Chcete mít zranitelnosti pod kontrolou? Poradíme, jak na to (1)

Organizace dobře obeznámené s problematikou zabezpečení nezůstaly jen u vyhodnocování a oprav zranitelností, ale pokročily mnohem dále.

Chcete mít zranitelnosti pod kontrolou? Poradíme, jak na to (1)


nyní je správa zranitelností (vulnerability management) základním kamenem jejich korporátního zabezpečení a programů pro řízení rizik a shody s legislativou.

Stejně jako dozrál pohled na řízení rizik IT, dozrály také nástroje pro správu zranitelností, které nyní podporují kontinuální celopodnikový životní cyklus zjišťování zranitelností, nápravy a reportování.

Záběr dostupných produktů se rozšířil (podle zvyšujících se požadavků na dodržování směrnic) a firmy začaly hledat lépe definované a silněji vynucované řízení změn. Dodavatelé také zareagovali na rozšířenou scenérii hrozeb, ve které je skenování síťové zranitelnosti stále důležité, ale nepostradatelnými se staly vyhodnocení a opravy aplikační vrstvy a dokonce databázového zabezpečení.

Proces výběru produktu pro správu zranitelností je mnohem komplikovanější než odpověď na otázku „Kdo vyrábí nejlepší skener pro vyhodnocení zranitelností?“.

Funkcemi plně vybavený produkt pro správu zranitelností (nebo sada takových produktů) musí být minimálně schopen podporovat opakovatelný životní cyklus pro zjištění a výčet vybavení, detekci zranitelností, vyhodnocení rizik, vyhodnocení kompatibility konfigurace, řízení změn, nápravu, kontrolu, auditování a reporty.

„Vždy probíhá celý cyklus potřebných činností,“ uvádí manažer zabezpečení ve významné finanční instituci, která využívá produkty správy zranitelností od společnosti McAfee. „Zcela nakonec po opravě musíte celý proces zopakovat. Musíte to dělat konzistentně a pravidelně.“

Většina hlavních hráčů je na tomto trhu již mnoho let – dodavatelé, poskytovatelé služeb nebo jejich kombinace. Díky tomu máte na výběr ze široké řady společností s hlubokými znalostmi a dlouhou historií.

Mezi dodavatele patří Beyond Security, Critical Watch, eEye, GFI, IBM, Lumension Security, McAfee, nCircle, Perimeter e-Security, Qualys, Rapid7 a Tenable Network Security (tvůrci někdejšího open source skeneru Nessus).

 

Základy správy zranitelností

Nástroje správy zranitelností provádějí ve své podstatě dvě hlavní úlohy: Pomáhají zjistit vybavení v rámci sítí a detekují zranitelnosti obvykle v operačních systémech a hlavních aplikacích.

Fáze zjišťování se vyplatí sama o sobě, ale organizace často přehlížejí její důležitost a spokojí se s tím, co vědí (tedy přesněji s tím, co si myslí, že vědí) o své síti.

„Můžete si například myslet, že máte solidní inventář sítě,“ vysvětluje manažer zabezpečení finanční instituce. „Firma prohlásí, že nemá bezdrátová zařízení. Jak to ale mohou vědět, když to nemonitorují pomocí systémů pro detekci bezdrátového narušení? Bude jim to zdůrazněno auditorem, který takové otázky klade.“

Nástroje správy zranitelností skenují síť a vyhledávají hostitele, provedou výčet síťových služeb a používají různé techniky ke zjištění možných zranitelností včetně získání základních informací (jako je např. verze operačního systému a verze webového serveru), zjistí stav portů, kompatibilitu protokolů a chování služeb. Je-li zjištěn otevřený port, zkontrolují stav vybavení vůči své databázi signatur zranitelností.

Pasivní skenování, které spoléhá na monitorování síťových přenosů, je obzvláště užitečné pro základní zjištění vybavení a výčty, protože je rychlé a zcela nenápadné. Také může být užitečné při podpoře aktivního skenování, zejména pokud není dostatek času nebo pokud není k dispozici oprávnění k provedení agresivního skenování v živé produkční síti.

„Můžete například zjistit, kde se nacházejí všechny vaše e-mailové a DNS servery – a můžete být překvapeni, jak těžké to je ve velké organizaci,“ prohlašuje Ron Gula, výkonný a technologický ředitel společnosti Tenable Security. „Platný DNS server za firewallem se zapnutým překladem síťových adres může akceptovat dotazy DNS, ale ne od skeneru. Schopnost pasivně zjistit všechny tyto informace je velmi užitečná.“

Aktivní skenování může být prováděno s využitím nebo bez využití autentizačních pověření. Pověření umožní skenerům přihlásit se k serveru a dalšímu vybavení pomocí oprávnění správce, a získat tak rozsáhlé a podrobné informace.

Tyto skeny jsou velice přesné (mnoho zranitelností nelze ověřit bez autentizovaného přístupu) a jsou potřebné, když skener shromažďuje informace o konfiguracích. Trvají také déle, jsou potenciálně rušivé a přidávají bezpečnostní zátěž, protože je nutno spravovat tato pověření zabezpečeným způsobem.

Nástroje správy zranitelností obvykle podporují obojí – pasivní i aktivní skenování.

 

Instalace oprav a další činnosti

Při podpoře životního cyklu správy zranitelností je základním účelem instalace oprav. Zjistíte, jaké servery, směrovače atd. jsou ve vaší síti, jaké jsou na nich operační systémy a aplikace a jaké mají zranitelnosti, takže můžete nainstalovat odpovídající opravy zabezpečení. Poté provedete opětovné skenování, abyste ověřili, zda byla oprava nainstalována úspěšně.

Bez oficiálního programu správy zranitelností s dobře definovanými zásadami a vyhodnocením firemního rizika a procesů řízení změn však může být instalace oprav neefektivní a chaotická. Vyzrálé nástroje správy zranitelností podnikové úrovně poskytují:

  • Zjištění vybavení  – to organizacím poskytne co nejúplnější seznam autorizovaných a neautorizovaných zařízení a aplikací v sítích).
  • Detekci zranitelností s využitím agentů a bez nich.
  • Vyhodnocení rizik v závislosti na kombinaci závažnosti známých zranitelností, pravděpodobnosti zneužití a hodnoty, kterou organizace přikládá zranitelnému vybavení. To umožní stanovení priorit a následnou nápravu.
  • Řízení změn. To je místo, kde se příslovečné pneumatiky dotýkají vozovky. Nástroj by měl zaslat žádost o provedení práce prostřednictvím jakéhokoli firmou používaného systému příslušnému provoznímu personálu, aby mohlo dojít k opravě. Použitá priorita by měla odpovídat míře vyhodnoceného rizika. Proces řízení změn by měl být schopen zkontrolovat, že oprava byla provedena, a stav ověřit před uzavřením případu.
  • Audity dodržování směrnic a interní reportování. Tento nástroj by měl poskytnout jak předem připravené, tak i přizpůsobitelné reportování, které dokáže zmapovat údaje o zranitelnostech vzhledem k platným požadavkům směrnic a zásad.

 

Příště se podíváme na správu konfigurací a skenování aplikací a databází.

    Úvodní foto: Maksim Samasiuk - Fotolia.com










    Komentáře