發現新弱點的頻率如何?可悲的是,不斷!更令人遺憾的是,全球本地發現弱點的主要方式通常是在程序員發現並利用它之後。只有當傷害已經造成並且黑客追回其源頭時,才能計劃保護策略,無論是修復還是安排設置。網絡上有不同的危險和弱點綜合倉庫,例如,Mitre CCE 記錄和眾多安全項目商家訂購實時危險報告或“暴風雨焦點”網站。
所以我想做的就是處理議程,然後我就安全了?原則上,實際上每個階段都有許多已知的弱點,而且令人驚訝的是,在一個小小的 IT 家庭中,檢查每個小工具的固化狀態的工作是一項極其困難的工作。
無論您是否在開始之前使用檢查設備將弱點過濾任務計算機化以識別您的小工具的固化程度,無論如何您都需要做一些工作來緩解和修復弱點。然而,這只是第一步——如果您考慮到常見的安排弱點,例如,Windows Server 應該使來賓帳戶變得虛弱。如果您運行輸出,請識別您的小工具存在的弱點,fisma 合規性 然後找到通過禁用訪客帳戶來緩解此弱點的方法,然後,您將鞏固這些小工具。儘管如此,如果有更多具有管理員榮譽的客戶訪問這些等效服務器並在任何情況下再次授權來賓帳戶,那麼此時您將被允許保持未被發現。顯然,直到您下一次運行可能不會再持續 3 個月甚至一年的輸出時,您才會意識到服務器已經無能為力了。還有一個尚未涉及的變量是如何保護框架免受內部危險 – 稍後會犯錯。
高管人員如此緊密地改變是保證我們保持一致的基礎嗎?可以肯定的是——PCI DSS 的第 6.4 節描述了官方監督的變更管理流程的必要性。對服務器或組織小工具的任何更改都可能影響小工具的“固化”狀態,並且按照這些思路,在進行更改時將其視為基本狀態。如果您在安排後使用一致的設置更改,您將有一個可訪問的審查跟踪,讓您“關閉”更改管理人員 – 因此記錄了支持更改的詳細信息,以及特定更改的細微之處真的進行了。此外,更改的小工具將被重新評估弱點,並因此確認它們的良好狀態。
不應該說一些關於內在危險的事情嗎?網絡犯罪正在加入有組織犯罪協會,這意味著這不僅僅是為了阻止惡意程序員展示他們的能力作為一種令人愉快的興趣!防火牆、入侵防護系統、防病毒程序和完全執行的小工具固化估計無論如何都不會阻止甚至承認一個特立獨行的代表作為“內部人”。這種危險可能導致惡意軟件在任何情況下都被具有管理員權限的代表熟悉安全框架,甚至間接訪問被修改為中心業務應用程序。同樣,隨著高級持續性威脅(例如 APT,廣播的“Aurora”黑客利用社交設計來欺騙代表展示“零日”惡意軟件。“零日”危險事先利用了隱蔽的弱點——程序員發現了另一個弱點併計劃進行攻擊交互以利用它。那時的工作是了解襲擊發生的方式,更重要的是如何補救或減輕未來再次發生的危險。就其實際性質而言,對感染措施的敵意往往對“零日”危險無能為力。事實上,區分這些危險的最佳方法是利用文件完整性監控創新。“每一個防火牆、入侵防護系統、
請參閱我們的另一份白皮書“文檔完整性監控 – PCI DSS 的最後一道防線”,了解更多關於該區域的基礎信息,但這是一個簡短的概述 – 顯然,檢查所有添加、更改和刪除記錄至關重要在損害主機的安全性方面,變化可能是巨大的。這可以通過觀察應該是任何歸屬變化和記錄的大小來完成。
儘管如此,由於我們希望阻止最現代的黑客攻擊之一,我們真的希望提供一種完全可靠的方法來確保記錄的可信度。這需要對每個文檔進行“DNA 指紋識別”,通常使用安全散列算法生成。安全散列算法(例如 SHA1 或 MD5)根據記錄的內容產生特殊的散列值,並保證即使是單獨更改文檔的人也會被識別。這意味著,無論是否更改程序以發現分期付款卡的細微之處,然後記錄都會被“緩衝”以使其與第一個文檔的大小相似,並且任何剩餘的學分都會被更改以使文檔看起來和感覺非常類似地,無論如何都會發現這些變化。
終端設備固化是任何真正與安全相關的協會的基本原則。此外,如果您的關聯依賴於任何公司管理或正式的安全標準,例如 PCI DSS、SOX、HIPAA、NERC CIP、ISO 27K、GCSx Co,那麼到那時,小工具固化將是一個強制性的必要性。– 所有服務器、工作站和組織小工具都應通過設計設置和編程補丁安排的組合來固化 – 對小工具的任何更改都可能對其固化狀態產生不利影響,並使您的關聯面臨安全隱患 – 同樣必須利用記錄可信度觀察適度的“零日”危險和來自“人體內”的危險——隨著新危險的發現,弱點議程將不斷變化