22.5.13

“Vulnerability Assessment” ili “Vulnerability Management” (2. dio)


Prvi dio teksta možete pročitati ovdje

Najjednostavnija mjera otklanjanja računalnih ranjivosti je povremen pregled računalne mreže i resursa priključenih na mrežu a u cilju identifikacije ranjivosti unutar vlastite okoline. Ovaj postupak je poznat pod imenom “Vulnerability Assessment” – procjena ranjivosti. Postupak je relativno jednostavan: mora se koristiti koliko-toliko ugledan i pouzdan alat s odgovarajućom tehnikom detektiranja ranjivosti, npr. mrežnim skeniranjem, a iza čega stoje i značajne istraživačko/razvojne aktivnosti. Osoba zadužena za pregled sustava detektirati će nedostatke i dati nalog za njihovo otklanjanje. Ničeg jednostavnijeg, zar ne? U praksi su stvari ipak drugačije, iz dva razloga.

Prvo, otkrivanje ranjivosti je aktivnost odvojena od procesa primjene popravka, iako međusobne postoje. Drugo, osobe koje skeniraju mrežu i otkrivaju ranjivosti u praksi nemaju autoritet dati nalog za žurnu primjenu popravaka niti pozivati na red zbog neprimjenjivanja popravaka. Osobe koje možda imaju odgovarajući autoritet, ovakve će zahtjeve vrlo brzo premjeriti drugim pogledima na rizike izbljeđujući kritičnost nedostataka i izloženost prijetnjama. Na koncu, postoje i mnogi manje ili više opravdani razlozi za odgađanje popravaka – od njihovog nedostatka, preko ograničenih ljudskih resursa za cjelovitu promjenu pa do imperativa neprekinutog rada servera i aplikacije koji ne dozvoljavaju bilo kakvo iznenađenje. Stoga, kakva god se tehnika i metodologija procjene ranjivosti   koristila, u praksi nam ostaju brojni računalni propusti i ranjivosti. 

Zapravo, glavni cilj u postupku procjene računalnih ranjivosti nije njihovo žurno otklanjanje već njihovo dobro prepoznavanje, vrednovanje i prioritizacija, a što se postiže procesom upravljanja računalnim ranjivostima –  „Vulnerability Management“. 

Ovaj proces obuhvaća gore definiranu procjenu ranjivosti i nadovezuje se na glavni rezultat ovog postupka – identifikaciju ranjivosti unutar informacijskog sustava. Umjesto ultimativnog očekivanja provedbe potrebnih popravaka, na scenu stupa uravnotežen pristup koji se temelji na određivanju prioriteta primjene popravaka uvažavanjem dvaju faktora: kritičnosti/težini otkrivenih programskih propusta i poslovnom značaju resursa na kojemu je utvrđen programski propust. 

Valja istaknuti i specifične elemente ovog procesa:

  • Identifikacija ranjivosti mora uključivati i njegovu verifikaciju, dakle eliminaciju svih lažnih alarma i pogrešnih indikatora. To se postiže korištenjem profesionalnih alata ali i primjenom posebnih tehnika skeniranja koji osiguravaju dubinski uvid i točnost utvrđenih nalaza.
  • Potrebno je sagledati i pojedine značajke utvrđenih ranjivosti – način i stupanj jednostavnosti njihovog iskorištavanja, posljedice do kojih bi moglo doći njihovim iskorištavanjem, razmjere prisutnosti u vašoj okolini. Osobito je važno uzeti u obzir eventualnu dostupnost scenarij iskorištavanja (Exploit), a naročito ako je ovaj scenarij slobodno dostupan i primjenjiv i „laicima“ kakvih ima u svakom poslovnom okruženju.
  • Potrebno je procijeniti i mogućnost primjene popravaka – ne samo kroz dostupnost službenog popravka nego i kroz izostanak eventualnih prepreka za njihovu primjenu, najčešće uvjetovanih produkcijskim uvjetima za odgodu primjene popravaka ili nemogućnošću pouzdanog testiranja novih popravaka.

Većinu navedenih faktora moguće je utvrditi iz informacija o pojedinim ranjivostima, a dobar alat za procjenu ranjivosti mora sadržavati većinu traženih informacija. Takvi sustavi sadrže i kategorizaciju kritičnosti pojedinih ranjivosti, no predlažem uzeti u obzir i sustav ocjenjivanja prema radnom okviru  „Common Vulnerability Scoring System“ (CVSS).  

Po preciznoj valorizaciju svake utvrđene računalne ranjivosti može se pristupiti i sljedećem koraku: dodjeli zadataka nadležnim osobama za njihovo otklanjanje primjenom popravaka ili, alternativno, provedbom odgovarajućih kompenzacijskih mjera. Dodjela zadataka podrazumijeva preciznu definiciju rokova, a rok rješavanja će biti sukladan prije utvrđenoj kritičnosti ranjivosti. Na ovom mjestu važna su i svojstva sustava za upravljanje ranjivostima koje koristite: poželjno je postojanje mehanizma koji će automatski donositi ocjene prema gore navedenim kriterijima te upućivati radne naloge pravoj osobi uz odgovarajuće rokove.
Konačno, preostaje i ona nadzorna faza kroz koju se redovito prati postupak primjene popravaka, o čemu se izvještavaju nadležne osobe, uključujući i najviše rukovodstvo. 

Dakle, proces za upravljanje računalnim ranjivostima davno je prerastao mogućnosti alata za skeniranje mreže, a informatička potpora ovom procesu moguća je samo korištenjem složenih aplikativnih sustava u kojemu će važnu ulogu, pored tehnika otkrivanja ranjivosti, imati i odgovarajuća baza podataka, analitičko/izvještajne mogućnosti i višekorisnički sustav za dodjelu i praćenje naloga za provedbu promjena.

15.5.13

“Vulnerability Assessment” ili “Vulnerability Management” (1.dio)

Jedan od razloga zbog kojih je proces upravljanja informacijskim rizicima u svojevrsnom zastoju, a o čemu sam pisao u prethodnom tekstu, je i otežano donošenje objektivne i precizne ocjene o stanju ranjivosti informacijskog sustava. Takve se ocjene u praksi često donose paušalno (uostalom, kao i ocjene visine prijetnji) čime se i kroz percepciju rezultata procjene rizika provlači snažna nijansa paušalnosti.

Upoznatost s prisutnim računalnim ranjivostima važan je element, ne samo procjene rizika, nego i ukupnog programa sigurnosti informacijskog sustava. Ranjivosti informacijskog sustava mogu se prepoznati unutar proceduralno/organizacijskih mjera ili unutar korištenih tehničkih resursa. U ovom tekstu se bavim upravo tehničkim računalnim ranjivostima.

Tehničke ranjivosti mogu imati tri ishodišta.

Prva kategorija računalnih ranjivosti odnosi se na gotove aplikativne programe koji su izuzetno rasprostranjeni u suvremenoj informatici (sistemski programi i alati, korisnički programi, pomoćni programi…), a koje se instaliraju samo s nekoliko klikova – bez obzira jesu li komercijalnog, besplatnog, „open source“ ili nekog drugog porijekla. U takvim se programima programski propusti ili greške izuzetno česta pojava, a dolaze kako od pogrešnog ili površnog dizajna, tako i uslijed grešaka u programskom kodu. Takvi propusti se otklanjaju programskim popravcima ili novim verzijama programa, a u kritičnim i žurnim situacijama svojevrsnim zaobilaženjem ili čak privremenom obustavom ovih programa.

Druga kategorija računalnih ranjivosti se vezuje na mnoštvo konfiguracijskih postavki kojima određuje način rada gotovo svih operacijskih ili aplikativnih sustava, računala, mrežne opreme i svega onoga što se može nazvati računalni resurs. Ovdje zapravo ne govorimo o lošem dizajnu ili greškama  u izvedbi ovih sustava. Konfiguracijske postavke su legitiman način opisa ovih resursa, a s obzirom da zahtjevi korisnika mogu biti raznoliki, tako su i proizvođači predvidjeli šarolike postavke („za svakog ponešto“). Problem nastaje u onom trenutku kada proizvođači žele odgovoriti na različite apetite korisnika (npr. omogućiti jednostavnost ili funkcionalnost) zadržavanjem rizičnih postavki, što se u pravilu plaća nižom sigurnosti. Tako na primjer, legitimna postavka Windows računala (ili bilo kojeg drugog) omogućiti će vam pristup računalu lozinkom od samo četiri znaka ili čak bez lozinke, iako svaki imalo osvješteniji korisnik dobro zna da to povlači značajan rizik. Dodatni problem nastaje zbog toga što su problematične vrijednosti konfiguracijskih parametara često i polazne („default“) vrijednosti mnogih kritičnih funkcija ili mehanizama.

Treća kategorija računalnih ranjivosti nalazi se unutar web aplikacija. Web aplikacije sam izdvojio iz prve kategorije iz razloga što je proces razvoja a naročito testiranja vezan za same korisnike (što recimo kod razvoja Office programa ili web preglednika nije slučaj – to je u potpuno u nadležnosti autora programa odnosno tvrtki koji objavljuju gotove programske pakete), a samim time i izrade popravaka (iako postoje određeni izuzetci kod kojih su korisnicima ruke uglavnom vezane, npr. korištenje gotovih „content management“ sustava). Web aplikacije su i posebno kritične zato što one zauzimaju izloženu poziciju u javnom prostoru i izuzetno su zahvalne kao poligon brojnim anonimnim napadačima jer za malo truda mogu pružiti značajan dobitak.

Svaka od navedenih kategorija ima svoje specifičnosti, način manifestacije i tehniku iskorištavanje, no zajedničko im je značajna prisutnost u brojnim informacijskim sustavima, bilo na unutarnjem dijelu bilo na perimetarskom dijelu mreže. Napadači, naročito oni koji svoj rad temelje na uspješnom poslovnom modelu „cybercrime“ ekonomije znaju kako brzo i efikasno iskoristiti ove nedostatke. Stoga sigurnosne norme, najbolje prakse i regulatori jednoglasni: računalne ranjivosti se moraju otklanjati u najkraćem mogućem roku.

Nastavlja se...

2.5.13

“Hype Cycle” procesa upravljanja informacijskim rizicima

Je li proces upravljanja informacijskim rizicima ispunio očekivanja koja su pred ovu disciplinu postavljena prije desetak godina, kada je sazrijevala svijest o tome da se odluka o pokretanju sigurnosnih inicijativa mora usklađivati s potencijalnim poslovnim gubicima, pri čemu zadnju riječ ima uprava organizacije? Posebno me zanima odgovor na ovo pitanje u našem domaćem okruženju.

S obzirom da se u vlastitom profesionalnom radu direktno ili indirektno referiram na proces upravljanja informacijskim rizicima (što je u značajnom razdoblju ovog rada popraćeno i tekstovima na ovom blogu), odgovor na ovo pitanje odrediti ću primjenom krivulje poznate kao “Hype Cycle” na prihvaćenost procesa upravljanja informacijskim rizicima u našem okruženju.

“Hype Cycle” je osobito poznat iz analiza tvrtke Gartner i jedan je od najutjecajnijih alata kada se govori o trendovima u informacijskim tehnologijama (dijeli prvo mjesto s poznatim kvadrantom iste tvrtke). Hype Cycle je krivulja kojom se opisuje status određenog područja informacijskih tehnologija na tržištu kroz procjenu prihvaćenosti i zrelosti korištenja ovih tehnologija. Gartner primjenjuje ovu procjenu na gotovo sve trendove u informacijskim tehnologijama, bilo da se radi o obećavajućim tehnologijama u nastanku ili već etabliranim i dokazanim trendovima.

“Hype Cycle” je prikazan na slici  koja se nalazi nekoliko poglavlja niže, a možemo ga protumačiti prema opisu iz nastavka teksta.

Trenutak uvođenja nove tehnologije i generiranja/izazivanja inicijalne potrebe za ovom tehnologijom naziva se “Technology Trigger”. Djelovanjem niza faktora (od poslovnih zahtjeva, medijske promidžbe pa do regulatornog inzistiranja) te uspješnim stvaranjem svijesti o potrebi, očekivanja od novih tehnologija će dosegnuti svoj zvjezdani trenutak (“Peak of Inflated Expectations”). Ubrzo potom, balon očekivanja se ispuhuje i status novih tehnologija pada u suprotnu točku (“Trough of Disillusionment”). Mnoge tehnologije neće dosegnuti ni inicijalni vrhunac, a naročito će se teško izvući i iz suprotne faze. Ipak, odlika stabilnih i opravdanih tehnologija je postupni prelazak u fazu zrele upotrebe. Faza “Slope of Elightenment” označava razdoblje u kojem se naknadno potvrđuju nove inačice neke tehnologije ili u kojem se percepcija tržišta mijenja pozitivno u odnosu na tehnologiju. Na koncu, imamo i fazu "Plateau of Productivity"  u kojoj se u potpunosti etablira upotreba određene tehnologije.

Naravno, proces upravljanja informacijskim rizicima nije tehnologija pa se može donekle osporiti primjena “Hypy Cycle” krivulje u ovom slučaju, no smatram da se ovim modelom može djelotvorno opisati percepcija informacijskih rizika u našem okruženju.

“Hype Cycle” upravljanja informacijskim rizicima (u hrvatskom okruženju i osobito u bankarskom sektoru) prikazan je na sljedećoj slici:





Na našoj krivulji vidimo tri glavne točke, pomoću kojih sam proces upravljana informacijskim rizicima smjestio u određena vremenska razdoblja.

Točka 1. (“Technology Trigger”) seže u 2007. i označava razdoblje u kojem tema informacijskih rizika postaje redovita tema mnogih diskusija o informacijskoj sigurnosti. Nekoliko je momenata bilo zaslužno za takvu promociju - praktične aktivnosti na provedbi procesa primjene normi ISO 27001, te osobito aktivnosti HNB-a na uvođenju mjera informacijske sigurnosti u hrvatskim bankama (prema dokumentima Smjernice za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. i Odluka o primjerenom upravljanju informacijskim sustavom iz 2007.).

Početni entuzijazama rezultirao je svojevrsnim vrhuncem ove problematike koju vidimo u točki 2. (“Peak of Inflated Expectations”) a smjestili smo je u 2011. godinu. Ova je faza označena ili barem najavljena novom verzijom Odluka HNB-a o primjerenom upravljanju informacijskim sustavom iz 2010. te sve većom agilnošću regulatora, unutarnjih i vanjskih revizora, ali i pojačanom svijesti osoba zaduženih za informacijsku sigurnost u našim bankama.

Ipak, dvije godine kasnije možemo reći da je proces upravljanja informacijskim rizicima dosegao ili ubrzano dosiže suprotnu fazu prikazanu točkom 3. ("Trough of Disillusionment"). Nadam se da mi kolege neće zamjeriti na negativnoj percepciji ove discipline, no moj se zaključak temelji na uočenoj činjenici da upravljanje rizicima informacijskog sustava nije nikad postao dio mainstream aktivnosti poslovnog rukovodstva, već isključivo specifična zadaća stručnih informatičkih službi.

Zanimljiva je uloga i regulatornih akata (mislim prije svega na dokument HNB-a Odluka o primjerenom upravljanju informacijskim sustavom). Dvije verzije ovog dokumenta (iz 2006. i 2010.) imale su najznačajnije promjene upravo u poglavlju koji opisuje upravljanje informacijskim rizicima. Dok je u prvoj verziji upravljanje rizicima bilo opisano na tragu prethodno donesenih Smjernica za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. a disciplina upravljanja rizicima je definirana sukladno standardnoj profesionalnoj praksi (npr. prema normi ISO 27001), druga verzija Odluke o primjerenom upravljanju informacijskim sustavom iz 2010. integrira upravljanje rizicima informacijskog sustava sa sveobuhvatnim procesom upravljanja rizicima kojima je izloženo bankarsko poslovanje i sa sustavom unutarnjih kontrola (dakle, bliže “Enterpirse Risk Management” okviru). Smatram da je ovaj pomak izuzetno važan i da na pravi način repozicionira upravljanje informacijskim rizicima. Na žalost, praksa za sada ne slijedi ove trendove pa je upravljanje informacijskim rizicima još uvijek proces izdvojen od ukupnog upravljanja rizicima poslovanja. Rezultati procjene informacijskih rizika za sada još uvijek ne koriste jezik managementa za plastični prikaz mogućih rizika, a management ionako ove rezultate ne vidi kao vlastito štivo.

Određenu krivnju za ovakav status ima i tek formalno prihvaćanje “kulture usklađenosti” kojom se kao glavni cilj postavlja prihvaćenost od strane regulatora, a ne napredak stanja sigurnosti i redukcije rizika informacijskih tehnologija.

Postoje i drugi razlozi za takvu percepciju upravljanja informacijskim rizicima, koji pojedinačno možda nemaju kritičan utjecaj, ali njihovo kumulirano djelovanje je veoma vidljivo: nemogućnost i nesposobnost prave procjene vrijednosti informacijske imovine, nemogućnost ili nesposobnost procjene stvarne visine prijetnji kojima je izložena informacijska imovina (naročito onih prijetnji koje sadrže određenu razinu dodijeljenog povjerenja), neprepoznavanje stvarnih događaja ugrožavanja informacijske imovine...

Stručnjaci u čijoj je nadležnosti upravljanje rizicima morali bi svakako približiti opis informacijskih rizika svakodnevnom jeziku managementa, a argumentaciju potkrijepiti stvarnim i dubinskim podacima o stanju informacijskog sustava, te odgovarajućom metrikom.

“Enterprise risk management” koji predstavlja suštinu sveobuhvatnih upravljanja rizicima u bankarskom poslovanju i kojemu se mora prilagoditi upravljanje informacijskim rizicima je posebna tema i zahtijeva puno više mjesta za analizu, a vjerujem i da managementu treba vremena za uhodavanje svih procesa. Ipak, ako se vratimo na “Hype Cycle”, smatram da upravljanje informacijskim rizicima može i mora krenuti prema fazi “Plateau of Productivity".