Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilNatálie Horáková
1
18. 5. 2009 Aleš Padrta Západočeská univerzita v Plzni CESNET, z. s. p. o. Vulnerabilities - Zranitelnosti Základní pojmy, životní cyklus, informační zdroje, příklady
2
18. 5. 2009 Obsah ➢ Definice zranitelnosti ➢ Druhy zranitelností ➢ Životní cyklus zranitelnosti ➢ Informace o zranitelnostech ➢ Informační zdroje ➢ Identifikace ➢ Vyhodnocení závažnosti ➢ Zranitelnosti a CSIRT ➢ Příklady zranitelností ➢ Shrnutí
3
18. 5. 2009 Definice zranitelnosti ➢ Slabé místo = zneužitelné pro narušení bezpečnosti ➢ Chyba systému ➢ Zneužití funkcionality ➢ Neznalost uživatele ➢ Role v bezpečnosti ➢ Nedílná součást útoku ➢ Nutná podmínka ➢ Ne postačující ➢ Omezené zneužití
4
18. 5. 2009 Definice zranitelnosti ➢ Vazby z hlediska analýzy rizik
5
18. 5. 2009 Druhy zranitelností ➢ Nevhodný návrh ➢ Chyba při návrhu, změna podmínek (technický pokrok) ➢ Nesnadné odstranění, širší spolupráce ➢ Nevhodná implementace ➢ Chyby v programování (SW) ➢ Chyby ve výrobě (HW, firmware) ➢ Odstraňuje dodavatel ➢ Nevhodné používání ➢ Administrátoři (konfigurace) ➢ Uživatelé (běžné používání) ➢ Nutnost kvalifikovaných pracovníků
6
18. 5. 2009 Životní cyklus ➢ Vznik ➢ Zpravidla nechtěně skryté ➢ Některé nikdy neobjeveny ➢ Objevení (discovery) ➢ Úzká skupina omezený přístup k informacím ➢ Informační výhoda ➢ Zveřejnění (disclosure) ➢ Objevitelem ➢ Při masivnějším zneužívání ➢ Všeobecná informovanost
7
18. 5. 2009 Zveřejňování zranitelností ➢ SW firmy ➢ Špatná strategie ➢ Umožňuje zneužití ➢ Nezaujatý pohled ➢ Bezpečnost založená na tajemství ➢ Velmi křehká ➢ Vyrovnání informační nevýhody ➢ Všichni mají stejné informace ➢ Možnost správně analyzovat rizika ➢ Nutí výrobce k nápravě
8
18. 5. 2009 Životní cyklus ➢ Vznik exploitu ➢ Způsob jak zranitelnost využít ➢ Vznik záplaty (patch) ➢ Způsob jak zranitelnost odstranit ➢ Maximální dostupnost informací ➢ Instalace záplaty ➢ Eliminace zranitelnosti – na daném systému (!)
9
18. 5. 2009 Počty zneužívání v čase 1) Objevení zranitelnosti 2) Zveřejnění zranitelnosti 3) Zveřejnění exploitu 4) Vytvoření záplaty 5) Zahájení záplatování
10
18. 5. 2009 Informační zdroje ➢ Konkrétní zranitelnosti ➢ Lokální CSIRT ➢ Dodavatel systému ➢ Specializovaný server ➢ Odborné články ➢ Zobecněný pohled ➢ Bezpečnostní doporučení ➢ Pravidelné sledování ➢ Zjištění zveřejněných zranitelnosti ➢ RSS kanály
11
18. 5. 2009 Informační zdroje ➢ http://www.securityfocus.com ➢ http://www.isc.sans.org ➢ http://www.securiteam.com ➢ http://www.schneier.com ➢ http://www.root.cz ➢ http://www.milw0rm.com
12
18. 5. 2009 Identifikace zranitelnosti ➢ Vysoké množství zranitelností ➢ Mnoho různých systémů ➢ Často rozsáhlé ➢ Sbírání informací o konkrétní zranitelnosti ➢ Různé zdroje ➢ Vyhledávání jedinečný identifikátor ➢ CVE = Common Vulnerabilities and Exposures ➢ Všeobecně akceptovaný identifikátor ➢ Od roku 1999 ➢ The MITRE Corporation
13
18. 5. 2009 Identifikace zranitelnosti ➢ Identifikace podle CVE ➢ Identikátor CVE – např. CVE-2008-1447 ➢ Krátký popis (co a jak postihuje) ➢ Vybrané odkazy (upřesnění zranitelnosti) ➢ Status (kandidát / zapsaná položka) ➢ Datum přidělení identifikátoru ➢ Katalog zranitelností ➢ http://cve.mitre.org/cve/index.html ➢ http://www.securityfocus.com/vulnerabilities ➢ http://www.securiteam.com/cves/
14
18. 5. 2009 Identifikace zranitelnosti ➢ http://www.securityfocus.com/vulnerabilities
15
18. 5. 2009 Vyhodnocení závažnosti ➢ Možné dopady přijatá opatření ➢ CVSS = Common Vulnerability Scoring System ➢ NIST (National Institute of Standards and Technology) ➢ Standard pro stanovení závažnosti ➢ Základní odhad závažnosti ➢ Vyhodnocení ➢ Standardní postup ➢ Závažnost 0 – 10 (vyšší = problémovější) ➢ Databáze (s identifikátorem CVE) ➢ http://nvd.nist.gov/nvd.cfm
16
18. 5. 2009 Metoda výpočtu CVSS ➢ Základní metrika ➢ Neměnná po celou dobu existence zranitelnosti ➢ Vektor přístupu ➢ Lokální uživatel ➢ Lokální síť ➢ Vnější síť ➢ Složitost ➢ Časová omezení ➢ Konfigurační omezení ➢ Jiná omezení ➢ Způsob autentizace ➢ Je-li potřeba (případně kolikrát) ➢ Dopad na dostupnost ➢ Dopad na důvěrnost ➢ Dopad na integritu
17
18. 5. 2009 Metoda výpočtu CVSS ➢ Časově proměnná metrika ➢ Zneužitelnost ➢ Neznámá ➢ Známý princip ➢ Známý postup ➢ Známý exploit ➢ Eliminovatelnost ➢ Nelze ➢ Neoficiální způsob ➢ Záplata ➢ Komplexní řešení ➢ Důvěryhodnost zpráv ➢ Neověřený zdroj (jeden IT povídal) ➢ Neoficiální důvěryhodné zdroje ➢ Dodavatel systému
18
18. 5. 2009 Metoda výpočtu CVSS ➢ Metrika prostředí ➢ Může se lišit pro konkrétní organizaci ➢ Jiné umístění systémů ➢ Odlišné dopady na chod organizace ➢ Možnosti souběžného poškození ➢ Vliv na další systémy ➢ Rozložení cílů ➢ Kolik zranitelných systémů existuje (%) ➢ Kde jsou umístěny ➢ Dopady ➢ Co všechno lze očekávat
19
18. 5. 2009 CVSS - ukázka ➢ http://nvd.nist.gov/nvd.cfm
20
18. 5. 2009 Zranitelnosti a CSIRT ➢ Šíření informací ➢ Zkušenější zákazník ➢ Nesleduje problematiku ➢ Upozornění ví co je třeba udělat ➢ Webová stránka / Mailing list ➢ Zabezpečeno SSL / Digitální podpis ➢ Obsah zprávy ➢ Referenční číslo ➢ Cílová skupina ➢ Typ zprávy ➢ Popis zranitelnosti ➢ Důsledky ➢ Test přítomnosti ➢ Řešení ➢ Následky řešení
21
18. 5. 2009 Zranitelnosti a CSIRT ➢ Vysvětlování informací ➢ Nesprávné zpracování informace ➢ Zákazník nerozumí odbornému textu ➢ Zákazník špatně vyhodnotí důsledky ➢ Předzpracování informace ➢ Co to znamená ➢ Co přesně je třeba udělat ➢ Instalovat tuto záplatu, ➢ Změnit takto konfiguraci ➢ Spolupráce s dalšími útvary IT ➢ HelpDesk
22
18. 5. 2009 Zranitelnosti a CSIRT ➢ Vlastní výzkum ➢ Lepší porozumění problému ➢ Možnost vlastního (dočasného) řešení ➢ Méně častá služba ➢ Spolupráce s ostatními CSIRT ➢ Případně dodavatelem systému ➢ Urychlení řešení ➢ Návrh trvalého řešení ➢ Využití dalších standardů ➢ CAIF, AVDL, WAS, EISPP
23
18. 5. 2009 Příklady zranitelností ➢ Nevhodný návrh ➢ FTP (plaintext) ➢ Telnet (plaintext) ➢ Slabá šifra (výpočetní výkon) ➢ Neomezitelná práva uživatele ➢ Sdílená paměť pro data a kód ➢...
24
18. 5. 2009 Příklady zranitelností ➢ Nevhodná implementace ➢ Cross site scripting ➢ SQL Injection ➢ Buffer overflow ➢ Format string vulnerabiities ➢ Integer handling errors ➢...
25
18. 5. 2009 Příklady zranitelností ➢ Nevhodná konfigurace / používání ➢ Defaultní heslo ➢ Mám VPN, ale nepoužiji ➢ Neomezený přístup ➢ Ke službě ➢ Ke sdíleným prostředkům ➢ Spuštěna nepoužívaná služba ➢ Poskytování citlivých údajů ➢ Verze systému ➢...
26
18. 5. 2009 Shrnutí ➢ Zranitelnost ➢ Slabé místo ➢ Druhy zranitelností ➢ Návrh / Implementace / Používání ➢ Životní cyklus ➢ Objevení vs. zveřejnění ➢ Práce s informacemi o zranitelnostech ➢ CVE, CVSS ➢ CSIRT a zranitelnosti ➢ Příklady vybraných zranitelností
27
18. 5. 2009 Dotazy ??????
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.