Hardeningscontrole en hacktesting
Bij één van de klanten waar ik voor werk is het een standaard procedure om een beveiligingscontrole uit te voeren voordat nieuwe servers in productie worden genomen. Dit is echter niet gebruikelijk in de meeste organisaties.
Hoewel ik de afgelopen jaren vaak bij veel verschillende organisaties werkzaam ben geweest, heb ik nog niet eerder een organisatie gezien waar het standaard policy is om een hardeningscontrole en/of hacktest uit te voeren op elke server die in productie wordt genomen.
De hardeningscontrole bestaat uit het controleren of de verschillende services of daemons zijn uitgeschakeld, IPsec wordt gebruikt, geen standaard inlognamen worden gebruikt, een host-based firewall aanstaat, of alle patches zijn geïmplementeerd, enzovoort. Dit is dus een controle van de "binnenkant" van een systeem.
De hacktest gaat over de buitenkant. Welke TCP/UDP poorten staan open, is het systeem kwetsbaar voor SQL injection of cross-site scripting, enzovoort.
Deze tests zouden niet door de systeembeheerders moeten worden gedaan, maar door professionele security specialisten, het liefst van een extern bedrijf. De resultaten moeten worden gedocumenteerd in een rapport met non-compliances en tips voor verbetering. Systemen mogen alleen in productie worden genomen als alle controles zijn uitgevoerd en de controles moeten worden uitgevoerd voor elk individueel systeem.
Als er wijzigingen in een systeem worden doorgevoerd, dan moeten de testen worden herhaald.
Een risico analyse moet aangeven hoe zwaar de problemen moeten worden ingeschat, zodat passende maatregelen kunnen worden genomen.
Ik denk dat het goed zou zijn als meer bedrijven en dergelijke strategie zouden implementeren. Het kost tijd, vertraagt implementaties en het kost geld. Ik weet het. Maar meestal staan systemen jarenlang in productie. Het systeem een goede en veilige start is het minste wat we kunnen doen.
testThis entry was posted on Vrijdag 11 April 2008