|
|
 |
 |
|
 |
| Februar 2004 - Fra StayInTouch™ - Fort Consults elektroniske sikkerhedsnyheder |
| |
| Af Ulf Munkedal, direktør og grundlægger af Fort Consult |
Der findes efterhånden et stort udbud af sikkerhedstest og scanningsværktøjer på markedet. Det kan være en vanskelig opgave at vurdere omfanget af de forskellige sikkerhedstests, eller hvor grundige de enkelte automatiserede værktøjer er - og dermed finde frem til hvad der bedst matcher ens behov. I det følgende giver jeg et bud på, hvordan man kan klassificere forskellige typer sikkerhedstest.
En god sikkerhedstest er en test, som giver dig klar besked om, hvilke sikkerhedshuller der er i systemerne. Grundlæggende set er der tre niveauer af grundighed, som giver svar på forskellige trusselsbilleder. |
| |
| Niveau 1: Tilfældige/elementære angreb |
Det første niveau omfatter det, jeg kalder tilfældige/elementære angreb. Det vil sige, at sikkerhedstesten skal kunne svare på spørgsmålet: "Kan amatørhackere eller orme få adgang til vores IT-systemer?"
For at være grundig nok, bør testen omfatte scanninger efter sårbarheder med en række værktøjer samt en manuel verifikation af, at resultaterne af værktøjerne er valide. Desværre giver alle værktøjer nu og da falske alarmer, som kan skabe forvirring og panik, hvis ikke man giver sig tid til grundigt at undersøge, om det nu også kan passe. En god portion skepsis er altså på sin plads, og alle resultater skal forstås og verificeres manuelt.
De fleste kan med fordel selv gøre et stort stykke af arbejdet på dette niveau ved at afvikle værktøjer og fortolke resultaterne. Det er hensigtsmæssigt simpelthen at indarbejde scanninger som en naturlig del af IT-projekterne, f.eks. således at nye systemer altid lige scannes, inden de bliver sat i drift. Se faktaboks 1 om værktøjer nedenfor.
Vælger man at outsource tests af denne type, er det en god idé at spørge potentielle leverandører om, hvilke og hvor mange værktøjer de benytter, og hvad de konkret gør for at fjerne falske alarmer. Desuden anbefaler jeg, at man altid vurderer en sikkerhedsleverandørs troværdighed og kundereferencer. |
| |
| Nivau 2: Målrettede angreb |
Andet niveau omfatter målrettede angreb, som kan fortælle jer, om en dygtig hacker kan bryde ind i netop jeres IT-systemer. En dygtig hacker benytter sig ikke kun af hacker-scripts og værktøjer, men er opfindsom og kreativ i sine angrebsmetoder. Derfor skal en sikkerhedstest på dette niveau bestå af meget metodiske manuelle tests, som udføres én efter én. Her spiller testerfaring og adgang til en omfattende, velstruktureret testdatabase ind.
Hvis man selv vil udføre tests på dette niveau, findes der flere sårbarhedsdatabaser, som man kan lade sig inspirere af. Ingen af de tilgængelige databaser er dog direkte møntet på at give konkrete vejledninger om, hvordan man tester for en specifik sårbarhed, men mere generelt beskrivende. Se faktaboks 2 om sårbarhedsdatabaser nedenfor.
Mange vælger at outsource sikkerhedstests af denne type pga. kompleksiteten, der er involveret. Det kan fx være en årlig test af Internet-miljøet, eller det kan være en afsluttende test, umiddelbart inden større nyudviklede systemer sættes endelig i drift. Ved valg af leverandør er det en god idé at spørge til, hvordan leverandøren konkret sikrer sig, at ingen sikkerhedshuller overses i den omfattende manuelle proces, der er involveret. |
| |
| Niveau 3: Målrettede angreb med insider-viden |
Målrettede angreb med insider-viden, er det trejde og sidste niveau. Her skal I kunne få svar på, om I er sårbare over for trusler fra folk med insider-viden om jeres systemer. Hvis en angriber har detaljeret viden om jeres firewall-regelsæt, kildekode, netværksdesign - hvor sårbare er I så?
En sikkerhedstest på dette niveau skal indeholde inspektion af opsætninger, konfigurationsfiler, regelsæt og kildekode. Man kan fx opdage fejl i firewall-regelsættet, som man ellers ikke ville kunne finde i en sikkerhedstest på et lavere niveau. Det skyldes simpelthen, at man ikke behandler systemerne som "black boxe" men sætter sig ind i den sammenhæng, de indgår i og kigger dem efter i sømmene.
Det er ikke så svært selv at udføre tests af denne type, som man måske skulle tro. Det vigtigste er, at det er en anden person, som laver inspektionen, end den/de personer som har bygget eller kodet systemet. På den måde får man i hvert fald et ekstra sæt øjne på. Det er fx en rigtig god idé at lade udviklerne foretage en sikkerheds-inspektion af hinandens kildekode, inden et stort nyt e-site bliver sat i drift.
Trækker outsourcing-behovet, anbefaler jeg, at I spørger en potentiel leverandør om deres erfaring med at udføre denne type inspektioner, og beder dem uddybe, hvor godt de kender de konkrete tekniske systemer, der skal inspiceres. Ganske få leverandører på det danske marked har i praksis foretaget inspektioner af denne slags. |
| |
| Hvad er mit behov? |
Forhåbentlig har dette givet dig en vis idé om, hvad I har brug for i netop jeres virksomhed. Når du vurderer jeres behov, er det ikke nødvendigt at lægge sig fast på et bestemt niveau. Det er ofte hensigtsmæssigt at kombinere de forskellige typer af sikkerhedstest i den løsning, I vælger. Det kan fx være løbende scanninger af jeres systemer på niveau 1 en gang om måneden kombineret med en test på niveau 2 eller 3 en gang om året.
Held og lykke med at finde hullerne, før hackerne gør det! |
| |
| Værktøjer til sikkerhedstest |
Fordelen ved værktøjerne er, at de kan finde mange sårbarheder hurtigt og nemt. Ulempen er, at de kommer med falske alarmer og derfor skal alle resultater verificeres manuelt.
Nessus - En open source sårbarhedsscanner. Den er bedre til at scanne UNIX-systemer end Windows-miljøer.
http://www.nessus.org/
SecureScan NX - En kommerciel sårbarhedsscanner fra VIGILANTe.
http://www.vigilante.com/securescan/
Internet Scanner - Et kommerciel sårbarhedsscanner fra Internet Security Systems.
http://www.iss.net/
NMAP - Et open source værktøj til portskanninger. Brugt af Trinity i Matrix Reloaded...
http://www.nmap.org/ |
| |
| Sårbarhedsdatabaser |
Her kan du lede efter konkrete sårbarheder, fx hvilke der er fundet på de systemer, I har i jeres virksomhed.
ICAT Metabase - En online sårbarhedsdatabase.
http://icat.nist.gov/icat.cfm
CVE - Et initiativ under Mitre, der giver sårbarheder unikke numre.
http://www.cve.mitre.org/cve/
SecurityFocus - Sårbarhedsinformationer fra bl.a. bugtraq-listen, som de er moderator på.
http://www.securityfocusonline.com/bid |
|
