Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.04.2021

Lubelskie Dni Informatyki

Koło Naukowe Informatyków już po raz XIII zorganizuje Lubelskie Dni Informatyki.
07.04.2021

Bariery językowe przełamane

Cisco Webex
06.04.2021

Nowość w portfolio Bakotech

Progress Software
06.04.2021

Kontrola służbowych urządzeń

Hexnode MDM
02.04.2021

Red Hat Inc.

Firma Red Hat Inc. udostępniła Red Hat OpenShift 4.7 – najnowszą wersji czołowej...
02.04.2021

Rozpoznawanie twarzy

QNAP QVR
02.04.2021

Układy EPYC Serii 7003

Firma AMD zaprezentowała nowe wydajne procesory serwerowe, czyli układy EPYC Serii 7003,...
02.04.2021

Mobilna wydajność

Satellite Pro C50-G
01.04.2021

Nowa linia monitorów

AOC V4

Zarządzanie podatnościami

Data publikacji: 04-03-2021 Autor: Artur Cieślik

Elementem stosowanych zasad bezpieczeństwa jest identyfikacja słabych punktów systemów. Jednak zarządzanie często tysiącami wykrytych luk w zabezpieczeniach systemów jest wyzwaniem zarówno organizacyjnym, jak i technicznym.

 

Chcąc uruchomić skuteczny model zarządzania bezpieczeństwem, należy wykonać analizę potrzeb związanych z zabezpieczeniami. Wynika ona najczęściej z ryzyka występującego dla poszczególnych elementów systemu w różnych obszarach – od bezpieczeństwa fizycznego, przez środowiskowe, aż po informatyczne. Zabezpieczenia własnej infrastruktury stosują praktycznie wszyscy administratorzy. Trudno bowiem wyobrazić sobie nadzorowaną sieć bez ochrony dostępu do serwerowni czy firewalla na brzegu sieci. Tego typu zabezpieczenia dział IT wybiera samodzielnie oraz niejednokrotnie implementuje je w znanym środowisku. Jednak czy system jest przez to szczelny?

> ZARZĄDZANIE BEZPIECZEŃSTWEM

Zarządzając systemami, zadajemy sobie pytanie, jakie mają podatności mogące prowadzić do infekcji malware lub innego rodzaju incydentu. Niektóre z nich mogą wymagać instalacji poprawek bądź zmiany konfiguracji. W każdym zasobie sieci czy systemu informatycznego mogą istnieć luki wynikające z technologii lub ze sposobu konfiguracji, które mogą wymagać odpowiedniej reakcji. Szybkość działania i ukierunkowanie działań na właściwie wybrane podatności jest kluczowa. Liczba podatności nawet w niewielkim środowisku może być wyzwaniem, ponieważ musimy dokonać analizy krytyczności i nadać właściwe priorytety dla działań mających na celu jej załatanie lub uniknięcie wykorzystania luki.


Niezbędną informacją jest rodzaj technologii, zasobów sieci i systemów, którymi zarządzamy. Jest to ważne ze względu na konieczność oceny ich krytyczności dla działania naszej firmy czy instytucji. Najlepiej, gdy określimy dla poszczególnych zasobów systemowych wymagania bezpieczeństwa w zakresie zapewnienia poufności, integralności oraz dostępności. Na tej podstawie możemy zbudować klasyfikację tych zasobów w celu uzyskania wiedzy o ich istotności, tj. krytyczności dla bezpieczeństwa zarządzanej infrastruktury i przetwarzanych w niej danych.


Potrzebne są więc zasady, które pozwolą na zarządzanie naszymi działaniami na etapie wyboru narzędzi i technologii wykorzystywanych do identyfikacji podatności. Powinniśmy określić sposób identyfikacji, klasyfikacji, oceny i priorytetyzacji podatności z uwzględnieniem atrybutów bezpieczeństwa chronionych zasobów, czyli ich poufności, integralności oraz dostępności. Oprócz samego wykrywania podatności powinniśmy uwzględnić wykonywanie testów penetracyjnych. Ich realizacja jest elementem uzupełniającym, ale koniecznym do upewnienia się, że pozostałe podatności są trudne lub w praktyce niemożliwe do wykorzystania w racjonalnym scenariuszu ataku. Potrzebna jest więc metoda działania i zestaw narzędzi, które pozwolą na zarządzanie podatnościami oraz zaplanowanie testów, a następnie sprawdzenie użytych mechanizmów ochronnych. Na końcu pozostaje utwardzenie infrastruktury.


> PRODUKCJA PODATNOŚCI


Administratorzy zajmujący się systemami bezpieczeństwa starają się realizować wymagania organizacji za pomocą odpowiedniej konfiguracji urządzeń oraz oprogramowania. Często stosowane podejście to identyfikacja zagrożeń, następnie identyfikacja podatności i ocena ich krytyczności. Następnie opracowywane są scenariusze dla najważniejszych zasobów i dla ich najpoważniejszych zagrożeń. Na tej podstawie można zidentyfikować zagrożone obszary infrastruktury i zastosować określone zabezpieczenia, w tym wybrać zakres i częstość wykonywania testów podatności.


Aby określić możliwość wykorzystania istniejących luk w zabezpieczeniach, na wstępie należy je zidentyfikować oraz zweryfikować, czy działające urządzenia oraz systemy minimalizują ryzyko wykorzystania wykrytej podatności. Nawet w małych i średnich infrastrukturach możemy mieć do czynienia z dziesiątkami istotnych baz danych, systemów operacyjnych, aplikacji biznesowych oraz różnego rodzaju urządzeń mobilnych. A w nich podatności, które często są pozostawione bez właściwego zarządzania tylko automatom lub, co gorsza, decyzji użytkownika. Wykonując skanowanie podatności w takiej infrastrukturze, możemy uzyskać wynik setek lub więcej wykrytych podatności.


Większość ważnych luk w zabezpieczeniach wykrywana jest przez badaczy już po wydaniu końcowej wersji oprogramowania. Dlatego powinniśmy spodziewać się podatności w wykorzystywanym oprogramowaniu i podejmować działania mitygujące ryzyko ich wykorzystania.


Kolejna część problemu to liczba podatności. Z roku na rok jest ich więcej, niestety również tych stanowiących lukę zero-day. Szczególnie te zagrożenia mogą być poważne, dlatego tak ważne jest szybkie reagowanie od momentu pozyskania informacji o podatności do podjęcia działań mających na celu jej usunięcie. Lub przynajmniej zmniejszenie ryzyka jej wykorzystania przez masowo już produkowany malware. Szybkość działania jest w tym przypadku kluczowa. Trudność w skutecznym zaradzeniu wykrytym podatnościom jest tym większa, im bardziej skomplikowaną i rozproszoną infrastrukturą zarządzamy.
Staniemy więc przed pytaniem – jak zarządzać tak dużą liczbą podatności? Wykorzystując narzędzia do skanowania, takie jak OpenVAS, Nessus czy Tenable.sc, powinniśmy wprowadzić wynik ich działania do procesu zarządzania podatnościami. I dokonać ich właściwej oceny oraz nadać podatnościom właściwe priorytety.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 22301 oraz ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"