Sérülékenységvizsgálat – Ezért szervezd ki ezt a tevékenységet előfizetéses biztonsági műveleti központba! Skip to content

Sérülékenységvizsgálat – Ezért szervezd ki ezt a tevékenységet előfizetéses biztonsági műveleti központba!

Minden szoftvernek vannak sebezhetőségei, a hibás konfigurációtól a szoftverhibákig, ezért a szervezeteknek folyamatosan látniuk kell ezeket a gyengeségeket a rendszerükön.

Hogy miért? Átlagosan 6 percenként egy internetes rendszert vizsgálnak át kívülállók, akik felderítést végezhetnek és tesztelhetik a hálózatokat a sebezhetőségek keresésére.

Az NCSC szerint a biztonsági incidensek legnagyobb oka a sérülékenységek kihasználása, ezért olyan fontos, hogy a szervezetek rendelkezzenek egy sebezhetőség-kezelési folyamattal. A szervezet információbiztonsági helyzetének ezt az alapvető elemét azonban számos okból nehéz lehet házon belül kezelni.

A biztonsági szakemberek 83%-a aggódik a sebezhetőségi vizsgálatok közötti biztonsági rések miatt, azonban világszerte a szervezetek kevesebb mint 40%-a ellenőrzi rendszerét legalább hetente (SANS Network); a CIS ajánlása szerint. Ezeknek a számoknak az oka lehet, hogy az informatikai részlegek jelenleg túlterheltek és jellegű problémákkal is foglalkozniuk kell, így egyáltalán nem vagy olyan gyakran nem végeznek sebezhetőségi vizsgálatokat, mint kellene. A felügyelt sebezhetőségi megoldás legfontosabb előnyei:

  • Láthatóság biztosítása – a rendszereken lévő sérülékenységek típusainak és elhelyezkedésüknek a meghatározása. Ez a szolgáltatás használható intelligenciát biztosít.
  • Sebezhetőségek kontextusba helyezése – A javítási lépések priorizálása és egy elképzelés arról, hogy mi az, ami valóban veszélytelen és mi nem, összefüggésben tartva a támadási lehetőségekkel és azok lehetséges hálózati útvonalaival.
  • Cselekvés – Konkrét intelligencia, amely lehetővé teszi a technikai csapatok és a rendszergazdák számára, hogy proaktív megközelítést alkalmazzanak a sebezhetőségek javításában, hogy eszközeik és adatkészleteik védve maradjanak.
  • Csökkentett függőség a belső erőforrásoktól.
  • Az elszámoltathatóság csökkentése.
  • Számos szabályozás és intézkedés segítése, mint például a Cyber Essentials, a SOX és a JSOX.
  • Az emberi erőforrások kiosztásának kedvezőbb kiosztása a szükséges területeken.
  • Audit megfelelőség – a sebezhetőségek kezelésének kiszervezése segíthet azonosítani a szoftverrel kapcsolatos bármely olyan meg nem felelést, amelyet egy kész sebezhetőség-ellenőrző eszközzel elmulasztottak.

Összességében elmondható, hogy a modern szervezetek számára létfontosságú annak ismerete, hogy milyen biztonsági rések vannak a hálózaton, és melyek azok, amelyek azonnali intézkedést igényelnek. A sebezhetőségek kezelésének folyamatos folyamatnak kell lennie, és ez sok időt vehet igénybe, amelyet a szervezetek informatikai részlegei nem mindig tudnak biztosítani.

cyber security team

Sebezhetőségek kezelhetősége:

A sérülékenységkezelés az új biztonsági információk megszerzésének, értékelésének és az azokkal kapcsolatos intézkedések megtételének folyamata a sérülékenységek azonosítása, azok javítása, ezzel együtt a sikeres támadások lehetőségeinek minimalizálása érdekében. Négy magas szintű folyamat létezik, amelyek tartalmazzák a sebezhetőségek kezelését:

  1. Felfedezés
  2. Jelentés
  3. Priorizálás
  4. Válaszlépés

Amit nem látunk, azt nem tudjuk megvédeni, ezért a szervezeteknek naprakész információkra van szükségük a rendszerükön lévő összes eszközről és szoftverről. Az eszközök leltárának létrehozása lehetővé teszi a szervezet számára, hogy jelentést készítsen a javítást igénylő sérülékenységekről. Azonban nem minden sebezhetőség egyenlő, vagy nem jelent azonos mértékű kockázatot. Fontos, hogy a jelentett sebezhetőségeket egy prioritási mátrixba sorolják, amely beépül a sebezhetőségkezelési folyamatokba – lehetővé téve a vállalkozások számára, hogy először a legkritikusabb sebezhetőségekre reagáljanak. A sebezhetőség kezelésének folyamatos folyamatnak kell lennie, mivel a forrásadatok csak olyan jók, mint a legutóbbi frissítés vagy frissítés során.

A sebezhetőség-kezelés javítja a szervezet információ-biztonsági helyzetét. Ha azt képzeli, hogy a vállalkozása egy ház, az ablakok és ajtók bezárásának folyamatos ellenőrzése javítja a biztonságot, és megnehezíti a bűnözők hozzáférését. A folyamatos sebezhetőség-kezelés mérsékelheti a hálózat sérülékenységei által jelentett kockázatokat.

Az idő értékes erőforrás, ezért spórolja meg azt a pénzével együtt attól, hogy túl későn javítja a hálózatot érintő magas kockázatú kiaknázható sebezhetőségeket azáltal, hogy proaktívan figyeli IT-területe gyengeségeit. A próaltív vizsgálati jelentések zaján keresztül szűrve megtalálják a legkritikusabb sebezhetőségeket, mely lehetővé teszi a biztonsági rések gyors felszámolását, mielőtt a hackerek belépnének. Átlagosan 256 napba telik egy rendszer rosszindulatú kompromittálása vagy egy sebezhetőség kihasználása (Ponemon Research). Ha a rendszerinformációk könnyebben elérhetők a folyamatos sebezhetőségi megfigyelés során, az IT-részlegek jobb képet kapnak a környezetről, jobban kontextusba helyezhetik a sérülékenységeket, és azonosíthatják azokat, amelyek a legnagyobb kockázatot jelentik. A Center for Internet Security (CIS) más információbiztonsági keretrendszerekkel együtt a folyamatos sebezhetőség kezelést a kockázati és irányítási programok szerves részeként azonosítja.

Napjaink sebezhetőség vizsgálatainak le kell fednie a vállalatok valamennyi információs rendszerét, mint:

  • Helyi és felhős infrastruktúrát és alkalmazásokat,
  • Fejlesztői környezeteket,
  • Alkalmazásokat, adatbázisokat és adatokat,
  • Digitális identitásokat.

A védekezési oldalt tekintve tudnunk kell, mely sebezhetőséget lehet kiaknázni, milyen nehéz a sebezhetőséget kihasználni és milyen üzleti károkat lehet a sebezhetőségek kiaknázásával okozni:

A kiaknázhatóság függ attól, hogy hibás konfigurációról vagy egy kód futtatásáról beszélünk. Hibás konfigurációkat ki lehet javítani, míg a szoftveres sebezhetőségek a rendszerek naprakészen tartásával, frissítésével és hibajavítási csomagok telepítésével megszüntethetőek. Amennyiben ismert a támadási metódus, de a javítás még nem elérhető, mind a hálózaton, mint a végpontokon behatolás elhárító rendszereket használhatunk a sebezhetőségek kiaknázására irányuló hálózati forgalom csomagjain. Ismeretlen támadások ellen pedig a fájlok biztonsági térben levő e futtatása segíthet statikus és dinamikus elemzéssel és elemzési döntéssel kiegészítve, még mielőtt azok célhoz elérnének.   A sebezhetőség-kezelés egyik nagy előnye, hogy az IT-nak is segít a rendszerek életciklusának követésében, így egy elavult rendszer kicserélése rendkívül sok sebezhetőséget megszüntethet – ez nyilván IT-rendszerben egyszerűbben megvalósítható, akár 1-1 cserével, ha a legújabb rendszerverzió már nem kompatibilis a meglévő szoftver-hardver kombinációval és nem elérhető további biztonsági frissítés sem. Ipari környezetben, ahol a régi termelési rendszerek nem redundánsak, nincs hozzájuk teszteszköz, valamint a rendszerek elérhetősége prioritást élvezz mindenekfelett, ott az eszközcsere helyett az OT specifikus protokollokat értő behatolásfigyelő és elhárító rendszer beépítése javasolt.  

A kihasználhatósági nehézség a célrendszer logikai elhelyezkedésétől és a sebezhetőség kihasználásához szükséges tudástól függ. Ami az interneten látszik, azt könnyebb megtalálni és megtámadni, mint azokat a rendszereket, amik eléréséhez át kell jutni a periméter védettebb részén. Ez természetesen nem jelenti azt, hogy mind Észak-Dél és Kelet-Nyugat irányban ne lehetne oldalirányú mozgassál átjárni a különböző biztonsági zónák, rendszerek, alkalmazások, adatok és identitások közt. Nem minden sebezhetőség kiaknázható és nem minden kiaknázott sebezhetőséget lehet láncreakcióba hozni virtuális informatikai fegyver készítésére. Mindig legyen ott a kérdés a fejünkben, hogy mekkora erőforrást igényel a támadók számára a sebezhetőség kiaknázáshoz szükséges adatok beszerzése, valamint szükséges eszközök kifejlesztése, amennyiben azok még nem elérhetőek.

Az üzleti kritikusság pedig a sikeres végrehajtás okozta rendszerkiesés, információvesztés vagy adatszivárgás által elő idézhető lehető legmagasabb kárértéhez kapcsolódik.  Gondoljuk végig, mennyire fontos számunkra a megadott rendszer üzleti szempontból, mennyi mindenhez van hozzá kötve, továbbá a sebezhetőségek kihasználása milyen következményekkel járhat közvetlenül a megtámadott rendszerre, valamint közvetetten a támadás folytán megtámadott támogató rendszereire.

A meggyőződés ereje

Ha nemcsak ellenőrző listákat szeretnénk letudni, hanem biztosan tudni szeretnénk, hogy a védelmi mechanizmusok a sebezhetőségeink kiaknázása ellen működnek, akkor, folyamatosan felügyeljük belső és külső kitettségünket az alábbi módszertan segítségével:

  1. Értsük meg a támadási felületünket
  2. Találjuk meg a digitális eszközeinket a támadási felületünkön
  3. Rendeljünk üzleti fontosságot a digitális eszközeinkhez, valamint skálázzuk a sebezhetőségeik veszélyességét
  4. Ismerjük meg a sebezhetőségeinket, gyakorlati kiaknázhatóságukat, a támadási láncokban betöltött szerepüket, valamint az általuk okozható potenciális károkat a meglévő technológiai, emberi és folyamatszintű védelmi képességek ellen
  5. Mozgósítsuk a technikai és emberi erőforrásokat, hogy hatásos döntéseket hozhassunk a sebezhetőségek eltüntetéséről vagy kihasználhatóságuk megakadályozásáról a kapott adatok és számításba vett lehetséges kockázatok mentén
cyber security

 

 

Mészáros László

2006 óta foglalkozom informatikai rendszerekkel teljes munkaidőben. Az eltelt évek során volt lehetőségem kipróbálni magam több szektorban is nagyvállalati multimédiás telekommunikáció és információ-biztonság területeken. Nem ismeretlen számomra a nemzetközi cégkultúra sem. 2024. októberében csatlakoztam a PANOR műszaki csapatához, mint Senior IT Security mérnők.