Whitepaper - Microsoft Security Assessment Tool
Content
Microsoft Security Assessment Tool 4.0
De Microsoft Security Assessment Tool is inmiddels aangekomen op versie 4.0.2.35. Ti d om de!e tool eens aan een assessment te onder"erpen. De #elangri kste vraag $ier#i is% "at kunnen "e met de!e tool en "aarom !ouden "e de tool "illen ge#ruiken& De Microsoft Security Assessment Tool 'afgekort tot MSAT( is een tool die "einig #ekend$eid geniet. Dat li kt ook niet !o vreemd) "ant in tec$nisc$e op!ic$t is $et ook "einig uitdagend. *et is in feite een geautomatiseerde vragenli st die ant"oord pro#eert te geven op de vraag of $et niveau van #eveiliging past #i de manier "aarop de +,T toegepast "ordt. Tec$neuten vinden vragenli sten meestal een "einig interessante tool. -oor $en die verant"oordeli k !i n voor de +,T.#eveiliging kan $et in!ic$t geven in $oe de staat van de #eveiliging is en "at eventuele aandac$tspunten !i n. De evaluatie die de tool uitvoert) #estaat uit t"ee onderdelen% $et vaststellen van $et #edri fsrisicoprofiel '/01( en de assessment. Maar voordat "e daarop ingaan) moet de tool eerst ge2nstalleerd "orden. Installatie De soft"are is te do"nloaden in $et do"nload center van de Microsoft "e#site. -oor $et do"nloaden "ordt registratie #i Microsoft aan#evolen) maar dit is niet verplic$t. Als e de 3ederlandse versie do"nload kri g e in $et!elfde #estand de 0ussisc$e versie er ook #i . /i $et $et do"nloaden van de 0ussisc$e versie !it de 3ederlandse versie er ec$ter niet #i . -oor installatie is de aan"e!ig$eid van $et .34T 5rame"ork 3.5 en S67 Server ,ompact 3.5 vereist. 8anneer de!e ont#reken "orden de!e ti dens de installatie gedo"nload en ge2nstalleerd. Bedrijfsrisicoprofiel Ten eerste "ordt er een #edri fsrisicoprofiel opgesteld aan de $and van vragen over de organisatie. *ier#i "ordt gevraagd $oe +,T ge#ruikt "ordt en $oe #elangri k +,T voor de organisatie is. /i $et vaststellen van $et profiel "ordt #i voor#eeld gekeken of e als organisatie !elf soft"are ont"ikkeld voor kritisc$e #edri fsprocessen. Als e nameli k !elf soft"are ont"ikkeld !ul e andere eisen moeten stellen aan #eveiliging) dan "anneer e dat niet doet. De vragen die gesteld "orden $e##en onder andere #etrekking op infrastructuur) applicaties) #e$eer en $et ge#ruik van +,T. *et resultaat van $et #edri fsrisicoprofiel "ordt uitgedrukt in een getal van 0 tot 900.
Microsoft Security Assessment Tool
9
: -anveen informatica
Assessment +n $et t"eede deel "ordt er een evaluatie gemaakt van de #eveiliging. +n dit onderdeel "orden allerlei vragen gesteld om vast te stellen "elke #eveiligingsmaatregelen !i n genomen. Dit !i n vragen !oals% ;+s er een DM<&= en ;8ordt virusscanning toegepast&=. *ier#i "ordt niet alleen naar de tec$niek gevraagd) maar ook naar processen en mensen. 4r "ordt niet ge>valueerd $oe de #eveiligingsmaatregelen uitgevoerd !i n en of de!e uitvoering effectief is. *et resultaat van dit deel "ordt de defense in dept$ inde? 'DiDi( genoemd en is eveneens een getal van 0 tot 900. *et is mogeli k om #i $et!elfde risicoprofiel meerdere assessments te maken. Dit maakt $et mogeli k om op een #epaald moment een #aseline te maken. +n de loop van de ti d kunnen de ont"ikkelingen in de #eveiliging gemeten en vergeleken "orden. De assessments kunnen gekopieerd "orden !odat alleen vragen "aar#i $et ant"oord veranderd is) ingevuld $oeft te "orden. Dat sc$eelt "erk. *et $oofdsc$erm van de applicatie !iet er als volgt uit%
Microsoft Security Assessment Tool
2
: -anveen informatica
Door op de #lau"e knop naast de vraag te drukken) "ordt een "indo" getoond met e?tra uitleg over de vraag of advies over een #eveiligingsmaatregel. 3a $et #eant"oorden van een vraag kleurt $et vak e "aar $et nummer van de vraag staat groen. /i een aantal vragen !i n er ook su#vragen. Af$ankeli k van $et ant"oord op de $oofdvraag kunnen su#vragen "el of niet ingevuld "orden. /i de versc$illende aandac$tsge#ieden "ordt aangegeven dat $et invullen van de vragen per aandac$tsge#ied ongeveer 90 minuten duurt. Als e op de $oogte #ent van de +,T.voor!ieningen dan is $et invullen gemakkeli k #innen die 90 minuten te doen. Resultaat +n $et resultaat "ordt $et risicoprofiel vergeleken met de DiDi. *ier#i "ordt gekeken of de #eveiligingsmaatregelen de risico@s afdekken. De!e vergeli king "ordt gemaakt voor de versc$illende deelge#ieden infrastructuur) operatie en organisatie. De DiDi en $et risicoprofiel moeten met elkaar overeenkomen. Als #i een #epaald onderdeel $et risico laag is) dan is een $oge DiDi niet nodig. Als de DiDi $oog is !ou dit #etekenen dat veel #eveiligingsmaatregelen genomen !i n om iets te #eveiligen "at nau"eli ks #eveiliging nodig $eeft. Doordat een vergeli king op versc$illende deelge#ieden gemaakt "ordt) is in!ic$teli k "elke ge#ieden e?tra aandac$t nodig $e##en #i de #eveiliging. Dit maakt $et ook mogeli k om prioriteiten te stellen.
Microsoft Security Assessment Tool
3
: -anveen informatica
*et resultaat kan geApload "orden naar een server van Microsoft. Daarna is $et mogeli k om de eigen resultaten te vergeli ken met die van anderen. Dit is de !oge$eten peer group. -olgens Microsoft "ordt de informatie strikt vertrou"eli k #e$andeld. Ti dens $et uploaden $e# ik met 8ires$ark #ekeken "elke informatie over $et net"erk verstuurd "ordt. De informatie die naar Microsoft geApload "ordt is met SS7 versleuteld. 4r is dus niet precies te !ien "at er verstuurd "ordt. De peer group "aarmee vergeleken "ordt) #estaat uit organisaties die vergeli k#aar !i n in #edri fstak en omvang. *et aantal #edri fstakken "aarmee vergeleken "ordt is #eperkt. Bf dit een #etrou"#are vergeli king oplevert is de vraag. +edereen kan nepgegevens invullen en uploaden. *et is ook mogeli k om CCn assessment meerdere keren te uploaden. Als dit in de peer group ver"erkt "ordt) !i n de resultaten van de vergeli king niet #etrou"#aar. Dit de tool komen een aantal soorten rapporten rollen. De!e rapporten !i n opgemaakt in doc? formaat en kunnen #e"erkt "orden. 4en enkele keer "ordt een li ndiagram getoond ter"i l een staafdiagram een #eter over!ic$t geeft. Dit kan dan in 8ord gemakkeli k aangepast "orden. • • Summary report% $ierin "ordt $et risicoprofiel vergeleken met de DiDi voor versc$illende deelge#ieden. ,omparisons report% $ierin "ordt de DiDi van de assessment vergeleken met de DiDi van andere vergeli k#are organisaties of eerder gemaakte assessments. Dit rapport kan dus ook alleen maar gemaakt "orden "anneer gegevens !i n geApload naar Microsoft. • ,omplete report% in dit uitge#reide rapport is de ge$ele assessment uitge"erkt met #evindingen en aan#evelingen. Dit kan ge#ruikt "orden als actieli st om de #eveiliging op een $oger niveau te kri gen. /i de aan#evelingen "ordt aangegeven "elke producten en onderdelen van producten van Microsoft ge#ruikt kunnen "orden. Dit is compleet met ver"i !ingen naar de "e#site van Microsoft en Tec$net. 3atuurli k #en e vri om e eigen invulling te geven aan de geadviseerde maatregelen. De aan#evelingen !i n volgens Microsoft ge#aseerd op +SB 9EEFF) 3+ST.G00.? en aan#evelingen en ric$tli nen van de Trust"ort$y ,omputing Hroup van Microsoft. Conclusie De Microsoft Security Assessment Tool levert in korte ti d en met minimale inspanningen een goede eerste indruk van $et niveau van #eveiliging. *et is "el nodig om daarna nog verder te ki ken. MSAT voert geen security scan uit om te toetsen of de ge#ruikte #eveiligingsmaatregelen ook daad"erkeli k goed "erken en effectief !i n. Als de tool aangeeft dat $et goed is dat een #epaalde
Microsoft Security Assessment Tool
4
: -anveen informatica
maatregel genomen is) maar de ge#ruikte tec$niek #li kt niet te "erken) dan geeft $et ge#ruik van MSAT een vals gevoel van veilig$eid. Als voor#eeld kan de MSAT aangeven dat $et toepassen van net"erksegmentering goed is. Als de fire"all die dat moet regelen niet goed geconfigureerd is) geeft dat alsnog een ernstige tekortkoming in de #eveiliging. Aansluitend op $et ge#ruik van MSAT !ou dus een security scan uitgevoerd moeten "orden om de tec$niek en processen ac$ter de #eveiliging te #eoordelen. De tool laat niet !ien of de genomen #eveiligingsmaatregelen ook passen #i de specifieke risico@s. 4r "ordt slec$ts op de grote li nen gelet. -oor $et verkri gen van een eerste indruk is de tool ec$ter goed #ruik#aar. Vanveen informatica -anveen informatica kan u assisteren #i $et uitvoeren van de Microsoft Security Assessment Tool. Bp grond van de resultaten van de assessment kunnen "i een passend actieplan maken om de #eveiliging op $et uiste niveau te #rengen. Als u naar aanleiding van de security assessment een security scan "ilt laten uitvoeren #ent u #i ons aan $et uiste adres. Met de resultaten van de security scan kan #eoordeeld "orden of de genomen #eveiligingsmaatregelen ook effectief en effici>nt !i n. Bp u" ver!oek kunnen "i de Security Scan com#ineren met on!e 4t$ical *ack en Social 4ngineering producten. Met de!e rapportages kan een !eer uitge#reid en compleet #eeld "orden verkregen van de #eveiliging van u" +,T.infrastructuur. Bn!e Security Scan kan ook "orden gecom#ineerd met de 1erformance. en Availa#ility Scan) !odat u" applicatie.systeem op alle #elangri ke aspecten kan "orden doorgelic$t. -an de!e producten !i n aparte #esc$ri vingen #esc$ik#aar. Als !elfstandige) onaf$ankeli ke +,T kennisorganisatie) actief vanaf 9FGE) $e##en "i een arenlange ervaring in $et #eveiligen van de net"erken van de over$eid en de internetsecurity van diverse financi>le instellingen. 8i kunnen u $elpen #i $et ont"ikkelen) implementeren en onder$ouden van een doordac$te #eveiliging) preventief) curatief en repressief% +ncidenten voorkomen) er snel en slagvaardig op reageren en maatregelen nemen om gevolgsc$ade te voorkomen. Daar#i kunnen "i u !o"el adviserend als operationeel van dienst !i n en u aldus met raad en daad ter!i de staan. Meer informatie -oor meer informatie kunt u contact opnemen met -anveen informatica) telefoon 0EF.3430F0F of per e.mail vanveenIvanveen.nl.
Microsoft Security Assessment Tool
5
: -anveen informatica
Ji k voor een compleet en actueel over!ic$t van on!e producten op """.vanveen.nl. +r. ,. *oge"oning De auteur is security consultant bij Vanveen informatica (www.vanveen.nl). Vanveen informatica is een zelfstandige en onafhankelijke IC !kennis!organisatie" actief vanaf #$%&. De kerncom'etenties van onze organisatie liggen o' het ontwikkelen" beheren en beveiligen van de infrastructurele kant van de IC omgeving van onze o'drachtgevers.
Microsoft Security Assessment Tool
K
: -anveen informatica
De Microsoft Security Assessment Tool is inmiddels aangekomen op versie 4.0.2.35. Ti d om de!e tool eens aan een assessment te onder"erpen. De #elangri kste vraag $ier#i is% "at kunnen "e met de!e tool en "aarom !ouden "e de tool "illen ge#ruiken& De Microsoft Security Assessment Tool 'afgekort tot MSAT( is een tool die "einig #ekend$eid geniet. Dat li kt ook niet !o vreemd) "ant in tec$nisc$e op!ic$t is $et ook "einig uitdagend. *et is in feite een geautomatiseerde vragenli st die ant"oord pro#eert te geven op de vraag of $et niveau van #eveiliging past #i de manier "aarop de +,T toegepast "ordt. Tec$neuten vinden vragenli sten meestal een "einig interessante tool. -oor $en die verant"oordeli k !i n voor de +,T.#eveiliging kan $et in!ic$t geven in $oe de staat van de #eveiliging is en "at eventuele aandac$tspunten !i n. De evaluatie die de tool uitvoert) #estaat uit t"ee onderdelen% $et vaststellen van $et #edri fsrisicoprofiel '/01( en de assessment. Maar voordat "e daarop ingaan) moet de tool eerst ge2nstalleerd "orden. Installatie De soft"are is te do"nloaden in $et do"nload center van de Microsoft "e#site. -oor $et do"nloaden "ordt registratie #i Microsoft aan#evolen) maar dit is niet verplic$t. Als e de 3ederlandse versie do"nload kri g e in $et!elfde #estand de 0ussisc$e versie er ook #i . /i $et $et do"nloaden van de 0ussisc$e versie !it de 3ederlandse versie er ec$ter niet #i . -oor installatie is de aan"e!ig$eid van $et .34T 5rame"ork 3.5 en S67 Server ,ompact 3.5 vereist. 8anneer de!e ont#reken "orden de!e ti dens de installatie gedo"nload en ge2nstalleerd. Bedrijfsrisicoprofiel Ten eerste "ordt er een #edri fsrisicoprofiel opgesteld aan de $and van vragen over de organisatie. *ier#i "ordt gevraagd $oe +,T ge#ruikt "ordt en $oe #elangri k +,T voor de organisatie is. /i $et vaststellen van $et profiel "ordt #i voor#eeld gekeken of e als organisatie !elf soft"are ont"ikkeld voor kritisc$e #edri fsprocessen. Als e nameli k !elf soft"are ont"ikkeld !ul e andere eisen moeten stellen aan #eveiliging) dan "anneer e dat niet doet. De vragen die gesteld "orden $e##en onder andere #etrekking op infrastructuur) applicaties) #e$eer en $et ge#ruik van +,T. *et resultaat van $et #edri fsrisicoprofiel "ordt uitgedrukt in een getal van 0 tot 900.
Microsoft Security Assessment Tool
9
: -anveen informatica
Assessment +n $et t"eede deel "ordt er een evaluatie gemaakt van de #eveiliging. +n dit onderdeel "orden allerlei vragen gesteld om vast te stellen "elke #eveiligingsmaatregelen !i n genomen. Dit !i n vragen !oals% ;+s er een DM<&= en ;8ordt virusscanning toegepast&=. *ier#i "ordt niet alleen naar de tec$niek gevraagd) maar ook naar processen en mensen. 4r "ordt niet ge>valueerd $oe de #eveiligingsmaatregelen uitgevoerd !i n en of de!e uitvoering effectief is. *et resultaat van dit deel "ordt de defense in dept$ inde? 'DiDi( genoemd en is eveneens een getal van 0 tot 900. *et is mogeli k om #i $et!elfde risicoprofiel meerdere assessments te maken. Dit maakt $et mogeli k om op een #epaald moment een #aseline te maken. +n de loop van de ti d kunnen de ont"ikkelingen in de #eveiliging gemeten en vergeleken "orden. De assessments kunnen gekopieerd "orden !odat alleen vragen "aar#i $et ant"oord veranderd is) ingevuld $oeft te "orden. Dat sc$eelt "erk. *et $oofdsc$erm van de applicatie !iet er als volgt uit%
Microsoft Security Assessment Tool
2
: -anveen informatica
Door op de #lau"e knop naast de vraag te drukken) "ordt een "indo" getoond met e?tra uitleg over de vraag of advies over een #eveiligingsmaatregel. 3a $et #eant"oorden van een vraag kleurt $et vak e "aar $et nummer van de vraag staat groen. /i een aantal vragen !i n er ook su#vragen. Af$ankeli k van $et ant"oord op de $oofdvraag kunnen su#vragen "el of niet ingevuld "orden. /i de versc$illende aandac$tsge#ieden "ordt aangegeven dat $et invullen van de vragen per aandac$tsge#ied ongeveer 90 minuten duurt. Als e op de $oogte #ent van de +,T.voor!ieningen dan is $et invullen gemakkeli k #innen die 90 minuten te doen. Resultaat +n $et resultaat "ordt $et risicoprofiel vergeleken met de DiDi. *ier#i "ordt gekeken of de #eveiligingsmaatregelen de risico@s afdekken. De!e vergeli king "ordt gemaakt voor de versc$illende deelge#ieden infrastructuur) operatie en organisatie. De DiDi en $et risicoprofiel moeten met elkaar overeenkomen. Als #i een #epaald onderdeel $et risico laag is) dan is een $oge DiDi niet nodig. Als de DiDi $oog is !ou dit #etekenen dat veel #eveiligingsmaatregelen genomen !i n om iets te #eveiligen "at nau"eli ks #eveiliging nodig $eeft. Doordat een vergeli king op versc$illende deelge#ieden gemaakt "ordt) is in!ic$teli k "elke ge#ieden e?tra aandac$t nodig $e##en #i de #eveiliging. Dit maakt $et ook mogeli k om prioriteiten te stellen.
Microsoft Security Assessment Tool
3
: -anveen informatica
*et resultaat kan geApload "orden naar een server van Microsoft. Daarna is $et mogeli k om de eigen resultaten te vergeli ken met die van anderen. Dit is de !oge$eten peer group. -olgens Microsoft "ordt de informatie strikt vertrou"eli k #e$andeld. Ti dens $et uploaden $e# ik met 8ires$ark #ekeken "elke informatie over $et net"erk verstuurd "ordt. De informatie die naar Microsoft geApload "ordt is met SS7 versleuteld. 4r is dus niet precies te !ien "at er verstuurd "ordt. De peer group "aarmee vergeleken "ordt) #estaat uit organisaties die vergeli k#aar !i n in #edri fstak en omvang. *et aantal #edri fstakken "aarmee vergeleken "ordt is #eperkt. Bf dit een #etrou"#are vergeli king oplevert is de vraag. +edereen kan nepgegevens invullen en uploaden. *et is ook mogeli k om CCn assessment meerdere keren te uploaden. Als dit in de peer group ver"erkt "ordt) !i n de resultaten van de vergeli king niet #etrou"#aar. Dit de tool komen een aantal soorten rapporten rollen. De!e rapporten !i n opgemaakt in doc? formaat en kunnen #e"erkt "orden. 4en enkele keer "ordt een li ndiagram getoond ter"i l een staafdiagram een #eter over!ic$t geeft. Dit kan dan in 8ord gemakkeli k aangepast "orden. • • Summary report% $ierin "ordt $et risicoprofiel vergeleken met de DiDi voor versc$illende deelge#ieden. ,omparisons report% $ierin "ordt de DiDi van de assessment vergeleken met de DiDi van andere vergeli k#are organisaties of eerder gemaakte assessments. Dit rapport kan dus ook alleen maar gemaakt "orden "anneer gegevens !i n geApload naar Microsoft. • ,omplete report% in dit uitge#reide rapport is de ge$ele assessment uitge"erkt met #evindingen en aan#evelingen. Dit kan ge#ruikt "orden als actieli st om de #eveiliging op een $oger niveau te kri gen. /i de aan#evelingen "ordt aangegeven "elke producten en onderdelen van producten van Microsoft ge#ruikt kunnen "orden. Dit is compleet met ver"i !ingen naar de "e#site van Microsoft en Tec$net. 3atuurli k #en e vri om e eigen invulling te geven aan de geadviseerde maatregelen. De aan#evelingen !i n volgens Microsoft ge#aseerd op +SB 9EEFF) 3+ST.G00.? en aan#evelingen en ric$tli nen van de Trust"ort$y ,omputing Hroup van Microsoft. Conclusie De Microsoft Security Assessment Tool levert in korte ti d en met minimale inspanningen een goede eerste indruk van $et niveau van #eveiliging. *et is "el nodig om daarna nog verder te ki ken. MSAT voert geen security scan uit om te toetsen of de ge#ruikte #eveiligingsmaatregelen ook daad"erkeli k goed "erken en effectief !i n. Als de tool aangeeft dat $et goed is dat een #epaalde
Microsoft Security Assessment Tool
4
: -anveen informatica
maatregel genomen is) maar de ge#ruikte tec$niek #li kt niet te "erken) dan geeft $et ge#ruik van MSAT een vals gevoel van veilig$eid. Als voor#eeld kan de MSAT aangeven dat $et toepassen van net"erksegmentering goed is. Als de fire"all die dat moet regelen niet goed geconfigureerd is) geeft dat alsnog een ernstige tekortkoming in de #eveiliging. Aansluitend op $et ge#ruik van MSAT !ou dus een security scan uitgevoerd moeten "orden om de tec$niek en processen ac$ter de #eveiliging te #eoordelen. De tool laat niet !ien of de genomen #eveiligingsmaatregelen ook passen #i de specifieke risico@s. 4r "ordt slec$ts op de grote li nen gelet. -oor $et verkri gen van een eerste indruk is de tool ec$ter goed #ruik#aar. Vanveen informatica -anveen informatica kan u assisteren #i $et uitvoeren van de Microsoft Security Assessment Tool. Bp grond van de resultaten van de assessment kunnen "i een passend actieplan maken om de #eveiliging op $et uiste niveau te #rengen. Als u naar aanleiding van de security assessment een security scan "ilt laten uitvoeren #ent u #i ons aan $et uiste adres. Met de resultaten van de security scan kan #eoordeeld "orden of de genomen #eveiligingsmaatregelen ook effectief en effici>nt !i n. Bp u" ver!oek kunnen "i de Security Scan com#ineren met on!e 4t$ical *ack en Social 4ngineering producten. Met de!e rapportages kan een !eer uitge#reid en compleet #eeld "orden verkregen van de #eveiliging van u" +,T.infrastructuur. Bn!e Security Scan kan ook "orden gecom#ineerd met de 1erformance. en Availa#ility Scan) !odat u" applicatie.systeem op alle #elangri ke aspecten kan "orden doorgelic$t. -an de!e producten !i n aparte #esc$ri vingen #esc$ik#aar. Als !elfstandige) onaf$ankeli ke +,T kennisorganisatie) actief vanaf 9FGE) $e##en "i een arenlange ervaring in $et #eveiligen van de net"erken van de over$eid en de internetsecurity van diverse financi>le instellingen. 8i kunnen u $elpen #i $et ont"ikkelen) implementeren en onder$ouden van een doordac$te #eveiliging) preventief) curatief en repressief% +ncidenten voorkomen) er snel en slagvaardig op reageren en maatregelen nemen om gevolgsc$ade te voorkomen. Daar#i kunnen "i u !o"el adviserend als operationeel van dienst !i n en u aldus met raad en daad ter!i de staan. Meer informatie -oor meer informatie kunt u contact opnemen met -anveen informatica) telefoon 0EF.3430F0F of per e.mail vanveenIvanveen.nl.
Microsoft Security Assessment Tool
5
: -anveen informatica
Ji k voor een compleet en actueel over!ic$t van on!e producten op """.vanveen.nl. +r. ,. *oge"oning De auteur is security consultant bij Vanveen informatica (www.vanveen.nl). Vanveen informatica is een zelfstandige en onafhankelijke IC !kennis!organisatie" actief vanaf #$%&. De kerncom'etenties van onze organisatie liggen o' het ontwikkelen" beheren en beveiligen van de infrastructurele kant van de IC omgeving van onze o'drachtgevers.
Microsoft Security Assessment Tool
K
: -anveen informatica
