La solution à de tels problèmes peut être un examen périodique du périmètre de l'organisation. Les scanners de réseau, les moteurs de recherche IoT, les scanners de vulnérabilités et les services d'analyse de sécurité conviennent pour résoudre le problème. Plus loin dans l'article, nous examinerons les types et paramètres de numérisation, leurs avantages et inconvénients, les outils souvent utilisés et les méthodes de traitement des résultats.
Balayage ping
Le premier scan à considérer est un scan ping. La tâche principale est de détecter les nœuds "vivants" dans le réseau. Le balayage Ping fait référence à la diffusion de paquets ICMP. Le scanner envoie les paquets Echo REQUEST aux adresses IP spécifiées et attend les paquets Echo REPLY en réponse. Si une réponse est reçue, l'hôte est considéré comme présent sur le réseau à l'adresse IP spécifiée.
ICMP est largement utilisé par les administrateurs réseau pour les diagnostics. Par conséquent, pour éviter de divulguer des informations sur les nœuds, il est important de configurer correctement la protection du périmètre. Pour les réseaux d'entreprise, ce type d'analyse n'est pas pertinent pour l'analyse externe, car la plupart des outils de sécurité bloquent les réponses ICMP ou ICMP par défaut. En l'absence de tâches non standard dans le réseau d'entreprise, les types de messages ICMP suivants sont généralement autorisés à quitter: Destination inaccessible, Echo REQUEST, Bad IP header et Echo REPLY, Destination Unreachable, Source Quench, Time Exceeded, Bad IP header sont autorisés à entrer. Les réseaux locaux n'ont pas une politique de sécurité aussi stricte et les attaquants peuvent utiliser cette méthode lorsqu'ils sont déjà entrés sur le réseau, mais cela est facilement détecté.
Balayage des ports
Combinons l'analyse TCP et l'analyse UDP sous le nom général - analyse des ports. L'analyse avec ces méthodes détermine les ports disponibles sur les nœuds, puis en fonction des données obtenues, une hypothèse est faite sur le type de système d'exploitation utilisé ou l'application spécifique exécutée sur le nœud cible. L'analyse des ports fait référence aux tentatives de test de connexion à des hôtes externes. Considérons les principales méthodes implémentées dans les scanners de réseau automatisés:
- TCP SYN,
- CONNEXION TCP,
- Analyse UDP.
La méthode TCP SYN est la plus répandue, utilisée dans 95% des cas. C'est ce qu'on appelle une analyse semi-ouverte car la connexion n'est pas complètement établie. Un message SYN est envoyé au port sous investigation, puis une réponse est attendue, en fonction de laquelle l'état du port est déterminé. Les réponses SYN / ACK indiquent que le port écoute (ouvert), tandis que les réponses RST indiquent qu'il n'écoute pas.
Si, après plusieurs requêtes, aucune réponse n'est reçue, alors le trafic réseau vers le port de destination est filtré au moyen de pare-feu (nous utiliserons ci-après le terme «port est filtré»). Un port est également marqué comme filtré si un message ICMP est renvoyé avec un message Destination inaccessible et des codes et indicateurs spécifiques.
La méthode TCP CONNECT est moins populaire que TCP SYN, mais elle est toujours courante dans la pratique. Lors de l'implémentation de la méthode TCP CONNECT, une tentative est effectuée pour établir une connexion TCP vers le port souhaité avec la procédure d'établissement de liaison. La procédure consiste à échanger des messages de négociation des paramètres de connexion, c'est-à-dire des messages de service SYN, SYN / ACK, ACK entre nœuds. La connexion est établie au niveau du système d'exploitation, il est donc possible qu'elle soit bloquée par l'outil de protection et se retrouve dans le journal des événements.
Le scan UDP est plus lent et plus complexe que le scan TCP. En raison des spécificités de l'analyse des ports UDP, ils sont souvent oubliés, car le temps total d'analyse de 65 535 ports UDP avec des paramètres standard par nœud prend jusqu'à 18 heures pour la plupart des scanners automatisés. Ce temps peut être réduit en parallélisant le processus de numérisation et de plusieurs autres manières. Il faut envisager de trouver des services UDP car les services UDP communiquent avec un grand nombre de services d'infrastructure qui intéressent généralement les attaquants.
Les services UDP DNS (53), NTP (123), SNMP (161), VPN (500, 1194, 4500), RDG (3391) se trouvent souvent sur les périmètres du réseau. Services moins courants tels que echo (7), discard (9), chargen (19), ainsi que DAYTIME (13), TFTP (69), SIP (5060), NFS (2049), RPC (111, 137-139) , 761, etc.), SGBD (1434).
Un en-tête UDP vide est envoyé pour déterminer l'état du port, et si une erreur d'accessibilité de destination ICMP inaccessible avec le code de port de destination inaccessible est renvoyée, cela signifie que le port est fermé; d'autres erreurs d'accessibilité ICMP (hôte de destination inaccessible, protocole de destination inaccessible, réseau administrativement interdit, hôte administrativement interdit, communication administrativement interdite) indiquent que le port est filtré. Si le port répond avec un paquet UDP, alors il est ouvert. En raison des spécificités de l'UDP et de la perte de paquets, les demandes sont répétées plusieurs fois, généralement trois ou plus. En règle générale, si aucune réponse n'est reçue, le statut du port est déterminé comme «ouvert» ou «filtré» car on ne sait pas ce qui a provoqué le blocage du trafic par l'outil de protection ou la perte de paquets.
Pour déterminer avec précision l'état du port et le service lui-même s'exécutant sur le port UDP, une charge utile spéciale est utilisée, dont la présence devrait provoquer une certaine réaction dans l'application étudiée.
Méthodes de numérisation rares
Méthodes qui ne sont pratiquement pas utilisées:
- TCP ACK,
- TCP NULL, FIN, Noël,
- Scan paresseux.
Le but direct de la méthode d'analyse ACK est d'identifier les règles de protection ainsi que les ports de filtrage. Seul l'indicateur ACK est défini dans le paquet de demande pour ce type d'analyse. Les ports ouverts et fermés renverront un paquet RST, car les ports sont accessibles pour les paquets ACK, mais l'état est inconnu. Les ports qui ne répondent pas ou ne répondent pas avec un message ICMP Destination inaccessible avec des codes spécifiques sont considérés comme filtrés.
Les méthodes TCP NULL, FIN, Xmas sont d'envoyer des paquets avec des indicateurs désactivés dans l'en-tête TCP. Les analyses NULL ne définissent aucun bit, les analyses FIN définissent le bit TCP FIN et les analyses de Noël définissent les indicateurs FIN, PSH et URG. Les méthodes sont basées sur une caractéristique de la RFC 793, selon laquelle lorsque le port est fermé, un segment entrant qui ne contient pas de RST entraînera l'envoi d'un RST en réponse. Lorsque le port est ouvert, il n'y aura aucune réponse. Une erreur accessible ICMP signifie que le port est filtré. Ces méthodes sont considérées comme plus secrètes que les scans SYN, mais moins précises car tous les systèmes n'adhèrent pas à la RFC 793.
Le Lazy Scanning est la méthode la plus furtive, car elle utilise un hôte différent appelé hôte zombie pour analyser. La méthode est utilisée par les cybercriminels pour le renseignement. L'avantage de cette analyse est que l'état du port est déterminé pour l'hôte zombie, de sorte qu'en utilisant différents hôtes, vous pouvez établir des relations de confiance entre les hôtes. Une description complète de la méthode est disponible ici .
Processus d'identification des vulnérabilités
Par vulnérabilité, nous entendons un point faible d'un nœud dans son ensemble ou de ses composants logiciels individuels, qui peut être utilisé pour mettre en œuvre une attaque. Dans une situation standard, la présence de vulnérabilités s'explique par des erreurs dans le code du programme ou la bibliothèque utilisée, ainsi que par des erreurs de configuration.
La vulnérabilité est classée dans MITRE CVE et les détails sont publiés dans NVD . Une vulnérabilité se voit attribuer un identifiant CVE et un score de vulnérabilité CVSS global, qui reflète le niveau de risque que la vulnérabilité pose au système final. Pour plus de détails sur l'évaluation des vulnérabilités, consultez notre article . La liste centralisée MITRE CVE est un point de référence pour les scanners de vulnérabilité, car la tâche d'un scan est de détecter les logiciels vulnérables.
Une erreur de configuration est également une vulnérabilité, mais de telles vulnérabilités sont rarement trouvées dans la base de données MITRE; cependant, ils finissent toujours dans les bases de connaissances des scanners avec des identifiants internes. D'autres types de vulnérabilités qui ne sont pas dans MITRE CVE entrent dans la base de connaissances des scanners, donc lors du choix d'un outil de scan, il est important de prêter attention à l'expertise de son développeur. Vulnerability Scanner interrogera les nœuds et comparera les informations collectées avec une base de données de vulnérabilités ou une liste de vulnérabilités connues. Plus le scanner possède d'informations, plus le résultat est précis.
Jetons un coup d'œil aux paramètres d'analyse, aux types d'analyses et aux principes de détection des vulnérabilités à l'aide de scanners de vulnérabilité.
Options de numérisation
En un mois, le périmètre de l'organisation peut changer à plusieurs reprises. Effectuer une analyse du périmètre du front peut perdre du temps et les résultats ne sont plus pertinents. Avec une forte augmentation de la vitesse de numérisation, les services peuvent «chuter». Nous devons trouver un équilibre et choisir les bons paramètres d'analyse. Le temps passé, l'exactitude et la pertinence des résultats dépendent du choix. Un total de 65 535 ports TCP et le même nombre de ports UDP peuvent être analysés. D'après notre expérience, le périmètre statistique moyen d'une entreprise faisant partie du pool d'analyse est constitué de deux réseaux complets de classe C avec un masque de 24.
Paramètres de base:
- nombre de ports,
- profondeur de balayage,
- vitesse de numérisation,
- paramètres de détermination des vulnérabilités.
Par le nombre de ports, l'analyse peut être divisée en trois types: analyse de la liste complète des ports TCP et UDP, analyse de la liste complète des ports TCP et des ports UDP courants, analyse des ports TCP et UDP les plus courants. Comment déterminer la popularité d'un port? Dans l'utilitaire nmap, sur la base des statistiques collectées par le développeur de l'utilitaire, les mille ports les plus populaires sont définis dans le fichier de configuration. Les scanners commerciaux sont également préconfigurés avec jusqu'à 3500 ports.
Si le réseau utilise des services sur des ports non standard, ils doivent également être ajoutés à la liste analysée. Pour les analyses régulières, nous vous recommandons d'utiliser l'option du milieu, qui analyse tous les ports TCP et les ports UDP courants. Cette option est la plus équilibrée en termes de temps et de précision des résultats. Lorsque vous effectuez des tests de pénétration ou des audits de périmètre de réseau complet, il est recommandé de scanner tous les ports TCP et UDP.
Remarque importante: il ne sera pas possible de voir l'image réelle du périmètre lors de la numérisation à partir du réseau local, car les règles de pare-feu pour le trafic du réseau interne s'appliqueront au scanner. L'analyse du périmètre doit être effectuée à partir d'un ou plusieurs sites externes; il est logique d'utiliser des sites différents uniquement s'ils sont situés dans des pays différents.
La profondeur d'analyse fait référence à la quantité de données collectées sur la cible d'analyse. Cela comprend le système d'exploitation, les versions du logiciel, des informations sur la cryptographie utilisée pour divers protocoles, des informations sur les applications Web. Dans le même temps, il existe une relation directe: plus nous voulons en savoir, plus le scanner fonctionnera longtemps et collectera des informations sur les nœuds.
Lors du choix d'une vitesse, il est nécessaire d'être guidé par la bande passante du canal à partir duquel le balayage a lieu, la bande passante du canal qui est balayé et les capacités du scanner. Il existe des valeurs de seuil dont le dépassement ne garantit pas l'exactitude des résultats, la préservation de l'opérabilité des nœuds scannés et des services individuels. N'oubliez pas de prendre en compte le temps nécessaire pour terminer l'analyse.
Les options de détection des vulnérabilités constituent la section la plus complète des options d'analyse, qui détermine la vitesse d'analyse et la quantité de vulnérabilités pouvant être détectées. Par exemple, la vérification des bannières ne prendra pas longtemps. Les simulations d'attaques ne seront effectuées que pour certains services et ne prendront pas beaucoup de temps non plus. La vue la plus longue est l'exploration Web.
Une analyse complète de centaines d'applications Web peut prendre des semaines, selon les vocabulaires utilisés et le nombre de points d'entrée d'application à vérifier. Il est important de comprendre qu'en raison de la mise en œuvre de modules Web et de robots d'exploration Web, la vérification instrumentale des vulnérabilités Web ne donnera pas une précision de 100%, mais elle peut ralentir considérablement l'ensemble du processus.
Il est préférable d'effectuer des analyses Web séparément des analyses régulières en choisissant soigneusement les applications à analyser. Pour une analyse approfondie, utilisez des outils d'analyse d'applications statiques et dynamiques ou des services de test d'intrusion. Nous ne recommandons pas d'utiliser des analyses dangereuses lors de l'exécution d'analyses régulières, car il existe un risque de perturbation des services. Pour plus de détails sur les contrôles, reportez-vous à la section sur le fonctionnement des scanners ci-dessous.
Outils
Si vous avez déjà étudié les journaux de sécurité de vos sites, vous avez probablement remarqué que l'Internet est analysé par un grand nombre de chercheurs, de services en ligne et de botnets. Cela n'a aucun sens de décrire en détail tous les outils, nous allons énumérer quelques scanners et services qui sont utilisés pour scanner les périmètres du réseau et Internet. Chacun des outils de numérisation a un objectif différent, donc lors du choix d'un outil, il faut comprendre pourquoi il est utilisé. Il est parfois correct d'utiliser plusieurs scanners pour obtenir des résultats complets et précis.
Scanners réseau: Masscan , Zmap , nmap... En fait, il existe de nombreux autres utilitaires pour analyser un réseau, mais vous n'en avez guère besoin d'autres pour analyser un périmètre. Ces utilitaires résolvent la plupart des tâches associées à l'analyse des ports et des services.
Les moteurs de recherche sur l'Internet des objets, ou les robots d'exploration en ligne, sont des outils importants pour collecter des informations sur Internet en général. Ils fournissent un résumé de l'appartenance au site, des certificats, des services actifs et d'autres informations. Il est possible de s'entendre avec les développeurs de ce type de scanners pour exclure vos ressources de la liste de numérisation ou pour conserver les informations sur les ressources à usage professionnel uniquement. Les moteurs de recherche les plus connus: Shodan , Censys , Fofa .
Pour résoudre le problème, il n'est pas nécessaire d'utiliser un outil commercial complexe avec un grand nombre de contrôles: il n'est pas nécessaire de scanner quelques applications et services "légers". Dans de tels cas, des scanners gratuits suffiront. Il y a beaucoup de robots d'exploration gratuits, et il est difficile de sélectionner les plus efficaces, ici le choix est plutôt une question de goût; les plus connus: Skipfish , Nikto , ZAP , Acunetix , SQLmap .
Pour effectuer des tâches de numérisation minimales et assurer la sécurité «papier», des scanners commerciaux à petit budget avec une base de connaissances constamment mise à jour sur les vulnérabilités, ainsi que le soutien et l'expertise du fournisseur, et les certificats FSTEC peuvent convenir. Les plus connus: XSpider, RedCheck, Scanner-VS.
Pour une analyse manuelle minutieuse, les outils Burp Suite, Metasploit et OpenVAS seront utiles. Le scanner Tsunami de Google a récemment été publié .
Une ligne distincte à mentionner est le moteur de recherche de vulnérabilités en ligne Vulners... Il s'agit d'une grande base de données de contenu de sécurité de l'information qui recueille des informations sur les vulnérabilités à partir d'un grand nombre de sources, qui, en plus des bases de données standard, comprennent des bulletins de sécurité des fournisseurs, des programmes de primes de bogues et d'autres ressources thématiques. La ressource fournit une API à travers laquelle vous pouvez prendre des résultats, de sorte que vous pouvez implémenter des contrôles de bannière sur vos systèmes sans réellement scanner ici et maintenant. Ou utilisez le scanner de vulnérabilité Vulners, qui collectera des informations sur le système d'exploitation, les packages installés et vérifiera les vulnérabilités via l'API Vulners. Certaines fonctions de la ressource sont payantes.
Outils d'analyse de la sécurité
Tous les systèmes de sécurité commerciaux prennent en charge les modes d'analyse de base, qui sont décrits ci-dessous, l'intégration avec divers systèmes externes tels que les systèmes SIEM, les systèmes de gestion des correctifs, CMBD, les systèmes de tickets. Les systèmes commerciaux d'analyse de vulnérabilité peuvent envoyer des alertes en fonction de différents critères et prendre en charge différents formats et types de rapports. Tous les développeurs de systèmes utilisent des bases de données de vulnérabilité communes, ainsi que leurs propres bases de connaissances, constamment mises à jour en fonction de la recherche.
Les principales différences entre les outils commerciaux d'analyse de la sécurité sont les normes prises en charge, les licences des agences gouvernementales, le nombre et la qualité des contrôles mis en œuvre, ainsi que l'accent mis sur l'un ou l'autre marché de vente, par exemple, la prise en charge de la numérisation de logiciels nationaux. L'article ne vise pas à fournir une comparaison qualitative des systèmes d'analyse de vulnérabilité. À notre avis, chaque système a ses propres avantages et inconvénients. Les outils répertoriés sont adaptés à l'analyse de sécurité, vous pouvez utiliser leurs combinaisons: Qualys , MaxPatrol 8 , Rapid 7 InsightVM , Tenable SecurityCenter .
Comment fonctionnent les systèmes d'analyse de sécurité
Les modes de numérisation sont mis en œuvre selon trois principes similaires:
- Audit ou mode boîte blanche.
- Conformité ou vérification de la conformité aux normes techniques.
- Mode Pentest ou boîte noire.
L'intérêt principal de l'analyse périmétrique est le mode boîte noire, car il simule les actions d'un attaquant externe qui ne sait rien des nœuds analysés. Vous trouverez ci-dessous une référence rapide pour tous les modes.
L'audit est un mode boîte blanche qui vous permet de réaliser un inventaire complet du réseau, de détecter tous les logiciels, de déterminer ses versions et ses paramètres et, sur cette base, de tirer des conclusions sur la vulnérabilité des systèmes à un niveau détaillé, ainsi que de vérifier les systèmes pour l'utilisation de mots de passe faibles. Le processus de numérisation nécessite un certain degré d'intégration avec le réseau de l'entreprise, en particulier, des comptes sont nécessaires pour autoriser les nœuds.
Il est beaucoup plus facile pour un utilisateur autorisé, qui est un scanner, de recevoir des informations détaillées sur un nœud, son logiciel et ses paramètres de configuration. Pendant la numérisation, divers mécanismes et transports des systèmes d'exploitation sont utilisés pour collecter des données, en fonction des spécificités du système à partir duquel les données sont collectées. La liste des transports comprend, mais sans s'y limiter, WMI, NetBios, LDAP, SSH, Telnet, Oracle, MS SQL, SAP DIAG, SAP RFC, Remote Engine en utilisant les protocoles et les ports appropriés.
La conformité est un mode de vérification de la conformité à toutes les normes, exigences ou politiques de sécurité. Le mode utilise des mécanismes et des transports similaires à l'audit. Une caractéristique du mode est la possibilité de vérifier la conformité des systèmes d'entreprise avec les normes intégrées aux scanners de sécurité. Des exemples de normes sont PCI DSS pour les systèmes et le traitement de paiement, STO BR IBBS pour les banques russes, GDPR pour la conformité aux exigences de l'UE. Un autre exemple est celui des politiques de sécurité internes, qui peuvent avoir des exigences plus élevées que celles spécifiées dans les normes. En outre, il existe des vérifications d'installation de mise à jour et d'autres vérifications personnalisées.
Pentest est un mode boîte noire dans lequel le scanner ne possède aucune donnée autre que l'adresse cible ou le nom de domaine. Considérez les types de vérifications qui sont utilisés dans le mode:
- chèques de bannière,
- imitation d'attaques,
- vérifications Web,
- vérification des configurations,
- contrôles dangereux.
Les vérifications des bannières sont basées sur le fait que le scanner détermine les versions du logiciel et du système d'exploitation utilisés, puis vérifie ces versions par rapport à la base de données de vulnérabilité interne. Pour rechercher des bannières et des versions, différentes sources sont utilisées, dont la fiabilité diffère également et est prise en compte par la logique interne du scanner. Les sources peuvent être des bannières de service, des journaux, des réponses d'application, leurs paramètres et leur format. Lors de l'analyse des serveurs Web et des applications, les informations des pages d'erreur et d'accès refusées sont vérifiées, les réponses de ces serveurs et applications et d'autres sources d'informations possibles sont analysées. Les scanners marquent les vulnérabilités détectées par l'analyse des bannières comme des vulnérabilités suspectes ou comme des vulnérabilités non confirmées.
Une attaque simulée est une tentative sûre d'exploiter une vulnérabilité sur un hôte. Les attaques simulées ont un faible risque de faux positifs et sont minutieusement testées. Lorsque le scanner détecte une signature de vulnérabilité sur la cible de l'analyse, la vulnérabilité est exploitée. Les contrôles utilisent les méthodes nécessaires pour détecter la vulnérabilité; par exemple, une requête atypique est envoyée à une application qui n'entraîne pas de déni de service, et la présence d'une vulnérabilité est déterminée par la réponse typique de l'application vulnérable.
Autre méthode: lors de l'exploitation réussie d'une vulnérabilité permettant l'exécution du code, le scanner peut envoyer une requête PING ou DNS sortante de l'hôte vulnérable à lui-même. Il est important de comprendre qu'il n'est pas toujours possible de vérifier les vulnérabilités en toute sécurité, par conséquent, souvent en mode pentest, les vérifications apparaissent plus tard que dans les autres modes d'analyse.
Les contrôles Web sont le type de contrôle le plus complet et le plus long auquel les applications Web détectées peuvent être soumises. Lors de la première étape, les répertoires des applications Web sont analysés, les paramètres et les champs sont détectés là où il pourrait y avoir des vulnérabilités potentielles. La vitesse de cette analyse dépend du dictionnaire utilisé pour rechercher les répertoires et de la taille de l'application Web.
Au même stade, des bannières de CMS et des plug-ins d'application sont collectées, qui sont utilisées pour vérifier les bannières pour les vulnérabilités connues. L'étape suivante concerne les vérifications Web de base: recherche d'injection SQL de différents types, recherche d'erreurs dans le système d'authentification et de stockage de session, recherche de données sensibles et de configurations non protégées, vérifications d'injection XXE, script intersite, désérialisation non sécurisée, chargement de fichiers arbitraires, exécution de code à distance et traversée de chemin ... La liste peut être plus large en fonction des paramètres de numérisation et des capacités du scanner; généralement, aux paramètres maximum, les vérifications sont effectuées conformément à la liste OWASP Top Ten .
Les contrôles de configuration visent à détecter les erreurs de configuration logicielle. Ils identifient les mots de passe par défaut ou essaient des mots de passe en utilisant un petit ensemble de mots de passe avec différents comptes. Révèle les panneaux d'authentification administrative et les interfaces de contrôle, les imprimantes disponibles, les algorithmes de cryptage faibles, les erreurs de droits d'accès et la divulgation d'informations confidentielles via des chemins standard, des sauvegardes téléchargeables et d'autres erreurs similaires commises par les administrateurs de systèmes informatiques et de systèmes de sécurité de l'information.
Parmi les contrôles dangereux figurent ceux dont l'utilisation conduit potentiellement à une violation de l'intégrité ou de la disponibilité des données. Cela inclut les contrôles de déni de service, les options d'injection SQL avec des paramètres de suppression de données ou de modification. Attaques par force brute sans limites sur les tentatives de force brute qui entraînent le blocage de compte. Les contrôles dangereux sont rarement utilisés en raison des conséquences possibles, mais ils sont pris en charge par des scanners de sécurité comme un moyen d'émuler les actions d'un attaquant qui ne se souciera pas de la sécurité des données.
Scans et résultats
Nous avons passé en revue les méthodes et outils de numérisation de base, passons à la question de savoir comment utiliser ces connaissances dans la pratique. Tout d'abord, vous devez répondre à la question de savoir quoi et comment numériser. Pour répondre à cette question, vous devez collecter des informations sur les adresses IP externes et les noms de domaine appartenant à l'organisation. D'après notre expérience, il est préférable de séparer les cibles d'analyse en inventaire et en identification des vulnérabilités.
Une analyse d'inventaire peut être effectuée beaucoup plus fréquemment qu'une analyse de vulnérabilité. Dans l'inventaire, il est recommandé d'enrichir les résultats avec des informations sur l'administrateur du service, l'adresse IP interne du service si NAT est utilisé, ainsi que l'importance du service et son objectif. À l'avenir, les informations aideront à éliminer rapidement les incidents liés à la détection de services indésirables ou vulnérables. Idéalement, l'entreprise dispose d'un processus et d'une politique de placement des services sur le périmètre du réseau, les services informatiques et de sécurité de l'information sont impliqués dans le processus.
Même avec cette approche, il existe un potentiel d'erreurs dues à des facteurs humains et à diverses défaillances techniques qui conduisent à l'apparition de services indésirables sur le périmètre. Un exemple simple: une règle est écrite sur une appliance réseau Check Point qui diffuse le port 443 du réseau interne vers le périmètre. Le service qui était là est désuet et hors service. Le service informatique n'en a pas été informé, la règle est donc restée. Dans ce cas, le périmètre peut se terminer par une authentification auprès du panneau d'administration de l'appliance Check Point ou d'un autre service interne qui n'était pas prévu pour y être hébergé. Dans le même temps, l'image du périmètre n'a pas officiellement changé et le port est disponible.
Pour détecter de tels changements, il est nécessaire de scanner périodiquement et d'appliquer une comparaison différentielle des résultats, puis il y aura un changement notable dans la bannière de service, ce qui attirera l'attention et conduira à l'analyse de l'incident.
Élimination des vulnérabilités
La première étape de la mise en œuvre technique correcte du processus d'élimination des vulnérabilités consiste à présenter correctement les résultats de l'analyse avec lesquels vous devrez travailler. Si plusieurs scanners différents sont utilisés, il serait plus correct d'analyser et de combiner les informations sur les nœuds en un seul endroit. Pour cela, il est recommandé d'utiliser des systèmes analytiques, où toutes les informations d'inventaire seront également stockées.
La méthode de base pour corriger la vulnérabilité consiste à installer des mises à jour. Vous pouvez également utiliser une autre méthode: retirer le service du périmètre (vous devez toujours installer les mises à jour de sécurité).
Vous pouvez appliquer des mesures de réglage compensatoires, c'est-à-dire exclure l'utilisation d'un composant ou d'une application vulnérable. Une autre option consiste à utiliser des outils de sécurité spécialisés tels que IPS ou un pare-feu d'application. Bien sûr, il est plus correct d'empêcher les services indésirables d'apparaître sur le périmètre du réseau, mais cette approche n'est pas toujours possible en raison de diverses circonstances, en particulier des exigences commerciales.
Priorité d'élimination des vulnérabilités
La priorité de la correction des vulnérabilités dépend des processus internes de l'organisation. Lorsque vous travaillez pour éliminer les vulnérabilités pour le périmètre du réseau, il est important de bien comprendre pourquoi le service est situé au périmètre, qui l'administre et qui en est propriétaire. Tout d'abord, vous pouvez éliminer les vulnérabilités sur les nœuds responsables des fonctions commerciales critiques de l'entreprise. Naturellement, ces services ne peuvent pas être retirés du périmètre, mais des mesures compensatoires ou des mesures de sécurité supplémentaires peuvent être appliquées. Avec des services moins importants, c'est plus facile: ils peuvent être temporairement retirés du périmètre, mis à jour lentement et remis en service.
Un autre moyen est la priorité d'élimination en fonction de la gravité ou du nombre de vulnérabilités sur le nœud. Lorsqu'un nœud détecte 10 à 40 soupçons de vulnérabilité de scan de bannière, il est inutile de vérifier s'ils existent tous là-bas, tout d'abord, c'est un signal qu'il est temps de mettre à jour le logiciel sur ce nœud. Lorsqu'il n'y a pas de possibilité de renouvellement, il est nécessaire d'élaborer des mesures compensatoires. Si l'organisation possède un grand nombre de nœuds où se trouvent des composants logiciels vulnérables pour lesquels il n'y a pas de mises à jour, il est temps de penser à passer à un logiciel qui est encore dans le cycle de mise à jour (support). Il est possible que pour mettre à jour le logiciel, vous deviez d'abord mettre à jour le système d'exploitation.
Résultat
Toutes les informations sur les services et services sur le périmètre de votre réseau peuvent être obtenues non seulement par vous, mais aussi par n'importe qui sur Internet. Avec une certaine précision, il est possible d'identifier les vulnérabilités du système même sans analyse. Pour réduire les risques d'incidents liés à la sécurité des informations, vous devez surveiller le périmètre de votre réseau, masquer ou protéger les services indésirables à temps et installer des mises à jour.
Peu importe que le processus soit organisé en interne ou avec la participation d'experts tiers fournissant des services de contrôle du périmètre ou d'analyse de sécurité. Le plus important est d'assurer le contrôle du périmètre et la correction des vulnérabilités sur une base régulière.
Publié par Maxim Fedotov, spécialiste principal, département des services en ligne, PT Expert Security Center, Positive Technologies