Si votre entreprise autorise les connexions SSH ou SFTP, il se peut que des clés utilisateurs non correctement gérées se baladent dans la nature. Pas de création, de rotation et de révocation centralisées et c'est vite le boxon.
Pour remédier à cela et apporter un peu plus de sécurité dans ce monde de brute, la société SSH Communications Security, à l'origine de ces mêmes protocoles, lancera en mai 2013 SRA (SSH Risk Assessor)
Il s'agit d'un outil gratuit qui permettra d'établir un diagnostic clair des risques possibles dans les environnements SSH. Vulnérabilités connues, stats détaillées sur les clés déployées, ou conseils sur les bonnes pratiques. Les administrateurs et experts en sécurité sauront alors beaucoup plus rapidement quelles sont les faiblesses des environnements utilisant SSH.
Risk Reporting:
- Generate a report to identify:
- Total amounts of keys and related users
- Host OS platforms and SSH versions
- Known and unknown trust-relationships
- Amount of root authorizations
- User keys without command restrictions
- User keys without source address or host
- Scan environment for SSH user and host keys:
- Duplicate/shared private keys
- Private keys without passphrase protection
- Key age, algorithms and lengths
- User keys in non-root owned directories and writable by non-root users.
- Reachability analysis to determine potential damage due to a compromised private key
Compare findings with:
- Current IAM tracking to identify undocumented and/or unauthorized keys
- SSH version and access policies
- Key cryptography policies
- Key rotation practices
Compliance Reporting:
- SOX DS 5.8 Cryptographic key management for secure key storage and revocation
- HIPAA Information Access requirements for key protection, strength, age, access and audit
- NIST/FISMA section C.2.2 requirements for structured and documented process for key allocation, distribution and tracking. Key algorithm enforcement and tracking
- NERC CIP-007-4 R5 Account Management requirements
- PCI section 8.5.x access controls (SSH under consideration for PCI V3)
Pour avoir plus d'infos et êtres informé de la sortie de SRA, il suffit de vous inscrire ici.
by via MyTFMRSS
No comments:
Post a Comment