Američki CERT je objavio upozorenje koje sadrži popis 30 najčešćih ranjivosti korištenih u ciljanim napadima. Upozorenje je sastavljeno na temelju sudjelovanja stručnjaka US-CERT-a u brojnim istragama nakon pojave ciljanih napada, pa tako možemo biti sigurni da je ovaj popis rezultat neposrednog iskustva.
Vjerujem da ste već dobro upoznati o ciljanim napadima na računalne resurse. Ovi napadi su poznati i kao Advanced Persistant Threat napadi ili ih jednostavno nazivamo ciljanim napadima (no, ciljani napadi, bez obzira na svoju uspješnost ne moraju nužno biti jako napredni). Jednom drugom prilikom ću opisati strategiju izvršenja ovih napada, no nema dvojbe da je iskorištavanje računalnih ranjivosti njihov glavni motor. Ništa novo, reći ćete, oduvijek su napadači iskorištavali upravo računalne ranjivosti. Ipak, ovdje se suočavamo sa situacijom u kojoj se napredne/ciljane prijetnje usmjeravaju preko ranjivosti na radnim stanicama u računalnoj mreži žrtve. Napredne/ciljane prijetnje nemaju potrebe probijati firewall, javne dostupne servise ili ranjivosti web aplikacija. Napadi kreću socijalnim inženjeringom na zaposlenike tvrtke prema kojoj je usmjeren napad (uglavnom kroz dobro skrojene phishing poruke) da bi odmah nakon toga uslijedila kompromitacija osobnih računala ovih zaposlenika. O svemu ovome sam u više navrata pisao na ovim stranicama.
Iz korisnog upozorenja koje je objavio američki CERT i popisa čestih ranjivosti možemo izvući nekoliko zanimljivih zaključaka.
Prvi – koji zapravo i nije neočekivan – većina ranjivosti se odnosi na klijentske komponente na osobnim računalima. Dakle, scenarij njihovog iskorištavanja se prirodnim putem nadovezuje na socijalni inženjering.
Iz popisa možemo vidjeti da većina ranjivosti proizlazi iz ranijih godina – tek šest ranjivosti je iz 2014. (ni jedna iz 2015.) a ostale iz prethodnih godina (uključujući i po jednu ranjivost iz 2006. i 2008.). Dakle, primjerena primjena programskih popravaka definitivno se pokazuje kao jedan od najboljih savjeta za preventivnu obranu od naprednih/ciljanih napada.
Treći zaključak se implicitno nameće iz prethodnih: tehnika mrežnog scana i otkrivanja – svakako važan korak u otkrivanju nedostataka i primjeni popravaka – mora biti provedena na razini dubinskog skena, ulazeći do razine konfiguracijskih postavke. Takav scan se u pravilu provodi korištenjem privilegiranih prava pristupa (o tome sam pisao na ovom mjestu).
Možemo izvesti zaključak i o prirodi procesa ocjene računalnih ranjivosti i tehnika mrežnog skeniranja: iako se sken izvodi putem mreže, računalna mreža je samo medij prijenosa testnih uzoraka i čitanja rezultat. Sami indikatori o sigurnosnim prijetnjama dolaze iz sadržaja postavki operativnih sustava i korisničkih aplikacija, a ne više iz karaktera TCP/IP zaglavlja ili mrežne aplikativne razine.
Na kraju, korisnicima sustava QualysGuard predlažem da kreiraju statičku listu s popisom indikatora ranjivosti (signatures) te da naprave ciljani sken svih računalnih resursa, a naročito radnih stanica. Kako bi provjera bila efikasna predlažem izradu statičke liste indikatora ranjivosti koja će obuhvatiti Top 30 ranjivosti. Ova lista može biti korištena ili u fazi pregleda (scana) ili u fazi izvještavanja. Detaljniju uputu možete naći na ovoj stranici QualysGuard Community portala (potreba prijava), a tu navodim listu QID signature-a koje treba uključiti u listu: 110082, 110096, 90570, 100083, 110102, 110132, 90793, 90828, 100134, 90870, 100146, 100180, 121860, 100191, 90979, 120274, 121279, 121381, 116768, 116893, 118486, 119144, 119145, 119768, 120771, 120771, 121176, 12681, 121581, 122742, 42430.
Također, uzmite u obzir da većina navedenih provjera zahtjeva autenticirani scan.
Na kraju, budite svjesni da je otklanjanje ranjivosti samo jedna od faza u obrani od naprednih/ciljanih napada. Po svemu sudeći efikasnija od antivirusne zaštite ali to ne znači da ćete nakon toga moći sasvim mirno spavati.
Nema komentara:
Objavi komentar