Prvi dio teksta možete pročitati ovdje
Najjednostavnija mjera otklanjanja računalnih ranjivosti je povremen
pregled računalne mreže i resursa priključenih na mrežu a u cilju identifikacije
ranjivosti unutar vlastite okoline. Ovaj postupak je poznat pod imenom “Vulnerability Assessment” – procjena
ranjivosti. Postupak je relativno jednostavan: mora se koristiti koliko-toliko
ugledan i pouzdan alat s odgovarajućom tehnikom detektiranja ranjivosti, npr.
mrežnim skeniranjem, a iza čega stoje i značajne istraživačko/razvojne
aktivnosti. Osoba zadužena za pregled sustava detektirati će nedostatke i dati
nalog za njihovo otklanjanje. Ničeg jednostavnijeg, zar ne? U praksi su stvari
ipak drugačije, iz dva razloga.
Prvo, otkrivanje ranjivosti je aktivnost odvojena od procesa
primjene popravka, iako međusobne postoje. Drugo, osobe koje skeniraju mrežu i
otkrivaju ranjivosti u praksi nemaju autoritet dati nalog za žurnu primjenu
popravaka niti pozivati na red zbog neprimjenjivanja popravaka. Osobe koje
možda imaju odgovarajući autoritet, ovakve će zahtjeve vrlo brzo premjeriti
drugim pogledima na rizike izbljeđujući kritičnost nedostataka i izloženost
prijetnjama. Na koncu, postoje i mnogi manje ili više opravdani razlozi za
odgađanje popravaka – od njihovog nedostatka, preko ograničenih ljudskih
resursa za cjelovitu promjenu pa do imperativa neprekinutog rada servera i
aplikacije koji ne dozvoljavaju bilo kakvo iznenađenje. Stoga, kakva god se tehnika
i metodologija procjene ranjivosti
koristila, u praksi nam ostaju brojni računalni propusti i ranjivosti.
Zapravo, glavni cilj u postupku procjene računalnih
ranjivosti nije njihovo žurno otklanjanje već njihovo dobro prepoznavanje,
vrednovanje i prioritizacija, a što se postiže procesom upravljanja računalnim
ranjivostima – „Vulnerability
Management“.
Ovaj proces obuhvaća gore definiranu procjenu ranjivosti i nadovezuje
se na glavni rezultat ovog postupka – identifikaciju ranjivosti unutar
informacijskog sustava. Umjesto ultimativnog očekivanja provedbe potrebnih
popravaka, na scenu stupa uravnotežen pristup koji se temelji na određivanju
prioriteta primjene popravaka uvažavanjem dvaju faktora: kritičnosti/težini
otkrivenih programskih propusta i poslovnom značaju resursa na kojemu je
utvrđen programski propust.
Valja istaknuti i specifične elemente ovog procesa:
- Identifikacija ranjivosti mora uključivati i njegovu verifikaciju, dakle eliminaciju svih lažnih alarma i pogrešnih indikatora. To se postiže korištenjem profesionalnih alata ali i primjenom posebnih tehnika skeniranja koji osiguravaju dubinski uvid i točnost utvrđenih nalaza.
- Potrebno je sagledati i pojedine značajke utvrđenih ranjivosti – način i stupanj jednostavnosti njihovog iskorištavanja, posljedice do kojih bi moglo doći njihovim iskorištavanjem, razmjere prisutnosti u vašoj okolini. Osobito je važno uzeti u obzir eventualnu dostupnost scenarij iskorištavanja (Exploit), a naročito ako je ovaj scenarij slobodno dostupan i primjenjiv i „laicima“ kakvih ima u svakom poslovnom okruženju.
- Potrebno je procijeniti i mogućnost primjene popravaka – ne samo kroz dostupnost službenog popravka nego i kroz izostanak eventualnih prepreka za njihovu primjenu, najčešće uvjetovanih produkcijskim uvjetima za odgodu primjene popravaka ili nemogućnošću pouzdanog testiranja novih popravaka.
Većinu navedenih faktora moguće je utvrditi iz informacija o
pojedinim ranjivostima, a dobar alat za procjenu ranjivosti mora sadržavati
većinu traženih informacija. Takvi sustavi sadrže i kategorizaciju kritičnosti
pojedinih ranjivosti, no predlažem uzeti u obzir i sustav ocjenjivanja prema
radnom okviru „Common Vulnerability
Scoring System“ (CVSS).
Po preciznoj valorizaciju svake utvrđene računalne
ranjivosti može se pristupiti i sljedećem koraku: dodjeli zadataka nadležnim
osobama za njihovo otklanjanje primjenom popravaka ili, alternativno, provedbom
odgovarajućih kompenzacijskih mjera. Dodjela zadataka podrazumijeva preciznu
definiciju rokova, a rok rješavanja će biti sukladan prije utvrđenoj
kritičnosti ranjivosti. Na ovom mjestu važna su i svojstva sustava za
upravljanje ranjivostima koje koristite: poželjno je postojanje mehanizma koji
će automatski donositi ocjene prema gore navedenim kriterijima te upućivati
radne naloge pravoj osobi uz odgovarajuće rokove.
Konačno, preostaje i ona nadzorna faza kroz koju se redovito
prati postupak primjene popravaka, o čemu se izvještavaju nadležne osobe,
uključujući i najviše rukovodstvo.
Dakle, proces za upravljanje računalnim ranjivostima davno
je prerastao mogućnosti alata za skeniranje mreže, a informatička potpora ovom
procesu moguća je samo korištenjem složenih aplikativnih sustava u kojemu će
važnu ulogu, pored tehnika otkrivanja ranjivosti, imati i odgovarajuća baza
podataka, analitičko/izvještajne mogućnosti i višekorisnički sustav za dodjelu
i praćenje naloga za provedbu promjena.
Nema komentara:
Objavi komentar