windows operációs rendszerhez, valamint az MSSQL szerverhez kiadott szervizcsomagok és hotfix-ek telepíthetők és javasolt is a telepítésük (Windows Update-en keresztül). Megjegyzés: A FoundStone Enterprise 6.5 verzióját sikeresen teszteltük Windows 2003 SP2 operációs rendszerre történő frissítése mellett is, Internet Explorer 7.0 böngészővel.
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
3/3
Az FS 1000 appliance beüzemelése és finomhangolása Az FS 1000 mintegy fél óra alatt üzemkésszé tehető. A szükséges alapvető hálózati paraméterek megadása, valamint az aktuális frissítések letöltése után azonnal lehetővé válik a szervezetek számára, hogy ellenőrzésük alá vonhassák a hálózaton megtalálható eszközeiket. Természetesen az eszközön keresztül elérhető intranet portál csak az előre meghatározott felhasználói jogosultságokkal érhető el, így külön választható, hogy kinek van joga új sérülékenység vizsgálatot kezdeményezni, és azt milyen IP tartományokra teheti meg. Külön kezelhető a futtatást elrendelők és a hibajavítást végzők csoportja, valamint mód van arra, hogy a vezetők az éppen aktuális állapotot mutató grafikus riportot megtekinthessék. Természetesen ehhez az is szükséges, hogy az eszköz alap beállításai után a felhasználókat különféle csoportokba rendezzük, illetve az egyes IP címtartományok szerint meghatározott „szervezeti egységeket” hozzunk létre. A „Host Asset Scan” funkcióval felderíthetők különféle technikákkal (TCP és UDP port szkenneléssel) a hálózaton megtalálható eszközök, amelyeket ezután kritikusságuk szerint 5 csoportba oszthatunk be. A felderítéskor az eszköz típusa, neve, IP címe, operációs rendszere is meghatározásra kerül. A későbbi vizsgálatok eredménye az itt megadott kritikussági szint alapján kerül súlyozásra.
Vizsgálatok lefolytatása
A vizsgálatok lefuttatásához több ezer vizsgálható sérülékenységből és ajánlott beállítások ellenőrzéséből választhatunk. Ezen lista folyamatosan bővül, az érvényes licenc birtokában a Foundstone Research központi adatbázisán keresztül manuálisan vagy automatikusan elérhető frissítések révén. A vizsgálat összeállítását megkönnyítendő, különböző gyári template-ek állnak rendelkezésünkre, amelyeket felhasználva már könnyedén összeállíthatjuk a cégünkhöz leginkább megfelelő vizsgálat típust. Alapvetően kétféle vizsgálat típust különböztet meg a Foundstone: a „Non-intrusive” és az „Intrusive” tesztekből és különféle szabványi ajánlásokból álló vizsgálatok alapján hajszálpontosan állapítja meg a sérülékenységeket. (A vizsgálatok időzítve is futtathatók). Míg az Intrusive tesztek brute-force alapúak, valamint egyéb nem szabványos formában küldött forgalmakkal támadó behatolás vizsgálatot is tartalmaznak (FTP, Web szerverek, levelező szerverek, adatbázisok illegális belépésére), addig a Non-intrusive vizsgálat az esetek 99%-ában semmiféle „panasszal” nem jár. Ettől függetlenül a vizsgálatok elvégzése előtt nem árt az óvatosság: a szükséges biztonsági mentések, valamint az üzemidőn kívüli időpontban
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
4/4
történő vizsgálat mellett sem árt, ha a kritikus eszközöket felügyelő mérnök gárda követi nyomon a futtatás menetét, hiszen tapasztalatunk szerint az egyedileg fejlesztett és a „nem-tipikus” fejlesztésű alkalmazásokban okozhat váratlan leállást egy-egy vizsgálat. Ez nem az eszköz hibája, egyszerűen az ilyen eseteknél szokott felszínre kerülni a nem megfelelő kivételkezeléssel íródott applikációk hibája… Az eszköz az alábbi szabványi ajánlások által összeállított template-eket tartalmazza: • • • • • •
Federal Information Security Management Act (FISMA) Health Insurance Portability and Accounting Act (HIPAA) International Standards Organization (ISO) standards 17799 (United States) and BS7799 (United Kingdom), "Code of Practice for Information Security Management; Non-‐Intrusive Scan Payment Card Industry (PCI) SANS/FBI Top 20 Sarbanes-‐Oxley
Vizsgálatok kiértékelése Természetesen a vezetők, illetve a rendszergazdák összefoglaló hirdetőtáblán azonnal értesülhetnek a hálózatukon lévő eszközök aktuális állapotáról különböző szempontok szerint csoportosítva. Mégis, a látványos grafikonok mellett a rendszergazdákat a mindenre kiterjedő részletességű riport érdekelheti igazán. Mivel a Foundstone alapvetően Asset-alapú orvoslás menedzselést folytat, meghatározható, hogy az egyes eszközöknek ki a gazdája. Sérülékenység észlelésekor így a megfelelő beállítások után hibajegy generálható az illetékes szakembereknek, akik már csak az adott eszközre érvényes sérülékenységekkel foglalkozhatnak. A hibajegy tartalmaz megoldási javaslatokat is, ez alapján az adott sérülékenységek kezelhetők. A hibajegy lezárása, valamint a hibajegy egyéb állapotai is nyomon követhetıek (pl. folyamatban, stb.). Az egy adott hiba és a hibára adott javítási javaslat esetében a hiba elhárításán túl a szabványi megfelelőséghez kötve különféle javaslatokat is olvashatunk. Természetesen a HTML riportok mellett lehetőség van PDF, CSV és XML riportok generálására is, így a jelentések elmenthetők és feldolgozhatók egyéb programokkal is. Az egyes futtatások eredményei nem csak a portálon olvashatóak, hiszen a program különböző szempontok szerint képes riasztások generálására is, amely azt jelenti, hogy egy új sérülékenység felbukkanásáról azonnal értesülhetünk.
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
5/5
Fenyegetettségek priorizálása Az egyes sérülékenységek besorolása (Magas, Közepes, Alacsony, Informatív) a szoftvergyártók általi osztályozás alapján kerülnek meghatározásra. Azonban a Foundstone képes összevetni és kiemelni azon sérülékenységeket, amelyek egy kritikus Host esetében jelennek meg (amennyiben az eszközök kritikusságát már előre beállítottuk). Ezen felül a Foundstone egy saját, folyamatosan frissülő adatbázisa alapján arra is képes, hogy összevesse, hogy a tapasztalt sérülékenység mennyire fenyegeti a rendszerünket. Hiszen előfordulhat pl. egy magas besorolású sérülékenység, amelynek a fenyegetettsége alacsony, mert nem készült hozzá a sérülékenységet kihasználó exploit. Az aktuális sérülékenységek, az azt kihasználó kártékony kódok közötti trendek kimutatására a Threat Correlation modul szolgálhat. Ezzel priorizálni lehet, hogy mely Host-ok a legfenyegetettebbek a hálózaton.
A Foundstone Enterprise 6.5 rendszer főbb újdonságai Az FS 1000 appliance-en futó Foundstone Enterprise szoftver fejlesztése töretlen lendülettel halad. Jelen cikk írója immáron több éve használja az eszközt sérülékenységek felmérésére. Az évek során (az akkori 4.2-es verzió óta) számos újítás érte a szoftvert és egy-egy újabb verzió valóban jelentős változásokat hoz, nem csak hibajavítást takar! A Foundstone 6.5 verzió újdonságai (többek között): Újdonságok Audit Mode Centralized Scan Management Asset Synchronization with AD/LDAP
Előnyök
Periodikusan lekérdezhető asset információ Microsoft Windows Active Directory vagy más egyéb szabványos LDAP címtárból
User definied SNMP strings UI for MyWindows Policy Újabb Java verzió használata
Végszó - ajánlás A saját tesztjeink alapján a Foundstone FS 1000 kellőképpen gyors, emellett teljes alaposságú vizsgálatot képes végrehajtani nem csak operációs rendszer, de ismertebb üzleti alkalmazások, valamint adatbázisok, WiFi Access Pointok, hálózati eszközök
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
6/6
(routerek, switchek) és IP nyomtatók esetében is. Átlagban 1 percet vesz igénybe 1 host vizsgálata (Windows alapú rendszereknél ez átlag 2 percre nő). Természetesen a vizsgálat ideje nagyban függ az adott gépen található nyitott portok / alkalmazások számától, valamint a patch szintjétől. A Windows alapú rendszerek felmérése különösen hatékony, amennyiben az adott gépeken a Microsoft Networks és a File and Print szervizek futnak, valamint a mélységi vizsgálatot aktiváljuk – ehhez a Foundstone vizsgálat összeállításakor egy adminisztrátori jogosultság megadása mellett van lehetıségünk. Az aktív eszközök mélységi vizsgálata szintén lehetséges, ha SSH vagy telnet belépési hozzáférést állítunk be az eszközön. Mint mindegyik hálózati alapú sérülékenység vizsgáló esetében, amennyiben tűzfal vagy IPS (behatolás-detektáló) meggátolja az egyes hálózati gépekhez történő hozzáférést, a Foundstone nem képes felismerni és megvizsgálni az adott host-ot. (Egy ügynök – szerver alapú elemző rendszer esetében ez a probléma nem jelentkezik – ott az agent telepítések jelentik a nehézséget.) A Foundstone a vizsgálatokat aszerint hajtja végre, hogy milyen felismert operációs rendszerrel / alkalmazással találkozik. Ha az operációs rendszer típusát nem, vagy rosszul ismeri fel, meg lehet tanítani, sőt, meg is kell a helyes eredmények elérése céljából. Sajnos, amennyiben az alkalmazást vagy az adatbázis típust nem ismeri fel, abban az esetben nincs mód annak tanítására. A Foundstone a felismert sérülékenységek tekintetében 98%-ban pontos találati arányú, tehát igen ritkán jelez false-positive találatot. A találatok pontossága tovább finomítható, amennyiben McAfee ePO adatbázis létezik a szervezeten belül, innen a host-ok típusa, operációs rendszere teljes bizonyossággal megállapítható. Ez a tény mindenképpen megnyugtató egy vizsgálat hitelessége szempontjából, de ettől függetlenül a kapott eredmények birtokában az egyes sérülékenységek valódiságát ellenőrizni célszerű. A Foundstone-ról még akár oldalakat lehetne írni, hiszen a Remediation helpdesk modul, vagy aThreat Correlation modulja egyedülállóvá teszik a konkurenciával szemben. Ez az esettanulmány inkább figyelemfelkeltésre törekedett, a teljesség igénye nélkül. További információért, árakért, ingyenes demó lehetőségért kérjük, forduljon hozzánk bizalommal! Üdvözlettel:
Kaczúr Zsolt Ügyvezető
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
7/7
IT Business Services Magyarország Kft. E-mail:
[email protected] Budapest, 2009. augusztus 21.
IT Business Services Magyarország Kft. Cím: 1188 Budapest, Tigriskő u. 5/a. Telefon: (+36 20) 550 0020 Web: www.itbs.hu
8/8