Vulnerability management: aktuální trend v řízení technických zranitelností
Ukazuje se, že při řízení technických zranitelností se do budoucna neobejdeme bez hodnocení rizik vyplývajících z daných zranitelností, tzv. risk based vulnerability management.
Je tomu tak proto, že jak počet zranitelností roste, tak se již nelze rozhodovat o jejich zvládání jen na základě jejich CVSS base skóre.
V okamžiku, kdy se objeví větší počet kritických zranitelností anebo se tyto zranitelnosti budou týkat většího počtu zařízení, a my máme jen omezené zdroje, budeme se muset rozhodnout s jakou zranitelností a na jakých prvcích bychom měli začít.
Většina kritických zranitelností je totiž hodnocena jako kritická především proto, že je možné je zneužít přes internet a může jich zneužít prakticky kdokoliv. Reálné zneužití mnohých z nich je však nízké anebo dokonce nemožné. Pro efektivní řízení technických zranitelností je totiž nutné si položit několik otázek.
- Je dané aktivum dostupné přes internet? To znamená neřídit se jen podle IP adresy, ale mít u každého zařízení i poznámku, zda je dané zařízení dostupné z internetu či nikoliv. Ovšem pozor na to, aby zařízení, které normálně do internetu připojené není, nepřebíralo např. na vstupu data ze zařízení, které připojené je, protože exploit by se mohl nacházet přímo v těchto datech.
- Je dostupný exploit? To, zda je daný exploit dostupný, můžeme zjistit na hackerských fórech, kde se o něm diskutuje anebo na darknetu, kde dochází k jeho prodeji. To ale předpokládá, že provádíte cyber threat intelligence.
- Jak stará daná zranitelnost je? Pokud je čerstvá, tak nejspíš exploit ještě nebude, takže při porovnávání dvou kritických zranitelností je nasnadě, kterou byste měli řešit jako první. Tu straší, tam v čase pravděpodobnost vzniku a uvolnění a zneužití exploitu roste.
- Jak kritické je dané aktivum z pohledu organizace? Pokud je dané aktivum kritičtější, což by mělo být zřejmé z výsledků business impact analýzy, tak je opět rozhodnutí ohledně toho, které kritické zranitelnosti se věnovat jako první, zřejmé. Nicméně opět připomínám, že není možné se soustředit jen na ochranu klíčových aktiv. U každého aktiva to ale znamená evidovat jeho kritičnost.
Hodnocení zranitelnosti není v čase stálé a mění se, a v okamžiku, kdy dojde k přehodnocení zranitelnosti na základě výše uvedených faktorů, tak se tím podstatně změní počet zranitelností, které je nutné řešit a rovněž i vyplyne v jakém pořadí a na jakých zařízení by měly být tyto zranitelnosti řešeny.
Jak se mění hodnota zranitelnosti v závislosti na těchto faktorech, si můžete i vyzkoušet v CVSS kalkulátoru, který ukazuje kromě base score i temporal score a environmental score, s kterými bohužel ale většina organizací moc nepracuje.
Samozřejmě, že u velkého počtu zranitelností nemůžete manuálně přepočítávat skóre, obzvláště ne v organizacích, které spravují několik tisíc zařízení, a čelím miliónům zranitelností. Zde je nutné na to používat nějaký automatizovaný nástroj, který nám umožňuje jednotlivá aktiva opatřit příslušnými tagy a rovněž i automaticky aktualizuje exploitovatelnost u jednotlivých zranitelností.
Poznámka: Obranou proti všem zranitelnostem je samozřejmě kompletní model aktiv, protože bez toho se neobejdeme a vícevrstvá bezpečnost a zavedení preventivních, detekčních i reaktivních opatření, jak uvádí např. CSF, protože je třeba počítat s tím, že jednou ke zneužití nějaké zranitelnosti přeci jen dojde a pak se ukáže, jaká je vaše cyber resilience.
ČERMÁK, Miroslav, 2022. Vulnerability management: aktuální trend v řízení technických zranitelností. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/vulnerability-management-aktualni-trend-v-rizeni-technickych-zranitelnosti/. [citováno 08.12.2024].
Štítky: kybernetická bezpečnost, vulnerability management
K článku “Vulnerability management: aktuální trend v řízení technických zranitelností” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.