Vulnerability management

Vulnerability management (řízení zranitelností) je neustálý proces identifikace a vyhodnocování zranitelností napříč operačními systémy, aplikační software a síťovými zařízeními. Hlavním cílem vulnerability managementu je tedy včasná detekce a oprava zranitelností, které mohou vést k narušení kybernetické a informační bezpečnosti.

Pojem vulnerability management je často zaměňován s pojmem vulnerability scanning anebo patch management. Navzdory faktu, že všechny termíny jsou úzce propojeny, je mezi nimi důležitý rozdíl.^[1]

Vulnerability management je proces využívající vulnerability scanning k detekci zranitelností
Patch management je proces využívaný k aktualizaci software, operačních systémů, síťových zařízení
Vulnerability scanning zahrnuje využití počítačového programu (Vulnerability scanner) k identifikaci zranitelností v sítí, IT infrastruktury a počítačového software. K detekci zranitelností využíváme dva základní typy skenů neboli kontrol.

Zranitelnost[editovat | editovat zdroj]

Zranitelností rozumíme slabinu ve výpočetní logice (např. kód), která je nalezená v softwarových a hardwarových komponentách a při jejíž zneužití dochází k negativnímu dopadu na důvěrnost (Confidentality), integritu (Integrity) nebo dostupnost (Availability).^[2] Ke každé nalezené zranitelnost je přiřazeno unikátní identifikační číslo CVE.

Posláním programu CVE® je identifikovat, definovat a katalogizovat veřejně zveřejněná zranitelnosti kybernetické bezpečnosti. Pro každou chybu zabezpečení v katalogu existuje jeden záznam CVE. Zranitelnosti jsou objeveny, poté přiřazeny a zveřejněny organizacemi z celého světa, které jsou partnery programu CVE.^[3]

Základní rozdělení vyhledávání zranitelností (Vulnerability scanning)[editovat | editovat zdroj]

Neověřené (Unauthenticated) kontroly[editovat | editovat zdroj]

Tradiční aktivní neautentizované skenování, známé také jako neověřené skenování, je běžnou metodou pro hodnocení bezpečnosti systémů bez systémových oprávnění. Kontroly bez pověření vyjmenovávají odhalené porty, protokoly a služby hostitele a identifikují zranitelná místa a nesprávné konfigurace, které by mohly útočníkovi umožnit ohrozit danou síť.

Výhody:

ideální pro rozsáhlá hodnocení v tradičních podnikových prostředích
objevuje zranitelnosti, které může útočník zvenčí použít ke kompromitaci vaší sítě (poskytuje pohled škodlivého protivníka)
spouští síťové zásuvné moduly, jejichž provádění je agentovi zakázáno
může provádět cílené operace, jako je hrubé vynucení přihlašovacích údajů

Omezení:

může působit rušivě; to znamená, že může mít někdy negativní vliv na síť, zařízení nebo aplikaci, kterou testujete
chybí zranitelnosti na straně klienta, jako jsou podrobné informace o opravách
může minout přechodná zařízení, která nejsou vždy připojena k síti^[4]

Ověřená (Authenticated) kontrola[editovat | editovat zdroj]

Tradiční ověřené kontroly, známé také jako autentizované skenování, poskytuje hlubší náhled než neautentizované. Kontrola používá přihlašovací údaje k autentizaci do systémů a aplikací, díky čemu může poskytnout seznam požadovaných záplat a chybných konfigurací.

Vzhledem k tomu, že prověřené skenování se dívá přímo na nainstalovaný software, včetně verzí, může vyhodnotit položky, jako jsou:

identifikace zranitelností v softwaru
výčet zařízení USB
kontrola konfigurace antivirového softwaru
všechny tyto úkoly provádí s minimálním nebo žádným dopadem na zařízení

Výhody:

spotřebovává mnohem méně prostředků než skenování bez pověření, protože skenování se provádí na samotných hostitelích, nikoli v síti
nerušivý; to znamená, že nemá negativní vliv na síť, zařízení nebo aplikaci, kterou testujete
poskytuje přesnější výsledky – kompletní výčet softwaru a oprav nainstalovaných na hostiteli
odhaluje zranitelnosti softwaru na straně klienta

Omezení:

vyžaduje správu pověření pro každého skenovaného hostitele
velké organizace mohou mít potenciálně potíže s vytvářením servisních účtů se správnými právy a přístupem potřebným k bezpečnému provádění prověření
požadavky na střídání hesel mohou zvýšit složitost správy^[5]

Vulnerability management a jeho životní cyklus[editovat | editovat zdroj]

Detekce (Discover)[editovat | editovat zdroj]

Fundamentálním a kritickým komponentem celého procesu je podrobná znalost zařízení a dat (IT aktiva) spojené s aktivitami přenosu informací v organizaci a jejími vlastníky. Tyto zařízení registrujeme do systémového inventáře tzv. konfigurační databáze. Kvalitní nepřetržitě aktualizovaný konfigurační databáze (CMDB) je klíčovým elementem celého procesu. Na základě těchto informací je možné rozhodnout o rozsahu pokrytí. V této fázi je možné také aplikovat "discovery scan", který slouží k identifikaci aktivních zařízení v síti.

Posouzení (Assess)[editovat | editovat zdroj]

Jakmile máme k dispozici inventář zařízení z předchozí fáze, je možné začít s detekcí zranitelností. Za pomocí nástroje (Vulnerability scanner) určeného k detekování zranitelností dochází ke spuštění několika typů kontrol v závislosti na prostředí, které může být jak interní síť, tak i veřejná.

Analýza (Analyze)[editovat | editovat zdroj]

Typickou vlastností vulnerability managementu je množství výstupních dat. Nezbytnou součástí je tedy určení priorit na základě vážnosti zranitelnosti například pomocí (CVSS) v kombinaci s pravděpodobnosti zneužití a důležitosti napadeného aktiva například v podobě CIA hodnocení. Neméně důležitou pomůckou k měření rizik může být také MITRE ATT&CK rámec, který uvádí všechny možné techniky a taktiky, jak využít zranitelnosti ve stroji.^[6]

Oprava (Fix)[editovat | editovat zdroj]

V této fázi dochází k opravě nahlášených zranitelností. V souvislosti s povahou zranitelnosti je možné aplikovat několik možných metod k zamezení zneužití, avšak většina zranitelností je opravena právě pomocí aktualizace. Velmi podstatnou částí celého cyklu je také využití procesu akceptace rizik. Tímto rozumíme míru rizika, který je vrcholový management ochoten akceptovat, například každý podnik má riziko, že dojde k přerušení. Pokud vaše firma vyrábí cenné zboží, jako jsou televizory nebo elektroniku, která se nachází v oblasti s vysokou kriminalitou, existuje vysoké riziko vloupání. Pokud se vedení rozhodne nezamykat dveře a nenajímat žádné hlídače, akceptuje riziko vloupání.^[7]

Verifikace (Measure)[editovat | editovat zdroj]

Vulnerability management je cyklický proces. Za použití identických detekčních nástrojů provádíme opakovanou kontrolu, k validaci předchozí aktivity ve fázi oprava.

Související články[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

↑ 34180.pdf on Egnyte. Egnyte [online]. [cit. 2022-12-10]. Dostupné online.
↑ NVD - Vulnerabilities. nvd.nist.gov [online]. [cit. 2022-12-11]. Dostupné online.
↑ cve-website. www.cve.org [online]. [cit. 2022-12-11]. Dostupné online.
↑ Traditional Active Scans (Non-credentialed) (Nessus Agents). docs.tenable.com [online]. [cit. 2022-12-11]. Dostupné online.
↑ Traditional Active Scans (Credentialed) (Nessus Agents). docs.tenable.com [online]. [cit. 2022-12-11]. Dostupné online.
↑ MAYUKHA, S.; VADIVEL, R. Reconnaissance for Penetration Testing Using Active Scanning of MITRE ATT&CK. Příprava vydání M. Shamim Kaiser, Juanying Xie, Vijay Singh Rathore. Svazek 401. Singapore: Springer Nature Singapore Dostupné online. ISBN 978-981-19-0097-6, ISBN 978-981-19-0098-3. DOI 10.1007/978-981-19-0098-3_66. S. 693–705. (anglicky) DOI: 10.1007/978-981-19-0098-3_66.
↑ Risk Management – CISSP Exam Prep [online]. [cit. 2022-12-10]. Dostupné online. (anglicky)

Externí odkazy[editovat | editovat zdroj]

[1] 34180.pdf on Egnyte. Egnyte [online]. [cit. 2022-12-10]. Dostupné online.

[2] NVD - Vulnerabilities. nvd.nist.gov [online]. [cit. 2022-12-11]. Dostupné online.

[3] ve-website. www.cve.org [online]. [cit. 2022-12-11]. Dostupné online.

[4] Traditional Active Scans (Non-credentialed) (Nessus Agents). docs.tenable.com [online]. [cit. 2022-12-11]. Dostupné online.

[5] Traditional Active Scans (Credentialed) (Nessus Agents). docs.tenable.com [online]. [cit. 2022-12-11]. Dostupné online.

[6] MAYUKHA, S.; VADIVEL, R. Reconnaissance for Penetration Testing Using Active Scanning of MITRE ATT&CK. Příprava vydání M. Shamim Kaiser, Juanying Xie, Vijay Singh Rathore. Svazek 401. Singapore: Springer Nature Singapore Dostupné online. ISBN 978-981-19-0097-6, ISBN 978-981-19-0098-3. DOI 10.1007/978-981-19-0098-3_66. S. 693–705. (anglicky) DOI: 10.1007/978-981-19-0098-3_66.

[7] Risk Management – CISSP Exam Prep [online]. [cit. 2022-12-10]. Dostupné online. (anglicky)

[1]

[2]

[3]

[4]

[5]

[6]

[7]