Co może mieć wspólnego z cyberbezpieczeństwem mityczny heros Achilles — bohater wojny trojańskiej, który uchodził za nieśmiertelnego po zanurzeniu go w wodach Styksu przez Tetydę? Podatność!
Podatność, czyli luki w systemie informatycznym
Słabym punktem Achillesa była jego pięta, za którą był trzymany podczas zanurzania go w wodzie. Atakujący go Parys wykorzystał tę podatność, trafiając strzałą z łuku. Podobnie jest w systemach informatycznych nie tylko w firmie czy korporacji, ale w codziennym użytkowaniu sprzętu i aplikacji. Często o podatnościach w systemie informatycznym potocznie mówi się, że są to dziury, luki, bugi, błędy. W szczególności z perspektywy użytkownika, gdy coś nie działa tak, jak powinno — aplikacja sklepu internetowego zawiesza się podczas dokonywania transakcji.
Termin „podatność” odnosi się jednoznacznie do kwestii bezpieczeństwa. Wskazuje się vulnerability management lub vulnerability assessment, czyli całościowe zarządzanie tymi słabościami na poziomie organizacji.
Jak zbadać podatność infrastruktury IT na ataki?
Skąd masz wiedzieć o tym, że systemy operacyjne i aplikacje biznesowe są podatne na ataki? Podatność infrastruktury IT na ataki można badać poprzez dedykowane skanery, które oceniają na podstawie zebranych danych, jakie podatności mogą występować. W zależności od intensywności skanu podatność infrastruktury IT na atak mogą weryfikować dedykowane pluginy. Należy wskazać Nessus czy Withsecure Vulnerability Management lub open source Greenbone OpenVAS.
Stopnie podatności infrastruktury IT
Wyobraź sobie, że robisz w firmie pierwszy skan w poszukiwaniu podatności – wykrytych jest ich 80. Czy jest powód do obaw? To zależy od stopnia ich krytyczności, który najczęściej klasyfikowany jest w ramach miary CVSS (Common Vulnerability Scoring System). Jest to próba liczbowego uchwycenia i odzwierciedlenia wagi podatności infrastruktury IT organizacji. Dzięki temu systemowi lepiej zrozumiesz realne ryzyko dla organizacji. Rozróżniamy poziom niski, średni, wysoki i krytyczny. Jakie luki likwidować w pierwszej kolejności? Oczywiście, te krytyczne!
Dlaczego usuwanie podatności nie jest takie proste? Oto należy zapytać Achillesa, dlaczego do walki nie założył szczelnej i twardszej zbroi. Jednak wiele ze zidentyfikowanych luk w systemie informatycznym może występować w środowisku, które boimy się aktualizować tak, aby nie zaburzyły ciągłości działania biznesu, np. modyfikacja bibliotek pochodzących z otwartych źródeł.
Ocena podatności systemu IT
Innym tematem jest ocena czy dana podatność rzeczywiście występuje i czy można wprowadzić jakieś działania mające na celu mitygacje ryzyka ich wykorzystania. Ocenę podatności można przeprowadzić na podstawie wskazówek producentów oprogramowania skanującego. Niektórzy producenci oprogramowania proponują, że dokładniej zweryfikują podatności poprzez zainstalowanie w różnych miejscach sieci firmowej dedykowanych sond, których zadaniem będzie regularna praca i ocena ryzyka.
Proces identyfikacji podatności systemu informatycznego
Identyfikacje podatności najlepiej wykonywać zgodnie ze zdefiniowanym procesem:
- identyfikacja podatności,
- ocena podatności,
- wdrożenie mitygantów,
- weryfikacja zastosowanych środków zaradczych,
- raportowanie efektów prac.
Pamiętaj, że oprócz tych publicznie znanych podatności są również tzw. 0-day’e, czyli luki w oprogramowaniu, które nie zostały ujawnione na świecie. Jakiś atakujący lub badacz bezpieczeństwa je wykrył i teraz próbuje je wykorzystać na Twoich systemach.
Wyższym poziomem identyfikacji tego, czy organizacja jest “dziurawa”, są testy penetracyjne polegające na szczegółowym zbadaniu, np. aplikacji webowej w poszukiwaniu luk. Takie testy wykonuje się w określonej metodyce, tak aby uzyskać wiarygodny obraz, np. black boxowej. Wcielając się w rolę hakera z drugiego końca świata, będzie można się przekonać czy jest się w stanie przejąć wystawioną publicznie usługę.
Nie bądź jak Achilles! Zidentyfikuj swoje podatności dzięki regularnym skanom oraz wdrożonym poprawkom.
