Wyjątki od polityki pomiarowej

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Ta strona zawiera listę sytuacji wyjątkowych dla pomiarów podstawowych zabezpieczeń. Pomiar bez kontekstu zostanie oceniony negatywnie. Dlatego też podstawowe bezpieczeństwo dodaje wyjątki zgodnie z tak zwanym procesem „przestrzegaj lub wyjaśnij”.

Jeśli brakuje wyjątku, skontaktuj się z nami. Wniosek o wyjątek zostanie następnie rozpatrzony i może, ale nie musi, zostać dodany do pomiarów. Należy uwzględnić wymagania podręcznika dobrych objaśnień.

Numery wersji

Oczekujemy, że nie natkniemy się na żadne informacje, które atakujący mógłby wykorzystać do przeprowadzenia ataku. Ogólnie rzecz biorąc, nie oczekujemy numerów wersji. To są wyjątki od tej zasady:

  1. Ciągi SSH2.0 bez komentarzy są wykluczone, ponieważ informacje o wersji są częścią protokołu. Patrz www.openssh.com/txt/rfc4253.txt 4.2. Oznacza to na przykład, że „OpenSSH_9.2p1” jest zatwierdzony, ale „OpenSSH_9.2p1 Debian-2+deb12u2” nie. Dzieje się tak, ponieważ publikuje dodatkowe informacje („Debian-2+deb12u2”) o systemie. Oznacza to, że system nie jest zabezpieczony przed atakami i atakujący dokładnie wie, jakiego rodzaju jest to system.
  2. Główne wersje znanych produktów, które niewiele mówią o poziomie poprawek. Na przykład: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Są one zatwierdzone.

Certyfikaty

Oczekuje się, że wszystkie certyfikaty będą wydawane przez akredytowaną organizację. Certyfikaty te są następnie zaufane w przeglądarkach i urządzeniach. Są to wyjątki od tej zasady:

  1. Certyfikaty rządowe G1. Nie są one zaufane przez przeglądarkę, ale są zaufane przez rząd centralny. Jest to wskazane przez oświadczenie. Certyfikat niezaufany jest teraz zaprojektowany. Akceptowany certyfikat musi zawierać między innymi numer seryjny 10004001.

Open Gates

Oczekuje się, że powierzchnia ataku będzie minimalna: to znaczy jak najmniej otwartych portów. To są wyjątki od tego:

  1. 8080/8443 (Cloudflare): Zapora cloudflare domyślnie otwiera niektóre nadmiarowe porty, takie jak 8080. Możesz samodzielnie skonfigurować to, co się tam pojawia. Jeśli widzimy tam cloudflare, zatwierdzamy to z wyjaśnieniem. Ostatecznie nie jest to dobre i zachęcamy użytkowników cloudflare do wskazania, że firma powinna zacząć zamykać te porty. Wyjątek ten ma miejsce na podstawie zawartości strony internetowej. Polityka jest stosowana do tego jako deklaracja.
  2. 8443 (VPN): subdomeny związane z pracą zdalną mogą otwierać ten port. Rozpoznajemy to po subdomenach (i wielu wariantach): telepraca, praca domowa, miejsce pracy, stacja robocza, ekstranet, intranet, zdalny, praca zdalna, vpn i tak dalej.

Szyfrowany transfer danych (HTTPS)

Oczekuje się, że strony internetowe i usługi internetowe będą szyfrowane, aby informacje pozostały poufne. Są to wyjątki od tej zasady:

  1. Listy unieważnień certyfikatów: nie jest wymagane szyfrowane połączenie w subdomenach „pki”, „crl”, „ocsp” i niektórych ich wariantach. Nagłówek HSTS nie musi być ustawiony na porcie 443 (nie oczekujemy https).
  2. Szyfrowanie nie jest wymagane w subdomenach Microsoft Autodiscover, jest to ogólny wyjątek dla usług Microsoft, ponieważ w przeciwnym razie wszyscy są czerwoni…? Dotyczy to domen „autodiscover” i „autodiscover.test”.

Nagłówki HTTP

Oczekuje się, że wszystkie strony internetowe są skonfigurowane pod kątem bezpieczeństwa. To są wyjątki od tego:

  1. Brakujące nagłówki dla typów zawartości SOAP/JSON/XML: Usługi te nie są przeznaczone dla ludzi i dlatego nie muszą zapewniać ochrony przeglądarki przeznaczonej do ochrony ludzi.
  2. Brakujące nagłówki dla usług technicznych: Dla subdomeny ADFS nagłówek HSTS nie musi być ustawiony.

Inne

Oczekuje się, że wszystkie wymogi bezpieczeństwa zostaną spełnione. Istnieją złożone scenariusze, w których nie zostało to jeszcze osiągnięte lub nie jest możliwe. Są to wyjątki:

  1. Usługi Microsoft w subdomenach wokół lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Zostało to zrobione, ponieważ usługi te nie są przeznaczone dla przeglądarek, ale dla zautomatyzowanych usług. Jednocześnie, ponieważ wpływ byłby wszędzie wysoki, a dostawcy usług ICT nie mogą rozwiązać tych problemów:
    • Certyfikat w tych subdomenach jest zaufany, mimo że nie jest zaufany przez Qualys.
    • Ponieważ są to usługi przeznaczone dla urządzeń, a nie przeglądarek, nagłówki http nie są obowiązkowe.