Valutazione della configurazione della sicurezza degli host

Difesa dei server strategici

Overview

La valutazione sulla configurazione della sicurezza degli host di Foundstone verifica lo stato di protezione dei server strategici dell'azienda, ovvero la colonna portante dell'infrastruttura tecnologica di una società. Analizziamo le problematiche del sistema operativo e della sicurezza a livello di applicazione degli ambienti operativi aziendali. Foundstone verifica i controlli amministrativi e tecnici, identifica le vulnerabilità potenziali ed effettive e suggerisce delle contromisure specifiche.

Le valutazioni della configurazione della sicurezza degli host sono fondamentali perché consentono di individuare dei punti deboli non altrimenti riscontrabili con una semplice valutazione della rete. Queste valutazioni sono il meccanismo più efficiente per valutare in modo completo la sicurezza degli asset strategici dell'azienda.

Foundstone esegue le valutazioni della configurazione della sicurezza degli host per gli ambienti Microsoft Windows e UNIX, ma anche di importanti applicazioni come IIS, SQL Server e Apache. Eseguiamo anche le valutazioni della configurazione dei router. Foundstone ha svolto centinaia di valutazioni della configurazione della sicurezza degli host per i sistemi di ambienti in produzione, inclusi i server web di e-commerce, i database finanziari e gli host interfacciati a Internet. Abbiamo redatto un elenco esaustivo di punti di controllo, che si basa sulla nostra esperienza maturata attraverso i test di penetrazione nonché sugli standard di settore come i modelli di riferimento CIS.

La nostra cosiddetta "knowledge base" è sempre al passo con le tecnologie emergenti, in modo che la valutazione della configurazione della sicurezza degli host controlli sempre anche la presenza delle ultime patch per la sicurezza e dei metodi di configurazione più recenti per le applicazioni e i server di ultima generazione. I nostri consulenti esperti localizzano con estrema precisione i problemi che comportano i rischi maggiori e suggeriscono come risolvere tali difficoltà a livello di policy. Non ultimo, le nostre tecniche sfruttano script personalizzati che gli amministratori aziendali possono eseguire per raccogliere i dati necessari per la valutazione.

Vantaggi principali

  • Valutazione della sicurezza dei server critici
  • Analisi della sicurezza del sistema operativo e delle applicazioni degli ambienti operativi
  • Verifica dei controlli amministrativi e tecnici, identificazione delle vulnerabilità potenziali ed effettive e suggerimenti per contromisure di protezione
  • Confronto delle immagini standard aziendali con i modelli di riferimento del settore

Methodology

La base su cui poggia la metodologia Foundstone sono le direttive pubbliche largamente approvate e l'esperienza dei nostri consulenti. Foundstone ha sviluppato degli strumenti per automatizzare la raccolta dei dati. Utilizziamo questi script per identificare più facilmente le configurazioni errate o le omissioni che comportano i rischi maggiori per le build dei server aziendali. Prendendo spunto dalla nostra esperienza, verifichiamo il rischio dell'host a livello globale, invece che limitarci a spuntare un elenco di punti predefiniti suggeriti dal fornitore. Questo approccio ci consente di identificare i controlli su cui è indispensabile apportare delle migliorie per ridurre il rischio dell'host.

Verifichiamo in modo approfondito l'adeguatezza dei controlli della sicurezza sulle funzionalità e le funzioni elencate per numerosi sistemi operativi e dispositivi, tra cui:

  • Microsoft Windows 2000 e versioni successive
  • Unix (inclusi Solaris, HP-UX, Linux, Tru64, e AIX) e Novell
  • Applicazioni specifiche come IIS, SQL Server e Apache
  • Host per router e switch

Host Microsoft Windows e UNIX
Creiamo una valutazione del rischio che sia confrontabile con diversi sistemi operativi e applicazioni. Ciascun host viene valutato secondo la prassi di sicurezza della nostra metodologia:

  • Gestione e protezione degli account
    • Meccanismi di archiviazione delle password per applicare delle restrizioni adeguate
    • Controlli di generazione e gestione delle password
    • Autorizzazioni adeguate per gli account degli utenti
    • Account univoci per tutti gli utenti
    • Identificazione delle policy per gli account di dominio o server riguardo le regole per password, restrizioni del tempo di accesso e individuazione/blocco degli intrusi.
    • Verifica delle policy per le password utilizzando password cracker, come LOphtcrack o John the Ripper
  • Gestione e protezione dei file
    • Autorizzazioni adeguate per file di sistema, applicazioni dati e utenti
    • Condivisioni che non mostrano dati superflui
    • Condivisioni limitate agli utenti e ai gruppi autorizzati
    • Integrità dei file monitorata (Tripwire, MD5 Checksum e altri)
    • Software antivirus installato, aggiornato e in funzione
  • Livello delle patch
    • Ambiente e procedura per verificare le patch prima di implementarle nei sistemi di produzione
    • Applicazione di patch per la sicurezza del sistema operativo
    • Applicazione di patch per la sicurezza delle applicazioni
  • Sicurezza della rete
    • Abilitazione dei soli protocolli necessari
    • Esecuzione dei soli servizi utili all'attività aziendale
    • Protezione adeguata dei servizi comuni (FTP, HTTP, Network File System, servizi RPC, X Windows)
    • Firewall a livello host o altri meccanismi di controllo degli accessi alla rete abilitati, dove appropriato
    • Sicurezza del modem conforme a policy prestabilite
  • Registrazione e controllo
    • Incremento del controllo predefinito del sistema operativo
    • Backup delle applicazioni configurate per generare dati e file del log
    • Valutazione periodica dei log per individuare attività sospette
    • Orari del sistema sincronizzati con un server centrale
  • Gestione generale della sicurezza
    • Verifica dell'esecuzione delle applicazioni secondo il principio del privilegio minimo
    • Controllo degli eseguibili e degli script di avvio che potrebbero fornire una vulnerabilità di tipo backdoor, generata da autorizzazioni o implementazioni non sicure
    • Identificazione della portata e del tipo di relazioni trust tra i domini
    • Identificazione della portata e del tipo di relazioni trust tra i singoli sistemi
  • Individuazione di intrusioni precedenti
    • Ricerca della presenza di Trojan e backdoor comuni
    • Controllo delle autorizzazioni sospette per i file
    • Controllo degli account utente sospetti, ad esempio quelli che non sono stati monitorati, cui non è assegnata alcuna password o diritti eccessivi
  • Controlli esterni (ove applicabile)
    • Sicurezza fisica
    • Strategia di backup
    • UPS
    • Soppressione di file
    • Ambiente (CA, umidità)

Valutazione delle applicazioni host: server web e database
Foundstone valuta anche l'installazione e la configurazione delle applicazioni principali come Microsoft IIS e SQL Server. Queste applicazioni spesso rappresentano un rischio per la rete a causa della loro storia di vulnerabilità e connettività Internet. Queste valutazioni includono, oltre a quanto specificato sopra:

  • Configurazione sicura
  • Separazione dei privilegi
  • Procedure consigliate
  • Registrazione e controllo

Valutazione degli host per router e switch
Queste valutazioni seguono inizialmente la metodologia descritta in precedenza per valutare la configurazione dell'host sottostante. Vengono poi eseguiti dei controlli aggiuntivi per valutare la funzione particolare del router e dello switch. La metodologia si concentra su principi di qualità elevata, tenendo traccia dei seguenti punti specifici e dettagliati:

  • Liste di controllo degli accessi che limitano il flusso di pacchetti
  • Configurazioni per prevenire o ridurre al minimo gli attacchi di spoofing
  • Regole di filtering che limitano il traffico destinato a router o firewall
  • Controllo dei metodi di autenticazione per l'accesso remoto e locale e determinazione dell'adeguatezza di questi controlli
  • Determinazione dell'eventuale sicurezza "per porta" allo scopo di eliminare l'uso della funzione di span non autorizzato, ove applicabile (switch Cisco)
  • Analisi dei meccanismi di autenticazione per l'indirizzamento degli aggiornamenti delle tabelle
  • Analisi delle route, in particolare di quelle statiche, per problemi connessi con la sicurezza
  • Analisi dell'adeguatezza e della sicurezza delle configurazioni di accesso
  • Verifica dell'installazione degli ultimi aggiornamenti software
  • Analisi della presenza sugli host di servizi superflui; verifica della configurazione dei servizi per accertare la presenza di controlli di sicurezza adeguati

La metodologia di Foundstone non solo è mirata sulle specifiche aree che comportano i rischi maggiori per un host, ma fornisce anche suggerimenti su come implementare al meglio i server. Questi suggerimenti per il contenimento dei rischi proteggono il sistema da vulnerabilità note e spesso eliminano l'esposizione ad attacchi di tipo zero-day riducendo la superficie vulnerabile.