Minden szoftvernek vannak sebezhetőségei, a hibás konfigurációtól a szoftverhibákig, ezért a szervezeteknek folyamatosan látniuk kell ezeket a gyengeségeket a rendszerükön.
Hogy miért? Átlagosan 6 percenként egy internetes rendszert vizsgálnak át kívülállók, akik felderítést végezhetnek és tesztelhetik a hálózatokat a sebezhetőségek keresésére.
Az NCSC szerint a biztonsági incidensek legnagyobb oka a sérülékenységek kihasználása, ezért olyan fontos, hogy a szervezetek rendelkezzenek egy sebezhetőség-kezelési folyamattal. A szervezet információbiztonsági helyzetének ezt az alapvető elemét azonban számos okból nehéz lehet házon belül kezelni.
A biztonsági szakemberek 83%-a aggódik a sebezhetőségi vizsgálatok közötti biztonsági rések miatt, azonban világszerte a szervezetek kevesebb mint 40%-a ellenőrzi rendszerét legalább hetente (SANS Network); a CIS ajánlása szerint. Ezeknek a számoknak az oka lehet, hogy az informatikai részlegek jelenleg túlterheltek és jellegű problémákkal is foglalkozniuk kell, így egyáltalán nem vagy olyan gyakran nem végeznek sebezhetőségi vizsgálatokat, mint kellene. A felügyelt sebezhetőségi megoldás legfontosabb előnyei:
- Láthatóság biztosítása – a rendszereken lévő sérülékenységek típusainak és elhelyezkedésüknek a meghatározása. Ez a szolgáltatás használható intelligenciát biztosít.
- Sebezhetőségek kontextusba helyezése – A javítási lépések priorizálása és egy elképzelés arról, hogy mi az, ami valóban veszélytelen és mi nem, összefüggésben tartva a támadási lehetőségekkel és azok lehetséges hálózati útvonalaival.
- Cselekvés – Konkrét intelligencia, amely lehetővé teszi a technikai csapatok és a rendszergazdák számára, hogy proaktív megközelítést alkalmazzanak a sebezhetőségek javításában, hogy eszközeik és adatkészleteik védve maradjanak.
- Csökkentett függőség a belső erőforrásoktól.
- Az elszámoltathatóság csökkentése.
- Számos szabályozás és intézkedés segítése, mint például a Cyber Essentials, a SOX és a JSOX.
- Az emberi erőforrások kiosztásának kedvezőbb kiosztása a szükséges területeken.
- Audit megfelelőség – a sebezhetőségek kezelésének kiszervezése segíthet azonosítani a szoftverrel kapcsolatos bármely olyan meg nem felelést, amelyet egy kész sebezhetőség-ellenőrző eszközzel elmulasztottak.
Összességében elmondható, hogy a modern szervezetek számára létfontosságú annak ismerete, hogy milyen biztonsági rések vannak a hálózaton, és melyek azok, amelyek azonnali intézkedést igényelnek. A sebezhetőségek kezelésének folyamatos folyamatnak kell lennie, és ez sok időt vehet igénybe, amelyet a szervezetek informatikai részlegei nem mindig tudnak biztosítani.

Sebezhetőségek kezelhetősége:
A sérülékenységkezelés az új biztonsági információk megszerzésének, értékelésének és az azokkal kapcsolatos intézkedések megtételének folyamata a sérülékenységek azonosítása, azok javítása, ezzel együtt a sikeres támadások lehetőségeinek minimalizálása érdekében. Négy magas szintű folyamat létezik, amelyek tartalmazzák a sebezhetőségek kezelését:
- Felfedezés
- Jelentés
- Priorizálás
- Válaszlépés
Amit nem látunk, azt nem tudjuk megvédeni, ezért a szervezeteknek naprakész információkra van szükségük a rendszerükön lévő összes eszközről és szoftverről. Az eszközök leltárának létrehozása lehetővé teszi a szervezet számára, hogy jelentést készítsen a javítást igénylő sérülékenységekről. Azonban nem minden sebezhetőség egyenlő, vagy nem jelent azonos mértékű kockázatot. Fontos, hogy a jelentett sebezhetőségeket egy prioritási mátrixba sorolják, amely beépül a sebezhetőségkezelési folyamatokba – lehetővé téve a vállalkozások számára, hogy először a legkritikusabb sebezhetőségekre reagáljanak. A sebezhetőség kezelésének folyamatos folyamatnak kell lennie, mivel a forrásadatok csak olyan jók, mint a legutóbbi frissítés vagy frissítés során.
A sebezhetőség-kezelés javítja a szervezet információ-biztonsági helyzetét. Ha azt képzeli, hogy a vállalkozása egy ház, az ablakok és ajtók bezárásának folyamatos ellenőrzése javítja a biztonságot, és megnehezíti a bűnözők hozzáférését. A folyamatos sebezhetőség-kezelés mérsékelheti a hálózat sérülékenységei által jelentett kockázatokat.
Az idő értékes erőforrás, ezért spórolja meg azt a pénzével együtt attól, hogy túl későn javítja a hálózatot érintő magas kockázatú kiaknázható sebezhetőségeket azáltal, hogy proaktívan figyeli IT-területe gyengeségeit. A próaltív vizsgálati jelentések zaján keresztül szűrve megtalálják a legkritikusabb sebezhetőségeket, mely lehetővé teszi a biztonsági rések gyors felszámolását, mielőtt a hackerek belépnének. Átlagosan 256 napba telik egy rendszer rosszindulatú kompromittálása vagy egy sebezhetőség kihasználása (Ponemon Research). Ha a rendszerinformációk könnyebben elérhetők a folyamatos sebezhetőségi megfigyelés során, az IT-részlegek jobb képet kapnak a környezetről, jobban kontextusba helyezhetik a sérülékenységeket, és azonosíthatják azokat, amelyek a legnagyobb kockázatot jelentik. A Center for Internet Security (CIS) más információbiztonsági keretrendszerekkel együtt a folyamatos sebezhetőség kezelést a kockázati és irányítási programok szerves részeként azonosítja.
Napjaink sebezhetőség vizsgálatainak le kell fednie a vállalatok valamennyi információs rendszerét, mint:
- Helyi és felhős infrastruktúrát és alkalmazásokat,
- Fejlesztői környezeteket,
- Alkalmazásokat, adatbázisokat és adatokat,
- Digitális identitásokat.
A védekezési oldalt tekintve tudnunk kell, mely sebezhetőséget lehet kiaknázni, milyen nehéz a sebezhetőséget kihasználni és milyen üzleti károkat lehet a sebezhetőségek kiaknázásával okozni:
A kiaknázhatóság függ attól, hogy hibás konfigurációról vagy egy kód futtatásáról beszélünk. Hibás konfigurációkat ki lehet javítani, míg a szoftveres sebezhetőségek a rendszerek naprakészen tartásával, frissítésével és hibajavítási csomagok telepítésével megszüntethetőek. Amennyiben ismert a támadási metódus, de a javítás még nem elérhető, mind a hálózaton, mint a végpontokon behatolás elhárító rendszereket használhatunk a sebezhetőségek kiaknázására irányuló hálózati forgalom csomagjain. Ismeretlen támadások ellen pedig a fájlok biztonsági térben levő e futtatása segíthet statikus és dinamikus elemzéssel és elemzési döntéssel kiegészítve, még mielőtt azok célhoz elérnének. A sebezhetőség-kezelés egyik nagy előnye, hogy az IT-nak is segít a rendszerek életciklusának követésében, így egy elavult rendszer kicserélése rendkívül sok sebezhetőséget megszüntethet – ez nyilván IT-rendszerben egyszerűbben megvalósítható, akár 1-1 cserével, ha a legújabb rendszerverzió már nem kompatibilis a meglévő szoftver-hardver kombinációval és nem elérhető további biztonsági frissítés sem. Ipari környezetben, ahol a régi termelési rendszerek nem redundánsak, nincs hozzájuk teszteszköz, valamint a rendszerek elérhetősége prioritást élvezz mindenekfelett, ott az eszközcsere helyett az OT specifikus protokollokat értő behatolásfigyelő és elhárító rendszer beépítése javasolt.
A kihasználhatósági nehézség a célrendszer logikai elhelyezkedésétől és a sebezhetőség kihasználásához szükséges tudástól függ. Ami az interneten látszik, azt könnyebb megtalálni és megtámadni, mint azokat a rendszereket, amik eléréséhez át kell jutni a periméter védettebb részén. Ez természetesen nem jelenti azt, hogy mind Észak-Dél és Kelet-Nyugat irányban ne lehetne oldalirányú mozgassál átjárni a különböző biztonsági zónák, rendszerek, alkalmazások, adatok és identitások közt. Nem minden sebezhetőség kiaknázható és nem minden kiaknázott sebezhetőséget lehet láncreakcióba hozni virtuális informatikai fegyver készítésére. Mindig legyen ott a kérdés a fejünkben, hogy mekkora erőforrást igényel a támadók számára a sebezhetőség kiaknázáshoz szükséges adatok beszerzése, valamint szükséges eszközök kifejlesztése, amennyiben azok még nem elérhetőek.
Az üzleti kritikusság pedig a sikeres végrehajtás okozta rendszerkiesés, információvesztés vagy adatszivárgás által elő idézhető lehető legmagasabb kárértéhez kapcsolódik. Gondoljuk végig, mennyire fontos számunkra a megadott rendszer üzleti szempontból, mennyi mindenhez van hozzá kötve, továbbá a sebezhetőségek kihasználása milyen következményekkel járhat közvetlenül a megtámadott rendszerre, valamint közvetetten a támadás folytán megtámadott támogató rendszereire.
A meggyőződés ereje
Ha nemcsak ellenőrző listákat szeretnénk letudni, hanem biztosan tudni szeretnénk, hogy a védelmi mechanizmusok a sebezhetőségeink kiaknázása ellen működnek, akkor, folyamatosan felügyeljük belső és külső kitettségünket az alábbi módszertan segítségével:
- Értsük meg a támadási felületünket
- Találjuk meg a digitális eszközeinket a támadási felületünkön
- Rendeljünk üzleti fontosságot a digitális eszközeinkhez, valamint skálázzuk a sebezhetőségeik veszélyességét
- Ismerjük meg a sebezhetőségeinket, gyakorlati kiaknázhatóságukat, a támadási láncokban betöltött szerepüket, valamint az általuk okozható potenciális károkat a meglévő technológiai, emberi és folyamatszintű védelmi képességek ellen
- Mozgósítsuk a technikai és emberi erőforrásokat, hogy hatásos döntéseket hozhassunk a sebezhetőségek eltüntetéséről vagy kihasználhatóságuk megakadályozásáról a kapott adatok és számításba vett lehetséges kockázatok mentén
