Host Security Configuration Assessment

Wachen Sie über kritische Server

Nächste Schritte:

Overview

Beim Host Security Configuration Assessment von Foundstone wird die Sicherheit der kritischen Server Ihres Unternehmens ausgewertet, die das Rückgrat Ihrer Technologie-Infrastruktur bilden. Wir analysieren die Sicherheitsprobleme auf Betriebssystem- und Anwendungsebene in den Betriebsumgebungen Ihres Unternehmens. Foundstone prüft administrative und technische Steuerungen, identifiziert potenzielle und tatsächlich bestehende Schwachstellen und empfiehlt spezifische Gegenmaßnahmen.

Bewertungen der Host-Sicherheitskonfiguration mithilfe von Host Security Configuration Assessment sind von zentraler Bedeutung, da sie uns die Identifikation von Schwachstellen ermöglichen, die bei Netzwerkbewertungen nicht erkannt werden können. Diese Bewertungen stellen das effizienteste Verfahren für eine umfassende Auswertung der Sicherheit der wichtigsten Ressourcen Ihrem Unternehmen dar.

Foundstone führt Host Security Configuration Assessments für Microsoft Windows- und UNIX-Umgebungen durch. Ebenfalls eingeschlossen sind wichtige Anwendungen wie IIS, SQL Server und Apache. Darüber hinaus führen wir Konfigurationsbewertungen bei Routern durch. Foundstone hat für Systeme in Produktionsumgebungen bereits Hunderte von Host Security Configuration Assessments vorgenommen, darunter für Webserver, die für E-Commerce-Anwendungen genutzt werden, für Finanzdatenbanken und für mit dem Internet verbundenen Bastion-Hosts. Wir haben basierend auf unserer Erfahrung mit Penetrationstests sowie auf Branchenstandards wie den CIS-Benchmarks (Center for Internet Security) eine umfassende Gruppe von Audit-Punkten zusammengestellt.

Durch neue Technologietrends wird unsere Wissensbasis ständig aktualisiert, sodass beim Host Security Configuration Assessment stets eine Prüfung auf die aktuellen Sicherheits-Patches und Konfigurationsmethoden für die neuesten Anwendungen und Server stattfindet. Unsere erfahrenen Berater bestimmen genau, in welchen Bereichen die Probleme mit dem höchsten Risikopotenzial auftreten und wie diese auf Richtlinienebene beseitigt werden können. Und schließlich kommen bei unseren Techniken angepasste Skripts zur Anwendung, die von Ihren Administratoren verwendet werden können, um Daten für die Bewertung zu erfassen.

Wichtige Vorteile

  • Werten Sie die Sicherheit kritischer Server aus
  • Analysieren Sie die Betriebssystemsicherheit und die Sicherheit auf Anwendungsebene von Betriebsumgebungen
  • Prüfen Sie administrative und technische Steuerungen. Identifizieren Sie dabei potenzielle und tatsächlich bestehende Schwachstellen sowie entsprechende Sicherungsempfehlungen für Gegenmaßnahmen
  • Vergleichen Sie Ihre Standardabbilder mit Branchen-Benchmarks

Methodology

Die Methode von Foundstone wird auf der Grundlage etablierter öffentlicher Richtlinien und der Erfahrung der Foundstone-Berater ausgearbeitet. Foundstone hat Tools zur Automatisierung der Datenerfassung entwickelt. Mit diesen Tools beziehungsweise Skripts lassen sich hoch riskante Fehlkonfigurationen oder Konfigurationslücken in den Server-Builds Ihres Unternehmens leichter ermitteln. Da wir auf unsere Erfahrung zurückgreifen können, testen wir das Gesamtrisiko des Hosts und beschränken uns nicht nur darauf, eine Liste mit spezifischen Anbieterempfehlungen abzuarbeiten. Folglich können wir die Steuerungen mit dem höchsten Verbesserungsbedarf identifizieren, um das Risiko für den Host zu verringern.

Wir prüfen eingehend die Eignung von Sicherheitskontrollen für die Merkmale und Funktionen, die für zahlreiche Betriebssysteme und Geräte aufgeführt sind, darunter:

  • Microsoft Windows 2000 und höher
  • Unix (einschließlich Solaris, HP-UX, Linux, Tru64 und AIX) und Novell
  • Spezifische Anwendungen wie IIS, SQL Server und Apache
  • Router- und Switch-Hosts

Microsoft Windows- und UNIX-Hosts
Wir entwickeln eine Risikomessung, die betriebssystem- und anwendungsübergreifende Vergleiche ermöglicht. Jeder Host wird anhand der in unserer Methode festgelegten Sicherheitspraktiken einer Messung unterzogen:

  • Kontoverwaltung und -sicherheit
    • Kennwortspeichermechanismen für geeignete Beschränkungen
    • Kennwortgenerierung und Verwaltungssteuerungen
    • Angemessene Berechtigungen für Benutzerkonten
    • Eindeutige Konten für alle Benutzer
    • Identifikation von Domänen- oder Serverkontorichtlinien für Kennwortregeln, Beschränkungen der Anmeldezeit, Erkennung und Sperre von Eindringlingen
    • Testen von Kennwortrichtlinien mit Kennwort-Crackern wie LOphtcrack oder John the Ripper
  • Dateiverwaltung und -sicherheit
    • Richtige Berechtigungen für System-, Anwendungs-, Daten- und Benutzerdateien
    • Keine Anzeige von unnötigen Daten in Freigaben
    • Beschränkung der Freigaben auf entsprechende Benutzer und Gruppen
    • Überwachung der Dateiintegrität (Tripwire, MD5 Checksum und andere)
    • Installierte, aktuelle und funktionsfähige Antivirensoftware
  • Patch-Ebene
    • Es sind eine Umgebung und ein Verfahren zum Testen von Patches vor der Bereitstellung in Produktionssystemen vorhanden.
    • Es wurden sicherheitsbezogene Patches für das Betriebssystem angewendet.
    • Es wurden sicherheitsbezogene Patches für Anwendungen angewendet.
  • Netzwerksicherheit
    • Es sind keine unnötigen Protokolle aktiviert.
    • Es werden nur geschäftsbezogene Dienste ausgeführt.
    • Gängige Dienste (FTP, HTTP, Network File System, RPC-Dienste, X Windows) wurden angemessen gesichert.
    • Gegebenenfalls sind auf Host-Ebene eine Firewall oder andere Verfahren zur Steuerung des Netzwerkzugriffs aktiviert.
    • Die Modemsicherheit entspricht der festgelegten Richtlinie.
  • Protokollierung und Audits
    • Die standardmäßigen Betriebssystem-Audits wurden erweitert.
    • Die Anwendungen wurden für die Generierung von Protokolldaten konfiguriert, und die Protokolldateien werden gesichert.
    • Die Protokolle werden regelmäßig auf verdächtige Aktivitäten hin bewertet.
    • Die Systemzeiten werden mit einem zentralen Server synchronisiert.
  • Allgemeines Sicherheitsmanagement
    • Sicherstellen, dass Anwendungen auf der Grundlage eines Konzepts der geringstmöglichen Berechtigung ausgeführt werden
    • Prüfung des Potenzials für ausführbare Dateien und Skripts zum Starten, die aufgrund von unsicheren Berechtigungen oder einer unsicheren Implementierung möglicherweise eine Backdoor-Schwachstelle aufweisen
    • Identifikation von Umfang und Typ der Vertrauensverhältnisse zwischen Domänen
    • Identifikation von Umfang und Typ der Vertrauensverhältnisse zwischen einzelnen Systemen
  • Erkennung von vorherigen Eindringversuchen
    • Suche nach eventuell vorhandenen gängigen Trojanern und Backdoors
    • Prüfung von verdächtigen Dateiberechtigungen
    • Prüfung von verdächtigen Benutzerkonten, beispielsweise von Konten, die keinem Audit unterzogen wurden oder über ein leeres Kennwort beziehungsweise übermäßige Rechte verfügen
  • Externe Steuerungen (wo zutreffend)
    • Physische Sicherheit
    • Sicherungsstrategie
    • USV
    • Feuerbekämpfungsvorrichtungen
    • Umgebung (Wechselstrom, Feuchtigkeit)

Bewertung von Host-Anwendungen – Web- und Datenbankserver
Foundstone bewertet außerdem die Installation und Konfiguration von wichtigen Anwendungen wie Microsoft IIS und SQL Server. Diese Anwendungen stellen für das Netzwerk wegen der Schwachstellenhistorie und Verlaufsinformationen zu Internetverbindungen oft ein hohes Risiko dar. Zusätzlich zu den oben genannten Punkten schließen diese Bewertungen eine Prüfung folgender Aspekte ein:

  • Sichere Konfiguration
  • Trennung von Berechtigungen
  • Empfohlene Vorgehensweisen
  • Protokollierung und Audits

Bewertung von Router- und Switch-Hosts
Diese Bewertungen beginnen mit der oben beschriebenen Methode zur Bewertung der Konfiguration des zugrunde liegenden Hosts. Zur Bewertung der spezifischen Funktion von Router und Switch werden zusätzliche Prüfungen durchgeführt. Die Methode zielt auf allgemeine Konzepte ab. Hierzu werden die folgenden spezifischen, detaillierten Punkte nachverfolgt:

  • Zugriffssteuerungslisten, die den Paketfluss beschränken
  • Konfigurationen zur Verhinderung oder Minimierung von Spoofing-Angriffen
  • Filterungsregeln, die den Verkehr in Richtung Router oder Firewall beschränken
  • Prüfung von Authentifizierungsmethoden für den Remote-Zugriff und den lokalen Zugriff sowie Feststellung der Eignung dieser Steuerungen
  • Ermittlung, ob die Sicherheit für jeden einzelnen Port aktiviert ist, um gegebenenfalls eine unberechtigte übergreifende Nutzung von Ports zu unterbinden (Cisco-Switches)
  • Untersuchung von Authentifizierungsmechanismen zur Weiterleitung von Tabellenaktualisierungen
  • Untersuchung von Routen (insbesondere von statischen Routen) auf Sicherheitsprobleme
  • Untersuchung der Eignung und Sicherheit von Protokollierungskonfigurationen
  • Sicherstellung der Installation von aktuellen Software-Aktualisierungen
  • Untersuchung von Hosts auf unnötige Dienste; Prüfung der Konfiguration von Diensten auf angemessene Sicherheitskontrollen

Die Methode von Foundstone zeigt nicht nur spezifische Bereiche auf, die zur Verringerung des Gefahrenpotenzials durch Risiken für einen Host angegangen werden sollten, sondern bietet auch Empfehlungen im Hinblick darauf, wie die Basislinie für die Bereitstellung von Servern festzulegen ist. Diese Empfehlungen zur Risikominderung schützen das System gegen bekannte Schwachstellen und beseitigen häufig die Gefährdung durch Zero-Day-Missbräuche (Exploits), wodurch das Ausmaß einer Gefährdung reduziert wird.