Někdo by mohl diskutovat, zda pojem zranitelnost souvisí jen se zneužitelnými slabinami v kódu nebo zda by se měl pojem vztahovat i na chyby konfigurace či nedodržení vhodných postupů při vytváření konfigurací.
V každém případě může nedodržení zabezpečení konfigurace zařízení, operačních systémů nebo aplikací vzhledem k regulačním opatřením a korporátním zásadám způsobit zranitelnost vůči případnému útoku.
„Zranitelnosti se objevují a mizí. Budete je mít,“ zdůrazňuje Renaud Deraison, ředitel výzkumu společnosti Tenable a tvůrce produktu Nessus. „Audit konfigurací zajišťuje, aby bezpečnostní strategie měla správný směr, zatímco instalace oprav je spíše každodenní rutina.“
Směrnice jsou důležité, protože po firmách vyžadují dodržování standardů pro postupy bezpečných konfigurací ve všech oblastech včetně výchozích hesel správců, povolených či zakázaných služeb a odpovídající síly šifrování.
Většina dodavatelů správy zranitelností proto rozšířila své schopnosti do oblasti detekce konfigurací. Konfigurace vybavení musí být zjištěna autentizovaným skenováním či pomocí agentů a porovnána s pokyny směrnic, zásadami a obvykle se zlatým standardem pro dané zařízení (například pro webový server Apache nebo směrovač Cisco). Bez automatizovaného nástroje je to nudná činnost.
„V předchozích firmách, pro které jsem pracoval, jsem musel manuálně procházet a kontrolovat určité konfigurace,“ uvádí Shaheen Abdul Jabbar, bezpečnostní konzultant a autor blogu Snajsoft.com. „Pokud bych měl automatizovaný nástroj, ušetřilo by mi to mnoho času.“
Cyklus zjištění – oprava – audit je u zranitelností v podstatě stejný. Základním rozdílem je ustavení výchozí bezpečné konfigurace namísto zjišťování chyby v kódu.
„Kontroly konfigurace vůči výchozímu nastavení jsou minimálním dosažitelným cílem a jsou velmi důležité,“ prohlašuje manažer zabezpečení finanční instituce. „Velmi se snažím o standardní implementaci, kterou si přeji. Pokud existuje významná odchylka, chci to hned vědět.“
Skenování aplikací a databází
Mnoho produktů pro správu zranitelností také rozšířilo své schopnosti do oblasti webových aplikací a v některých případech také do oblasti skenování zranitelnosti databází. I když je skenování sítě stále základní funkcí, vedoucí dodavatelé přijímají postoj, že zranitelnost je prostě zranitelnost.
„Měl bych být schopen použít jeden nástroj a zadat, že chci, aby proskenoval nějaké vybavení kompletně: aplikace, síť a opravy operačního systému – zajímají mě zranitelnosti, tečka,“ vysvětluje manažer zabezpečení.
Testování zranitelnosti aplikací je však komplikované a obtížné. Dynamické testování webových aplikací například vyžaduje procházení webu a testování širokého a komplexního sortimentu potenciálních slabých míst, jako jsou kvanta kombinací při zadávání údajů, aby bylo možno zjistit, zda existuje zneužitelná zranitelnost.
Většina zranitelností je zjištěna na aplikační vrstvě a tam také útočníci směřují většinu svého úsilí. Organizace však reagují na tento vektor hrozeb velmi pomalu. Jak firmy zvyšují tlak na zprovozňování nových webových aplikací, jsou vývojáři pod intenzivním časovým a rozpočtovým tlakem, aby se zaměřili na funkce, a ne na zabezpečení.
Výsledkem je pak to, že velké organizace mají tisíce aplikací, které jsou však zaplaveny chybami v zabezpečení, a jen málo podniků využívá něco, co by se podobalo životním cyklům vývoje bezpečného softwaru.
Zranitelnosti aplikací je obtížné zjistit, samotná oprava trvá dlouho a stojí mnoho peněz, zejména při srovnání se snadností instalace oprav zranitelností systému Windows nebo při srovnání s chybou v konfiguraci.
Trh se zabezpečením aplikací je navíc dlouho oblastí pro vysoce specializované produkty a poskytovatele služeb, kteří mají znalosti aplikací a zkušenosti, které se jinde nevidí. Proč tedy v nástroji pro správu zranitelností hledat skenování aplikací?
Významným faktorem je dodržování směrnic. Podniky mohou alespoň provést první krok k plnění směrnic, které nyní vyžadují opatření pro zabezpečení aplikací.
„Aby byly dodrženy směrnice, musí ředitel zabezpečení zajistit, že jsou tyto aplikace bezpečně nasazeny v produkčních prostředích,“ uvádí Amer Deeba, ředitel marketingu ve společnosti Qualys.
„Správa zranitelností slučuje vše dohromady do jednoho centralizovaného pohledu.“ Správci sítí tak podle něho mohou reagovat na nalezené zranitelnosti sítě a vlastníci aplikací mohou spolupracovat s vývojáři na opravě zranitelností zjištěných skenerem aplikací.
„Organizace zabezpečení a ředitel zabezpečení informací však nesou zodpovědnost za všechno,“ dodává.
Skenování databázové zranitelnosti má nižší prioritu. Databáze jsou relativně izolované v zázemí korporátní infrastruktury IT a jsou útokům vystaveny prostřednictvím aplikací, které k nim tvoří komunikační rozhraní. Z tohoto důvodu je primární zaměření zabezpečení na způsob, jak zabránit útočníkům k přístupu do databáze přes tyto aplikace.
Zabezpečení databází a regulační opatření to řídí a jsou primárně zaměřeny na kontrolu privilegovaných zaměstnanců prostřednictvím separace povinností, silného řízení přístupu a sledování aktivit.
PŘEDPLATNÉ
ČLÁNKY DO MAILU