Gratis bescherming tegen zero-days exploits



Vergelijkbare documenten
Risico beperkende maatregelen bij Windows XP na 8 april 2014

MANAGED FIREWALL VAN STATISCH SYSTEEM TOT INTELLIGENTE WAAKHOND Versie: Aantal pagina s: 11

Resultaten van de scan. Open poorten. High vulnerabilities. Medium vulnerabilites. Low vulnerabilities

Handleiding voor snelle installatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

Security Testing. Omdat elk systeem anderis

DigiNotar certificaten

HOE RANSOMWARE JOUW ORGANISATIE KAN GIJZELEN. Ransomware aanvallen en hoe deze worden uitgevoerd

1 Ransomware Preventie Slachtoffer van ransomware?... 8

CYBER SECURITY MONITORING

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

ISSX, Experts in IT Security. Wat is een penetratietest?

ESET Anti-Ransomware Setup

Insecurities within automatic update systems

Factsheet Penetratietest Infrastructuur

Dienstbeschrijving Internetveiligheidspakket Protection Service for Business van F-Secure. Een dienst van KPN ÉÉN

Laat u zich ook leiden door angst als het gaat om veilig zakelijk internet?

Internetbedreigingen in 2003

Security in het MKB: Windows 10

WEBSERVER-BEVEILIGING IN NEDERLAND

Behoud de controle over uw eigen data

Next Generation Firewall, nuttig of lastig?

Activatiecode voor Kaspersky ONE voor 3 apparaten voor 1 jaar.

WEES BEDREIGINGEN EEN STAP VOOR

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Handleiding Aan de slag

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Webapplicaties

Bedreigingen & oplossingen. We Secure Your Business

Installeren Citrix Web client vanaf Sesam op Windows Vista Versie:

Voor onder meer volgende preventieve diensten hebben wij sterke partners : Doopput Kontich

WHITEPAPER DEEPBLUE HONEYPOT

Gebruikersvriendelijke beheer van bestanden in SharePoint

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

MFWs-addendum SmartDefense IntrusionPrevention-Light van Check Point

Geavanceerde internet- en antivirusbescherming voor alles wat je online doet, waar je ook bent.

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

Handleiding installatie van Norman Endpoint Protection Small Office Home Office Licentie SOHO

Dienstbeschrijving Zakelijk Veilig Werken

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Handleiding Aan de slag

Proof of Concept SIEM

Symantec Endpoint Protection Small Business Edition 2013

ESET Anti-Ransomware Setup

DE KRACHT VAN EENVOUD. Business Suite

Drie digitale bedreigingen, drie oplossingen


ESET NOD32 ANTIVIRUS 6

Oplossingen overzicht voor Traderouter > 02/11/2010

SYSTEEMVEREISTEN TRACK VERZUIM 4

Windows XP Migratie opties. Bart van Dijk

1. Uw computer beveiligen

ESET NOD32 ANTIVIRUS 7

Beschermt tegen alle virussen en internetdreigingen

Beschermt tegen nieuwe en exploitgebaseerde malware

Petya ransomware aanval

Installatiehandleiding Norman Endpoint Protection SOHO Small Office Home Office

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Automate Security. Get proactive.

Gebruikersvriendelijke beheer van bestanden in SharePoint

Beveilig klanten, transformeer jezelf

Scenario Advies SYSTEEMEISEN. November Versie 5.0

Prowise Pro Connect 2.0 Technische documentatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Systeemvereisten Track Verzuim

Releasenotes versie 1.1 VERSIE A

ESET SMART SECURITY 6

Sebyde Web Applicatie Security Scan. 7 Januari 2014

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Gemeente Zandvoort. Telefoon: Fax:

ESET SMART SECURITY 7

Datadiefstal: Gone in 60 Seconds!

Norman Ad-Aware SE Plus versie 1.06 Snelle gebruikersgids

Sr. Security Specialist bij SecureLabs

Handleiding voor snelle installatie

PIBN Security Whitepaper

ManualMaster Systeem 6.1 (ManualMaster Administrator, ManualMaster WebAccess en ManualMaster WebEdit)

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december admin@surfnet.nl

Analyse Security Audits 2016

ESET NOD32 Antivirus 4 voor Linux Desktop. Aan de slag

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

SuperOffice Systeemvereisten

Technische Specificaties

MEER CONTROLE, MEER BEVEILIGING. Business Suite

ESET SMART SECURITY 9

HET BELANG VAN GOEDE SECURITY: CYBERSECURITY VOOR ONDERNEMERS.

Symantec Endpoint Protection

Na standaardisatie van haar vestigingen op Windows 7 en App-V ervaart Dekker Zevenhuizen een betere performance en eenvoudiger beheer

voor Mac Handleiding Aan de slag

De Enterprise Security Architectuur

Werken zonder zorgen met uw ICT bij u op locatie

Technische Specificaties

1. Beveiligen. In dit hoofdstuk leert u:

Norton Antivirus 2009 Testrapport.

Testnet Presentatie Websecurity Testen "Hack Me, Test Me" 1

IT Security in de industrie

Paphos Group Risk & Security Mobile App Security Testing

Dienstbeschrijving Internet Veiligheidspakket Versie september 2015

Transcriptie:

Gratis tegen zero-days exploits We zien de laatste jaren een duidelijke toename van geavanceerde dreigingen op onze computersystemen. In plaats van het sturen van alleen e-mails met geïnfecteerde bijlagen of links naar web pagina s met besmette content, zien we dat onze systemen op meerdere plekken worden aangevallen, waarbij kwetsbaarheden in verschillende applicaties worden misbruikt om toegang te krijgen tot onze computersystemen en data. Om beter weerstand te kunnen bieden tegen deze aanvallen, moeten we ervoor zorgen dat we zo immuun mogelijk zijn tegen deze kwetsbaarheden. Dit artikel beschrijft hoe traditionele security technologieën tekort schieten bij tegen onbekende ( zero-day exploits ) en hoe met gebruik van de gratis beschikbare Microsoft EMET het risico op misbruik van kwetsbaarheden door bekende en onbekende verkleind kan worden. De meeste organisaties vertrouwen nog steeds op van firewall, antivirus en het af en toe patchen van systemen met security s om buiten de deur te houden. Hoewel antivirus producten weliswaar zijn geëvolueerd in de loop der jaren, zijn ze nog steeds grotendeels gebaseerd op detectie en tegenhouden van bekende kwaadaardige. Het n van systemen dicht weliswaar kwetsbaarheden structureel, maar kan beschikbaarheidsproblemen met zich mee brengen, waardoor systemen in de praktijk meestal niet onmiddellijk worden geüpdatet wanneer deze s beschikbaar zijn. Een beperkt aantal organisaties maakt gebruik van Intrusion Detectie systemen (IDS), waarmee het risico op misbruik van kwetsbaarheden nog wat verder kan worden teruggedrongen. Net als traditionele antivirus, werken traditionele IDS systemen meestal ook met signatures, waarmee netwerkverkeer wordt gescand op bekende methodes van misbruik van kwetsbaarheden. Laten we de problematiek van tegen door traditionele beveiligingsproducten (antivirus, s en IDS) in een sterk vereenvoudigde analyse eens verhelderen met een voorbeeld. In dit voorbeeld gaan we uit van een buffer overflow in een webservice. De kan worden uitgebuit door het opvragen van een specifiek gevormde URL, waarmee content kan worden geüpload naar de webserver. Hiermee kan de aanvaller willekeurige comando s kan uitvoeren op de webserver. In dit voorbeeld wordt ervan uitgegaan dat misbruik onmiddellijk gedetecteerd wordt. In de praktijk is dit meestal niet zo en kan er geruime tijd overheen gaan tussen het moment van eerste misbruik en eerste detectie van misbruik, zoals de OpenSSL Heart Bleed bug onlangs nog heeft aangetoond.

De in de loop van de tijd per traditionele slaag (antivirus, IDS en s) is weergegeven in onderstaande figuur. Window of vulnerability (Interval van ) 1e 2e 3e anti-virus host based IDPS IDS rule IDS rule Niet beschermd en Bescherming tegen specifieke Tijdelijke en Volledige Bescherming en Op het moment dat de bekend wordt, zullen hackers proberen hiervan misbruik te maken. De ( Window of vulnerability ) is aangegeven in rood en begint op het moment dat de eerste (lijn 1 e ) dat misbruik maakt van deze, beschikbaar komt. 1. Antivirus : Antivirus leveranciers hebben tijd nodig om een van hun signature database op te leveren waarmee de specifieke, die (in dit voorbeeld) misbruik maakt van de van de webservice, kan worden geblokkeerd. Na van antivirus op de webserver, kan een hacker de specifieke niet meer uploaden naar de kwetsbare webserver. Een hacker kan echter wel nieuwe maken (met een andere signature, aangegeven met de lijn 2 e ). Een ongepachte webserver blijft kwetsbaar voor deze nieuwe totdat een nieuwe antivirus signature database hiertegen beschermd, enzovoort. Conclusie: antivirus detecteert de toepassing van misbruik van een (al dan niet gepachte) en voorkomt misbruik daarvan. 2. IDS : Ook leveranciers van IDS systemen hebben tijd nodig om een van hun signature databae op te leveren. Tot het moment van n van de IDS signature database, blijft de van misbruik van buffer overflow via de specifieke URL aanwezig. Na van de IDS signature database, wordt een webservice verzoek met de specifiek

gevormde URL geblokkeerd zodat daarmee geen content meer kan worden geüpload. Een hacker kan echter wel op zoek gaan naar een ander specifiek gevormde URL om op die manier misbruik te maken van een bufferflow van de webserver (aangegeven met de lijn 3 e ) totdat een nieuwe IDS signature database hiertegen beschermd, enzovoort. Conclusie: (signature based) IDS detecteert (en eventueel blokkeert) de methode van misbruik van een (al dan niet gepachte) en voorkomt (de meeste) toepassingen van misbruik daarvan. 3. Software : Eveneens geldt voor de leverancier of ontwikkelaar van de webservice dat deze (meestal langere) tijd nodig heeft om zijn webservice te patchen tegen deze vorm van buffer overflow. Tot het moment van installatie van de patch blijft het systeem kwetsbaar voor misbruik. Anders dan de andere twee slagen biedt het patchen van de webservice een structurele oplossing. Deze specifieke is en blijft daarmee verholpen. Conclusie: s voorkomen de mogelijkheid van misbruik van een door ervoor te zorgen dat de niet meer aanwezig is. Voor alle drie oplossingen geldt dat, zelfs als ze gecombineerd worden toegepast, een Window of vulnerability blijft bestaan vanaf het moment dat wordt toegepast tot het moment dat de infrastructuur er (al dan niet tijdelijk) tegen beschermd is. Een in theorie ideale oplossing is om te gebruiken dat het gedrag van content analyseert en deze blokkeert indien het gedrag als ongewenst wordt beschouwd. Doordat deze niet gebaseerd is op signatures, kent ze het Window of vulnerability probleem niet en kan ze bekende en onbekende tegenhouden; m.a.w. ze voorkomt de mogelijkheid van misbruik van een willekeurige. Deze is in het algemeen erg prijzig en heeft doorgaans grote impact op bestaande applicaties en infrastructuur, waardoor de erg veel beheerinspanning vraagt. Niet kwaadaardige content is doorgaans niet getest voor gebruik met deze waardoor deze content (onbedoeld) vaak gedragskenmerken vertoont die door de beveiligings als ongewenst wordt beschouwd. Het eindresultaat is dat niet-kwaadaardige content veelvuldig wordt geblokkeerd en de beveiligings (ten onrechte!) wordt beschuldigd van het genereren van teveel valse alarmen. Een goede tussenoplossing kan de toepassing van Microsoft EMET zijn. EMET kan de Window of Vulnerability van veel kwaadaardige sluiten, door te anticiperen op de meest gebruikte aanvalstechnieken die hackers gebruiken om kwetsbaarheden in systemen uit te buiten, zoals buffer overflows. Hierdoor kan EMET bieden tegen de meeste nog onbekende en ongedetecteerde. EMET moet echter niet worden gezien als een vervanging van bestaande beveiligingsproducten, maar als aanvulling op bestaande security architectuur ( defense in depth ). EMET staat voor Enhanced Mitigation Experience Toolkit en mitigation is precies wat EMET feitelijk doet; het beperkt het risico van (bekende en onbekende).

Het biedt echter geen tegen overige aanvalstechnieken. Ook is de van de ondersteunde aanvalstechnieken (nog) niet perfect gebleken (zie http://labs.bromium.com/2014/02/24/bypassing-emet-4-1/). Als de behoefte om in te breken voor een aanvaller maar groot genoeg is, dan zal hijwaarschijnlijk in staat zijn om door de EMET slaag heen te dringen of hij zal aanvalstechnieken gebruiken die niet beschermd worden door EMET. Daardoor blijven andere security maatregelen zoals antivirus en toepassen van s noodzakelijk. EMET biedt echter toegevoegde waarde in de tegen veel voorkomende zero-day exploits in veel gebruikte kwetsbare producten als Internet Explorer, Java, Acrobat Reader en Flash en wordt in de maandelijkse Security Bulletins van Microsoft steeds vaker genoemd als sfactor van nieuw ontdekte kwetsbaarheden. Toepassing van EMET kan impact hebben op bestaande applicaties. EMET is echter eenvoudig en flexibel in gebruik: per applicatie (zelfs per proces) kan aanvalstechnieken geactiveerd of gedeactiveerd worden. Alle applicaties in de infrastructuur zullen dus op toepassing van EMET getest moeten worden. Ook voor ontwikkelaars is het aan te raden om ontwikkelde te testen bij gebruik van EMET. Microsoft biedt standaard de mogelijkheid en ondersteuning om EMET voor diverse Microsoft applicaties te activeren. Voor overige applicaties kan (op eigen risico) per aanvalstechniek worden geactiveerd.

Steeds meer informatiebeveiligingsspecialisten bevelen EMET aan waardoor steeds meer applicaties zichzelf EMET compatibel zullen gaan verklaren. Het is goed voor te stellen dat EMET technologie op enig moment in een volgende versie van Windows geïntegreerd zal gaan worden. Versie 5.0 van EMET is zojuist (31 juli 2014) uitgebracht en is gratis beschikbaar voor zowel consumenten als bedrijven (http://www.microsoft.com/en-us/download/details.aspx?id=43714). Het is een endpoint security product dat op een werkstation (vanaf Windows Vista) of server (vanaf Windows 2003) met.net Framework geïnstalleerd kan worden.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback