Що таке вразливості в контексті обробки даних: управління вразливостями

07 Липня 2021

Щороку виявляються тисячі нових вразливостей, що вимагає від компаній виправлення операційних систем (ОС) і додатків, а також переналаштування параметрів безпеки у всій своєму мережевому середовищі. Для попереджувального усунення вразливостей до того, як вони будуть використані для кібератаки, організації, серйозно ставляться до безпеки свого середовища, проводять управління вразливостями, щоб забезпечити максимально можливий рівень безпеки.

Управління вразливостями зазвичай визначається як процес виявлення, класифікації, визначення пріоритетів і усунення вразливостей в операційних системах (ОС), корпоративних додатках (як в хмарі, так і локально), браузерах і додатках кінцевих користувачів. Постійний процес управління вразливостями спрямований на постійне виявлення вразливостей, які можна виправити шляхом здійснення виправлень і налаштування параметрів безпеки.

Важливо відзначити, що формальне управління вразливостями – це не просто виправлення і зміна небезпечних налаштувань. Управління вразливостями – це дисциплінована практика, яка вимагає організаційного мислення у інформаційних технологіях, враховуючи що нові вразливості, які вимагають постійного виправлення і усунення, виявляються щодня.

Що вважається вразливістю?

Вразливістю вважаються будь-які засоби, за допомогою яких зовнішній зловмисник може отримати неавторизований доступ або привілейований контроль над додатком, службою, кінцевою точкою або сервером. Відчутні приклади включають порти зв’язку, відкриті для Інтернету, небезпечні конфігурації програмного забезпечення або ОС, методи, за допомогою яких можна отримати привілейований доступ через схвалену взаємодію з даним додатком або ОС, а також вразливість, яка дозволяє шкідливим програмам заразити систему.

Як визначаються вразливості?

У той час як постачальники засобів безпеки можуть створювати власні визначення вразливостей, управління вразливостями зазвичай розглядається як відкрите, засноване на загальних стандартах зусилля з використанням стандартного протоколу автоматизації вмісту безпеки (SCAP), розробленого Національним інститутом стандартів і технологій (NIST). На високому рівні SCAP можна розбити на кілька компонентів:

  • Загальні вразливості (CVE) – кожна CVE визначає конкретну вразливість, через яку може відбутися атака.
  • Перерахування загальної конфігурації (CCE). CCE – це список проблем конфігурації безпеки системи, які можна використовувати для розробки керівництва з налаштування.
  • Перерахування загальних платформ (CPE). CPE – це стандартизовані методи опису та ідентифікації класів додатків, операційних систем і пристроїв у середовищі компанії. CPE використовуються для опису того, до чого відноситься CVE або CCE.
  • Загальна система оцінки вразливостей (CVSS) – ця система оцінки працює для присвоєння оцінок серйозності кожної певної уразливості і використовується для визначення пріоритетів зусиль і ресурсів по виправленню відповідно до загрозою. Оцінки варіюються від 0 до 10, причому 10 – це найбільш серйозна проблема.

Існує безліч загальнодоступних джерел визначень вразливостей, таких як база даних вразливостей і оновлень безпеки Microsoft, і вони знаходяться у вільному доступі. Крім того, деякі постачальники пропонують доступ до приватних баз даних вразливостей через платну підписку.

Процес управління уразливими

Кожна нова вразливість становить ризик для компанії. Таким чином, повинен часто використовуватися певний процес, щоб надати компанії спосіб швидко і постійно виявляти і усувати вразливості. Високий рівень управління вразливостями передбачає 6 процесів, при цьому кожен з процесів включає в себе підпроцеси і задачі:

  • Виявлення: не можливо захистити те, про що не підозрюєте. Перший процес включає інвентаризацію всіх активів в середовищі, визначення деталей, включаючи операційну систему, служби, програми та конфігурації, для виявлення вразливостей. Зазвичай це включає як сканування мережі, так і сканування системи за допомогою агента з перевіркою достовірності. Виявлення має виконуватися регулярно по автоматизованому графіку.
  • Розстановка пріоритетів: по-друге, виявлені вразливості необхідно розділити на групи і призначити їм пріоритети на основі ризиків, в залежності від ступеня важливості для організації.
  • Оцінка: по-третє, встановити базовий рівень ризику для конкретної вразливості.
  • Визначити засіб усунення: по-четверте, на основі пріоритетності ризиків, вразливості повинні бути виправлені (за допомогою реконфігурації). Повинні бути передбачені засоби контролю, щоб виправлення було успішно завершено і прогрес можна було задокументувати.
  • Перевірка. По-п’яте, перевірка виправлення виконується за допомогою додаткових сканувань і/або звітів IТ департаменту.
  • Звіт: керівники і вище керівництво повинні розуміти поточний стан ризику, пов’язаного з вразливостями. IТ департаментам необхідні тактичні звіти про виявлені і усунені вразливості (шляхом порівняння самого останнього сканування з попереднім), керівництву потрібне зведення поточного стану вразливості.

Рішення для управління уразливими

Існує безліч комерційних рішень для спрощення і автоматизації процесу управління вразливостями. Деякі зосереджуються виключно на оцінці вразливостей, деякі виконують тільки сканування вразливостей, в той час як треті прагнуть забезпечити всебічне охоплення всього процесу управління уразливими.

Крім того, багато рішень безпеки виходять за рамки простого управління вразливостями, додаючи цінність за рахунок інтеграції інших функцій безпеки, які в сукупності допомагають краще захистити середовище, в тому числі: виявлення вразливостей; класифікація даних; виявлення вторгнень; управління привілейованим доступом; виявлення загроз і реагування; SIEM і кореляція даних журналу; аудит відповідності та звітність.