4. PŘEDNÁŠKACIS
CONTROLS
Center for Internet Security Critical Security Controls for Effective Cyber Defense
Publikace obsahující „best practice" v oblasti počítačové bezpečnosti
Zdarma pro všechny
Vytvořeno dobrovolníky ze Cyber security komunity
Stojí na základě známých, aktuálních cyber útoků a metod
Obsahuje 20 „Controls" (klíčových akcí) - pro správné zabezpečení sítě
Základní CIS controls
1. Inventory and Control of Hardware Assets
2. Inventory and Control of Software Assets
3. Continuous Vulnerability Management
4. Controlled Use of Administrative Privileges
5. Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations
and Servers
6. Maintenance, Monitoring and Analysis of Audit Logs
CIS Control 1: Inventory and Control
of hardware Assets
Inventarizace a kontrola (přehled)
hardwarových aktiv
Cíle :
- Aktivní sprá va všech HW zařízení v s>
- Přístupy povolit pouze autorizovaným
zařízením
- Nalézt neautorizovaná a nespravovar
zařízení a zabránit jím v přístupu
CIS Control 1: System Entity Relationship Diagram
Passive Device
Discovery
Důležitost CIS 1
• Útočníci neustále skenují sítě svých cílů
• Čekají na zařízení, které se připojí do sítě:
- nové nechráněné systémy
- „ Come and go off" zařízení (Notebooky vlastní zařízení zaměstnanců)
- Nový HW (připojen ale nezabezpečen např konfigurace a patching proběhne až
další den - čas pro útočníka)
- Testové systémy demo, síť pro hosty atd...
• Ve velkých firmách bývá problém spravovat velmi měnící se prostředí
• Správa všech zařízení hraje důležitou roli při:
- Plánovaní
- Zálohování
- Reakcích na incidenty
- Zotavení po útoku
CIS control 1: subcontrols
CIS Control 1: Inventory and Control of Hardware Assets
S u b C
o n t r o l
A s s e t
Type
Security
F u n c t i o n
C o n t r o l
Title
C o n t r o l
D e s c r i p t i o n s
m p l e m e n t a t i o n
G r o u p s
1 2 3
1.1 D e v i c e ; I d e n t i f y U t i l i z e an A c t i v e
D i s c o v e r y T o o l
Utilize a n a c t i v e d i s c o v e r y t o o l t o i d e n t i f y d e v i c e s
c o n n e c t e d t o t h e o r g a n i z a t i o n ' s n e t w o r l c a n d
j p d a t e t h e h a r d w a r e asset i n v e n t o r y .
••1.2 Devices I d e n t i f y Use a Passive A s s e t
D i s c o v e r y T o o l
Utilize a passive d i s c o v e r y t o o l t o i d e n t i f y d e v i c e s
c o n n e c t e d t o t h e o r g a n i z a t i o n ' s n e t w o r l c a n d
a u t o m a t i c a l l y u p d a t e t h e o r g a n i z a t i o n ' s h a r d w a r e
asset i n v e n t o r y . •1.3 Devices I d e n t i f y Use D H C P L o g g i n g t o
U p d a t e A s s e t Inventory
Use D y n a m i c H o s t C o n f i g u r a t i o n P r o t o c o l
( D H C P ) l o g g i n g o n all D H C P servers or IP a d d r e s s
m a n a g e m e n t t o o l s t o u p d a t e t h e o r g a n i z a t i o n ' s
h a r d w a r e asset i n v e n t o r y . ••1.4 D e v i c e s I d e n t i f y M a i n t a i n D e t a i l e d A s s e t
I n v e n t o r y
M a i n t a i n a n a c c u r a t e a n d u p - t o - d a t e i n v e n t o r y
o f all t e c h n o l o g y assets w i t h t h e p o t e n t i a l t o
s t o r e or p r o c e s s i n f o r m a t i o n . This i n v e n t o r y shall
i n cl u d e a 11 as sets, w h e t h er co n n e c t e d t o t he
o r g a n i z a t i o n ' s n e t w o r k or n o t .
•••1.S D e v i c e s I d e n t i f y M a i n t a i n A s s e t I n v e n t o r y
I n f o r m a t i o n
E n s u r e t h a t t h e h a r d w a r e asset i n v e n t o r y records
t h e n e t w o r k a d d r e s s , h a r d w a r e a d d r e s s , m a c h i n e
n a m e , d a t a asset o w n e r , a n d d e p a r t m e n t f o r e a c h
asset a n d w h e t h e r t h e h a r d w a r e asset has b e e n
a p p r o v e d t o c o n n e c t t o t h e n e t w o r k . ••1.6 D e v i c e s R e s p o n d A d d r e s s U n a u t h o r i z e d
A s s e t s
E n s u r e t h a t u n a u t h o r i z e d assets are e i t h e r
r e m o v e d f r o m t h e n e t w o r k , q u a r a n t i n e d or t h e
i n v e n t o r y is u p d a t e d in a t i m e l y m a n n e r . •••1.7 D e v i c e s P r o t e c t D e p l o y P o r t Level Access
C o n t r o l
Utilize p o r t level access c o n t r o l , f o l l o w i n g
8 0 2 . 1 * s t a n d a r d s , t o c o n t r o l w h i c h d e v i c e s c a n
a u t h e n t i c a t e t o t h e n e t w o r k . T h e a u t h e n t i c a t i o n
s y s t e m shall Pe t i e d i n t o t h e h a r d w a r e asset
i n v e n t o r y d a t a t o e n s u r e o n l y a u t h o r i z e d d e v i c e s
c a n c o n n e c t t o t h e n e t w o r k .
1.8 Devices P r o t e c t U t i l i z e C l i e n t C e r t i f i c a t e s
t o A u t h e n t i c a t e
H a r d w a r e A s s e t s
Use client c e r t i f i c a t e s t o a u t h e n t i c a t e h a r d w a r e
a s s e t s c o n n e c t i n g t o t h e o r g a n i z a t i o n ' s t r u s t e d
n e t w o r k .
CIS Control 1: Souhrn
• Udržení aktuálního a přesného přehledu = trvalý a dynamický proces
• Organizace mohou pravidelně síť skenovat pro identifikaci zařízení
• Před skenováním je potřeba zajistit dostatečnou šířku pásma (na základě
historie zátěže a kapacit jejich sítě)
• Pasivní skenery pak na kritických místech sledují komunikaci na základě které
se snaží identifikovat zařízení
• Informace lze získat z routerů a switchů (např. MAC adresy)
• Každé zařízení (fyzické/virtuální) využívající IP adresu by mělo být zahrnuto do
inventáře aktiv organizace
CIS Control 2: Inventory and Control
of Software Assets
Inventarizace a kontrola (přehled) softwarový<
aktiv
Cíle :
- Aktivní správa veškerého SW v síti
- Povolit instalace a spuštění pouze
autorizovaných SW
- Nalézt neautorizované a nespravované SW
a zabránit jejich instalaci a spuštění
CIS Control 2: System Entity Relationship Diagram
Alerting / Reporting
Analytics System
Důležitost CIS 2
• Útočníci neustále skenují sítě svých cílů
• Hledají zranitelné verze SW, které mohou být vzdáleně napadeny:
- neaktualizovaný SW
- Neoprávněný SW (SW, který nemá v síti co dělat)
- Nový SW (Neotestovaný v rámci bezpečnosti)
• Bez správné znalosti a kontroly S W v organizaci nelze síť správně zabezpečit
• Útočníci rozesílají různé škodlivé weby, dokumenty, mediální soubory atd. přes důvěryhodné zdroje (Vlastní
web firmy, partneři, kolegové atd)
• Využívají zero-days exploits (Využívají zranitelnosti, která ještě nemá patch)
• Po úspěšném útoku dochází k získaní kontroly nad systémem
• Špatně kontrolovatelné zařízení -> nejspíš obsahuje nepotřebný/škodlivý S W -> napadení takového zařízení =
možnost napadení celé sítě ->organizace bez správy S W = nejsou schopni zjistit príčinu problému a detekovat
škodlivý S W
• Správa všech S W hraje důležitou roli při:
- Plánovaní
- Zálohování
- Reakcích na incidenty
- Zotavení po útoku
CIS control 2: subcontrols
CIS Control 2: Inventory and Control of Software Assets
Sub-
Control
Asset
Type
Security
Function
Control
Title
Control
Descriptions
m pi ementat ion
Groups
1 2 3
2,1 Applications Identify M ai nta i n 1 nventory of
Authorized software
Maintain an up-to-date list of all authorized
software that is required in the enterprise for any
business purpose on any business system. • • •2.2 Applications Identify Ensure Software Is
Supported by Vendor
Ensure that only software applications or
operating systems currently supported and
receiving vendor updates are added to the
organization's authorized software inventory.
Unsupported software should be tagged as
unsupported in the inventory system.
• •
2,3 Applications Identify Utilize Software
Inventory Tools
Utilize software inventory tools throughout the
organization to automate the documentation of
all software on business systems. • •2.4 Applications identify Track Software Inventory
Information
The software inventory system should track the
na m e, ve rsi on, p u b 1 is he rr and i nstal 1 d ate for a II
software, including operating systems authorized
by theorganization.
• •2.5 Applications Identify Integrate Software
and Hardware Asset
Inventories
The software inventory system should be tied
into the hardware asset inventory so all devices
and associated software are tracked from a single
location. •2.6 Applications Respond Address Unapproved
Software
Ensure that unauthorized software is either
removed or the inventory is updated in a timely
manner. • • •2,7 Applications Protect Utilize Application
Whitelisting
Utilize application whitelisting technologyon all
assets to ensure that only authorized software
executes and all unauthorized software is blocked
from executing on assets. •2.8 Applications Protect Implement Application
Whitelisting of Libraries
The organization's application whitelisting
software must ensure that only authorized
software libraries (such as *.dll, *.ocx, *.sor etc.) are
allowed to load into a system process. •2.9 Applications Protect Implement Application
Whitelisting of Scripts
The orga n i zation's appl icati on w h itel i st i n g
software must ensure that only authorized,
digitally signed scripts (such as *.ps1,*.pyr macros,
etc.) are allowed to run on a system. •2.10 Applications Protect Physi ca 1 ly o r Log ica 1 ly
Segregate High Risk
Applications
Physicallyor logically segregated systems should
be used to isolate and run software that is
required for business operations but incurs higher
risk forthe organization.
•
CIS Control 2: Souhrn
• Whitelisting lze implementovat pomocí kombinace komerčních whitelistingových
nástrojů, zásad (policy) a nástrojů testující aplikace, které přicházejí společně s
antivirovými balíčky a populárními operačními systémy.
• Komerční nástroje pro inventarizaci S W a zařízení jsou dnes široce dostupné a
používají se v mnoha podnicích.
• Nejlepší nástroje poskytují kontrolu stovek běžných aplikací používaných v
podnicích
• Získávají informace o dostupných patch-ích.
• Komerční nástroje navíc stále více sdružují antiviry, antispyware, osobní brány
firewall, IDS, IPS spolu s bílou a černou listinou aplikací.
CIS Control 3: Continuous
Vulnerability Management
Aktivní správa zranitelností
Zranitelnost (Vulnerability) = V počítačové
bezpečnosti je zranitelností slabost, kterou
múze útočník, zneužít k provádění
neoprávněných akcí v počítačovém systému.
Cíle :
- Neustále získávat a vyhodnocovat nové
informace, které vedou k:
m Identifikaci zranitelností
• Nápravě (remediate)
• Minimalizaci příležitostí pro útočníky
(attack surface)
CIS Control 3: System Entity Relationship Diagram
P a t c h
M a n a g e m e n t
A l e r t i n g I R e p o r t i n g
A n a l y t i c s S y s t e m
C o m p u t i n g
S y s t e m s
Důležitost CIS 3
Správa zranitelností je trvalá aktivita vyžadující čas, pozornost a zdroje
Bezpečnostní týmy musí pracovat se spoustu neustálých informací (aktualizace SW,
patch, bezpečnostní doporučení atd.)
Útočníci mají přístup ke stejným informacím ohledně zranitelností, kterých můžou využít
Nahlášena nová zranitelnost -> závod mezi: útočníky (Co nejrychleji zneužít), prodejci
(Co nejrychleji vydat patch, aktualizaci) a bezpečnostních týmů(vyhodnocování rizik,
instalace patchů)
Organizace, které neřeší zranitelnosti čelí velké pravděpodobnosti ohrožení jejich
počítačových systémů
V takových organizacích je remedeation (nápravné opatření) velice obtížné
CIS control 3: subcontrols
CIS Control 3: Continuous Vulnerability Management
Sub-
Control
Asset
Type
Security
Function
Control
Title
Control
Descriptions
Implementation
Groups
1 2 3
3.1 Applications Detect Run Automated
Vulnerability Scanning
Tools
Utilize an up-to-date Security Content Automation
Protocol (SCAPJ compliant vulnerability scanning
too I to a uto m atica I ly scan al 1 system s on the
network on a weekly or more frequent basis
to identify all potential vulnerabilities on the
organization's systems,
• •
3.2 Applications Detect Perform Authenticated
Vulnerability Scanning
Perform authenticated vulnerability scanning
with agents running locally on each system or with
remote scanners that are configured with elevated
rights on the system being tested, • •3.3 Users Protect Protect Dedicated
Assessment Accounts
Use a dedicated account for authenticated
vulnerability scans, which should not be used for
any other administrative activities and should be
tied to specific machines at specific IP addresses. • •3.4 Applications Protect Deploy Automated
Operating System Patch
Management Tools
Deploy automated software update tools in order
to ensure that the operating systems are running
the most recent security updates provided by the
software vendor.
• • •3.S Applications Protect Deploy Automated
Software Patch
Management Tools
Deploy automated software update tools in order
to ensure that third-party software on all systems
is running the most recent security updates
p rovided by t he softwa re ve ndor.
• • •3.6 Applications Respond Compare Back-to-Back
Vulnerability Scans
Regularly compare the results from consecutive
vulnerability scans to verify that vulnerabilities
have been remediated in a timely manner.
3.7 Applications Respond Utilize a Risk-Rating
Process
Utilize a risk-rating process to prioritize the
remediation of discovered vulnerabilities,
CIS Control 3: Souhrn
• Existuje velké množství nástrojů, pro skenovaní zranitelností
• Pro standardizovaní odhalených zranitelností je lepší využívat skeny, které
využívají: CVE, CCE, OVAL, CPE, CVSS a / nebo X C C D
• Pokročilé nástroje lze nakonfigurovat s přihlašovacími údaji pro provádění
komplexnějších prohledávání, než jaké lze dosáhnout bez přihlašovacích údajů.
• Nástroje také mohou kontrolovat nastavení jednotlivých zařízení
• Nástroje lze propojit s ticket systémy
• Nástroje porovnávají jednotlivé skeny = vytváření reportů a trendů
Seminář
https://www.combodo.com/teemip-online-demo
Qualys
Qualys community edition
https://www.qualvs.com/communitv-edition/
CIS benchmark
• Cis-cat-full.zip
Nikto
https://github.com/sullo/nikto
zdroje
https://www.cisecurity.org/