Vertinimo politikos išimtys

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Šiame puslapyje pateikiamas pagrindinių saugumo matavimų išimtinių situacijų sąrašas. Matavimas be konteksto bus vertinamas neigiamai. Todėl prie pagrindinio saugumo pridedamos išimtys pagal vadinamąjį „laikykis arba paaiškink” procesą.

Jei trūksta išimties, susisiekite su mumis. Šis išimties prašymas bus peržiūrėtas ir gali būti įtrauktas arba neįtrauktas į matavimus. Įtraukite gero paaiškinimo vadovo reikalavimus.

Versijų numeriai

Tikimasi, kad nebus aptikta jokios informacijos, kurią užpuolikas galėtų panaudoti atakai vykdyti. Todėl apskritai nesitikime versijų numerių. Tai yra išimtys:

  1. SSH2.0 eilutės be komentarų neįtraukiamos, nes informacija apie versiją yra protokolo dalis. Žr. www. openssh.com/txt/rfc4253.txt 4.2. Tai reiškia, kad, pavyzdžiui, „OpenSSH_9.2p1” yra patvirtinta, bet „OpenSSH_9.2p1 Debian-2+deb12u2” – ne. Taip yra todėl, kad jame skelbiama papildoma informacija („Debian-2+deb12u2”) apie sistemą. Tai reiškia, kad sistema nėra apsaugota nuo užpuolikų ir užpuolikas tiksliai žino, kokia tai sistema.
  2. Pagrindinės gerai žinomų produktų versijos, kuriose mažai informacijos apie pataisų lygį. Pavyzdžiui, pvz: „Microsoft IIS 8.5”, „Microsoft httpapi/2.0”, rtc 7.0, awselb/2.0. Jos yra patvirtintos.

Sertifikatai

Tikimasi, kad visus sertifikatus išduos akredituota organizacija. Šiais sertifikatais vėliau pasitikima naršyklėse ir įrenginiuose. Tai yra išimtys:

  1. G1 Vyriausybės sertifikatai. Jais nepasitiki naršyklė, tačiau jais pasitiki centrinė vyriausybė. Tai nurodoma pareiškimu. Nepasitikima dabar yra pagal projektą. Priimamame sertifikate, be kita ko, turi būti nurodytas serijos numeris 10004001.

Atviri vartai

Tikimasi, kad atakos paviršius bus minimalus, t. y. kuo mažiau atvirų prievadų. Tai yra išimtys:

  1. 8080/8443 (Cloudflare): „Clouddflare” ugniasienė pagal nutylėjimą atidaro kai kuriuos nereikalingus prievadus, pvz., 8080. Galite patys konfigūruoti, kas ten bus rodoma. Jei matome ten įrašytą „cloudflare”, dabar jį patvirtiname su paaiškinimu. Galiausiai tai nėra gerai, todėl raginame „cloudflare” naudotojus nurodyti, kad bendrovė turėtų pradėti uždarinėti šiuos prievadus. Ši išimtis daroma atsižvelgiant į tinklalapio turinį. Tam taikoma politika kaip deklaracija.
  2. 8443 (VPN): šį prievadą gali atidaryti su namų darbais susiję subdomenai. Tai atpažįstame pagal subdomenus (ir daugybę jų variantų): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn ir pan.

Užšifruotas duomenų perdavimas (HTTPS)

Tikimasi, kad svetainės ir žiniatinklio paslaugos bus šifruojamos, kad informacija išliktų konfidenciali. Tai yra išimtys:

  1. Sertifikatų atšaukimo sąrašai: subdomenuose „pki”, „crl”, „ocsp” ir kai kuriuose jų variantuose nereikia šifruoto ryšio. HSTS antraštės nereikia nustatyti 443 prievadui (nesitikime, kad jis bus https).
  2. „Microsoft” „Autodiscover” subdomenuose šifravimo nereikalaujama, tai yra bendra išimtis „Microsoft” paslaugoms, nes kitaip visi yra raudoni…? Tai taikoma „autodiscover” ir „autodiscover.test” domenams.

HTTP antraštės

Tikimasi, kad visose svetainėse bus užtikrintas saugumas. Tai yra išimtys:

  1. Trūksta SOAP/JSON/XML turinio tipų antraščių: Šios paslaugos nėra skirtos žmonėms, todėl jose nereikia numatyti naršyklės apsaugos, skirtos žmonėms apsaugoti.
  2. Trūksta techninių tarnybų antraščių: ADFS subdomeno HSTS antraštės nustatyti nereikia.

Kita

Tikimasi, kad bus laikomasi visų saugos reikalavimų. Esama sudėtingų scenarijų, kai to dar nėra įvykę arba tai neįmanoma. Tai yra išimtys:

  1. „Microsoft” paslaugos subdomenuose apie lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Tai buvo padaryta, nes šios paslaugos skirtos ne naršyklėms, o automatizuotoms paslaugoms. Kartu dėl to, kad poveikis visur būtų didelis, o IRT paslaugų teikėjai negali išspręsti šių problemų:
    • Šių subdomenų sertifikatas yra patikimas, nors „Qualys” juo nepasitiki.
    • Kadangi šios paslaugos skirtos įrenginiams, o ne naršyklėms, http antraštės nėra privalomos.