OZIS vjesnik za informacijsku sigurnost
05.10.2007. / OZIS vjesnik / Br. 2
Sadržaj:

  1. Ispitivanje računalne sigurnosti
  2. ISO 27001 interni revizor seminar!
  3. Security Days 2007!
  4. Pogled u prošlost
  5. Vijesti!

eEye-Digital Security
Alati za upravljanju sigurnošću računalne mreže

Nessus
Najrašireniji alat za provjeru ranjivosti, s besplatnom inačicom za korištenje.

Prijavi se!

Odjavi se!
Ispitivanje računalne sigurnosti - da li ste svjesni rizika u vlastitom dvorištu?

IT podrška poslovanju

Glavni poslovni procesi većine uspješnih tvrtki, ponajviše iz financijskog sektora (banke, osiguravajuća društva), gotovo su u potpunosti podržani informatičkom infrastrukturom. Zadatak IT sektora velikih kompanija je razviti i održavati cjelokupnu infrastrukturu koja će svim dijelovima važnih poslovnih procesa pružiti informatičku podršku. Takav trend nedvojbeno dovodi da povećanja složenosti IT sustava; količina opreme uključene u sustav se rapidno povećava. Osim toga, frekvencija pojave novih tehnologija, programske opreme i ostalih dijelova sustava sve je veća. Zasigurno postoje situacije i tvrtke u kojima IT menadžeri mogu samo nagađati o pojedinim parametrima svog IT sustava kao npr. o broju radnih stanica i poslužitelja. Takvo je okružje iznimno plodno tlo za razne oblike napada. Svaki pojedini komad opreme koji čini takav sustav, potencijalna je opasnost za sigurnost čitavog sustava - u ovom slučaju doista stoji poznata izreka o najslabijoj karici u lancu. Svi pokušaji zaštite ovakvih velikih i složenih informacijskih sustava, nemaju previše smisla ukoliko se ne provode na sustavan i metodološki jasno definiran način. Kako bi se organizacije zaštitile od napada, potrebno je provesti detaljna ispitivanja sigurnosti sustava.

Ispitivanje ranjivosti

Ispitivanje sustava na temelju kojeg će se uočiti sigurnosne prijetnje i poduzeti mjere zaštite može se podijeliti u tri razine.

3 razine ispitivanja ranjivosti

Procjena ranjivosti je "najniži" stupanj ispitivanja sigurnosti. Automatizirana procjena provodi se pomoću automatiziranih alata. Radi se o programima čiji je osnovni zadatak identifikacija ranjivosti u mrežnom okružju i računalima. Alati provjeru ranjivosti provode nad, prethodno definiranim, segmentom računalne mreže na način da pokušavaju primijeniti i iskoristiti otprije poznate ranjivosti. Poznate ranjivosti su pohranjene u bazu podataka, što je čini najvažnijim dijelom alata za procjenu ranjivosti. Kvaliteta alata za procjenu ranjivosti izravno i najvećim dijelom ovisi o kvaliteti baze ranjivosti. Budući na tržištu postoji velik broj alata za takve provjere, od kojih je jedan dio besplatan, prilikom izbora alata potrebno je imati u vidu frekvenciju ažuriranja baze ranjivosti i način prikupljanja novih ranjivosti. Specijalizirane tvrtke koje se bave izradom ovih alata ulažu veliki trud u pronalaženje ranjivosti koje još nisu otkrivene i iskorištene, tzv. Zero-Day Exploits. Korištenje baza koje sadrže i ovu vrstu ranjivosti povećava se kvaliteta provjere jer je omogućeno ispitivanje sustava na ranjivosti koje još nisu javno prepoznate, ali će s vremenom (vrlo vjerojatno) biti. Razlikujemo dvije osnovne vrste alata za provjeru ranjivosti, Host-Based i Network-Based. Network-Based alati ispituju sigurnost mreže izvana na način da se pokreću na udaljenim računalima, te na taj način, simuliraju stvarni napad jer se ispitivanje provodi bez ikakvih dozvola pristupa mreži. Host-Based alati ispituju ranjivost na računalu, lokalno. Prethodno opisani alati zapravo su skeneri koji se spajaju na mrežu te testiraju njenu ranjivost, jednokratno.

Veliki informacijski sustavi zahtijevaju često provođenje ovog postupka i kontinuirano praćenje stanja. Taj proces je programski podržan centraliziranim sustavima za praćenje sigurnosti mreže. Sustav se sastoji od centralnog mjesta upravljanja i niza agenata (skenera) distribuiranih po mreži. Takav sustav omogućuje definiranje rasporeda skeniranja pojedinih segmenata mreže, odnosno aktivno praćenje stanja sustava. Korištenjem centraliziranih sustava za upravljanjem ranjivošću računalne mreže, olakšava se posao administratorima koji imaju priliku s centralnog mjesta nadzirati sve aktivne elemente mreže, svrstavati ih u grupe definirane raznim kriterijima, upravljati k onfiguracijama računala i u proizvoljnim periodima provjeravati stupanj ranjivosti pojedinih segmenata mreže.

Samostalni skeneri kao konačni produkt svod djelovanja isporučuju izvještaj o provedenoj procjeni ranjivosti. Izgled i sadržaj izvještaja, naravno, ovisi o samom alatu kojim je testiranje izvedeno. Izvještaj sadrži osnovne podatke o mrežnim entitetima koji su testirani, njihove adrese, podatke o operativnim sustavima. Uz osnovne podatke o entitetima, u izvještaju se nalaze podaci o uočenim ranjivostima i lokaciji (pojedinom entitetu) na kojem je ranjivost uočena. Opet ovisno o kvaliteti samog alata, izvještaj može sadržavati i detaljne informacije o ranjivostima i mogućim metodama uklanjanja istih.

Više o penetracijskom testiranju pročitajte u jednom od slijedećih vjesnika, a cjeloviti tekst možete pročitati u slijedećem broju časopisa InfoTrend!

ISO 27001 interni revizor seminar

ZIK OZIS organizira tečaj osposobljavanja internih revizora ISO 27001:2005

Tečaj je zamišljen kao pomoć tvrtkama koje uvode sustav upravljanja informacijskom sigurnošću u skladu s normom ISO 27001:2005, kao i zaposlenicima koji rade na poslovima vezanim za osiguranje provedbe sustava (revizori, rukovoditelji odjela sigurnosti i sl.). Seminar predstavlja trodnevnu kombinaciju predavanja, radionica i ispita potrebnih za stjecanje zvanja „ISO 27001 – Interni Revizor“. Izrađen je na bazi programa za vodeće revizore ISMS, ISO 27001 i ISO 9001 sustava priznatih od strane IRCA-e (International Register of Certified Auditors), prilagođenog specifičnostima interne revizije i hrvatskih organizacija.

Više o samom seminaru možete pronaći ovdje

Security Days 2007

Pod pokroviteljstvom Središnjeg državnog ureda za e-Hrvatsku Microsoft centar poziva na 5. konferenciju Microsoft Security Days 2007, koja će se održati 10. i 11. listopada 2007. u prostorima HYPO EXPO XXI, Slavonska avenija 6 u Zagrebu.

Cilj konferencije Microsoft Security Days 2007 je u dva dana, kroz tridesetak predavanja koja će održati vodeći inozemni i domaći predavači sigurnosnih i informacijskih tehnologija, predstaviti najnovija Microsoftova rješenja na području sigurnosti, upravljanja IT infrastrukturom i poslovnim procesima.

Više o samom seminaru možete pronaći ovdje

Hrvatske norme o informacijskoj sigurnosti

Kao mali podsjetnik za sve one koji nisu pratili informacije vezane uz usvajanje hrvatskih normi vezanih uz informacijsku sigurnost, navodimo da su 2006. godine na inicijativu ZIK-a usvojene pri Hrvatskom zavodu za norme dvije ISO norme o informacijskoj sigurnosti:

  • Informacijska tehnologija - Sigurnosne tehnike - Kodeks postupaka za upravljanje informacijskom sigurnošću (HRN ISO/IEC 17799:2006)
  • Informacijska tehnologija - Sigurnosne tehnike - Sustavi upravljanja informacijskom sigurnošću - Zahtjevi (HRN ISO/IEC 27001:2006)

Ovo predstavlja samo jedan od mnogih koraka koji slijede na putu usklađivanja sa zahtjevima europske regulative o informacijskoj tehnologiji.

Link na stranice Hrvatskog zavoda za norme: HZN

Na meti hakera!

Sigurnosne su kompanije ovih dana počele upozoravati na porast hakerskih napada na određene Windows poslužitelje. Porast napada zabilježen je na poslužiteljima koji koriste ServerProtect, antivirusni alat tvrtke Trend Micro Inc.

Na Symantecovom sustavu DeepSight uočen je snažan porast mrežnog prometa na portu 5168 kroz koji se spomenuti antivirusni alat spaja na Internet. Symantecovi sigurnosni stučnjaci sumnjaju da je u tijeku masovno skeniranje mreže te da hakeri najvjerojatnije pokušavaju iskoristiti nedavno ispravljene propuste na poslužiteljima na kojima nadogradnja još nije obavljena.

Porast prometa na portu 5168 uočili su i u ISC-u (Internet Storm Center) te drugim kompanijama, a administratorima je preporučena primjena odgovarajućih zakrpi.

Izvor: Bug On Line, 24.08.2007.