Skip to main content

Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 1

post นี้ก็เช่นเกียวกับโพสต์อื่นๆที่ ผู้เขียนเขียนขึ้นจากประสบการณ์การทำงานนะครับ ส่วนในเรื่องของ ISO27001 ทางผู้เขียนยังไม่รู้ครอบคลุมขนาดนั้น ขอยังไม่กล่าวถึง คงได้เขียนหลังจากสอบ CISSP ได้แล้ว (ตอนนี้ยังอยู่ในวงการ Pentest อยู่เลยจ้า)

คืออะไร ?
Patch Management และ Hardening  -  เป็นส่วนนึงของ configuration management process ใน ISO27001 และมาตรฐานทางด้านความปลอดถัยอื่นๆ ด้วย 

ทำไมต้องมีการทำ patch และ hardening
เรื่องของ Patch management จริงๆ ก็จะเกี่ยวข้องกับการทำ Hardening นะละ นั่นคือทำเพื่อปิดช่องโหว่ให้น้อยที่สุดเพื่อลดความเสี่ยงที่จะถูกโจมตีจากผู้ไม่ประสงค์ดี มันก็ไม่ดีใช่ไหมละ ถ้าระบบของเราโดนโจมตี ซึ่งอาจจะเป็นในแง่ของการขโมยข้อมูล หรือที่องค์กรส่วนใหญ่รับไม่ค่อยได้คือการโดน dos จนทำให้อุปกรณ์ไม่สามารถให้บริการต่อได้ ก็เรื่อง Availability ไง ในบางบริษัทที่มีการทำ transaction เกี่ยวกับเงินนี่ เขาคิดค่าเสียหายเป็นนาทีเลยนะ ล่มแค่ครึ่งชั่วโมงก็เสียหายหนักแล้ว

กระบวนการการทำ Patch กับ hardening ก็จะมีดังนี้ คือ

เขียน flow ให้ดูกันง่ายๆ อ่านคำอธิบายต่อได้ด้านล่างครับ ^^

1. สร้าง Baseline ของอุปกรณ์ (inventory list นะละ) 
    คือการเก็บรวบรวมข้อมูลของอุปกรณ์ทั้งหมดที่อยู่ในระบบ ทั้ง switch, router, firewall, server ทั้งหลายแหล่  ซึ่งจะต้องมีรายละเอียดของทั้งตัวอุปกรณ์นั้นๆทาง physical เช่น serial number, รุ่นของอุปกรณ์ หรือทาง logical เช่น software version เป็น windows เวอร์ชั่นอะไร หรือใช้ Cisco IOS รุ่นไหน, firmware อะไร เหล่านี้เป็นต้น เพื่อจะนำมาเป็นไฟล์ตั้งต้นในการวิเคราะห์และนำไปดำเนินการต่อ มีตัวอย่างให้ดู เป็นฉบับคร่าวๆ (จริงๆมีรายละเอียดมากกว่านี้)

2. วางแผน (Plan)
     เมื่อได้ข้อมูลอุปกรณ์ทั้งหมดมา เราก็จะนำข้อมูลนี้มาวางแผนในการทำ patch และ hardening ต่อไป ซึ่งในบางแห่งจะมีการทำ Vulnerability Scan ก่อนด้วย เพื่อดูว่าต้องปิดช่องโหว่อะไรบ้างในแต่ละเครื่อง แต่ลูกค้าบางรายที่ไม่อนุญาตให้ทำ VA Scan ก็จะมีการตกลงกันก่อน ว่าเราจะ patch ด้วย software version ที่ใหม่ที่สุดที่ไม่มีช่องโหว่ และ compatible กับระบบนั้นๆ และ hardening ก็ทำเช่นกัน ไว้กล่าวต่อไปด้านล่าง

ทีนี้ในการวางแผนก็จะมีขั้นตอนย่อยๆ เพื่อป้องกันความเสี่ยงที่จะเกิดขึ้นในระหว่างการ implement คือ
     2.1 เราก็ต้องมีการประเมินก่อนว่าอุปกรณ์ไหนที่มีความเสี่ยงสมควรได้รับการแก้ไขเร็วที่สุด ก็นำมาใส่ schedule ไว้
     2.2 เมื่อเราได้ schedule plan ที่แน่ชัด ก็ต้องมีการทำ Test ก่อน คือ อาจจะ clone ระบบที่จะทำออกมาแล้วทำการ install patch และ harden ไป แล้วดูว่าระบบสามารถใช้งานได้เป็นปกติ 
     2.3 วางแผนเพื่อทำการ backup อุปกรณ์เหล่านั้น ก่อนทำการ implement จริง ซึ่งถ้าเป็นอุปกรณ์ที่มีการเปลี่ยนแปลงข้อมูลตลอด ก็ควรทำในช่วงเวลาก่อน implement patch และ hardening ให้มากที่สุด
***ในขั้นตอนการวางแผนเหล่านี้อาจจะแตกต่างกันไปแล้วแต่ environment ขององค์กร และผู้เขียนไม่ขอกล่าวถึงเรื่องของ เอกสารหรือ process ในการขอ approve จากเจ้าของระบบ รวมถึงการ review ต่างๆ นะครับ***

3. Rollout Patch และ hardening
     ขั้นตอนนี้ก็คือการ implement นะละ โดยถ้าเป็นกลุ่มอุปกรณ์ windows ก็อาจมีการใช้พวก tools ในการ deploy ต่างๆ หรือพวกอุปกรณ์ Cisco ที่ผู้เขียนเคยทำมาก็มีเช่น CiscoWorks ก็จะสะดวกและรวดเร็ว สามารถตั้ง schedule ให้ทำในเวลาที่ต้องการก็ได้ ส่วนใหญ่แล้วถ้าเป็นองค์กรขนาดใหญ่จะใช้เวลาในตอนกลางคืน ในช่วงที่ไม่มีการใช้งานจากลูกค้าขององค์กรในการ implement เพื่อลดความเสี่ยงและลดผลกระทบให้น้อยที่สุด

ขั้นตอนที่ 4 รายละเอียดอยู่ ตอนที่ 2 นะครับ คลิ๊ก ด้านล่างครับ
Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 2


---------------------------------------------------------------------------------------------------------------------------------
Tag : patch management hardening process what is how to patch howto harden ทำอย่างไร โปรเซส คือ อะไร harden ยังไง patch ยังไง อะไรคือ
----------------------------------------------------------------------------------------------------------------------------

Labels:

Comments

Post a Comment

Popular posts from this blog

Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 2

ใครที่ยังไม่ได้อ่านตอนแรก สามารถอ่านได้ที่ Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่  1 4. การ Maintenance      หลังจากที่เราทำการ implement เสร็จแล้ว ไม่ใช่ว่าจะจบกันเท่านี้ มันแค่เริ่มต้น It's just the beginning. ก็ต้องมีขั้นตอนในการที่ดูแล และ up-to-date ให้อุปกรณ์ในระบบไม่มีช่องโหว่ต่อไป รวมถึงปรับปรุง template ในการ hardening เป็นประจำด้วย จะกล่าวถึงต่อไปนะ โดยปกติที่ผมเคยทำมา จะมีการกำหนดให้คนนึงที่อาจจะเป็น Security Consult ของแต่ละ platform แต่ละแผนก ในการทำ subscribe ไปยัง vendor ต่างๆ ตามอุปกรณ์ที่ดูแลอยู่เพื่อรับข่าวสาร และได้รับ notification เวลามี security update เพื่อจะนำมาวิเคราะห์ดูว่าระบบที่เราดูแลอยู่นั้นมีช่องโหว่ใหม่ๆ ที่เกี่ยวกับอุปกรณ์ของเราเกิดขึ้นหรือไม่ ถ้ามีก็ต้องนำมาเข้าสู่กระบวนการดังที่กล่าวไปข้างต้น มีคนแล้วก็ต้องมี policy องค์กรก็ต้องมีการกำหนด policy ขึ้นมาเพื่อใช้ควบคุมระยะเวลาที่องค์กรยอมรับความเสี่ยงต่อช่องโหว่ในระดับต่างๆได้ ยกตัวอย่างให้เห็นภาพ ที่ผู้เขียนเคยทำมา เช่น ถ้ามีช่องโหว่เกิดขึ้นใหม่...
Post a Comment
Read more

CesarFTP BOF Review / Review การทำ Buffer Overflow CesarFTP

version ภาษาไทย ไว้มีเวลาจะมา update ภายหลังครับ Today I would like to review my old one lesson about buffer overflow before I take the OSCP exam in 2015. I wish you learn basic BOF from this post. CesarFTP is the one ftp software which is vulnerabled to BOF (buffer overflow). 1. The first step I download vulnerabled software from internet and install on WinXP (vm) and then 2. Try to search for exploit in my kali linux  (No, I don't exploit by metasploit just find the start code and try to make it overflow) This original python 1906.py code is as picture below. I have to change "host" ip before do next step. ***Let's take a look at "buffer". That is something I have to modify later.*** but right now I begin with Fuzzing to find how many characters can crash this application ? 3. Control EIP address - try to replace character after  "\n" * 671 by "A" 350 characters and found that Cesar not be crashed. - Let...
Post a Comment
Read more

My OSCP Review <-> รีวิว ประสบการณ์การสอบ OSCP ( It is just the beginning)

เนื้อหาภาษาไทยสามารถดูได้ด้านล่างนะครับ About me I would like to tell you before that my english writing skill is not good, ^^", but I will try . I was Network Engineer and System Engineer with 10 years working experience and have CCNP, CCNP Security, CCDP, ITIL, MCP and I have experience in ISO27001 for 4 years. Right now I move to be a Penetration Tester in new company for 6 months. Inspiration Actually before getting a new job as pentester I would like to take CEH or ECSA certificate. But after do a new job, my three colleagues have OSCP and they are my model. All of them have an awesome skill. Then I try to find more information about OSCP and found that OSCP is very difficult to pass, no exam dump, no one answer you. Although I have a few experience on hacking but I think I can try and TRY HARDER. OSCP Course There are two course manual, pdf and video that are dependent. After I got them I tried to read from PDF only but not enough, many technics ar...
14 comments
Read more