Solusi untuk masalah tersebut dapat berupa pemeriksaan berkala terhadap perimeter organisasi. Pemindai jaringan, mesin pencari IoT, pemindai kerentanan, dan layanan analisis keamanan cocok untuk memecahkan masalah. Lebih lanjut dalam artikel ini, kami akan mempertimbangkan jenis dan parameter pemindaian, kelebihan dan kekurangannya, alat yang sering digunakan, dan metode untuk memproses hasil.
Pindai ping
Pemindaian pertama yang perlu dipertimbangkan adalah pemindaian ping. Tugas utamanya adalah mendeteksi node "hidup" dalam jaringan. Pemindaian ping mengacu pada siaran paket ICMP. Pemindai mengirim paket Echo REQUEST ke alamat IP yang ditentukan dan mengharapkan paket Echo REPLY sebagai tanggapan. Jika respons diterima, host dianggap ada di jaringan pada alamat IP yang ditentukan.
ICMP banyak digunakan oleh administrator jaringan untuk diagnosis, oleh karena itu, untuk menghindari pengungkapan informasi tentang node, penting untuk mengkonfigurasi perlindungan perimeter dengan benar. Untuk jaringan perusahaan, jenis pemindaian ini tidak relevan untuk pemindaian eksternal, karena sebagian besar alat keamanan memblokir respons ICMP atau ICMP secara default. Jika tidak ada tugas non-standar di jaringan perusahaan, jenis pesan ICMP berikut biasanya diizinkan untuk keluar: Destination Unreachable, Echo REQUEST, Bad IP header, dan Echo REPLY, Destination Unreachable, Source Quench, Time Exceeded, Bad IP header diizinkan untuk masuk. Jaringan lokal tidak memiliki kebijakan keamanan yang ketat, dan penyerang dapat menggunakan metode ini ketika mereka telah memasuki jaringan, tetapi ini mudah dideteksi.
Pemindaian port
Mari kita gabungkan pemindaian TCP dan pemindaian UDP dengan nama umum - pemindaian port. Pemindaian dengan metode ini menentukan port yang tersedia pada node, dan kemudian berdasarkan data yang diperoleh, dibuat asumsi tentang jenis sistem operasi yang digunakan atau aplikasi spesifik yang berjalan pada node target. Pemindaian port mengacu pada percobaan percobaan untuk terhubung ke host eksternal. Mari pertimbangkan metode utama yang diterapkan dalam pemindai jaringan otomatis:
- TCP SYN,
- TCP CONNECT,
- Pemindaian UDP.
Metode TCP SYN adalah yang paling populer, digunakan dalam 95% kasus. Ini disebut pemindaian setengah terbuka karena koneksi tidak pernah sepenuhnya dibuat. Pesan SYN dikirim ke port yang sedang diselidiki, kemudian diharapkan ada respons, berdasarkan status port yang ditentukan. Respons SYN / ACK menunjukkan bahwa port sedang mendengarkan (terbuka), sedangkan respons RST menunjukkan bahwa port tidak mendengarkan.
Jika, setelah beberapa permintaan, tidak ada respon yang diterima, lalu lintas jaringan ke port tujuan disaring dengan menggunakan firewall (selanjutnya kita akan menggunakan istilah "port disaring"). Sebuah port juga ditandai sebagai difilter jika pesan ICMP dikembalikan dengan pesan Destination Unreachable dan kode serta flag tertentu.
Metode TCP CONNECT kurang populer dibandingkan TCP SYN, tetapi masih umum dalam praktiknya. Saat mengimplementasikan metode TCP CONNECT, sebuah upaya dilakukan untuk membuat koneksi TCP ke port yang diinginkan dengan prosedur jabat tangan. Prosedur terdiri dari pertukaran pesan untuk menegosiasikan parameter koneksi, yaitu, SYN, SYN / ACK, pesan layanan ACK antar node. Sambungan dibuat di tingkat sistem operasi, jadi ada kemungkinan itu akan diblokir oleh alat perlindungan dan berakhir di log peristiwa.
Pemindaian UDP lebih lambat dan lebih kompleks daripada pemindaian TCP. Karena spesifikasi pemindaian port UDP, mereka sering dilupakan, karena total waktu untuk memindai 65.535 port UDP dengan parameter standar per node membutuhkan waktu hingga 18 jam untuk sebagian besar pemindai otomatis. Waktu ini dapat dikurangi dengan memparalelkan proses pemindaian dan dengan sejumlah cara lain. Pertimbangan harus diberikan untuk menemukan layanan UDP karena layanan UDP berkomunikasi dengan sejumlah besar layanan infrastruktur, yang cenderung menarik bagi penyerang.
Layanan UDP DNS (53), NTP (123), SNMP (161), VPN (500, 1194, 4500), RDG (3391) sering ditemukan pada perimeter jaringan. Layanan yang kurang umum seperti echo (7), discard (9), chargen (19), serta DAYTIME (13), TFTP (69), SIP (5060), NFS (2049), RPC (111, 137-139) , 761, dll.), DBMS (1434).
Header UDP kosong dikirim untuk menentukan status port, dan jika kesalahan jangkauan ICMP Destination Unreachable dengan kode tujuan port unreachable dikembalikan, ini berarti port ditutup; kesalahan jangkauan ICMP lainnya (Host tujuan tidak dapat dijangkau, protokol tujuan tidak dapat dijangkau, Jaringan dilarang secara administratif, Host dilarang secara administratif, Komunikasi dilarang secara administratif) menunjukkan bahwa port sedang difilter. Jika port merespons dengan paket UDP, maka port tersebut terbuka. Karena UDP dan packet loss yang spesifik, permintaan diulang beberapa kali, biasanya tiga atau lebih. Biasanya, jika tidak ada tanggapan yang diterima, status port ditetapkan menjadi "terbuka" atau "difilter" karena tidak jelas apa yang menyebabkan lalu lintas yang memblokir lalu lintas oleh alat perlindungan atau packet loss.
Untuk secara akurat menentukan status pelabuhan dan layanan itu sendiri yang berjalan di pelabuhan UDP, muatan khusus digunakan, yang keberadaannya harus menyebabkan reaksi tertentu dalam aplikasi yang diteliti.
Metode pemindaian langka
Metode yang secara praktis tidak digunakan:
- TCP ACK,
- TCP NULL, FIN, Xmas,
- Pemindaian Malas.
Tujuan langsung dari metode pemindaian ACK adalah untuk mengidentifikasi aturan perlindungan dan juga untuk mengidentifikasi port yang difilter. Hanya tanda ACK yang disetel dalam paket permintaan untuk jenis pemindaian ini. Port terbuka dan tertutup akan mengembalikan paket RST karena port tersebut dapat dijangkau untuk paket ACK, tetapi statusnya tidak diketahui. Port yang tidak merespon atau yang merespon dengan pesan ICMP Destination Unreachable dengan kode tertentu dianggap difilter.
Metode TCP NULL, FIN, Xmas adalah mengirim paket dengan flag yang dinonaktifkan di header TCP. Scan NULL tidak mengatur bit apapun, scan FIN mengatur bit FIN TCP, dan scan Xmas mengatur flag FIN, PSH, dan URG. Metode ini didasarkan pada fitur spesifikasi RFC 793 bahwa ketika port ditutup, segmen masuk yang tidak berisi RST akan menghasilkan RST yang dikirim sebagai respons. Saat port terbuka, tidak akan ada respon. Kesalahan ICMP yang dapat dijangkau berarti port sedang difilter. Metode ini dianggap lebih rahasia daripada pemindaian SYN, tetapi kurang akurat karena tidak semua sistem mematuhi RFC 793.
Lazy Scanning adalah metode yang paling tersembunyi, karena menggunakan host berbeda yang disebut host zombie untuk memindai. Metode tersebut digunakan oleh penyusup untuk intelijen. Keuntungan dari pemindaian ini adalah bahwa status port ditentukan untuk host zombie, jadi dengan menggunakan host yang berbeda, Anda dapat membangun hubungan kepercayaan antar host. Penjelasan lengkap tentang metode ini tersedia di sini .
Proses identifikasi kerentanan
Yang kami maksud dengan kerentanan adalah titik lemah dari sebuah node secara keseluruhan atau komponen perangkat lunak individualnya, yang dapat digunakan untuk mengimplementasikan serangan. Dalam situasi standar, keberadaan kerentanan dijelaskan oleh kesalahan dalam kode program atau pustaka yang digunakan, serta kesalahan konfigurasi.
Kerentanan diajukan di MITRE CVE dan detailnya dipublikasikan di NVD . Kerentanan diberikan pengenal CVE dan skor kerentanan CVSS secara keseluruhan, yang mencerminkan tingkat risiko kerentanan yang ditimbulkan pada sistem akhir. Untuk detail tentang menilai kerentanan, lihat artikel kami . Daftar MITRE CVE terpusat adalah titik referensi untuk pemindai kerentanan, karena tugas pemindaian adalah mendeteksi perangkat lunak yang rentan.
Kesalahan konfigurasi juga merupakan kerentanan, tetapi kerentanan seperti itu jarang ditemukan di database MITRE; Namun, mereka masih berakhir di basis pengetahuan pemindai dengan pengenal internal. Jenis kerentanan lain yang tidak ada di MITRE CVE juga termasuk dalam basis pengetahuan pemindai, sehingga saat memilih alat untuk memindai, penting untuk memperhatikan keahlian pengembangnya. Vulnerability Scanner akan mengumpulkan node dan membandingkan informasi yang dikumpulkan dengan database kerentanan atau daftar kerentanan yang diketahui. Semakin banyak informasi yang dimiliki pemindai, semakin akurat hasilnya.
Mari kita lihat parameter pemindaian, jenis pemindaian, dan prinsip-prinsip mendeteksi kerentanan menggunakan pemindai kerentanan.
Opsi pemindaian
Dalam sebulan, perimeter organisasi bisa berubah berulang kali. Melakukan pemindaian perimeter dahi dapat membuang waktu karena hasilnya menjadi tidak relevan. Dengan peningkatan yang kuat dalam kecepatan pemindaian, layanan mungkin "turun". Kita perlu menemukan keseimbangan dan memilih parameter pemindaian yang tepat. Waktu yang dihabiskan, akurasi dan relevansi hasil tergantung pada pilihan. Sebanyak 65.535 port TCP dan jumlah port UDP yang sama dapat dipindai. Dalam pengalaman kami, perimeter statistik rata-rata dari sebuah perusahaan yang termasuk dalam kumpulan pemindaian adalah dua jaringan kelas-C penuh dengan topeng 24.
Parameter dasar:
- jumlah port,
- kedalaman pemindaian,
- kecepatan pemindaian,
- parameter untuk menentukan kerentanan.
Berdasarkan jumlah port, pemindaian dapat dibagi menjadi tiga jenis - memindai seluruh daftar port TCP dan UDP, memindai seluruh daftar port TCP dan port UDP populer, memindai port TCP dan UDP populer. Bagaimana cara menentukan popularitas sebuah port? Dalam utilitas nmap, berdasarkan statistik yang dikumpulkan oleh pengembang utilitas, ribuan port paling populer ditentukan dalam file konfigurasi. Pemindai komersial juga memiliki profil yang telah dikonfigurasi sebelumnya hingga 3500 port.
Jika jaringan menggunakan layanan pada port non-standar, mereka juga harus ditambahkan ke daftar yang dipindai. Untuk pemindaian biasa, kami merekomendasikan penggunaan opsi tengah, yang memindai semua port TCP dan port UDP populer. Pilihan ini paling seimbang dalam hal waktu dan akurasi hasil. Saat melakukan pengujian penetrasi atau audit perimeter jaringan penuh, Anda disarankan untuk memindai semua port TCP dan UDP.
Catatan penting: Anda tidak akan dapat melihat gambaran sebenarnya dari perimeter saat memindai dari jaringan lokal, karena aturan firewall untuk lalu lintas dari jaringan internal akan berlaku untuk pemindai. Pemindaian perimeter harus dilakukan dari satu atau lebih situs eksternal; masuk akal untuk menggunakan situs yang berbeda hanya jika mereka berada di negara yang berbeda.
Kedalaman pemindaian mengacu pada jumlah data yang dikumpulkan tentang target pemindaian. Ini termasuk sistem operasi, versi perangkat lunak, informasi tentang kriptografi yang digunakan untuk berbagai protokol, informasi tentang aplikasi web. Pada saat yang sama, ada hubungan langsung: semakin banyak yang ingin kita ketahui, semakin lama pemindai akan bekerja dan mengumpulkan informasi tentang node.
Saat memilih kecepatan, perlu dipandu oleh bandwidth saluran tempat pemindaian berlangsung, bandwidth saluran yang sedang dipindai, dan kemampuan pemindai. Ada nilai ambang batas, melebihi yang tidak menjamin keakuratan hasil, pemeliharaan pengoperasian node yang dipindai dan layanan individu. Jangan lupa untuk memperhitungkan waktu yang dibutuhkan untuk menyelesaikan pemindaian.
Opsi Deteksi Kerentanan adalah bagian paling luas dari opsi pemindaian, yang menentukan kecepatan pemindaian dan jumlah kerentanan yang dapat dideteksi. Misalnya, pemeriksaan spanduk tidak akan memakan waktu lama. Simulasi serangan hanya akan dilakukan untuk layanan tertentu dan tidak akan memakan banyak waktu juga. Tampilan terpanjang adalah web crawl.
Pemindaian penuh atas ratusan aplikasi web dapat memakan waktu berminggu-minggu, tergantung pada kosakata yang digunakan dan jumlah titik masuk aplikasi yang perlu diperiksa. Penting untuk dipahami bahwa karena kekhasan implementasi modul web dan perayap web, verifikasi instrumental kerentanan web tidak akan memberikan akurasi seratus persen, tetapi dapat sangat memperlambat keseluruhan proses.
Yang terbaik adalah melakukan perayapan web secara terpisah dari pemindaian biasa dengan memilih aplikasi mana yang akan dipindai dengan cermat. Untuk analisis mendalam, gunakan alat analisis aplikasi statis dan dinamis atau layanan pengujian penetrasi. Kami tidak menganjurkan penggunaan pemindaian berbahaya saat melakukan pemindaian biasa, karena ada risiko mengganggu kinerja layanan. Untuk detail tentang pemeriksaan, lihat bagian tentang pengoperasian pemindai di bawah ini.
Alat
Jika Anda pernah mempelajari log keamanan situs Anda, Anda mungkin memperhatikan bahwa Internet dipindai oleh sejumlah besar peneliti, layanan online, botnet. Tidak masuk akal untuk menjelaskan semua alat secara rinci, kami akan membuat daftar beberapa pemindai dan layanan yang digunakan untuk memindai perimeter jaringan dan Internet. Setiap alat pemindaian memiliki tujuan yang berbeda, jadi ketika memilih alat, harus ada pemahaman mengapa alat itu digunakan. Terkadang benar menggunakan beberapa pemindai untuk mendapatkan hasil yang lengkap dan akurat.
Pemindai jaringan: Masscan , Zmap , nmap... Faktanya, ada lebih banyak utilitas untuk memindai jaringan, tetapi Anda hampir tidak membutuhkan utilitas lain untuk memindai perimeter. Utilitas ini menyelesaikan sebagian besar tugas yang terkait dengan pemindaian port dan layanan.
Mesin pencari di Internet of Things, atau perayap online, adalah alat penting untuk mengumpulkan informasi tentang Internet secara umum. Mereka memberikan ringkasan keanggotaan situs, informasi tentang sertifikat, layanan aktif, dan lainnya. Anda dapat menyetujui dengan pengembang jenis pemindai ini untuk mengecualikan sumber daya Anda dari daftar pindai atau menyimpan informasi tentang sumber daya hanya untuk penggunaan perusahaan. Mesin pencari paling terkenal: Shodan , Censys , Fofa .
Untuk mengatasi masalah tersebut, tidak perlu menggunakan alat komersial yang kompleks dengan banyak pemeriksaan: tidak perlu memindai beberapa aplikasi dan layanan "ringan". Dalam kasus seperti itu, pemindai gratis sudah cukup. Ada banyak perayap web gratis, dan sulit untuk memilih perayap yang paling efektif; di sini pilihannya lebih tergantung pada selera; yang paling terkenal: Skipfish , Nikto , ZAP , Acunetix , SQLmap .
Untuk melakukan tugas pemindaian minimal dan memastikan keamanan "kertas", pemindai komersial anggaran dengan basis pengetahuan kerentanan yang terus diperbarui, serta dukungan dan keahlian dari vendor, dan sertifikat FSTEC mungkin cocok. Paling terkenal: XSpider, RedCheck, Scanner-VS.
Untuk analisis manual yang cermat, alat Burp Suite, Metasploit, dan OpenVAS akan membantu. Pemindai Tsunami Google baru-baru ini dirilis .
Baris terpisah yang perlu disebutkan adalah Vulners mesin pencari kerentanan online... Ini adalah database besar konten keamanan informasi yang mengumpulkan informasi tentang kerentanan dari banyak sumber, yang, selain database standar, termasuk buletin keamanan vendor, program bug bounty, dan sumber daya tematik lainnya. Sumber daya menyediakan API yang dapat digunakan untuk mengambil hasil, sehingga Anda dapat menerapkan pemeriksaan spanduk pada sistem Anda tanpa benar-benar memindai di sini dan sekarang. Atau gunakan pemindai kerentanan Vulners, yang akan mengumpulkan informasi tentang sistem operasi, menginstal paket, dan memeriksa kerentanan melalui API Vulners. Beberapa fungsi sumber daya dibayar.
Alat analisis keamanan
Semua sistem keamanan komersial mendukung mode pemindaian dasar, yang dijelaskan di bawah, integrasi dengan berbagai sistem eksternal seperti sistem SIEM, sistem manajemen tambalan, CMBD, sistem tiket. Sistem analisis kerentanan komersial dapat mengirim peringatan berdasarkan kriteria yang berbeda dan mendukung format dan jenis laporan yang berbeda. Semua pengembang sistem menggunakan basis data kerentanan umum, serta basis pengetahuan mereka sendiri, yang terus diperbarui berdasarkan penelitian.
Perbedaan utama antara alat analisis keamanan komersial adalah standar yang didukung, lisensi lembaga pemerintah, jumlah dan kualitas pemeriksaan yang diterapkan, serta fokus pada satu atau pasar penjualan lainnya, misalnya, dukungan untuk memindai perangkat lunak dalam negeri. Artikel ini tidak dimaksudkan untuk memberikan perbandingan kualitatif sistem analisis kerentanan. Menurut kami, setiap sistem memiliki kelebihan dan kekurangannya masing-masing. Alat yang terdaftar cocok untuk analisis keamanan, Anda dapat menggunakan kombinasinya: Qualys , MaxPatrol 8 , Rapid 7 InsightVM , Tenable SecurityCenter .
Bagaimana sistem analisis keamanan bekerja
Mode pemindaian diimplementasikan menurut tiga prinsip serupa:
- Audit, atau mode kotak putih.
- Kepatuhan, atau verifikasi kepatuhan dengan standar teknis.
- Pentest, atau mode kotak hitam.
Perhatian utama dalam pemindaian perimeter adalah mode kotak hitam, karena mode ini mensimulasikan tindakan penyerang eksternal yang tidak mengetahui apa pun tentang node yang dipindai. Di bawah ini adalah referensi cepat untuk semua mode.
Audit adalah mode kotak putih yang memungkinkan Anda untuk melakukan inventarisasi lengkap jaringan, mendeteksi semua perangkat lunak, menentukan versi dan parameternya dan, berdasarkan ini, menarik kesimpulan tentang kerentanan sistem pada tingkat yang terperinci, serta memeriksa sistem untuk penggunaan kata sandi yang lemah. Proses pemindaian memerlukan tingkat integrasi tertentu dengan jaringan perusahaan, khususnya, akun diperlukan untuk mengotorisasi node.
Jauh lebih mudah bagi pengguna yang berwenang, yang merupakan pemindai, untuk menerima informasi terperinci tentang node, perangkat lunaknya, dan parameter konfigurasinya. Selama pemindaian, berbagai mekanisme dan pengangkutan sistem operasi digunakan untuk mengumpulkan data, tergantung pada sistem spesifik tempat data dikumpulkan. Daftar transport termasuk tetapi tidak terbatas pada WMI, NetBios, LDAP, SSH, Telnet, Oracle, MS SQL, SAP DIAG, SAP RFC, Remote Engine menggunakan protokol dan port yang sesuai.
Kepatuhan adalah cara memeriksa kepatuhan terhadap standar, persyaratan, atau kebijakan keamanan apa pun. Modus tersebut menggunakan mekanisme dan transportasi yang mirip dengan audit. Fitur mode ini adalah kemampuan untuk memeriksa sistem perusahaan untuk kepatuhan dengan standar yang tertanam di pemindai keamanan. Contoh standar adalah PCI DSS untuk sistem dan pemrosesan pembayaran, STO BR STBP untuk bank Rusia, GDPR untuk kepatuhan dengan persyaratan UE. Contoh lainnya adalah kebijakan keamanan internal, yang mungkin memiliki persyaratan lebih tinggi daripada yang ditentukan dalam standar. Selain itu, ada pemeriksaan penginstalan pembaruan dan pemeriksaan kustom lainnya.
Pentest adalah mode kotak hitam di mana pemindai tidak memiliki data selain alamat target atau nama domain. Mari pertimbangkan jenis pemeriksaan yang digunakan dalam mode:
- cek spanduk,
- imitasi serangan,
- pemeriksaan web,
- memeriksa konfigurasi,
- pemeriksaan berbahaya.
Pemeriksaan spanduk didasarkan pada fakta bahwa pemindai menentukan versi perangkat lunak dan sistem operasi yang digunakan, dan kemudian memverifikasi versi ini terhadap database kerentanan internal. Berbagai sumber digunakan untuk mencari spanduk dan versi, yang keandalannya juga berbeda dan diperhitungkan oleh logika internal pemindai. Sumber dapat berupa spanduk layanan, log, tanggapan aplikasi serta parameter dan formatnya. Saat menganalisis server web dan aplikasi, informasi dari kesalahan dan halaman yang ditolak akses diperiksa, tanggapan dari server dan aplikasi ini dan kemungkinan sumber informasi lainnya dianalisis. Pemindai menandai kerentanan yang terdeteksi oleh pemindaian spanduk sebagai kerentanan yang dicurigai atau sebagai kerentanan yang belum dikonfirmasi.
Serangan tiruan adalah upaya aman untuk mengeksploitasi kerentanan pada host. Serangan yang disimulasikan memiliki kemungkinan kecil untuk mendapatkan hasil positif palsu dan telah diuji secara menyeluruh. Ketika pemindai mendeteksi tanda kerentanan pada target pemindaian, kerentanan tersebut dieksploitasi. Pemeriksaan menggunakan metode yang diperlukan untuk mendeteksi kerentanan; misalnya, permintaan atipikal dikirim ke aplikasi yang tidak menyebabkan penolakan layanan, dan keberadaan kerentanan ditentukan oleh respons khas dari aplikasi yang rentan.
Metode lain: setelah berhasil mengeksploitasi kerentanan yang memungkinkan kode dijalankan, pemindai dapat mengirim permintaan PING atau DNS keluar dari host yang rentan ke dirinya sendiri. Penting untuk dipahami bahwa tidak selalu mungkin untuk memeriksa kerentanan dengan aman, oleh karena itu, seringkali dalam mode pentest, pemeriksaan muncul lebih lambat daripada dalam mode pemindaian lainnya.
Pemeriksaan web adalah jenis pemeriksaan paling ekstensif dan panjang yang dapat dilakukan oleh aplikasi web yang terdeteksi. Pada tahap pertama, direktori aplikasi web dipindai, parameter dan bidang dideteksi di mana mungkin terdapat potensi kerentanan. Kecepatan pemindaian ini bergantung pada kamus yang digunakan untuk mengulang direktori dan ukuran aplikasi web.
Pada tahap yang sama, spanduk CMS dan plugin aplikasi dikumpulkan, yang digunakan untuk memeriksa kerentanan yang diketahui. Tahap selanjutnya adalah pemeriksaan web dasar: mencari SQL Injection dari berbagai jenis, mencari kesalahan dalam sistem otentikasi dan penyimpanan sesi, mencari data sensitif dan konfigurasi yang tidak dilindungi, pemeriksaan untuk Injeksi XXE, skrip lintas situs, deserialisasi tidak aman, memuat file arbitrer, eksekusi kode jarak jauh, dan jalur traversal ... Daftar dapat lebih luas tergantung pada parameter pemindaian dan kemampuan pemindai; biasanya, pada parameter maksimum, pemeriksaan dilakukan sesuai dengan daftar Sepuluh Teratas OWASP .
Pemeriksaan konfigurasi ditujukan untuk mendeteksi kesalahan konfigurasi perangkat lunak. Mereka mengidentifikasi kata sandi default atau mencoba kata sandi terhadap sekumpulan kata sandi pendek dengan akun yang berbeda. Mengungkap panel otentikasi administratif dan antarmuka kontrol, printer yang tersedia, algoritma enkripsi yang lemah, kesalahan dalam hak akses dan pengungkapan informasi rahasia melalui jalur standar, cadangan yang dapat diunduh dan kesalahan serupa lainnya yang dibuat oleh administrator sistem TI dan sistem keamanan informasi.
Di antara pemeriksaan berbahaya tersebut adalah yang penggunaannya berpotensi menyebabkan pelanggaran terhadap integritas atau ketersediaan data. Ini termasuk pemeriksaan penolakan layanan, opsi SQL Injection dengan parameter untuk menghapus data atau membuat perubahan. Serangan brute force tanpa batasan pada upaya brute force yang mengarah pada pemblokiran akun. Pemeriksaan berbahaya jarang digunakan karena kemungkinan konsekuensinya, tetapi pemeriksaan tersebut didukung oleh pemindai keamanan sebagai cara untuk meniru tindakan penyerang yang tidak akan mengkhawatirkan keamanan data.
Pemindaian dan hasil
Kami meninjau metode dan alat pemindaian dasar, mari beralih ke pertanyaan tentang bagaimana menggunakan pengetahuan ini dalam praktik. Pertama, Anda perlu menjawab pertanyaan tentang apa dan bagaimana cara memindai. Untuk menjawab pertanyaan ini, Anda perlu mengumpulkan informasi tentang alamat IP eksternal dan nama domain milik organisasi. Berdasarkan pengalaman kami, lebih baik memisahkan target pemindaian ke dalam inventaris dan identifikasi kerentanan.
Pemindaian inventaris dapat dilakukan lebih sering daripada pemindaian kerentanan. Dalam inventaris, praktik yang baik untuk memperkaya hasil dengan informasi tentang administrator layanan, alamat IP internal layanan jika NAT digunakan, dan pentingnya layanan serta tujuannya. Di masa depan, informasi akan membantu menghilangkan insiden yang terkait dengan deteksi layanan yang tidak diinginkan atau rentan dengan cepat. Idealnya, perusahaan memiliki proses dan kebijakan untuk menempatkan layanan pada perimeter jaringan, TI dan layanan keamanan informasi terlibat dalam proses tersebut.
Bahkan dengan pendekatan ini, ada potensi kesalahan karena faktor manusia dan berbagai kegagalan teknis yang mengarah pada munculnya layanan yang tidak diinginkan di perimeter. Contoh sederhana: sebuah aturan ditulis pada peralatan jaringan Titik Pemeriksaan yang menyiarkan port 443 dari jaringan internal ke perimeter. Layanan yang ada di sana sudah usang dan tidak berfungsi. Layanan TI tidak diberitahu tentang ini, jadi aturannya tetap ada. Dalam kasus ini, perimeter mungkin berakhir dengan otentikasi ke panel admin alat Check Point atau layanan internal lainnya yang tidak direncanakan untuk dihosting di sana. Pada saat yang sama, gambar perimeter belum berubah secara resmi dan porta tersedia.
Untuk mendeteksi perubahan seperti itu, perlu memindai secara berkala dan menerapkan perbandingan hasil yang berbeda, kemudian akan ada perubahan nyata pada spanduk layanan, yang akan menarik perhatian dan mengarah pada analisis insiden.
Penghapusan kerentanan
Langkah pertama untuk implementasi teknis yang benar dari proses penghapusan kerentanan adalah menampilkan dengan benar hasil pemindaian yang harus Anda tangani. Jika beberapa pemindai yang berbeda digunakan, akan lebih tepat jika menganalisis dan menggabungkan informasi pada node di satu tempat. Untuk ini, disarankan untuk menggunakan sistem analitik, yang juga akan menyimpan semua informasi tentang inventaris.
Cara dasar untuk memperbaiki kerentanan adalah dengan menginstal pembaruan. Anda juga dapat menggunakan metode lain - keluarkan layanan dari batasan (Anda masih perlu menginstal pembaruan keamanan).
Anda dapat menerapkan langkah-langkah penyetelan kompensasi, yaitu mengecualikan penggunaan komponen atau aplikasi yang rentan. Pilihan lainnya adalah menggunakan alat keamanan khusus seperti IPS atau firewall aplikasi. Tentu saja, lebih tepat untuk mencegah munculnya layanan yang tidak diinginkan pada perimeter jaringan, tetapi pendekatan ini tidak selalu memungkinkan karena berbagai keadaan, terutama persyaratan bisnis.
Prioritas penghapusan kerentanan
Prioritas memperbaiki kerentanan bergantung pada proses internal organisasi. Saat bekerja untuk menghilangkan kerentanan untuk perimeter jaringan, penting untuk memiliki pemahaman yang jelas tentang mengapa layanan berada di perimeter, siapa yang mengelolanya dan siapa yang memilikinya. Pertama-tama, Anda dapat menghilangkan kerentanan pada node yang bertanggung jawab atas fungsi bisnis penting perusahaan. Secara alami, layanan semacam itu tidak dapat dihapus dari perimeter, tetapi tindakan kompensasi atau tindakan keamanan tambahan dapat diterapkan. Dengan layanan yang kurang signifikan, ini lebih mudah: mereka dapat dihapus sementara dari perimeter, diperbarui secara perlahan, dan dikembalikan ke layanan.
Cara lain adalah dengan memprioritaskan eliminasi sesuai dengan tingkat keparahan atau jumlah kerentanan pada node. Ketika sebuah node mendeteksi 10-40 kecurigaan dari kerentanan pemindaian banner, tidak ada gunanya memeriksa apakah semuanya ada di sana, pertama-tama, ini adalah sinyal bahwa sudah waktunya untuk memperbarui perangkat lunak pada node ini. Jika tidak ada kesempatan untuk pembaruan, tindakan kompensasi perlu dilakukan. Jika organisasi memiliki banyak node di mana ditemukan komponen perangkat lunak yang rentan yang tidak memiliki pembaruan, maka inilah saatnya untuk berpikir tentang beralih ke perangkat lunak yang masih dalam siklus pembaruan (dukungan). Ada kemungkinan bahwa untuk memperbarui perangkat lunak, Anda perlu memperbarui sistem operasi terlebih dahulu.
Hasil
Semua informasi tentang layanan dan layanan di perimeter jaringan Anda dapat diperoleh tidak hanya oleh Anda, tetapi juga oleh siapa saja dari Internet. Dengan akurasi tertentu, adalah mungkin untuk mengidentifikasi kerentanan sistem bahkan tanpa pemindaian. Untuk mengurangi risiko insiden keamanan informasi, Anda perlu memantau perimeter jaringan Anda, menyembunyikan atau melindungi layanan yang tidak diinginkan tepat waktu, dan menginstal pembaruan.
Tidak masalah jika prosesnya diatur sendiri atau dengan keterlibatan ahli pihak ketiga yang menyediakan layanan untuk kontrol perimeter atau analisis keamanan. Hal terpenting adalah memastikan kontrol perimeter dan perbaikan kerentanan secara teratur.
Diposting oleh Maxim Fedotov, Spesialis Senior, Departemen Layanan Online, Pusat Keamanan Pakar PT, Teknologi Positif