15.5.13

“Vulnerability Assessment” ili “Vulnerability Management” (1.dio)

Jedan od razloga zbog kojih je proces upravljanja informacijskim rizicima u svojevrsnom zastoju, a o čemu sam pisao u prethodnom tekstu, je i otežano donošenje objektivne i precizne ocjene o stanju ranjivosti informacijskog sustava. Takve se ocjene u praksi često donose paušalno (uostalom, kao i ocjene visine prijetnji) čime se i kroz percepciju rezultata procjene rizika provlači snažna nijansa paušalnosti.

Upoznatost s prisutnim računalnim ranjivostima važan je element, ne samo procjene rizika, nego i ukupnog programa sigurnosti informacijskog sustava. Ranjivosti informacijskog sustava mogu se prepoznati unutar proceduralno/organizacijskih mjera ili unutar korištenih tehničkih resursa. U ovom tekstu se bavim upravo tehničkim računalnim ranjivostima.

Tehničke ranjivosti mogu imati tri ishodišta.

Prva kategorija računalnih ranjivosti odnosi se na gotove aplikativne programe koji su izuzetno rasprostranjeni u suvremenoj informatici (sistemski programi i alati, korisnički programi, pomoćni programi…), a koje se instaliraju samo s nekoliko klikova – bez obzira jesu li komercijalnog, besplatnog, „open source“ ili nekog drugog porijekla. U takvim se programima programski propusti ili greške izuzetno česta pojava, a dolaze kako od pogrešnog ili površnog dizajna, tako i uslijed grešaka u programskom kodu. Takvi propusti se otklanjaju programskim popravcima ili novim verzijama programa, a u kritičnim i žurnim situacijama svojevrsnim zaobilaženjem ili čak privremenom obustavom ovih programa.

Druga kategorija računalnih ranjivosti se vezuje na mnoštvo konfiguracijskih postavki kojima određuje način rada gotovo svih operacijskih ili aplikativnih sustava, računala, mrežne opreme i svega onoga što se može nazvati računalni resurs. Ovdje zapravo ne govorimo o lošem dizajnu ili greškama  u izvedbi ovih sustava. Konfiguracijske postavke su legitiman način opisa ovih resursa, a s obzirom da zahtjevi korisnika mogu biti raznoliki, tako su i proizvođači predvidjeli šarolike postavke („za svakog ponešto“). Problem nastaje u onom trenutku kada proizvođači žele odgovoriti na različite apetite korisnika (npr. omogućiti jednostavnost ili funkcionalnost) zadržavanjem rizičnih postavki, što se u pravilu plaća nižom sigurnosti. Tako na primjer, legitimna postavka Windows računala (ili bilo kojeg drugog) omogućiti će vam pristup računalu lozinkom od samo četiri znaka ili čak bez lozinke, iako svaki imalo osvješteniji korisnik dobro zna da to povlači značajan rizik. Dodatni problem nastaje zbog toga što su problematične vrijednosti konfiguracijskih parametara često i polazne („default“) vrijednosti mnogih kritičnih funkcija ili mehanizama.

Treća kategorija računalnih ranjivosti nalazi se unutar web aplikacija. Web aplikacije sam izdvojio iz prve kategorije iz razloga što je proces razvoja a naročito testiranja vezan za same korisnike (što recimo kod razvoja Office programa ili web preglednika nije slučaj – to je u potpuno u nadležnosti autora programa odnosno tvrtki koji objavljuju gotove programske pakete), a samim time i izrade popravaka (iako postoje određeni izuzetci kod kojih su korisnicima ruke uglavnom vezane, npr. korištenje gotovih „content management“ sustava). Web aplikacije su i posebno kritične zato što one zauzimaju izloženu poziciju u javnom prostoru i izuzetno su zahvalne kao poligon brojnim anonimnim napadačima jer za malo truda mogu pružiti značajan dobitak.

Svaka od navedenih kategorija ima svoje specifičnosti, način manifestacije i tehniku iskorištavanje, no zajedničko im je značajna prisutnost u brojnim informacijskim sustavima, bilo na unutarnjem dijelu bilo na perimetarskom dijelu mreže. Napadači, naročito oni koji svoj rad temelje na uspješnom poslovnom modelu „cybercrime“ ekonomije znaju kako brzo i efikasno iskoristiti ove nedostatke. Stoga sigurnosne norme, najbolje prakse i regulatori jednoglasni: računalne ranjivosti se moraju otklanjati u najkraćem mogućem roku.

Nastavlja se...

Nema komentara: