22.5.13

“Vulnerability Assessment” ili “Vulnerability Management” (2. dio)


Prvi dio teksta možete pročitati ovdje

Najjednostavnija mjera otklanjanja računalnih ranjivosti je povremen pregled računalne mreže i resursa priključenih na mrežu a u cilju identifikacije ranjivosti unutar vlastite okoline. Ovaj postupak je poznat pod imenom “Vulnerability Assessment” – procjena ranjivosti. Postupak je relativno jednostavan: mora se koristiti koliko-toliko ugledan i pouzdan alat s odgovarajućom tehnikom detektiranja ranjivosti, npr. mrežnim skeniranjem, a iza čega stoje i značajne istraživačko/razvojne aktivnosti. Osoba zadužena za pregled sustava detektirati će nedostatke i dati nalog za njihovo otklanjanje. Ničeg jednostavnijeg, zar ne? U praksi su stvari ipak drugačije, iz dva razloga.

Prvo, otkrivanje ranjivosti je aktivnost odvojena od procesa primjene popravka, iako međusobne postoje. Drugo, osobe koje skeniraju mrežu i otkrivaju ranjivosti u praksi nemaju autoritet dati nalog za žurnu primjenu popravaka niti pozivati na red zbog neprimjenjivanja popravaka. Osobe koje možda imaju odgovarajući autoritet, ovakve će zahtjeve vrlo brzo premjeriti drugim pogledima na rizike izbljeđujući kritičnost nedostataka i izloženost prijetnjama. Na koncu, postoje i mnogi manje ili više opravdani razlozi za odgađanje popravaka – od njihovog nedostatka, preko ograničenih ljudskih resursa za cjelovitu promjenu pa do imperativa neprekinutog rada servera i aplikacije koji ne dozvoljavaju bilo kakvo iznenađenje. Stoga, kakva god se tehnika i metodologija procjene ranjivosti   koristila, u praksi nam ostaju brojni računalni propusti i ranjivosti. 

Zapravo, glavni cilj u postupku procjene računalnih ranjivosti nije njihovo žurno otklanjanje već njihovo dobro prepoznavanje, vrednovanje i prioritizacija, a što se postiže procesom upravljanja računalnim ranjivostima –  „Vulnerability Management“. 

Ovaj proces obuhvaća gore definiranu procjenu ranjivosti i nadovezuje se na glavni rezultat ovog postupka – identifikaciju ranjivosti unutar informacijskog sustava. Umjesto ultimativnog očekivanja provedbe potrebnih popravaka, na scenu stupa uravnotežen pristup koji se temelji na određivanju prioriteta primjene popravaka uvažavanjem dvaju faktora: kritičnosti/težini otkrivenih programskih propusta i poslovnom značaju resursa na kojemu je utvrđen programski propust. 

Valja istaknuti i specifične elemente ovog procesa:

  • Identifikacija ranjivosti mora uključivati i njegovu verifikaciju, dakle eliminaciju svih lažnih alarma i pogrešnih indikatora. To se postiže korištenjem profesionalnih alata ali i primjenom posebnih tehnika skeniranja koji osiguravaju dubinski uvid i točnost utvrđenih nalaza.
  • Potrebno je sagledati i pojedine značajke utvrđenih ranjivosti – način i stupanj jednostavnosti njihovog iskorištavanja, posljedice do kojih bi moglo doći njihovim iskorištavanjem, razmjere prisutnosti u vašoj okolini. Osobito je važno uzeti u obzir eventualnu dostupnost scenarij iskorištavanja (Exploit), a naročito ako je ovaj scenarij slobodno dostupan i primjenjiv i „laicima“ kakvih ima u svakom poslovnom okruženju.
  • Potrebno je procijeniti i mogućnost primjene popravaka – ne samo kroz dostupnost službenog popravka nego i kroz izostanak eventualnih prepreka za njihovu primjenu, najčešće uvjetovanih produkcijskim uvjetima za odgodu primjene popravaka ili nemogućnošću pouzdanog testiranja novih popravaka.

Većinu navedenih faktora moguće je utvrditi iz informacija o pojedinim ranjivostima, a dobar alat za procjenu ranjivosti mora sadržavati većinu traženih informacija. Takvi sustavi sadrže i kategorizaciju kritičnosti pojedinih ranjivosti, no predlažem uzeti u obzir i sustav ocjenjivanja prema radnom okviru  „Common Vulnerability Scoring System“ (CVSS).  

Po preciznoj valorizaciju svake utvrđene računalne ranjivosti može se pristupiti i sljedećem koraku: dodjeli zadataka nadležnim osobama za njihovo otklanjanje primjenom popravaka ili, alternativno, provedbom odgovarajućih kompenzacijskih mjera. Dodjela zadataka podrazumijeva preciznu definiciju rokova, a rok rješavanja će biti sukladan prije utvrđenoj kritičnosti ranjivosti. Na ovom mjestu važna su i svojstva sustava za upravljanje ranjivostima koje koristite: poželjno je postojanje mehanizma koji će automatski donositi ocjene prema gore navedenim kriterijima te upućivati radne naloge pravoj osobi uz odgovarajuće rokove.
Konačno, preostaje i ona nadzorna faza kroz koju se redovito prati postupak primjene popravaka, o čemu se izvještavaju nadležne osobe, uključujući i najviše rukovodstvo. 

Dakle, proces za upravljanje računalnim ranjivostima davno je prerastao mogućnosti alata za skeniranje mreže, a informatička potpora ovom procesu moguća je samo korištenjem složenih aplikativnih sustava u kojemu će važnu ulogu, pored tehnika otkrivanja ranjivosti, imati i odgovarajuća baza podataka, analitičko/izvještajne mogućnosti i višekorisnički sustav za dodjelu i praćenje naloga za provedbu promjena.

Nema komentara: