Definicją podatności są słabości, które występują w oprogramowaniu, sieciach, czy systemach. Zagrażają one bezpieczeństwu samej infrastruktury lub tworzą łatwy dostęp do organizacji. Poprzez te luki cyberprzestępcy mogą wyłudzać dane oraz pieniądze, kompromitując nawet cały system. Tak naprawdę żadne oprogramowanie nie jest wolne od wad, a kolejne wykryte podatności są usuwane wraz z aktualizacjami. Dlatego organizacja powinna kompleksowo inwestować w zarządzanie ryzykiem oraz realizować holistyczną strategią cyberbezpieczeństwa!
Zarządzanie podatnościami – czym jest?
Warto mieć świadomość, że podatności wykrywane są na bardzo dużą skalę. Każdego dnia do bazy trafia około 50 nowych podatności, zatem każdego roku tego typu wad i luk w bezpieczeństwie działania systemów wykrywanych jest kilka tysięcy. Informacje o nich są klasyfikowane według specjalnego systemu – Common Vulnerability Scoring System – CVSS (stworzony przez NIST) oraz trafiają do ogólnodostępnej bazy. Im większe ryzyko tworzy dana podatność, tym więcej otrzymuje punktów w tym standardzie. Niestety – ryzyko to kumuluje się – im więcej podatności współistnieje w danej infrastrukturze, tym jest jest ona słabsza.
Samo zarządzanie podatnościami (vulnerability management) polega na cyklicznej praktyce identyfikowania, klasyfikowania, naprawiania podatności oraz weryfikacji rezultatów tych działań. Do tego dochodzi minimalizowanie skutków występowania luk, jeśli dojdzie do ich wykorzystania przez hackerów. Taki audyt powinien być realizowany regularnie – nie chodzi o to, by były to działania ad-hoc. Dobre zarządzanie podatnościami wymaga odpowiednich kroków. Ale o tym więcej za chwilę!
Rodzaje podatności oraz ich ocena
NIST (National Institute of Standards and Technology), czyli Narodowy Instytut Norm i Techniki, to amerykańska agencja federalna, która zdefiniowała trzy główne rodzaje podatności. Są to:
- podatności, które powstają na poziomie samego oprogramowania, w procesie jego tworzenia
- podatności, które powstają w wyniku niewłaściwej konfiguracji oprogramowania przez użytkownika
- niewłaściwe korzystanie z funkcji systemu przez użytkownika, które prowadzi do naruszania jego bezpieczeństwa
Każda nowa podatność jest dużym zagrożeniem dla organizacji. Dotyczy to także tych znanych, ale jeszcze nie załatanych podatności. Organizacje powinny pamiętać, że brak świadomości istniejącego ryzyka z tego tytułu powoduje tylko większy chaos i destabilizację w przypadku ataku! Bezpieczeństwo całego systemu w tym przypadku jest niestety iluzją.
Zadaniem CVSS jest nadawanie wag poszczególnym lukom na podstawie ich cech. Wszystko zależy od kilku czynników, takich jak integralność, poufność, czy dostępność – zarówno oryginalnego systemu jak i możliwości wykorzystania jego podatności. Dzięki temu wynik w tym standardzie informuje o poziomie niskim, średnim, wysokim lub krytycznym jej wypływie. Umożliwia to organizacjom ocenę występujących zagrożeń oraz dalszą prioretyzację w procesie zarządzania podatnościami.
Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji
Zainteresował Cię ten temat? Sprawdź naszą usługę testów penetracyjnych.
Proces zarządzania podatnościami
Najważniejsze kroki w dbaniu o cyberbezpieczeństwo organizacji są na szczęście dość proste. Istotne w zarządzaniu podatnościami etapy to: wykrycie, priorytetyzacja, ocena, raportowanie, naprawa, weryfikacja. Na czym polegają?
- Wykrycie podatności – cały proces zarządzania podatnościami zaczyna się od ich wykrycia. Zespoły, które się tym zajmują podejść do tego mogą wielotorowo. Z jednej strony istotne jest skanowanie oprogramowania w celu znalezienia luk. Służą temu dedykowane narzędzia. Z drugiej strony istotne są bazy i miejsca, w których publikowane są informacje o podatnościach – zwłaszcza tych najnowszych, dopiero wykrytych!
- Ustalenie priorytetów – istotne po wykryciu podatności jest ustalenie ich priorytetów. Wynika to z poziomu ich krytyczności oraz znaczeniu komponentu, w którym dana wada występuje.
- Ocena – jest to moment oceny zagrożeń, które mogą wygenerować dane podatności oraz ustalenie sposobu zarządzania nimi. Najczęściej dopiero po dokładnym przeskanowaniu wszystkich urządzeń można zidentyfikować skalę problemu, z którym będzie musiał poradzić sobie zespół do spraw cyberbezpieczeństwa!
- Raport – w wyniku wykonanych wcześniej akcji, w organizacji powinien powstać odpowiedni raport, w którym zdefiniowane są odpowiednie informacje. Powinny obejmować one analizę jakościową oraz ilościową wykrytych podatności oraz trafić do odpowiednich interesariuszy, którzy będą rozwiązywać dane problemy.
- Naprawa – w tym etapie naprawia się wykryte podatności, zgodnie z ich priorytetami. W wyniku tych działań można je usunąć zupełnie, zmniejszyć ryzyko ich wpływu na systemy, lub jeśli nie ma sposobu lub jest to zbyt kosztowne – podatność akceptuje się, przynajmniej do czasu oficjalnej aktualizacji przez producenta oprogramowania.
- Weryfikacja – na samym końcu cyklu zarządzania podatnościami weryfikuje się dotychczasowe działania, rezultaty naprawionych luk w systemach, a także planuje kolejne przeglądy. Podstawą jest cykliczność tego procesu i nieustanne dbanie o zmniejszenie ryzyka w organizacji.
Dlaczego warto inwestować w zarządzanie podatnościami?
Z punktu widzenia organizacji i całego systemu bezpieczeństwa, w sytuacji idealnej skanowanie wszystkich dostępnych urządzeń, weryfikacja oprogramowania i systemów powinna być wyczerpująca. Powinniśmy móc ocenić i zarządzać każdą, nawet najmniejszą podatność, a także wydarzenie z nią związaną!
Monitorowanie i analizowanie tego ryzyka pozwoli długofalowo zminimalizować organizacji liczbę ataków, a także zbudować sprawny system odpowiedzi na takie incydenty. Działania te są również ważne z punktu widzenia normy ISO 27001, która standaryzuje Systemy Zarządzania Bezpieczeństwem Informacji oraz uwzględnia zarządzanie podatnościami technicznymi. Dla organizacji aspirującej do najwyższych standardów zarządzania bezpieczeństwem powinna być to podstawowa inwestycja!
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
