Pytanie:
Jeśli jesteśmy za zaporą ogniową, czy nadal musimy łatać / naprawiać luki?
Rakesh N
2017-11-20 14:39:51 UTC
view on stackexchange narkive permalink

Niedawno dołączyłem do społeczności skupionej na bezpieczeństwie w mojej organizacji. Wiele naszych produktów jest wdrażanych w intranecie (lokalnie) w chmurze publicznej. Zatem dostęp do portali wewnętrznych można uzyskać tylko w sieci organizacji.

Niedawno opublikowano lukę w zabezpieczeniach biblioteki Apache innej firmy (najwyraźniej umożliwiającą zdalne wykonanie kodu) . Nasz kierownik ds. Bezpieczeństwa poprosił nas o natychmiastową aktualizację biblioteki do najnowszej poprawionej wersji.

Zapytałem: „ Ponieważ portal jest dostępny tylko w intranecie za zaporą, czy nadal musimy aktualizować bibliotekę? ”. Kierownik nie mógł dostarczyć szczegółowych wyjaśnień z powodu braku czasu i potwierdził, że aktualizacja musi się odbyć niezależnie.

Więc co jest nie tak w stwierdzeniu (założeniu?), „Ponieważ jesteśmy za zaporą i takie luki nie dotyczą nas ”.

Po pierwsze, nie wszyscy użytkownicy wewnętrzni są zaufani.Nie chcesz, aby wszyscy widzieli lub mogli wszystko zmienić.Jest wystarczająco dużo ram zgodności, które dokładnie wymagają oddzielenia.Po drugie, istnieje zasada dogłębnej obrony, atakujący może ominąć zaporę ogniową, a jego ruchy boczne powinny być ograniczone.Dzisiaj, dzięki BYOD, WLAN, wizytom na miejscu i usługom internetowym, granica nie jest już ostatnią linią obrony (ale pierwszą).Jednak tylko pierwszy punkt wyjaśniałby pilność.
NSA - jeden z organów rządu USA o najwyższych wymaganiach bezpieczeństwa i najtrudniejszych kontrolach przeszłości swoich pracowników - został kilkakrotnie naruszony przez jeden z ich własnych.Zaufanie pracownikom jest dobre, a łatanie systemów jest jeszcze lepsze.
Czy wiesz, dlaczego zapory sieciowe nazywane są „zaporami sieciowymi”?Firewalle to ściany * odporne na rozprzestrzenianie się ognia *.Czy kiedykolwiek powiesz: „Jesteśmy za zaporą ogniową, więc nie potrzebujemy alarmów przeciwpożarowych, instalacji tryskaczowej ani wyjść awaryjnych”?Zapory * odporne * na rozprzestrzenianie się ognia;nie * zapobiegają * im i mają być * częścią strategii obronnej *.
„Jeśli jesteśmy za bramą, czy nadal musimy zamykać drzwi wejściowe?”
W ten sposób zapobiegłeś bezpośredniemu atakowi z zewnątrz.Co się stanie, jeśli jeden z komputerów w intranecie zostanie naruszony, a następnie ten rozpocznie atak?Pierwsza zasada bezpieczeństwa IT: nie ufaj nikomu
„Próbowaliśmy obronić mury naszego zamku, ale atak nastąpił z wewnątrz hal” - zapora szybko traci sens, jeśli nie naprawisz wycieku gazu w środku
„Niedawno opublikowano lukę w zabezpieczeniach biblioteki Apache innej firmy (najwyraźniej umożliwiającą zdalne wykonanie kodu)”.Pomijając jakiekolwiek koncepcyjne dyskusje tutaj, łatanie serwera Apache jest obecnie tak niewiarygodnie proste i łatwe w obsłudze, że * nie * powinno być nawet uważane za coś, co postrzegamy jako opcjonalne.Jeśli masz paranoję z powodu łamania systemu za pomocą łatki, świadczy to bardziej o kiepskiej implementacji systemu, ponieważ łatanie Apache za pomocą instalatora pakietów jest boleśnie proste.
Osiem odpowiedzi:
iainpb
2017-11-20 14:45:00 UTC
view on stackexchange narkive permalink

Twoje stwierdzenie zawiera dwa błędne założenia:

  1. Twoja zapora (e) jest / są w pełni poprawnie skonfigurowane i nie ma żadnych luk w zabezpieczeniach, które pozwoliłyby atakującemu na złamanie zabezpieczeń i ten idealny stan będzie kontynuowane.

  2. Wszyscy w Twojej organizacji są godni zaufania i nie stanowią żadnego ryzyka.

Zawsze powinieneś operować obroną w głębi i zabezpieczać każdą warstwę, gdzie tylko możesz. Jeśli atakujący przekroczy granicę lub masz nieuczciwego aktora, ta luka w zabezpieczeniach Apache może zostać wykorzystana, jeśli zostanie usunięta.

Jeśli przyjrzysz się szczegółom dobrze znanych naruszeń danych, zauważysz, że często pierwszą rzeczą, która upadła, było jakieś urządzenie innej firmy w sieci, które było następnie wykorzystywane jako przyczółek do przeprowadzania dalszych ataków.Nie chodziło nawet o zaufanie do wszystkich w organizacji, to nie docenianie faktu, że sprzęt, który nie jest własnością organizacji ani nie jest przez nią obsługiwany, został mimo to wpuszczony do organizacji bez pojawienia się na schemacie organizacyjnym jako taki.Więc nie wiem, czy to kwalifikuje się jako „3)”, czy tylko dalsze rozwinięcie „2)”.
I 3) nie ma możliwości, aby osoba atakująca ominęła Twoją zaporę.(Na przykład podłączając Raspberry Pi do wewnętrznego portu sieciowego)
Użytkownicy klikający linki, których nie powinni.Użytkownicy otwierający załączniki do wiadomości e-mail nie powinni.
Punkt 2 naprawdę powinien zostać podzielony.„Jest godny zaufania” i „nie stanowi żadnego ryzyka” to same w sobie dwie ogromne kategorie.To drugie jest prawdopodobnie ważniejsze i obejmuje takie rzeczy, jak infekcje złośliwym oprogramowaniem na ich pudełkach.
Oprócz 2) EveryONE ... dodałbym 3) WSZYSTKO w środku jest bezpieczne i niezmienione.Ponieważ wszystkie rzeczy IoT przekazują dane do i z sieci, wystarczy, że wpłynie to tylko na jeden element wewnątrz, który jest dostępny z zewnątrz lub w kontakcie z nim.
gowenfawr
2017-11-20 19:52:32 UTC
view on stackexchange narkive permalink

To odwieczne pytanie i zawsze ma tę samą odpowiedź.

Chewy Center

Nie możesz polegać na tym, że atakujący nie będą w stanie uzyskać dostęp do swojej sieci. Wystarczy, że jeden pracownik kliknie wiadomość phishingową, a osoba atakująca będzie miała kontakt z Twoją siecią. Jeśli zostawisz wszystko bez poprawki, będą mieli dzień wolny.

jakie znaczenie ma tu obraz?
Obraz przedstawia kogoś, kto zbudował coś, aby chronić się od zewnątrz, ale nie został zaprojektowany ani nie oczekiwano, że ochroni go przed każdym zagrożeniem.W tym przypadku ktoś zbudował konstrukcję, aby chronić się przed żywiołami, ale nie przed dziką przyrodą.Ma też uśmiechnięte niedźwiedzie polarne.Kto nie kocha uśmiechniętych niedźwiedzi polarnych?
A ściślej mówiąc, ktoś zbudował strukturę, aby chronić się przed dziką zwierzyną, nie zdając sobie sprawy, że zwierzęta uważają tę strukturę za smaczną i mogą / będą po prostu jeść przez nią.Bez dalszych zabezpieczeń wewnątrz konstrukcji, natychmiast zostajesz zamknięty.
Myślę, że to najprostsza i najpotężniejsza odpowiedź: „Wystarczy, że jeden pracownik kliknie wiadomość phishingową”.
ymbirtt
2017-11-20 20:26:03 UTC
view on stackexchange narkive permalink

Raporty o zagrożeniach rutynowo wskazują, że Twoi współpracownicy są znacznie bardziej narażeni niż osoby z zewnątrz. Na przykład z tego raportu z 2015 r. mamy następujące dane:

74% naruszeń ma miejsce w rozszerzonym przedsiębiorstwie - albo wśród pracowników (40%), trzeci strony (22%) lub byli pracownicy (12%) - 26% pochodzi spoza organizacji

...

Dwie trzecie (67%) naruszeń bezpieczeństwa wewnętrznego ma miejsce z powodu nieumyślnego błędu - co trzeci (33%) jest spowodowany złym zamiarem

Tak więc 33% z 74% daje nam około jednej czwartej wszystkich naruszeń spowodowanych przez jednego z Twoich kolegów, który zdecydował oni cię nie lubią.

Ta konkretna luka musiałaby zostać wykorzystana przez złośliwe i technicznie zdolne zagrożenie wewnętrzne. Z jednej strony, kwalifikator „sprawny technicznie” dość znacząco zmniejsza prawdopodobieństwo ataku. Z drugiej strony „ta luka tylko naraża nas na dostęp do informacji poufnych” jest całkowicie niewystarczającym powodem, aby nie łatać.

Technicznie zdolny obejmuje tylko rzeczywiste exploity, cokolwiek.Mogę naprawdę wkurzyć moją finansistę i sprawić, by ujawnił moje informacje do jakiegoś rosyjskiego syndykatu przestępczego.Nie oznacza to, że są to „prawdziwe” naruszenia, tylko że umiejętności techniczne niekoniecznie są potrzebne.Oznacza to również, że wzmacnianie musi być czymś więcej niż tylko nakładaniem poprawek i użyciem silnych haseł.
@Fistbeard,, przepraszam, jeśli nie byłem pewien, ale „technicznie zdolny” odnosił się do osoby wykorzystującej lukę RCE w pytaniu OP.
Tak, trochę wyszedłem poza zakres mojego komentarza powyżej.
tim
2017-11-20 19:13:13 UTC
view on stackexchange narkive permalink

Tak, musisz załatać systemy wewnętrzne.

Załóżmy, że prawda (a prawdopodobnie nie jest):

  • Twój system wewnętrzny ma 100 % nieprzenikniony ze świata zewnętrznego (lub nie ma problemu z przejęciem każdego systemu wewnętrznego w przypadku naruszenia).
  • ufasz w 100% wszystkim w Twojej organizacji (a dokładniej każdemu, kto ma dostęp do intranetu , które mogą również obejmować gości, pracowników tymczasowych itp.).

Wciąż istnieją luki w zabezpieczeniach sieci Web, które w ogóle nie wymagają dostępu do intranetu, w szczególności odzwierciedlone XSS i CSRF.

Jeśli podejmiesz takie samo podejście do braku aktualizacji za pomocą aplikacji internetowych, jak w przypadku serwerów internetowych, można założyć, że niektóre aplikacje będą podatne na ataki. Teraz osoba atakująca, która wie lub zgaduje, jakiego oprogramowania używasz, może być w stanie uzyskać wykonanie kodu za pośrednictwem XSS lub CSRF, jeśli ktoś w Twojej organizacji nie jest ostrożny podczas klikania linków lub odwiedzania witryn internetowych.

rackandboneman
2017-11-22 04:53:21 UTC
view on stackexchange narkive permalink

Aby wyjaśnić metaforycznie:

Zapora ogniowa, w zwykłym znaczeniu kierunkowego filtru pakietów / bramy maskującej NAT, powstrzyma resztę świata przed karmieniem trucizną twoich "ludzi".

Dzięki temu nie wyrządzą zbyt wiele szkód reszcie świata, jeśli oszaleją i będą agresywne, na wypadek, gdyby ktoś nadal je otruł.

Chyba że trzymasz ich na bardzo ścisłej diecie , nie powstrzymuje twoich ludzi przed sięganiem po żywność, którą ktoś otruł, i jedzeniem jej, czy to w wyraźnym celu, aby ich otruć, czy po prostu z czystego sadyzmu, by wywołać terror ... zaawansowany firewall (głęboka inspekcja pakietów, czarna lista / biała lista itp.) będzie nadzorować żywność, ale nadal będzie niewiarygodna. Może również stwarzać problemy, gdy myśli, że zmiękczacz do tkanin to gatorade, że śmierdzący ser jest próbą zagazowania wszystkich lub że zielone światło oznacza, że ​​butelka nasyconej solanki będzie bezpieczna do spożycia.

unknownprotocol
2017-11-22 06:32:27 UTC
view on stackexchange narkive permalink

Niezabezpieczone usługi i aplikacje wyłącznie w intranecie są często końcowym celem naruszeń. Niestety, najczęściej zbyt pewni siebie (i ośmielę się powiedzieć naiwni) administratorzy systemu / sieci) zaniedbują ich zabezpieczenie.

A co, jeśli zwykle zaufany intranet maszyna użytkownika zaraża się wirusem, trojanem lub złośliwym oprogramowaniem typu botnet, lub co masz, co skanuje twój intranet od wewnątrz i wysyła te informacje do niezaufanej strony? Teraz niezaufana strona ma nie tylko wektor do Twojego intranetu, ale także zna układ i sposób uzyskiwania dostępu do niezabezpieczonych usług.

Aby przeciwdziałać wielu nieprzewidzianym lukom, należy mieć wiele warstw zabezpieczeń, a nie tylko jedną.

mootmoot
2017-11-20 14:56:36 UTC
view on stackexchange narkive permalink

Luki w oprogramowaniu to problem, który jest trudny do złagodzenia za pomocą określonych pomiarów, chyba że zostanie w pełni przetestowany. Żaden dostawca nie może więc odpowiedzieć na takie pytanie, jeśli nie jest bardzo pewien metody ograniczania ryzyka przy użyciu zapory.

W rzeczywistości powinieneś zapytać, czy łatka zepsuje twoją bieżącą aplikację i proces, czy można ją wycofać .

dan
2017-11-29 19:35:10 UTC
view on stackexchange narkive permalink

Utrzymywanie aktualności firewalla i aktualizowanie oprogramowania to 2 niezależne linie obrony

Krótko mówiąc, odpowiedź na twoje pytanie nie może brzmieć tak lub nie, obie są błędne.

A oto kilka wyjaśnień, dlaczego:

  • „Idealna” zapora ogniowa (ten model nie istnieje), a nawet całkowicie izolowany intranet (tj. bez połączenie z Internetem) nie chroni systemów przed połączeniem w ramach tego wysoce chronionego intranetu zainfekowanego lub zaatakowanego komputera. (To informacja zwrotna z życia: ~ jeden taki atak od wewnątrz / rok). Zobacz także Stuxnet (2010, analizowane przez Kaspersky Lab.).

    Krótko mówiąc, nawet „idealna” zapora ogniowa nie ochroni Cię przed głównym zagrożeniem z wnętrza.

  • Na drugim krańcu spektrum złych wydarzeń, aktualizacja systemu operacyjnego lub oprogramowania nie jest gwarancją poprawy bezpieczeństwa. Większość aktualizacji oprogramowania to wzrost liczby wierszy kodu, a prawo prawdopodobieństwa mówi nam, że liczba błędów wzrasta proporcjonalnie. Aktualizacja systemu operacyjnego może otworzyć lukę na porcie 80 / tcp (http) wewnątrz Apache, która nie była obecna w poprzedniej wersji. I tak jak w przypadku wielu konfiguracji zapory, ten protokół może być legalnie dozwolony wejść do sieci. W takim przypadku aktualizacja systemu operacyjnego może spowodować poważną lukę w całej sieci. Zobacz także lukę w zabezpieczeniach zdalnego dostępu do roota poprzez aktualizację do MacOS High Sierra (2017, analizowana przez Lemi Orhan Ergin).

    Krótko mówiąc, nawet „doskonała” praktyka „zawsze aktualizuj” nie może uchronić Cię przed poważnym ryzykiem błędów edytora przed otwartym portem zapory.

Istnieje wiele innych scenariuszy, które pokazują, że żadne z tych dwóch podejść nie jest wystarczające: „doskonała” zapora ogniowa, „doskonała” praktyka aktualizacji.

Co więc powinienem zrobić?

Osobiście radzę, aby niezależnie aktualizować zapory ogniowe i oprogramowanie, po minimalnym sprawdzeniu, czy żaden z nich nie wprowadza luka, przed którą druga strona nie jest gotowa się bronić.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...