处理“贱民”系统
“贱民”
一个贱民制度是一个你不能安装软件(如代理)或定期应用安全补丁。我想出了几个不同的例子这样的系统,并试图使用例子从我自己的经验来定义他们为什么可能落入“贱民”的类别:
- 选择SCADA系统——这是一个宽泛的类别,但它可以归结为计算机在控制系统中使用网络。虽然许多可能被认为是“气隙”(身体与任何其他类型的系统),这可能不是因为需要连接来管理设备(尤其是部署在字段)。我曾经向执行漏洞评估对一个这样的系统。我被告知网络访问将提供,但问题是,系统负责提供成千上万的人。这是一个可怕的事,因为你不仅可以把成千上万的人在黑暗中,但可能损害infrstructure如果电源开启和关闭太快。这种情况需要不同的方法比传统的网络脆弱性评估或渗透测试。
- 旅行的笔记本电脑——很难控制软件和补丁的系统很少连接到公司网络。令人担忧的是当一台笔记本电脑已经连接到机场,酒店和其他潜在的恶意网络回到大本营,插入您的网络。它可能已经被感染,可能不是最新的补丁。你可以试着强迫用户通过VPN连接到您的网络,但并不是所有的用户可能经常这么做。用户的旅行期间,该系统是“贱民”。
- 网络设备——让我们面对它,无论如何你的网络冗余,你不能爆炸出一个固件更新到你的网络设备。这使得一个好的比例的网络系统对特定时期“贱民”。路由器具有更好的灵活性,但是您的系统的物理交换机连接到不能拆卸,或用户将失去连通性与新固件闪光设备要求系统不可用短的时间内(或更长时间取决于设备和软件)。
- 高度敏感的系统——例如,系统开展科学实验或医疗设备使用。当我在一所大学工作我发现这种类型的多个系统。研究人员致力于各种实验,研究的目标是远离的计算机技术(治愈疾病、物理学、工程学等等)。实验有时会花费数年的时间,足够的时间多渲染操作系统和软件过时了。然而,停止实验应用补丁或更新是不可能的。甚至把系统上的一个代理,可能破坏实验的准确性,使这些系统“贱民”。
- 系统补丁或您没有权限安装软件(大学生、VAR系统,提供游客)——有两个场景,随处可见,让系统“贱民”这一类。有时系统需要连接到你的网络,但不是你的财产,不能碰(在逻辑意义上)。一个例子是大学生的电脑你不拥有,但是谁需要连接到网络和访问资源。在企业界,这表现为承包商有自己的电脑和有相同的需求。系统将需要连接的时间更长,但你仍然不拥有,VAR系统提供。许多var有利于业务提供服务,但合同规定,他们将自己的系统和负责让他们最新的。
“可食用的”解决方案
站得住脚的提供了几种产品,可以帮助您管理“贱民”系统:
- Nessus——受到信任补丁检查和配置审计在许多情况下可以帮助不少。已经有大量的研究和工具提供给使用这项技术的SCADA社区提高SCADA系统在不影响操作的安全性。你可以与你的IT部门谈判获得凭证在目标系统上。然后你将能够衡量补丁和关键任务系统的总体安全水平。
- 被动的漏洞扫描——站得住脚的被动漏洞扫描器(pv)真的照耀在这个场景中。认为pv Nessus补充。它有能力发现漏洞和破坏系统,但它发现自己的目标,没有你不必喂它的信息。使用跨在你的网络端口,pv会监听漏洞没有代理,不发送任何数据包。这也许是最有用的工具在你的阿森纳时不可系统。在一个正在进行的基础上,pv允许您找到漏洞在SCADA系统中,识别网络设备过时和指纹在任何软件漏洞,网络上的通信,可以安装在敏感系统,VAR系统提供,或学生笔记本电脑。
- 日志关联引擎(特性)——如果一个系统可以产生syslog消息,如冰可以收集日志,识别行为,并使用SecurityCenter关联与脆弱性数据结果。当执行渗透测试,“贱民”系统是高的目标。你可以拥有世界上最好的补丁管理策略;然而攻击者会在系统的范围,超出你的修补。通过收集所有这些系统的日志,您可以使用特性来识别行为,表示妥协。
- SecurityCenter- SecurityCenter是作品,可以从Nessus领带的所有信息,pv和形变特性,允许您有效沟通的组织管理和安全系统的主人。是一回事识别的缺点在你的安全战略,和另一个开始做些事情。我接触过的每一个安全从业者知道有一些潜在的问题,并使用报警、仪表板和报告在SecurityCenter获取信息到适当的人。例如,您可能知道有学生系统、VAR系统和旅行的笔记本创建安全缺口。使用SecurityCenter,您可以创建报告,强调这些缺点,这样你就可以开始创建解决方案。
结论
系统可能总是出现在你的网络,或在你的“域”,只是你无法控制的。有几个工具,将帮助您识别问题和管理这些系统的安全,即使它们是“贱民”。希望这将导致一种改进的安全计划,其中包括良好的沟通与管理和系统所有者。
相关文章
- Nessus
- 被动的网络监控
- SecurityCenter