Asset Attack Vectors Building Effective Vulnerability Management Strategies to Protect Organizations — Morey J Haber Brad Hibbert Asset Attack Vectors Building Effective Vulnerability Management Strategies to Protect Organizations Morey J. Haber Brad Hibbert Asset Attack Vectors: Building Effective Vulnerability Management Strategies to Protect Organizations Morey J. Haber Heathrow, Florida, USA Brad Hibbert Carp, Ontario, Canada ISBN-13 (pbk): 978-1-4842-3626-0 https://doi.org/10.1007/978-1-4842-3627-7 ISBN-13 (electronic): 978-1-4842-3627-7 Library of Congress Control Number: 2018946558 Copyright © 2018 by Morey J Haber, Brad Hibbert This work is subject to copyright All rights are reserved by the Publisher, whether the whole or part of the material is concerned, specifically the rights of translation, reprinting, reuse of illustrations, recitation, broadcasting, reproduction on microfilms or in any other physical way, and transmission or information storage and retrieval, electronic adaptation, computer software, or by similar or dissimilar methodology now known or hereafter developed Trademarked names, logos, and images may appear in this book Rather than use a trademark symbol with every occurrence of a trademarked name, logo, or image we use the names, logos, and images only in an editorial fashion and to the benefit of the trademark owner, with no intention of infringement of the trademark The use in this publication of trade names, trademarks, service marks, and similar terms, even if they are not identified as such, is not to be taken as an expression of opinion as to whether or not they are subject to proprietary rights While the advice and information in this book are believed to be true and accurate at the date of publication, neither the authors nor the editors nor the publisher can accept any legal responsibility for any errors or omissions that may be made The publisher makes no warranty, express or implied, with respect to the material contained herein Managing Director, Apress Media LLC: Welmoed Spahr Acquisitions Editor: Susan McDermott Development Editor: Laura Berendson Coordinating Editor: Rita Fernando Cover designed by eStudioCalamar Cover image designed by Freepik (www.freepik.com) Distributed to the book trade worldwide by Springer Science+Business Media New York, 233 Spring Street, 6th Floor, New York, NY 10013 Phone 1-800-SPRINGER, fax (201) 348-4505, e-mail orders-ny@springer-sbm.com, or visit www.springeronline.com Apress Media, LLC is a California LLC and the sole member (owner) is Springer Science + Business Media Finance Inc (SSBM Finance Inc) SSBM Finance Inc is a Delaware corporation For information on translations, please e-mail rights@apress.com, or visit http://www.apress.com/ rights-permissions Apress titles may be purchased in bulk for academic, corporate, or promotional use eBook versions and licenses are also available for most titles For more information, reference our Print and eBook Bulk Sales web page at http://www.apress.com/bulk-sales Any source code or other supplementary material referenced by the author in this book is available to readers on GitHub via the book's product page, located at www.apress.com/ 9781484236260 For more detailed information, please visit http://www.apress.com/ source-code Printed on acid-free paper To our wonderful wives who support us through thick and thin with endless patience and love Table of Contents About the Authors�������������������������������������������������������������������������������xv About the Technical Reviewer����������������������������������������������������������xvii Acknowledgments�����������������������������������������������������������������������������xix Preface����������������������������������������������������������������������������������������������xxi Introduction�������������������������������������������������������������������������������������xxiii Chapter 1: The Attack Chain�����������������������������������������������������������������1 Chapter 2: The Vulnerability Landscape�����������������������������������������������5 Vulnerabilities�������������������������������������������������������������������������������������������������������5 Configurations�������������������������������������������������������������������������������������������������������9 Exploits���������������������������������������������������������������������������������������������������������������10 False Positives����������������������������������������������������������������������������������������������������11 False Negatives���������������������������������������������������������������������������������������������������12 Malware��������������������������������������������������������������������������������������������������������������13 Social Engineering����������������������������������������������������������������������������������������������14 Phishing��������������������������������������������������������������������������������������������������������������19 Curiosity Killed the Cat����������������������������������������������������������������������������������19 Nothing Bad Will Happen�������������������������������������������������������������������������������20 Did You Know They Removed Gullible from the Dictionary?��������������������������21 It Can’t Happen to Me������������������������������������������������������������������������������������22 How to Determine if Your Email Is a Phishing Attack������������������������������������22 v Table of Contents Ransomware�������������������������������������������������������������������������������������������������������24 Insider Threats����������������������������������������������������������������������������������������������������26 External Threats��������������������������������������������������������������������������������������������������31 Vulnerability Disclosure��������������������������������������������������������������������������������������33 Chapter 3: Threat Intelligence������������������������������������������������������������39 Chapter 4: Credential Asset Risks������������������������������������������������������45 Chapter 5: Vulnerability Assessment��������������������������������������������������49 Active Vulnerability Scanning������������������������������������������������������������������������������50 Passive Scanners������������������������������������������������������������������������������������������������50 Intrusive Vulnerability Scanning��������������������������������������������������������������������������51 Nonintrusive Scanning����������������������������������������������������������������������������������������52 Vulnerability Scanning Limitations and Shortcomings����������������������������������������54 Chapter 6: Configuration Assessment������������������������������������������������57 Regulations���������������������������������������������������������������������������������������������������������58 Frameworks��������������������������������������������������������������������������������������������������������58 Benchmarks��������������������������������������������������������������������������������������������������������59 Configuration Assessment Tools�������������������������������������������������������������������������59 SCAP��������������������������������������������������������������������������������������������������������������65 Chapter 7: Risk Measurement������������������������������������������������������������69 CVE����������������������������������������������������������������������������������������������������������������������73 CVSS�������������������������������������������������������������������������������������������������������������������73 STIG���������������������������������������������������������������������������������������������������������������������75 OVAL��������������������������������������������������������������������������������������������������������������������77 IAVA���������������������������������������������������������������������������������������������������������������������78 vi Table of Contents Chapter 8: Vulnerability States�����������������������������������������������������������79 Vulnerability Risk Based on State�����������������������������������������������������������������������80 The Three Vulnerability States����������������������������������������������������������������������������82 Active Vulnerabilities�������������������������������������������������������������������������������������������84 Dormant Vulnerabilities���������������������������������������������������������������������������������������84 Carrier Vulnerabilities������������������������������������������������������������������������������������������85 State Prioritization����������������������������������������������������������������������������������������������86 Chapter 9: Vulnerability Authorities���������������������������������������������������89 Chapter 10: Penetration Testing���������������������������������������������������������93 Chapter 11: Remediation��������������������������������������������������������������������99 Microsoft�������������������������������������������������������������������������������������������������������������99 Apple�����������������������������������������������������������������������������������������������������������������101 Cisco�����������������������������������������������������������������������������������������������������������������103 Google���������������������������������������������������������������������������������������������������������������104 Oracle����������������������������������������������������������������������������������������������������������������105 Red Hat�������������������������������������������������������������������������������������������������������������106 Adobe����������������������������������������������������������������������������������������������������������������107 Open Source�����������������������������������������������������������������������������������������������������107 Everyone Else����������������������������������������������������������������������������������������������������109 Chapter 12: The Vulnerability Management Program�����������������������111 Design���������������������������������������������������������������������������������������������������������������112 Develop�������������������������������������������������������������������������������������������������������������113 Deploy���������������������������������������������������������������������������������������������������������������113 Operate�������������������������������������������������������������������������������������������������������������114 vii Table of Contents Maturity�������������������������������������������������������������������������������������������������������������114 Maturity Categories�������������������������������������������������������������������������������������116 Descriptions�������������������������������������������������������������������������������������������������118 Chapter 13: Vulnerability Management Design��������������������������������119 Crawl, Walk, Run, Sprint������������������������������������������������������������������������������������121 Implement for Today, But Plan for Tomorrow����������������������������������������������������122 It’s All About Business Value�����������������������������������������������������������������������������122 Chapter 14: Vulnerability Management Development����������������������125 Vulnerability Management Scope���������������������������������������������������������������������126 Operating Systems��������������������������������������������������������������������������������������127 Client Applications���������������������������������������������������������������������������������������128 Web Applications�����������������������������������������������������������������������������������������129 Network Devices�����������������������������������������������������������������������������������������131 Databases����������������������������������������������������������������������������������������������������132 Flat File Databases��������������������������������������������������������������������������������������132 Hypervisors��������������������������������������������������������������������������������������������������135 IaaS and PaaS���������������������������������������������������������������������������������������������135 Mobile Devices��������������������������������������������������������������������������������������������137 IoT����������������������������������������������������������������������������������������������������������������139 Industrial Control Systems (ICS) and SCADA�����������������������������������������������140 DevOps��������������������������������������������������������������������������������������������������������141 Docker and Containers��������������������������������������������������������������������������������142 Code Review������������������������������������������������������������������������������������������������143 Tool Selection����������������������������������������������������������������������������������������������������144 The Vulnerability Management Process������������������������������������������������������������146 Assessment�������������������������������������������������������������������������������������������������146 Measure�������������������������������������������������������������������������������������������������������147 viii Table of Contents Remediation������������������������������������������������������������������������������������������������148 Rinse and Repeat {Cycle}����������������������������������������������������������������������������148 End of Life���������������������������������������������������������������������������������������������������148 Common Vulnerability Lifecycle Mistakes���������������������������������������������������������149 Mistake 1: Disjointed Vulnerability Management����������������������������������������149 Mistake 2: Relying on Remote Assessment Alone���������������������������������������151 Mistake 3: Unprotected Zero-Day Vulnerabilities����������������������������������������152 Mistake 4: Decentralized Visibility���������������������������������������������������������������153 Mistake 5: Compliance at the Expense of Security�������������������������������������154 Common Challenges�����������������������������������������������������������������������������������������154 Aging Infrastructure�������������������������������������������������������������������������������������155 Depth and Breadth of the Program��������������������������������������������������������������156 Building the Plan�����������������������������������������������������������������������������������������������157 Step 1: What to Assess?������������������������������������������������������������������������������157 Step 2: Assessment Configuration���������������������������������������������������������������158 Step 3: Assessment Frequency�������������������������������������������������������������������158 Step 4: Establish Ownership������������������������������������������������������������������������159 Step 5: Data and Risk Prioritization�������������������������������������������������������������159 Step 6: Reporting�����������������������������������������������������������������������������������������160 Step 7: Remediation Management��������������������������������������������������������������161 Step 8: Verification and Measurements�������������������������������������������������������162 Step 9: Third-Party Integration��������������������������������������������������������������������162 Chapter 15: Vulnerability Management Deployment������������������������165 Approach 1: Critical and High-Risk Vulnerabilities Only������������������������������������166 Approach 2: Statistical Sampling����������������������������������������������������������������������167 Approach 3: Targeted Scanning Based on Business Function��������������������������169 Team Communications��������������������������������������������������������������������������������������171 ix Table of Contents Network Scanners��������������������������������������������������������������������������������������������175 Firewalls������������������������������������������������������������������������������������������������������175 IPS/IDS���������������������������������������������������������������������������������������������������������177 Packet Shaping��������������������������������������������������������������������������������������������178 QoS��������������������������������������������������������������������������������������������������������������179 Tarpits����������������������������������������������������������������������������������������������������������179 Honeypots����������������������������������������������������������������������������������������������������180 Authentication���������������������������������������������������������������������������������������������������181 Null Session�������������������������������������������������������������������������������������������������182 Credentials��������������������������������������������������������������������������������������������������183 Privileged Integration����������������������������������������������������������������������������������185 Agents���������������������������������������������������������������������������������������������������������������187 Third-Party Integration��������������������������������������������������������������������������������������189 Patch Management�������������������������������������������������������������������������������������������190 Virtual Patching�������������������������������������������������������������������������������������������������192 Threat Detection�����������������������������������������������������������������������������������������������193 Continuous Monitoring��������������������������������������������������������������������������������������194 Performance�����������������������������������������������������������������������������������������������������196 Threads�������������������������������������������������������������������������������������������������������������198 Time to Complete����������������������������������������������������������������������������������������������200 Bandwidth���������������������������������������������������������������������������������������������������������202 Ports������������������������������������������������������������������������������������������������������������������202 Scan Windows���������������������������������������������������������������������������������������������������203 Scan Pooling�����������������������������������������������������������������������������������������������������204 Target Randomization����������������������������������������������������������������������������������204 Fault Tolerance��������������������������������������������������������������������������������������������������204 Scanner Locking�����������������������������������������������������������������������������������������������206 x APPENDIX B Request for Proposal Spreadsheet Table B-1. (continued) Solution Requirements Weighting of Requirement Vendor Success Level Final Weighted Score Robust Built-in benchmark library CIS DISA DoD Microsoft Security Compliance NIST Integrated Patch Management Support for Multiple Patch Servers Windows patch management Third-Party Application Patch management Vulnerability to patch integration views Patch prioritization Targeted patch deployment Integrated patch reporting (continued) 356 APPENDIX B Request for Proposal Spreadsheet Table B-1. (continued) Solution Requirements Weighting of Requirement Vendor Success Level Final Weighted Score Deployment Software Installation Hardware Appliance Options Virtual Appliance Options (VMware) Virtual Appliance Options (Hyper-v) Virtual Appliance Options (Amazon) Virtual Appliance Options (Azure) Managed Service Agent Based Scanning External Scans Hybrid deployment options Implementation, Training, and Support Online Portal Phone Support SLA Response Training Consulting Services 357 Index A B Active vulnerabilities, 82, 84 Active vulnerability scanning, 50 Adobe, 107, 259 Advanced persistent threats (APTs), 260 Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™), 239 Agent technology, 187–188 Amazon AWS assets, 264 Apple Security Updates, 101–102 Asset Reporting Format (ARF), Assets, 256–257 Australian Signals Directorate (ASD), 233 Authentication administrative and root credentials, 181 capabilities, 181 credentials, 183–184 null session, 182 privileged integration, 185, 187 privileges, 181 resources, 182 Automate credentialed scans, 252–253, 310 Bandwidth, 202 Benchmarks, 59 Bring your own technology (BYOT), 254 Bugtraq, 91 Business management, 264 © Morey J Haber, Brad Hibbert 2018 M.J Haber and B Hibbert, Asset Attack Vectors, https://doi.org/10.1007/978-1-4842-3627-7 C Carrier vulnerabilities, 83, 85 Center for Internet Security (CIS), 243 Cisco, 103–104 Class B network, 287–288 Client applications, 128–129 COBIT, 242, 247 Common Configuration Enumeration (CCE), Common Configuration Scoring System (CCSS), Common Platform Enumeration (CPE), Common Vulnerabilities and Exposures (CVE), 7, 73 Common Vulnerability Scoring System (CVSS), 7, 81 base calculation, 75 components, 74 359 Index Common Vulnerability Scoring System (CVSS) (cont.) Exploitability metrics, 74–75 Temporal Metrics, 74 Common Weakness Enumeration (CWE), Complex architecture, 275–276 Compliance frameworks, 241 Conficker, 285 Configuration assessment benchmarks, 59–61, 63 compliance and security goals, 57 frameworks, 58 regulations, 58 tools agent-based technology, 64 SCAP, 65–67 SCM, 64 Continuous Integration Continuous Development (CICD), 130 Continuous monitoring agents, 196 application control, 195 network-based, 195 periodic assessment, 194 security strategies, 196 Credential asset risks dark web, 45 PII, 45 privileged accounts, 45–48 privileges, 47 360 security patches and configuration, 45 user enumeration, 46 Cyber security attack chain establish connection, mission complete, 2–3 network, perimeter, protection, stages, D Databases, 132 Defense Federal Acquisition Regulation (DFARS), 238 Defense Information Systems Agency (DISA), 59, 64, 81, 91 Deployment tasks challenges, 165 critical and high-risk vulnerabilities, 166–167 incremental vs “big bang” approach, 166 network scanners (see Network scanners) scanning, business function, 169–170 statistical sampling, 167–168 team communications (see Team communications) Dormant vulnerabilities, 83–84 DoublePulsar, 41 Index Duke Energy, 45 Dynamic Application Security Testing (DAST), 129, 131 E Equifax, 45 EternalBlue, 41 European Union Data Protection Regulation, 238 Exceptions acceptable risk, 225–226 delayed action, 225–226 false positives, 225 security processes, 227 Security Team, 226 vendors, 224 Extensible Configuration Checklist Description Format (XCCDF), F Factor Analysis of Information Risk (FAIR), 246 Fault tolerance, 204–205 Federal Energy Regulatory Commission (FERC), 236 Firewalls, 175, 177 Flat file databases, 132–134 Fortune 100 company, 267–270, 300 Frameworks, 58 G GDPR, 58, 238 Google, 104 Governance, Risk, and Compliance (GRC), 264 Gramm-Leach-Bliley Act (GLBA), 232 H Health Information Technology for Economic and Clinical Health (HITECH), 237 Health Insurance Portability and Accountability Act (HIPAA), 231 Honeypots, 180–181 Hypervisors, 135 I, J, K, L Industrial control systems (ICS), 140 Information Assurance Vulnerability Alert (IAVA), 7, 78, 81 Information Systems Audit and Control Association (ISACA), 247 Information Technology Infrastructure Library (ITIL), 246 Infrastructure as a Service (IaaS), 135, 137 361 Index Insider threats administrative access and information technology resources, 30 confidential information, printed paper, 26 data leakage, 30 definition, 26 excessive privileges and poor security hygiene, 29 exploitation, beachhead and lateral movement, 28–29 exposure time, 28 Internet, 26 old-school attack, 26 Pandora’s box, 27 reasons, 27 recommendations, 28 resources, 27 sensitive access, 28 service-level agreements, 28 stealing information, 29 systems protection, privileged access tasks, 29–30 threat actor, 29 International Organization for Standardization (ISO), 245 Internet of Things (IoT), 139 Intrusion Prevent and Detection Systems (IPS/IDS), 177–178 Intrusive vulnerability scanning, 51–52 ISO, 233 ISO 27000, 242 362 ISO 27001, 242 ISO/IEC 27001, 245 M Malware, 13–14 MD5 hash libraries, 272–273 Meltdown, 42 Microsoft’s patch process, 99–101 Mitre, 92 Mobile devices, 137–138 Monetary Authority of Singapore (MAS), 234 N National Institute of Standards and Technology (NIST), 232, 244 National Vulnerability Database (NVD), 92 Network Address Translation (NAT), 176 Network devices, 131 Network management systems (NMS) & ticketing, 264 Network scanners appliances cost, remote locations, and physical security, 175 bandwidth, 202 firewalls, 175, 177 honeypots, 180–181 IPS/IDS, 177–178 packet-shaping, 178 Index performance, 196–198 perimeter scans, 175 ports, 202 QoS, 179 scan completion database, 200 Domain Controller, 200 infrastructure, 201 server, 200 web application, 201 workstation, 200 tarpits, 179 threads, 198 “whitelist”, 175 Networld Interop, 303 New York State Department of Financial Services (NYDFS), 235 Next-Gen Firewall (NGFW), 263 NIST 800 series, 244 NIST SP 800–53, 244 Nonintrusive scanning, 52–54 North American Electric Reliability Corporation (NERC), 236 O Obsolete system, 274–275 OCTAVE, 247 Online banking, 291–292 Open Checklist Interactive Language (OCIL), Open source, 107–108 Open Vulnerability and Assessment Language (OVAL), 7, 77 Open Web Application Security Project (OWASP), 9, 244 Operating systems, 127–128 Operations Team reports, 217 Operation tasks, VM program analysis, 209 attackers, 208 discovery, 209 measurement, 211–212 organizations, 207 phase and objectives, 207 production portion life cycle, 208 remediation, 210 reporting, 210 Oracle, 105–106 Organization challenges, 155–157 P Packet-shaping, 178 Passive scanners, 50 Patch management critical updates, 190 cumulative/update rollups, 191 definition updates, 190 drivers, 190 feature packs, 190 security updates, 190 service packs, 191 tools, 191 363 Index Patch management (cont.) updates, 191 upgrades, 191 Patch process, 261–262 Payment Card Industry Data Security Standard (PCI DSS), 81, 243 Payment Card Industry (PCI), 231 Penetration testing Core, Canvas, and Rapid7, 94 internal resources, 96 news media, 93 PCI DSS, 96 and regulatory compliance, 96 tools, 94 vulnerability assessment scanner integration, 94–95 white hat hacking, 96 Windows registry key, 93 Personally identifiable information (PII), 27, 45 Philippines Data Privacy Act, 235 Phishing attacks administrators, 23 anti-virus solution, 20 attitudes, 19 curiosity, 20 email verification, 22–23 executives and team members, 22 Macs, 21 prevention, 22 risks, 23 sample email, 19–20 364 security tool, 20 VirusTotal scan, email’s attachment, 21 Platform as a Service (PaaS), 135, 137 Ports, 202 Privilege Access Management (PAM), 263 Q Quality of Service (QoS), 179 R Ransomware block untrusted executables, 25 exploit and privileges, 24 Microsoft Office macros, 24 PowerShell script, 24 risk of, 26 run macros, 24 samples, 24 stopping droppers, 25 vulnerable applications, 25 Red Hat, 106 Regulations, 58 Regulatory compliance, 229–230 Remediation Adobe, 107 Apple, 101–102 Cisco, 103–104 CVE and IAVA, 109 firmware and microcode, 109 Index Google, 104 Microsoft, 99–101 open source, 107–108 Oracle, 105–106 patches and mitigation, 109 Red Hat, 106 stakeholders and ownership responsibilities, 223 threat intelligence, 110 vulnerability management vendors, 109–110 Reporting executive-and high-level vulnerability, 221 mitigation and remediation stakeholders, 222 systems, 221 Republic of the Philippines,, 235 Request for Proposal (RFP) assessments, 322–327 {Company Name} company history, 320 confidentiality, 316 customer’s requirements, 322 email Primary Contact, 314–315 flaws, 312 functional requirements, 318 licensing models, 344 locations, 313 Non-Disclosure Agreement, 316 processes, 312–313 rights, 317 signatory, 315 solutions, 322 supplementary requirements, 319 technical requirements, 319 {Vendor Name}, 317 vision, 312 component model, 335 configuration management, 332 data history, 331 detailed response, 315 executive summary, 315 exporting data, 338 false positive mitigation, 327–328 financial information, 321 hardware, 336–337, 344 implementation, 341–342 importing data, 338 invitation, 311 missing answers, 316 networking, 338 operating systems, 336–337 product licensing, 335 product’s reporting, 329–330 professional service costs, 345 response format, 315 risk prioritization, 328–329 role-based access, 332–333 scalability, 339 security, 340–341 software maintenance, 345 support services, 345 365 Index Request for Proposal (RFP) (cont.) system maintenance, 342 technical requirements, 334 third-party integrations, 330–331 training and professional services, 334 training costs, 345 user support, 343 Retina Network Security Scanner, 94 Risk measurement calculation, 69 CVE, 73 CVSS, 73 IAVA, 78 impact and probability, 70–71 malicious individuals and hacktivists, 69 OVAL, 77 risk management, castle, 71–72 STIGs, 75, 77 threat and attack, 69 vulnerabilities, 71–72 Rogue device, 281–282 Rootkits, 284 S SANS 20, 241 Sarbanes-Oxley Act (SOX), 232 Scanner locking, 206 Scan pooling, 204 Scan windows, 203 366 Security Compliance Manager (SCM), 64 Security Content Automation Protocol (SCAP), 8, 34, 65–67 Security Information Event Management (SIEM), 263 Security Technical Implementation Guides (STIGs), 75, 77 Service-Level Agreement (SLA), 123 Shadow IT, 254–255 Smash-and-grab testing, 51 Social engineering exploits and vulnerabilities, 14 fake IRS call, 17 human traits, 15 ransomware, 14 spam filters, 18 training parameters and self-awareness techniques, 15–18 Soft targets, 257–258, 309 Software as a Service (SaaS), 137 Software Engineering Institute, Carnegie Mellon, 247 Spear phishing, 22 Spectre, 42 Stakeholders and ownership responsibilities, 223 State prioritization, 86–87 Static Application Security Testing (SAST), 129, 131 Index Subway map, 264–265 Supervisory control and data acquisition (SCADA), 140 SWIFT, 234 System Center Configuration Manager (SCCM), 128 T Tales from trenches AutoCAD, 302 biggest fish, 282–283 blog, 289 conformal coating, 297–298 contractors, 280–281, 301 embellish facts, 296–297 enterprise client, 267–270, 302 fear, uncertainty, and doubt, 293 forfeit game, 276–278 HIPS product, 286 listening skills, 279 Nice Portal, Baby logo, 290 rootkits, 284 software dependencies, 298–300 speaking of comparisons, 294–295 winning a client, 270–272 Tarpits, 179 Team communications action items, 173 BCC, 173 brevity, 172 clarity, 172 email, 171 focus, 172 goal, 171 meeting invite emails, 173–174 SharePoint, 171 subject, 172 summarize, 173 threats, risks, and remediation strategy, 171 writing skills, 174 Third-party integration, 189 Threads, 198–199 Threat analytics, 260 Threat detection, 193–194 Threat intelligence, 256 CVSS, 40–41 environmental and temporal modifier, 40 factors, 41 Meltdown and Spectre, 42 risk assessments, 39 risk matrix, vulnerability data and exploits, 42–43 security investments, 43 threat analytics, organizations, 44 typical risk matrix, 40 user behavior, 41–42 vendors, 43 vulnerability management program, 43–44 WannaCry, 41 367 Index U UK Government’s Office of Government Commerce (OGC), 246 Unify vulnerability, 259, 310 United States Computer Emergency Readiness Team (US-CERT), 90 V Verizon, 260 Verizon’s 2017 Data Breach Report, 249 Virtual patching, 192 Virtual private network (VPN), 137 Virtual systems, 258 VirusTotal, 258 Vulnerability authorities, 89–92 configurations, 9–10 cybercrimes, exploits, 5, 10–11 external threats, SWOT analysis, 31–32 false negatives, 12–13 false positives, 11–12 gaps, 259, 309 insider threats (see Insider threats) malware, 13–14 penetration testing tools, phishing (see Phishing attacks) 368 privileges, ransomware, 24–26 risk assessment, security standards ARF, CCE, CCSS, CPE, CVE, CVSS, CWE, IAVA, OCIL, OVAL, OWASP, SCAP, XCCDF, severities and service levels, 218 shapes and sizes, social engineering (see Social engineering) word processor, Vulnerability assessment active vulnerability scanning, 50 CVE-2014-160, 79 hackers, 49 intrusive scanning, 51–52 nonintrusive scanning, 52–54 passive scanners, 50 rating mechanisms, 79 scanning limitations and shortcomings, 54–55 security risks, assets, 79 Index TCP/IP and network-scanning technology, 79 Web service, 80 Vulnerability disclosure options, 35 public and private vendors, 33 remediation strategies, 34 VDP, 35–37 vendors, researchers, and end users, 33 workflow, 34 Vulnerability Disclosure Policy (VDP) communication, 36 escalation of findings, 37 legal issues, 36 researchers, 37 security scope, 36 security statement, 36 Vulnerability management architecture basic, 215–216 deployment, 214–215 enterprise environment, 215–216 network scanner, 213 assets, 250–251 automate credentialed scans, 252–253 competition, 306 education and notification, 307 executive sponsorship, 305 measurements and consequences, 306 procedures and policy, 306 shadow IT, 254–255 solutions, 255 tool, 251 Vulnerability management development client applications, 128–129 code reviews, 143 databases, 132 DevOps, 141–142 docker and containers, 142–143 flat file databases, 132–134 hypervisors, 135 IaaS and PaaS, 135, 137 ICS and SCADA, 140 IoT devices, 139 mobile devices, 137–138 network devices, 131 operating systems, 127–128 stage, 126 tool selection, 144–145 web applications, 129, 131 Vulnerability management life cycle assessment, 146 end-of-life, 148 measurement, 147 mistakes decentralized visibility, 153 disjointed vulnerability management, 149–150 regulatory compliance, 154 remote assessment, 151–152 369 Index Vulnerability management life cycle (cont.) zero-day vulnerabilities, 152–153 remediation, 148 rinse and repeat, 148 Vulnerability management process assessment configuration, 158 data and risk prioritization, 159 determination, assessment, 157 ownership, 159 remediation, 161 reporting, 160 scan frequency, 158 third-party integration, 162–163 verification and measurements, 162 Vulnerability management (VM) program assessment and remediation activities, 121 business impact, cyberbattack, 121 business risk and benefits, 121 business value, 122–123 crawl, walk, run and sprint, 121 critical compliance regulations, 111 departments and team members, 120 deployment, 113 design phase, 120 development, 113 370 frameworks and methodologies, 119 implementations, 122 internal security processes, 111 IT security risk management, 111 maturity categories, 116–117 descriptions, 118 operate, 114 organizations, 119 phases, 111–112 planning, 112 security and risk, 122 Security Officer, 119–121 stakeholder, 120–122 Vulnerability scan devices, 219 frequency/schedule, 219–220 targets, 219 Vulnerability states active, 82, 84 carrier, 83, 85 dormant, 83–84 prioritization, 86–87 risk-scoring mechanisms CVSS, 81 IAVA, 81 IP address, 80 Microsoft Windows, browsers, 82 mitigation technique, 82 PCI DSS, 81 proprietary risk score, 80 Index W, X WannaCry, 41 Web applications, 129–131 Web Application Scanners, 129 Windows Server Update Service (WSUS), 101, 128 Y, Z Yahoo, 45 371 .. .Asset Attack Vectors Building Effective Vulnerability Management Strategies to Protect Organizations Morey J. Haber Brad Hibbert Asset Attack Vectors: Building Effective Vulnerability Management. .. you need to build an effective strategy to protect assets, applications, and data Vulnerability management is more than just running a scan, too It is a fundamental concept in building your strategy... regulations themselves to build an effective vulnerability management program that actually works In addition, we will cover guidance on how to create a vulnerability management policy that has