Блог

Виявленням та розробкою стандартів, інструментів та рішень у галузі інформаційної безпеки займається Center for Internet Security (CIS). Безперервний процес управління вразливістю входить до списку рекомендацій CIS і є невід’ємною частиною кібербезпеки та безпеки мережі. Обов’язок організацій – регулярно збирати, оцінювати інформацію щодо вразливостей та оперативно вживати заходів щодо виправлення чи мінімізації «можливостей» для злочинної діяльності зловмисників. Це пояснюється стрімким зростанням кіберзлочинності, що змушує організації приділяти більше уваги інформаційній безпеці. Управління вразливістю має бути частиною загальної стратегії управління інформаційними ризиками.

Вразливість – це певний недолік інформаційної системи організації, що може бути використаний кіберзлочинцем для отримання доступу та здійснення несанкціонованих дій (запуск кодів, отримання доступу до системної пам’яті, встановлення шкідливого ПЗ, крадіжка, повне знищення або зміна корпоративних даних компанії).

Найбільш небезпечним для безпеки системи є комп’ютерні хробаки. Вони є шкідливим програмним забезпеченням, яке самореплікується, заражає інші комп’ютери і залишається активним у заражених системах. Для поширення такого програмного забезпечення часто використовуються вразливості в мережевих протоколах, операційних системах та бекдорах.

Управління вразливістю – це процес виявлення, оцінки, розставлення пріоритетів, виправлення (повне усунення та запобігання потенційним атакам або мінімізація наслідків та масштабу атак) та складання звітів про вразливості безпеки у веб-додатках, мобільних пристроях та програмному забезпеченні. В результаті організації мають можливість отримувати актуальні дані щодо стану IT-середовища, наявності вразливостей та пов’язаних з ними ризиків. Вразливості не повинні бути проігнорованими. Зменшити ризик проведення кібератаки можна лише шляхом виявлення та усунення кожної вразливості.

Процес управління вразливістю – це циклічний процес виявлення, класифікації, виправлення та пом’якшення вразливостей безпеки. Виявлення вразливостей, їх оцінка та звітність є важливими елементами програми.

Виявлення вразливостей здійснюється за допомогою сканера – програмне забезпечення, яке перевіряє комп’ютери, мережі та програми на наявність відомих вразливостей. У процесі сканування виявляються вразливості, які виникли внаслідок неправильної конфігурації та помилкового програмування в мережі, виконується сканування з автентифікацією або без автентифікації.

Суть сканування з автентифікацією полягає в забезпеченні доступу до низькорівневих даних (певні служби, деталі конфігурації, точна інформація про операційні системи, програмне забезпечення, проблеми з конфігурацією, контроль доступу, елементи керування безпекою та управління виправленнями. При скануванні без перевірки справжності не надається доступ до мережевих ресурсів. Це може призвести до отримання недостовірної інформації про операційні системи та встановлене ПЗ.

Сканери можуть припускатися помилок та пропускати вразливості, слід також використовувати тестування на проникнення (автоматизоване тестування за допомогою ПЗ або механічне тестування інформаційних технологій для пошуку вразливостей). Процес тестування передбачає збирання інформації, визначення можливих векторів атак, здійснення спроб їх використання та формування висновків. Також тестування можна використовувати для перевірки локальних засобів управління безпекою, дотримання політики безпеки, сприйнятливості співробітників до атак соціальної інженерії, стратегії реагування на інциденти.

Процес оцінки вразливостей складається з 5 етапів:

1. виявлення вразливостей (аналіз сканування мережі, результатів пентестів, журналів брандмауера тощо);
2. перевірка вразливостей (визначення можливостей використання вразливості, її серйозність визначення рівня ризику безпеки);
3. пріоритизація вразливостей (оцінка вразливостей, визначення порядку усунення вразливостей);
4. планування усунення вразливостей (визначення плану та заходів дій щодо усунення вразливостей, визначення їх ефективності);
5. усунення вразливостей (видалення та виправлення вразливостей для запобігання можливому використанню кіберзлочинцями).

Етап усунення вразливостей передбачає кілька можливих варіантів:

• виправлення – повне усунення вразливості без можливості її використання;
• пом’якшення наслідків – мінімізація ймовірності чи наслідків використання вразливості;
• прийняття – відсутність будь-яких дій через незначну небезпеку вразливості або значне перевищення вартості усунення над витратами у разі її експлуатації.