Upravljanje ranjivostima je u povijesnoj perspektivi (ako
razdoblje od dvadesetak godina možemo nazvati poviješću) bilo ograničeno na
postupak mrežnog skeniranja, s mogućnošću otkrivanja ranjivosti uglavnom do
razine mrežnih servisa. Iako se skeniranje može provesti i putem autenticiranog
kanala i time otkriti puno više ranjivosti (pogledajte raniji tekst), takva se tehnika provodi razmjerno rijetko.
Stoga, ranjivosti se otkrivaju tek na površini računalnih resursa, eventualno, nakon
laganog grebanja, tek malo ispod površine. Neotkrivene ostaju brojne neugodne
sigurnosne rupe. Niti se o njima puno znalo, a još maje pričalo.
Napadači su do pojave naprednih prijetnji koristili iste
tehnike za kompromitaciju sustava, dakle tek one površinski vidljive
ranjivosti. No, priča se temeljito mijenja s pojavama naprednih računalnih
prijetnji. U novoj konstelaciji sukoba, žrtve idu napadačima a ne više napadači
na računala žrtve. Privlačne ali lažne mail poruke, zavodljivi Internet
servisi, malo neopreznije surfanje – jako malo je potrebno za preuzimanje
malicioznog implantata…
Napadači znaju da se sada moraju jače potruditi, nema više
lakih meta. No, potencijalni dobitak nije zanemariv, mogućnosti za daljnju
propagaciju su postaju gotovo neograničene. Osim toga, ekonomski model
kibernetičkog kriminala je izuzetno održiv, dodatno pojačan činjenicom da se
žrtve moraju puno više potruditi kako bi zatvorili sve rupe.
Ovakva promjena napadačke doktrine bila je znak da se mora
promijeniti i doktrina ojačanja sustava, pa je tako to bio i signal za promjenu
paradigme upravljanje računalnim ranjivostima kakvu smo poznavali godinama.
Umjesto periodičkog ali nisko frekventnog mrežnog skeniranja i tek rutinskog
izvještavanja, nastupilo je vrijeme za kontinuiranu (ili barem visokofrekventnu)
provjeru prisutnosti propusta, ali ne više samo onih površinskih. Umjesto
rutinskog izvještavanja i neučinkovitog "patchiranja", sada se nalazi
moraju rangirati prema realnim prijetnjama koje proizlaze iz utvrđenih
nedostataka. Umjesto kompleksnog procesa totalnog "patchiranja" za
koji smo nalazili sto razloga za odgađanje, sada se bez izuzetka moramo, ali i
možemo, fokusirati barem na one ključne ranjivosti, čije nam povezane prijetnje
kucaju na vrata.
Upravo je ovo tehnološki okvir unutar kojeg je Qualys prošle
godine uveo značajne inovacije u servisu za upravljanje ranjivostima
QualysGuard. Korištenje agenata za prikupljanje ranjivosti, uvedenih nekoliko
godina ranije (o čemu sam pisao ovdje), a naglasak
se sada daje na kvalitetnoj obradi i prezentaciji bogatih informacija koje su
agenti u stanju prikupiti, te na pružanju informacija koje omogućuju operativno
djelovanje. Upravljanje ranjivostima sada mora uključivati indikatore iz „cloud“
infrastrukture i kontejnerskih entiteta, a rezultati moraju biti primjenjivi
kako u upravljanju rizicima tako i u DevOps
procedure… Ove godine očekujte digitalnu
transformaciju procesa upravljanja ranjivostima.
Hvala :)
OdgovoriIzbriši