Zarządzanie podatnościami w organizacji
Co to jest podatność w organizacji i czy jest niebezpieczna?
Podatność jest definiowana jako pewna słabość w logice operacyjnej oprogramowania lub sprzętu, której wykorzystanie prowadzi do naruszenia poufności, integralności lub dostępności systemu. Przykładami mogą być podatności w firewallu pozwalające uzyskać dostęp do sieci firmowej lub podatności innych urządzeń sieciowych oraz systemów operacyjnych i aplikacji umożliwiające przejęcie nad nimi kontroli.
Negatywnymi skutkami takich działań może być utrata firmowych danych, ich publiczne udostępnienie czy żądanie okupu.
Jak przeciwdziałać podatnościami w organizacji?
Żeby zmniejszyć ryzyko wykorzystania podatności, potrzebne jest odpowiednie nimi zarządzanie. W rezultacie oznacza to cykliczną praktykę polegająca na:
- identyfikacji,
- klasyfikacji,
- ocenie ryzyka,
- priorytetyzacji,
- naprawie,
- łagodzeniu podatności w zabezpieczeniach.
Liczba opublikowanych podatności tylko w samym 2021 roku to prawie 22 tys. Z tego ponad 300 jest aktywnie wykorzystywanych w różnych wektorach ataku.
Czy są systemy wspierające przeciwdziałanie podatnościami w organizacji?
Z pomocą przychodzą systemy wspierające zarządzanie bazujące na darmowym i otwartym standardzie określania wagi podatności bezpieczeństwa CVSS (Common Vulnerability Scoring System). Na podstawie metryki bazowej wynikającej z charakteru danej podatności podawana jest ocena i określany stopień powagi podatności (0.0-10.0, none-low-medium-high-critical). Dodatkowo znając firmową infrastrukturę informatyczną, możemy uwzględnić czynnik czasowy oraz środowiskowy i użyć dostępnego kalkulatora do bardziej precyzyjnego określenia wagi podatności.
Posługując się powyższymi danymi działy bezpieczeństwa IT mogą tworzyć własne systemy oceny zagrożeń oraz macierze ryzyka.
Jakie są wady istniejących systemów do walki z podatnościami w organizacji?
Takie podejście ma jednak swoje wady. Przy tak dużej liczbie podatności proces zarządzania nimi staje się czasochłonny i nieefektywny. W kontekście posiadanych systemów i ograniczonych zasobów organizacji dużą trudność sprawia właściwa i dynamiczna priorytetyzacja wykrytych podatności, żeby ograniczyć ryzyko ataku. To powoduje, że tylko kilka procent z nich jest naprawianych.
Jakie jest aktualni jest najlepszy system do przeciwdziałania podatnościami w organizacji
Jednym z rozwiązań adresujących niewystarczające obecnie możliwości CVSS jest Kenna Security Platform z portfolio firmy Cisco. To system zarządzający podatnościami w oparciu o ryzyko (Risk-based vulnerability management) biorący pod uwagę więcej informacji, niż tylko techniczną wagę podatności. Kalkulacja oceny ryzyka odbywa się z uwzględnieniem kontekstu na podstawie danych otrzymanych z różnych źródeł: skanerów podatności, skanerów aplikacji, danych z pen-testów, bug bounty, baz zasobów systemowych, baz CMDB, plików CSV czy danych pozyskanych za pomocą REST API. System korzysta również z wielu usług śledzących i analizujących zagrożenia w czasie rzeczywistym na świecie (threat intelligence) oraz baz malware, zero-day i exploitów.
Jedną z podstawowych zasad Kenna Security jest to, że oceny ryzyka są dynamiczne i mogą zmieniać się w czasie rzeczywistym, uwzględniając zmianę strategii ataku. W wyniku działania platformy otrzymujemy listę podatności z nadanym priorytetem, oceną ryzyka i wskazaniem przebiegu działań naprawczych. Mniej podatności wysokiego ryzyka do naprawy pozwala zaoszczędzić czas, zasoby i zmniejszyć spektrum ataku.
Firma do przeciwdziałania podatnościami w organizacji
Jeżeli chcesz zabezpieczyć swoje środowisko w oparciu o najlepsze praktyki oraz najnowsze technologie. Skontaktuj się z frimą c4pl.net w celu nazwiązania kanału komunikacji, który będzie najlepszym krokiem do zwiększenia bezpieczeństwa Twojego środowiska IT.