Program správy zranitelností VMP (Vulnerability Management Program) identifikuje slabá místa v síti organizace, monitoruje a sleduje jejich odstraňování, analyzuje prvotní příčiny těchto zranitelností a dělá strategické změny existujících procesů, aby byly prvotní příčiny tohoto stavu odstraněny.
Zranitelnosti jsou zjišťovány nějakým druhem hodnocení, jako je například posouzení následků. Nalezené chyby se přezkoumají a je kontaktuje se vlastník náchylného zařízení, jemuž se oznámí, že jeho systém obsahuje zranitelnost, kterou je nutné odstranit.
Vlastník systému chybu, jež vede k potenciálnímu ohrožení, odstraní a dá příslušnému administrátorovi vědět, že byla zranitelnost eliminována.
Dále se prověří prvotní příčina zranitelnosti, aby se zjistilo, proč se slabé místo v příslušném řešení vyskytlo (to znamená například chybějící oprava, konzole správce webu s výchozím heslem, SSLv2 atd.).
Rovněž se upraví aktuální procesy organizace (proces správy oprav, dokumentace základu minimálního zabezpečení, zásady a postupy atd.), tak aby se zabránilo opětovnému výskytu této zranitelnosti v budoucnu.
Základem je správné nastavení
Většina programů správy zranitelností velmi významně spoléhá na skenery sítě a webových aplikací, přestože by tyto technologie měly být doplněny manuálními kontrolami, jako jsou například testování prostřednictvím útoků a penetrace a posouzení webových aplikací metodou grey box.
Vyzrálý program VMP je pro úspěšnost libovolného programu zabezpečení rozhodující. Může totiž v případě korektní implementace pomoci identifikovat slabiny v programu správy oprav, v konfiguracích firewallů a směrovačů, v základu minimálního zabezpečení, v zásadách a postupech, ve školení vývojářů webových aplikací atd.
Na druhou stranu však, pokud je vyvinutý špatně, může vést k celkovému falešnému pocitu bezpečí.
Jaké jsou tedy hlavní příznaky selhání programů správy zranitelností?
1. Každý měsíc se na stejném hostitelském počítači objevují stejné zranitelnosti
Vytvořte zásady nutící vlastníky systémů k odstranění chyb, které byly v jejich systémech nalezeny. Tyto zásady by měly být přímo svázány se závažností zranitelnosti.
2. Každý měsíc se objevují stejné kategorie zranitelností
Prvotní příčiny zranitelnosti nalezené při posudku zabezpečení se musí analyzovat. Jakmile je problém detekován, musí se upravit procesy, aby se tato zranitelnost už v síti znovu neobjevila.
Úpravy procesů zahrnují mimo jiné změny programu správy oprav, změny současného základu minimálního zabezpečení, aktualizace skupinových zásad a podobně.
3. Osoba odpovědná za správu zranitelností musí brát antidepresiva
Před posouzením zabezpečení je důležité, abyste udělali následující: zjistěte, kdo vlastní konkrétní zařízení ve vaší síti, mějte zavedeny zásady, které nutí vlastníky systémů odstraňovat zranitelnosti, zaveďte procesy vyžadující analýzy prvotních příčin zjištěných zranitelností, aktualizujte procesy, abyste zajistili, že se zranitelnost neobjeví znovu.
4. Neprošli jste kontrolou certifikovaného auditora PCI (PCI ASV, Payment Card Industry Approved Scanning Vendor) dva týdny po posudku zranitelností
Při zjištění zranitelností je potřebné aktualizovat procesy, aby se odstranily nejen chyby, ale také proces, který jejich výskyt zapříčinil. Nesprávně nastavené procesy mohou zahrnovat správu oprav, pokyny pro zabezpečení počítačů a podobně.
5. Nemáte žádná důvěryhodná čísla prokazující fungování vašeho programu
Metriky týkající se programu správy zranitelností pečlivě sledujte. Odborníci doporučují mít na zřeteli především následující ukazatele: počet zranitelností zjištěných během posudků zabezpečení, závažnost těchto chyb, doba uplynulá do jejich odstranění, kategorie zjištěných zranitelností a jejich prvotní příčina, zařízení, kde byly chyby zjištěny, a počet falešných výskytů.
6. Skener zranitelností dává nekonzistentní výsledky
Při zjištění nekonzistencí je nutné najít jejich prvotní příčinu. Pokud pramení z použitých rozdílných nástrojů nebo metodiky, upravte tyto okolnosti tak, abyste získali srovnatelné výsledky.
Pokud nekonzistence pochází z něčeho, nad čím nemáte žádnou kontrolu, a nemůžete nic změnit, abyste ji získali (například úpravou počtu souběžných vláken využívaných skenerem webových aplikací), kontaktujte odpovídajícího dodavatele, abyste vyřešili prvotní příčinu problému.
7. Mnohé z „falešných výskytů“ jsou skutečné zranitelnosti
V případě, že se jako správce zranitelností dozvíte, že chyba je prý falešným výskytem, prověřte skutečný stav – tedy zda tomu tak je, nebo zda nejde o skutečnou zranitelnost. Nikdy ji neoznačujte za falešný výskyt, dokud jste neověřili, že byla skutečně zjednána náprava.
8. Spoléháte na to, že univerzální skenery zranitelností najdou zranitelnosti webových aplikací
Ke skenování celé infrastrukturní sítě použijte všeobecné skenery. Z testů vyčleňte webové aplikace a na ně nasaďte specializovaný systém.
9. Skenování není doplněno ručním testováním
Doplňte automatizované posouzení, jako je skenování zranitelností, i ručním otestováním s využitím technik jako testovací útoky, penetrační testy nebo manuální skenování ochrany webových aplikací.
10. V podniku neexistuje žádný program pro správu zranitelností
Řešení tohoto problému zní na první pohled velice jednoduše (koupě příslušného produktu), ale může to být složitý proces. Jednoduše řečeno, řešením je totiž vytvoření plně funkčního programu správy zranitelností.
Implementace ale může být poměrně komplikovaná, protože vytváření bezpečně fungujícího systému může vyžadovat hodně času a úsilí. Pamatujte si, že je lepší nejprve věnovat o něco více času samotnému programu správy zranitelností, než nasadit nedostatečně promyšlený produkt a pak řešit následky.
Úspěch znamená bezpečné IT
Při vývoji programu správy zranitelností je nezbytné zajistit měření úspěšnosti programu, zajistit, aby byl program reaktivní i aktivní, aby se zranitelnosti odstraňovaly během předem daného časového plánu a aby se „falešné výskyty“ před akceptováním takového stavu ručně prověřily.
Špatně implementovaný program správy zranitelností způsobí velké problémy a bezesné noci. Ačkoli vytvoření silného programu správy zranitelností od základu vyžaduje hodně práce, může být odměnou velký přínos pro celkový program zabezpečení.