altair-sigvi: descobreix les teves vulnerabilitats

39
Antonio Rodriguez inLab.FIB-esCERT UPC | Noviembre 2015 ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

Upload: inlabfib

Post on 10-Feb-2017

496 views

Category:

Engineering


1 download

TRANSCRIPT

Page 1: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

Antonio RodriguezinLab.FIB-esCERT UPC | Noviembre 2015

ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

Page 2: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

2

Page 3: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

3

!

Page 4: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

4

Page 5: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

5

Page 6: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

6

Page 7: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

7

!

Page 8: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

8

!

Page 9: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

9

!

Page 10: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

10

Page 11: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

11

!!!

!!

Page 12: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

12

!

!

!

!

!!

!

Page 13: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

13

!

!

!

!

!!

!

Page 14: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

14

Page 15: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

15

Page 16: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

16

!!!

!!

Page 17: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

17

!

!!

!!

Page 18: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

18

!

!!

!!

Page 19: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

19

!

!

!

!

!!

!

!

!!

!!

Page 20: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

20

!

!

!

!

!!

!

!

!!

!!

Page 21: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

21

!

!!

!!

Page 22: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

22

ALTAIR-SIGVI

• Característiques• Inventari d'actius.

• Auditoria de l'inventari.

• Actualitzacio diaria de CVEs.

• Avisos de les vulnerabilitats que afecten a l'inventari.

Page 23: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

23

ALTAIR-SIGVI - Historia

• SIGVI (Sistema Inteligente de Gestión de Vulnerabilidades Informàticas) neix com a un projecte d’UPCnet per realitzar el seguiment i la gestió de les vulnerabilitats.

• Aleshores ALTAIR era un servei ofert per esCERT que feia la tasca similar a la del NIST oferint els nous CVE publicats traduïts a l’espanyol.

• ALTAIR-SIGVI consisteix en la fusió de les dues eines.

Page 24: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

24

Gestió de les vulnerabilitats – CPE

• Common Platform Enumeration.

• Definits per MITRE (www.mitre.org)

• Nom “estàndard” que s'assigna a un producte software, o sistema.

• Permet identificar-lo de manera única.

Page 25: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

25

CPE - Exemple

• cpe:/a:microsoft:internet_explorer:11:beta

• cpe:/a:microsoft:internet_explorer:10

• cpe:/a:microsoft:internet_explorer:9

• cpe:/a:microsoft:internet_explorer:8

Page 26: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

26

Gestió de les vulnerabilitats – CVE

• Common vulnerabilities and Exposures

• També definit per MITRE.

• Identificador que s'assigna a una vulnerabilitat.

Page 27: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

27

CVE - Exemple

• CVE – CVE-2014-0268

• CPE• cpe:/a:microsoft:internet_explorer:11:

• cpe:/a:microsoft:internet_explorer:10

• cpe:/a:microsoft:internet_explorer:9

• cpe:/a:microsoft:internet_explorer:8

• Descripció• Hi ha una vulnerabilitat d’elevació de privilegis a Internet

Explorer durant la validació de la instal·lació de fitxers locals i durant la creació segura de claus de registre.

Page 28: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

28

Gestió de les vulnerabilitats – CVSS

• Definit l'any 2004 pel conjunt d'equips de resposta a incidents i de seguretat del FIRST.

• Pretén identificar i avaluar les vulnerabilitats.

Page 29: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

29

CVSS - Mètriques

Page 30: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

30

CVSS - Mètriques• Exploitability Metrics

• Access Vector (AV)*• Local (AV:L)

• Adjacent Network (AV:A)

• Network (AV:N)

• Access Complexity (AC)*• High (AC:H)

• Medium (AC:M)

• Low (AC:L)

• Authentication (Au)*• Multiple (Au:M)

• Single (Au:S)

• None (Au:N)

Impact Metrics Confidentiality Impact (C)*

None (C:N)

Partial (C:P)

Complete (C:C)

Integrity Impact (I)* None (I:N)

Partial (I:P)

Complete (I:C)

Availability Impact (A)* None (A:N)

Partial (A:P)

Complete (A:C)

* - All base metrics are required to generate a base score.

Page 31: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

31

CVSS- Exemple

• CVSS Severity (version 2.0):• CVSS v2 Base Score: 4.3 (MEDIUM)

(AV:N/AC:M/Au:N/C:N/I:P/A:N)• Impact Subscore: 2.9• Exploitability Subscore: 8.6

• CVSS Version 2 Metrics:• Access Vector: Network exploitable; Victim must

voluntarily interact with attack mechanism• Access Complexity: Medium• Authentication: Not required to exploit• Impact Type: Allows unauthorized modification

Page 32: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

32

La NVD del NIST

• El NIST disposa d'una base de dades amb totes les vulnerabilitats que han aparegut des de 2002.

• Permet la consulta directa o bé descarregar totes les dades en format XML.

• S'actualitza diàriament.• Afegeix els CVSS a posteriori, hem observat entre 8 i 48

hores després normalment.

Page 33: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

33

NVD - Exemple

• L’entrada a la NVD d’una vulnerabilitat

CVE-2014-0268

• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0268

Page 34: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

34

Gestió de les vulnerabilitatsEs necessari conèixer, emmagatzemar i gestionar lesvulnerabilitats que es descobreixen. D’aquestamanera podem comprovar ràpidament si es coneixalguna vulnerabilitat per alguna plataforma.

Page 35: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

35

Gestió de les vulnerabilitats

• De totes maneres tota aquesta informació és molt difícil d’aplicar a la nostra organització si no disposem d’un sistema d’inventari adequat que ens permeti saber:

• Quins son els nostres actius?

• On es troben físicament?

• Quines funcions desenvolupen?

• En quin estat es troben?

Page 36: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

36

ALTAIR-SIGVI

Page 37: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

37

ALTAIR-SIGVI – Ús de l’eina fins ara

13 unitats registrades

893 servidors inventariats

128 auditories llançades

Page 38: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

38

Page 39: ALTAIR-SIGVI: Descobreix les teves vulnerabilitats

• inLab• inlab.fib.upc.edu• https://twitter.com/inlabfib

• esCERT-UPC• escert.upc.edu• https://twitter.com/escert_upc

• Antonio Rodriguez• [email protected]• https://twitter.com/tonrodriguez_• https://inlab.fib.upc.edu/es/persones/antonio-rodriguez

Contacte