Co zarządzanie podatnościami ma wspólnego z popularną zabawą wielkanocną?
Skanowanie środowiska informatycznego pod względem podatności przypomina popularną zabawę dla dzieci polegającą na szukaniu ukrytych jajek wielkanocnych. Jednak w przeciwieństwie do niej, znajdywanie i eliminowanie luk bezpieczeństwa jest kluczowym elementem strategii zarządzania ryzykiem dla każdej organizacji. Warto więc wiedzieć, czym są podatności w środowiskach IT i OT oraz jak sobie z nimi radzić.
W pigułce
- Luki w zabezpieczeniach stanowią coraz większe zagrożenie dla firm.
- Zarządzanie podatnościami to holistyczny i cykliczny proces, który zwiększa bezpieczeństwo cyfrowe firmy.
- Proces ten składa się z czterech etapów: identyfikacja, kwalifikacja, eliminacja ryzyka i raportowanie.
Czym są podatności?
Podatności lub luki bezpieczeństwa w IT i OT to błędy w oprogramowaniu lub wady w sprzęcie, przez które złośliwe oprogramowanie lub cyberprzestępca może przeniknąć do systemu, spowodować szkody lub ukraść cenne aktywa. Można je podzielić na dwie kategorie: te, które są już publicznie znane i udokumentowane oraz te, które stają się znane dopiero w dniu ataku, czyli tzw. exploity zero-day.
Rosnące zagrożenia
Zagrożenia związane z bezpieczeństwem cyfrowym są coraz poważniejsze i przewiduje się, że ich znaczenie będzie nadal rosło. Eksperci międzynarodowej firmy zajmującej się
cyberbezpieczeństwem CrowdStrike stwierdzili w opracowaniu „2023 Global Threat Report”, że
„krajobraz zagrożeń cyfrowych w 2022 roku cechował się wytrwałością, zwiększonym zakresem celów oraz nieustępliwą determinacją”. National Vulnerability Database (NVD) – utrzymywana przez USA i wykorzystywana jako międzynarodowe źródło informacji o zagrożeniach baza luk bezpieczeństwa
posiadała w 2022 roku 25 093 podatności – tzw. Common Vulnerabilities and Exposures (CVEs), co jest o 25 proc. większą liczbą niż w 2021. Skala zagrożeń rośnie również dla infrastruktury
OT. Zajmująca się bezpieczeństwem cyfrowym firma Claroty odnotowała w latach 2018-2022 110 proc. wzrost liczby luk bezpieczeństwa w przemysłowych systemach sterowania (ICS).
Wszystkie te statystyki udowadniają, że zarządzanie podatnościami powinno być ciągłym procesem, a najlepiej aby było zintegrowane z holistyczną strategią bezpieczeństwa
organizacji. Zastosowanie do tego celu rozwiązania Unified Endpoint Management (UEM) pomaga zidentyfikować, zakwalifikować i wyeliminować luki
w zabezpieczeniach, a także zdefiniować dodatkowe środki, które firmy mogą zastosować, takie jak ciągłe edukowanie pracowników na temat punktów ataków i tego, jak sobie z nimi
radzić.
Od identyfikacji do dokumentacji
Identyfikacja otwartych luk bezpieczeństwa jest podstawą każdego procesu zarządzania podatnościami. Polega ona na sprawdzaniu usług, oprogramowania, konfiguracji i otwartych portów w różnych systemach informatycznych. Przedsiębiorstwa produkcyjne mają tutaj dodatkowy wymóg – skanowanie podatności nie może wpłynąć na produkcję ani jej zakłócać. Kluczowe znaczenie ma więc właściwa technologia i odpowiednia konfiguracja.
Kwalifikacja wykraczająca poza CVSS
W następnym kroku wykryte podatności należy ocenić i nadać im priorytety. Dobre rozwiązania UEM oferują już bazy danych z oceną ryzyka, takie jak CVSS (Common Vulnerability Scoring System). Jednak samo to rozwiązanie nie jest wystarczające. Aby wykonać rzetelną analizę ryzyka należy dodatkowo odpowiedzieć na pytania takie jak: od kiedy istnieje podatność? Czy nadal może być aktywnie wykorzystywana? Czy możliwe jest, aby skanowanie dało wynik fałszywie pozytywny, oznaczający, że luka nie ma wpływu na aktualnie zainstalowane oprogramowanie?
Eliminacja ryzyka krok po kroku
Uniwersalna zasada postępowania z lukami bezpieczeństwa nie istnieje, ponieważ różnią się one od siebie w różnych systemach. Podatności wysokiego ryzyka powinny zostać wyeliminowane
tak szybko, jak to możliwe. Pierwszym i najbardziej oczywistym krokiem jest zainstalowanie dostępnych łatek, najlepiej takich, które zostały zweryfikowane i
przetestowane. Pozwala to uniknąć problemów z kompatybilnością i wydajnością.
Jeśli łatki nie istnieją, można zastosować inne środki, takie jak zablokowanie zdalnego dostępu serwisowego do zagrożonych systemów lub odizolowanie ich w bezpiecznych segmentach
sieci. Jeśli ryzyko jest niskie, można rozważyć nakład czasu i środków na wyeliminowanie luki w stosunku do potencjalnych skutków i kosztów, gdyby napastnicy ją wykorzystali.
Dokumentacja, dashboard i raporty
Ostatnią, ale nie mniej ważną kwestią jest dokumentowanie wszystkich podatności. W tym miejscu przydają się dashboardy i raporty, które pokazują aktualny stan podatności. Pomoże to organizacji w dokumentowaniu procesów bezpieczeństwa i postępów w tym zakresie, a także w bieżącej ocenie ryzyka i trendów. Chodzi o to, aby być o krok przed cyberprzestępcami, traktując zarządzanie podatnościami jako istotny, ciągły i spójny proces identyfikacji i usuwania luk bezpieczeństwa.
Zarządzanie łatami jako integralna praktyka
Czym różni się zarządzanie podatnościami od zarządzania łatami? Te dwa elementy idą w parzew ramach solidnej strategii bezpieczeństwa IT i nie powinny istnieć bez siebie. Innymi słowy, zarządzanie podatnościami to proces. Zarządzanie łatami jest integralną praktyką w ramach tego procesu, mającą na celu likwidację zidentyfikowanych luk. Zautomatyzowane zarządzanie łatami w połączeniu z regularnym skanowaniem podatności minimalizuje czas przeznaczany przez personel IT na zarządzanie bezpieczeństwem cyfrowym i zmniejsza jego obciążenie pracą.
A więc co podatności mają wspólnego z popularną zabawą wielkanocną?
Zarządzanie podatnościami stanowi wartość dodaną dla każdej organizacji, ponieważ zmniejsza powierzchnię ataku i zwiększa bezpieczeństwo. Ustrukturyzowane i udokumentowane
praktyki zarządzania podatnościami są również wymagane do uzyskania certyfikatów, takich jak ISO 27001 lub TISAX, a także do uzyskania odpowiedniego i przystępnego cenowo ubezpieczenia od
ryzyk cyfrowych.
Natomiast jaki ma to związek ze wspomnianą już zabawą? Podatności trzeba szukać często z taką samą determinacją, skupieniem, energią i wyobraźnią, jak pisanki w Wielkanoc.
Dobra wiadomość - i zła - jest taka, że administratorom IT lub OT rzadko, jeśli w ogóle, zabraknie podatności do szukania.
baramundi wspiera sysadminów w tym procesie w biurowych środowiskach IT i produkcyjnych środowiskach OT za pomocą całościowego rozwiązania w postaci baramundi Management Suite.
Automatyczne rozpoznawanie słabych punktów i szybka instalacja patch´y
Więcej informacji na temat tego, jak skutecznie i efektywnie wyszukiwać luki bezpieczeństwa i w jaki sposób je eliminować znajdą Państwo w naszym bezpłatnym biuletynie informacyjnym.