Что такое уязвимости в контексте обработки данных: управление уязвимостями

07 июля 2021

Каждый год обнаруживаются тысячи новых уязвимостей, что требует от компаний исправления операционных систем (ОС) и приложений, а также перенастройки параметров безопасности во всей своей сетевой среде. Для упреждающего устранения уязвимостей до того, как они будут использованы для кибератаки, организации, серьезно относящиеся к безопасности своей среды, проводят управление уязвимостями, чтобы обеспечить максимально возможный уровень безопасности.

Управление уязвимостями обычно определяется как процесс выявления, классификации, определения приоритетов и устранения уязвимостей в операционных системах (ОС), корпоративных приложениях (как в облаке, так и локально), браузерах и приложениях конечных пользователей. Постоянный процесс управления уязвимостями направлен на постоянное выявление уязвимостей, которые можно исправить путем осуществления исправлений и настройки параметров безопасности.

Важно отметить, что формальное управление уязвимостями — это не просто исправление и изменение небезопасных настроек. Управление уязвимостями — это дисциплинированная практика, которая требует организационного мышления в информационных технологиях, учитывая, что новые уязвимости, которые требует постоянного исправления и устранения, обнаруживаются ежедневно.

Что считается уязвимостью?

Уязвимостью считаются любые средства, с помощью которых внешний злоумышленник может получить неавторизованный доступ или привилегированный контроль над приложением, службой, конечной точкой или сервером. Ощутимые примеры включают порты связи, открытые для Интернета, небезопасные конфигурации программного обеспечения или ОС, методы, с помощью которых можно получить привилегированный доступ через одобренное взаимодействие с данным приложением или ОС, а также уязвимость, позволяющую вредоносным программам заразить систему.

Как определяются уязвимости?

В то время как поставщики средств безопасности могут создавать собственные определения уязвимостей, управление уязвимостями обычно рассматривается как открытое, основанное на стандартах усилие с использованием стандарта протокола автоматизации содержимого безопасности (SCAP), разработанного Национальным институтом стандартов и технологий (NIST). На высоком уровне SCAP можно разбить на несколько компонентов:

  • Общие уязвимости (CVE) — каждая CVE определяет конкретную уязвимость, из-за которой может произойти атака.
  • Перечисление общей конфигурации (CCE). CCE — это список проблем конфигурации безопасности системы, которые можно использовать для разработки руководства по настройке.
  • Перечисление общих платформ (CPE). CPE — это стандартизированные методы описания и идентификации классов приложений, операционных систем и устройств в среде компании. CPE используются для описания того, к чему относится CVE или CCE.
  • Общая система оценки уязвимостей (CVSS) — эта система оценки работает для присвоения оценок серьезности каждой определенной уязвимости и используется для определения приоритетов усилий и ресурсов по исправлению в соответствии с угрозой. Оценки варьируются от 0 до 10, причем 10 — это наиболее серьезная проблема.

Существует множество общедоступных источников определений уязвимостей, таких как база данных уязвимостей и обновления безопасности Microsoft, и они находятся в свободном доступе. Кроме того, несколько поставщиков предлагают доступ к частным базам данных уязвимостей через платную подписку.

Процесс управления уязвимостями

Каждая новая уязвимость представляет риск для компании. Таким образом, определенный процесс часто используется, чтобы предоставить компании способ быстро и постоянно выявлять и устранять уязвимости. Высокий уровень управление уязвимостями предусматривает 6 процессов, при этом каждый из процессов включает в себя подпроцессы и задачи:

  • Обнаружение: невозможно защитить то, о чем не подозреваете. Первый процесс включает инвентаризацию всех активов в среде, определение деталей, включая операционную систему, службы, приложения и конфигурации, для выявления уязвимостей. Обычно это включает как сканирование сети, так и сканирование системы с помощью агента с проверкой подлинности. Обнаружение должно выполняться регулярно по автоматизированному графику.
  • Расстановка приоритетов: во-вторых, обнаруженные уязвимости необходимо разделить на группы и назначить им приоритеты на основе рисков в зависимости от степени важности для организации.
  • Оценка: в-третьих, установить базовый уровень риска для конкретной уязвимости.
  • Определить средство устранения: в-четвертых, на основе приоритезации рисков, уязвимости должны быть исправлены (с помощью исправлений или реконфигурации). Должны быть предусмотрены средства контроля, чтобы исправление было успешно завершено и прогресс можно было задокументировать.
  • Проверка. В-пятых, проверка исправления выполняется с помощью дополнительных сканирований и / или отчетов IТ департамента.
  • Отчет: руководители и высшее руководство должны понимать текущее состояние риска, связанного с уязвимостями. IТ департаментам необходимы тактические отчеты об обнаруженных и устраненных уязвимостях (путем сравнения самого последнего сканирования с предыдущим), руководству нужна сводка текущего состояния уязвимости.

Решения для управления уязвимостями

Существует множество коммерческих решений для упрощения и автоматизации процесса управления уязвимостями. Некоторые сосредотачиваются исключительно на оценке уязвимостей, некоторые выполняют только сканирование уязвимостей, в то время как третьи стремятся обеспечить всесторонний охват всего процесса управления уязвимостями.

Кроме того, многие решения безопасности выходят за рамки простого управления уязвимостями, добавляя ценность за счет интеграции других функций безопасности, которые в совокупности помогают лучше защитить среду, в том числе: обнаружение уязвимостей; классификация данных; обнаружения вторжений; управление привилегированным доступом; обнаружение угроз и реагирование; SIEM и корреляция данных журнала; аудит соответствия и отчетность.