Resum Tema 2 - Gestió de vulnerabilitats (2016)

Resumen Catalán
Universidad Universidad Autónoma de Barcelona (UAB)
Grado Ingeniería Informática - 3º curso
Asignatura Garantia de la Informació i Seguretat
Año del apunte 2016
Páginas 6
Fecha de subida 14/03/2016
Descargas 33
Subido por

Vista previa del texto

Garantia de la Informació i Seguretat TEMA 2 – GESTIÓ DE VULNERABILITATS La gestió de vulnerabilitats és un element important en l’àmbit de seguretat informàtica.
Un element clau és identificar vulnerabilitats que poden ser una amenaça per al sistema per tal d’evitar possibles atacs.
CSIRT Computer Security Incident Response Team Organitzacions que proporcionen serveis de resposta a víctimes d’atacs, publiquen alertes sobre vulnerabilitats i amenaces, i ofereixen altres informacions per tal d’ajudar a millorar la seguretat informàtica i de la xarxa.
També coneguda com CERT (Computer Emergency Response Team).
La primera va ser creada al 1988 per la DARPA.
Alguns equips CSIRT espanyols son: esCERT UPC, IRIS-CERT, CESICAT o INTECO CERT.
Veiem a continuació, en més detall, els tres tipus de serveis principals que ofereixen: Serveis Reactius + Alertes i advertències + Gestió d’incidències + Gestió de vulnerabilitats + Gestió de productes Serveis Proactius + Anuncis + Supervisió de la tecnologia + Configuració i manteniment d’eines, aplicacions i estructures de seguretat + Desenvolupament d’eines de seguretat +Serveis de detecció d’intrusions + Estudi d’informació relacionada amb Seguretat Serveis de gestió de la qualitat de la seguretat + Anàlisi de risc + Planificació de continuïtat i recuperació de negocis davant situacions adverses + Educació + Avaluació i certificació de productes Coordinació entre CSIRTs  FIRST, CERT/CC...
CVE Common Vulnerabilities and Exposures És un diccionari d’identificadors CVE, on cadascun correspon a una vulnerabilitat o exposició (exposure) de seguretat de la informació i inclou una descripció d’aquesta.
Error del software que permet l’accés a informació o funcions que poden ser utilitzades per un hacker per entrar a un sistema o xarxa. Descriu un estat del sistema que no és una vulnerabilitat però permet a l’atacant gestionar informació, ocultar activitats, tenir un punt d’entrada al sistema...
 Important: No és una base de dades de vulnerabilitats. Està dissenyat per anomenar les vulnerabilitats i permetre que les bd de vulnerabilitats estiguin connectades entre elles i per facilitar la comparació d’eines i serveis de seguretat.
Xavier Molina IDENTIFICADOR CVE <prefix CVE> - <any> - <número seqüencial> Exemple: CVE-2012-0001 El número seqüencial està format per 4 – 7 dígits depenent de la necessitat d’aquell any.
Aquests identificadors són assignats per CNAs (CVE Numbering Authorities) com MITRE i alguns venedors de software com Adobe, Apple, Microsoft, Google... i està supervisat per la CVE Editiorial Board que inclou MITRE, venedors com Intel, Oracle o Microsoft, proveïdors d’informació com NIST o acadèmics com CERIAS.
CVE està controlat per The Mitre Corporation.
BASES DE DADES DE VULNERABILITATS El CVE només proporciona un identificador, un nom a les vulnerabilitats, una BD de vulnerabilitats en canvi, recol·lecta, manté i divulga informació sobre vulnerabilitats i informació relacionada.
Alguns exemples: OSVDB  Open Source Vulnerability Database NVD  National Vulnerability Database (del govern dels EEUU).
Exploit DB  BD que inclou programes i escrits que permeten explotar les vulnerabilitats.
Cada BD pot contenir informació diferent de cada vulnerabilitat però la més habitual és: - Identificador (CVE o altre).
- Historial temporal.
- Descripció breu.
- Crèdit de qui la va reportar.
- Referències a eines o solucions.
- Impacte (CVSSv2).
- Versions del software on es troba la vulnerabilitat.
CLASSIFICACIONS DE LES VULNERABILITATS 1. Pel cicle de vida del desenvolupament del software.
- Estudi de viabilitat.
- Definició dels requeriments.
- Disseny.
- Implementació.
- Integració i testing.
- Manteniment.
Xavier Molina 2. SEVEN KINGDOMS Està basada en una taxonomia d’errors de seguretat del software: 1. Input Validation and Representation. Buffer ovewflow, injecció de comandes, cross-site scripting, SQL injection...
2. API Abuse. No comprovació dels valors de retorn o el número de paràmetres...
3. Security Features. Gestió de passwords en clar, violació de la privacitat...
4. Time and State. Deadlock, fitxers temporals insegurs...
5. Errors. Capturar Null Pointer Exceptions.
6. Code Quality. Funcions “deprecated”, variables no inicialitzades...
7. Encapsultation. Restes de codi de debug, camps públics no finals, filtració de dades entre usuaris...
3. ASSET Basat en l’actiu que la conté: Hardware, Software, Xarxa, Personal (treballadors), Lloc on està el sistema o l’Organització de l’empresa.
4. Classificació de la OSVDB CWE Common Weakness Enumeration És una mena de diccionari de debilitats del software, per exemple: bugs, vulnerabilitats, errors d’implementació, disseny, arquitectura...
Xavier Molina CVSS Common Vulnerability Scoring System Proporciona un framework obert per comunicar les característiques i impacte de les vulnerabilitats en les Tecnologies de la Informació.
Ofereix una mètrica que determina la urgència i la prioritat de resposta davant certa vulnerabilitat. Pot representar el risc associat a una vulnerabilitat en una organització concreta.
N’hi ha 3 versions: CVSSv1  fora d’ús CVSSv2  la més utilitzada CVSSv3  encara està en procés d’adaptació MÈTRIQUES EN CVSSv3 MÈTRICA BASE (obligatòria) Són aquelles característiques d’una vulnerabilitat que son constants en el temps i a tots els entorns d’usuari.
MÈTRIQUES D’EXPLOTABILITAT AV – ATTACK VECTOR Des d’on es pot fer l’atac AC – ATTACK COMPLEXITY PR – PRIVILEGES REQUIRED Condicions que hi d’haver per poder explotar la vulnerabilitat Nivell de privilegis necessaris per explotar la vulnerabilitat UI – USER INTERACTION Si es necessari que l’altre usuari participi d’alguna manera.
P L A N L H N L H N R Physical Local Adjacent Network Low High None Low High None Required Finalment els valors es representen en un Vector com aquest: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L Xavier Molina MÈTRICA TEMPORAL (opcional) L’amenaça sobre una vulnerabilitat pot canviar amb el temps, aquesta mètrica mesura l’estat actual de la vulnerabilitat.
X Not Defined E – Exploit Code Maturity Disponibilitat actual d’exploits P U Proof-of-concept Unproven H F (no funciona en (no hi ha High Functional totes les situacions) exploit disponible) RL – Remediation Level Disponibilitat actual d’una solució X Not Defined U Unavailable W Workaround (solució no oficial) T O Temporary Fix Official Fix RC – Report Confidence Grau de certesa sobre l’existència de la vulnerabilitat i credibilitat dels detalls tècnics X C R U Not Defined Confirmed Reasonable Unknown Exemple de com quedaria un vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:H/RL:O/RC:C MÈTRICA DE L’ENTORN (ENVIRONMENTAL) (opcional) Importància de l’actiu IT afectat per un usuari de l’organització, mesurat en termes de Confidencialitat, Integritat i Disponibilitat.
En els tres casos es poden marcar 4 valors diferents que s’han d’entendre com a “pèrdua de” Confidencialitat, Integritat o Disponibilitat: Confidentiality Requirement (CR) / Integrity Requirement (IR) / Availability Requirement (AR) X H M L Not Defined High Medium Low A més a més, ens permet afegir un altre cop les mètriques definides a la mètrica base en cas que l’entorn concret no tingui els mateixos valors abans definits a la Base. Aquestes mètriques són: MAV – Modified Attack Vector MAC – Modified Attack Complexity MPR – Modified Privileges Required MUI – Modified User Interaction MS – Modified Scope MC – Modified Confidentiality MI – Modified Integrity MA – Modified Availability Exemple de com quedaria un vector, on s’afegeixen les mètriques CR, IR i AR i es modifica l’Scope (MS): CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:H/RL:O/RC:C/CR:M/IR:M/AR:H/MS:C Xavier Molina PREGUNTA D’EXAMEN. Quina diferència hi ha entre impacte de confidencialitat i requeriment de confidencialitat? El primer significa que un atac afectarà a la confidencialitat en cas de ser HIGH i en el segon cas que la confidencialitat és important per a tu, és un requeriment important.
Xavier Molina ...