¿Cuál es su proceso para mantenerse al día con las vulnerabilidades de seguridad con identificadores CVE asignados?

Gran pregunta Por lo tanto, mi sugerencia puede no ser perfecta, pero probablemente sea un comienzo. Filtrar a través de todo esto puede convertirse en una tarea enorme si tiene una infraestructura grande y diversa. Cuando trabajé un contrato para los federales, teníamos un software que nos ayudó con esto. El software en realidad forzó automáticamente las actualizaciones, no voy a nombrar el software porque OMI fue un desastre.

Personalmente, usaría la fuente RSS y crearía un script. esa secuencia de comandos tendría identificadores clave ponderados, no solo en los datos de CVE, sino también en mi infraestructura. Eso o podría raspar los datos en bruto …

Usaría un enfoque de la mano derecha de la mano izquierda, ya que descargaría los datos RAW CVE de la mano izquierda para tenerlos todos, y en la mano derecha usaría mi script contra la fuente RSS.

Ahora que se dice que hay un montón de personas trabajando para ir más allá de esto. Uno de esos grupos es ThreatConnect | Threat Intelligence Platform debería poder unirse después de una breve verificación de antecedentes.

La diferencia aquí es que Threat Intelligence utiliza no solo datos de CVE sino también datos realistas extraídos de muchas fuentes externas, incluidas las redes sociales y los informes honeypot. Odian las palabras Big Data, pero sinceramente, eso es lo que es.

Cuando trabajaba en el sector federal, teníamos un equipo completo de PSIRT que pasó incontables horas haciendo lo que usted describió. Dependiendo de su organización y cuán grande y diversa sea su superficie de ataque, es posible que necesite un equipo completo, no solo 2 personas.

Lo primero que debe hacer es idear un plan. Estructura tu plan en torno a la agregación de los datos de CVE contra lo que tienes en su lugar. Use herramientas como Splunk para monitorear los registros en busca de actualizaciones o actualizaciones fallidas.

Una palabra de advertencia también: NO confíe solo en las pruebas de vulnerabilidad, tiene un gran margen de error. Una buena prueba de lápiz de caja negra de forma regular es una gran idea.

No puedo enfatizar lo suficiente el punto más débil que veo como un CPT. La falta de un plan de respuesta al incidente certificado y válido. Con demasiada frecuencia, las cosas van al sur después de un evento. Dice así.

Por ejemplo, tiene un servidor de Windows con IIS. Es “principalmente” actual con parches. Faltan algunos. Es hackeado. El equipo de seguridad encuentra el hack y se da cuenta de que es porque no se aplicaron 2 parches. Cuando la gente pregunta por qué la respuesta es buena, esta API en este otro servidor no es compatible y costaría mucho tiempo en DEV actualizarla. Adivina cuánto cuesta tu Dev en centavos en comparación con la posible caída de una violación.

El fracaso del plan de respuesta a incidentes es así. Ok, entonces lo reparamos, solo tendrán que arreglar la API, aplaudir, hemos terminado aquí. Suspiro de alivio. Tirita aplicada fuera de la vista fuera de la mente.

Demasiado a menudo, y quiero decir MUCHO, a menudo esto es un ENORME fracaso. La compañía se entera semanas después de adivinar qué. El servidor IIS no era el objetivo. Lo usaron como plataforma para entrar. El plan de Respuesta a Incidentes solo decía arreglar el agujero. Entonces, dicho eso, ahora tiene millones de registros de clientes filtrados a quién sabe dónde.

El punto es que cualquier IRP necesita cubrir todo. Todos necesitan mirar cada registro en cada cuadro y seguir el rastro.

Mantenerse en la cima de CVE es solo un componente en la mayor parte del proceso. ¿Es eso una póliza de seguro general? No Las explotaciones de día cero están creciendo y los datos son una gran mercancía ahora.

Supongo que lo que estoy tratando de decir con muchas palabras aquí es elaborar una política de seguridad completa mientras haces esto. No creo que la gente se dé cuenta de lo difícil que es este trabajo 😉

Solo hay 2 tipos de empresas por ahí. Los que han sido pirateados y los que no saben que han sido pirateados.

Espero que eso ayude.

Related Content

¿Puede el software antivirus frustrar un ciberataque?

¿Se puede obtener un virus informático al navegar por la red?

¿Cómo y qué tipo de paquetes diseñados se utilizan en las pruebas de penetración?

¿Crees que la guerra se moverá al ciberespacio?

¿Puedo demostrar el ataque del ransomware WannaCry en una red de laboratorio aislada?

La política federal y del DOD actual es que DISA revise los CVE que se publican diariamente y envíe alertas para cualquier cosa que sea extremadamente crítica. El resto de los elementos se revisan y verifican en los sistemas internos para detectar problemas, luego las soluciones se envían a las agencias, que tienen una cantidad de tiempo establecida para corregir los problemas e informar el cumplimiento.

Trimestralmente, se publican STIG (pautas de implementación de plantillas de seguridad), que se ocupan de los problemas del sistema y las políticas que no se pueden abordar con un parche, por ejemplo, la configuración del sistema operativo.

Finalmente, se realizan inspecciones cada tres años para verificar el cumplimiento de todas las regulaciones federales. Todos los problemas encontrados se documentan y la organización tiene un cierto tiempo para cumplir o pierden su acreditación de red, lo que significa que se eliminan de las redes gubernamentales.

Lo que esto significa es que se requiere una combinación de verificación automática y manual de las CVE. Dependiendo de la mano de obra disponible, esto puede ser diario o, como mínimo, semanal. La automatización puede eliminar todos los problemas que no son relevantes para una ubicación, por ejemplo, no hay cuadros de Linux, así que ignore esos informes. Todo lo que quede puede verificarse manualmente para ver si ya está mitigado o de lo contrario debe tratarse. Si es así, el servidor de parches puede eliminar los parches y luego verificarlos al día siguiente para ver si algún sistema no recibió el parche por alguna razón; Estos pueden ser parcheados manualmente.

Por lo tanto, solo se necesita diligencia y mucho trabajo para agilizar el proceso y automatizar la mayor cantidad posible. Nuevamente, como mínimo, se debe realizar semanalmente, pero eso puede significar un poco cada día y el gran “impulso” se produce al final de la semana.

Christopher Smith

Me suscribo a la lista de correo de Bugtraq. (Consulte en esta página: http://www.securityfocus.com/arc …) Es un volumen muy alto, pero lo tengo entregado instantáneamente a una carpeta IMAP particular.

Después de eso, lo que hago es mucho menos sistemático y completo de lo que debería ser. Tengo algunas “reglas” en mi correo para resaltar automáticamente cosas que mencionan productos específicos. No mantengo esas “reglas” tan actualizadas como debería.

Para ciertos productos y plataformas, me suscribo a algunas listas de correo específicas para aquellas que realmente terminan en mi bandeja de entrada principal. Esto ha funcionado por un tiempo, pero está comenzando a desmoronarse ya que en los últimos años, ha habido momentos en que ni siquiera veo cada asunto del mensaje que llega a mi bandeja de entrada.

Quizás mi respuesta sea un ejemplo de cómo no hacer esto.

Christopher Smith

A decir verdad, no lo hago. Si hay algún rumor en nuestra comunidad, alguien me lo dirá. Si parece interesante y serio, podría probar los exploits y ver si funcionan en contra de nuestra infraestructura. Si lo hacen, como Heartbleed, tal vez no me duerma hasta que haya asegurado todo o mitigado la amenaza, lo que podría implicar parches fuera de ciclo que luego tendré que derribar para que las máquinas vuelvan a la calidad de producción . De lo contrario, los sistemas de parches automatizados se ocupan de las cosas pequeñas.

Christopher Smith

More Interesting

¿Cuál es la mejor aplicación de protección para bloquear hackers?

¿Square Cash es vulnerable a las estafas de phishing?

¿Existe alguna biblioteca de software que pueda crear contraseñas seguras o verificar qué tan segura es?

¿Por qué hay tantos anuncios de piratería informática en las respuestas de Quora?

¿Cuál es la forma de protegerse del ransomware?

¿Qué tan seguro es FaceTime?

¿Debo renovar mi suscripción de antivirus Norton o hay una mejor protección para mis computadoras?

Cómo eliminar esto de mi PC, por favor ayuda 'Virus identificado Worm / Generic_r.NQ, G: \ \% ~% @% ~~% @ %%% [correo electrónico protegido] % ~ .1'

¿Qué tan mala es la seguridad del servidor en Clinton y el DNC que siguen siendo pirateados?

¿Cómo funciona el cifrado de correo electrónico de Lavabit?

¿Cuál es la solución para eliminar este ransomware?

¿Cuánto piensan los desarrolladores de sitios web sobre seguridad?

¿Es Kaspersky un software antivirus confiable para MacBook?

¿Cuál es la mayor amenaza para EE. UU. Por un ciberataque?

¿Existe algún recurso en línea que enseñe cómo eliminar malware y virus?