8.6.22

"Vulnerability Management" - nekad i sad

U pripremi ovogodišnje korisničke konferencije Qualys Security Day, prisjetio sam se dolaska Qualys-a na hrvatsko tržište, u čemu sam neposredno sudjelovao. Bilo je to 2006. godine, mrežno skeniranje je bila jedina dostupna tehnika otkrivanja ranjivosti. Tipično, predmet interesa su bili mrežni poslužitelji, uglavnom perimetarski, a pretplate su obuhvaćale ne više od stotinjak poslužitelja, ponekad i znatno manje. Tipični driver koji je stajao iza „Vulnerability Management“ procesa bio je „Compliance“, a tek su rijetki korisnici bili vizionarski motivirani pravilnom percepcijom sigurnosnih rizika. Cyber prijetnje nisu imale ono značenje koje imaju danas.

Nadležnost „infosec“ odjela za računalne ranjivosti, ako smo uopće mogli govoriti o „infosec“ odjelima krajem prvog desetljeća ovog stoljeća, bila je tek izvještavanje o detektiranim ranjivostima, a zadatak njihovog otklanjanja je preusmjeravan na IT operativu. Primjena popravaka i/ili instalacije novih verzija softvera smatrala se uskom odgovornošću specijaliziranih timova (od operative, razvoja, help-deska…), a strah od neuspješne primjene popravaka, od prekida rada aplikacija nakon primjene novog popravka ili nakon promjene konfiguracijske postavke bio je puno veći od straha uzrokovanog pojavom sigurnosnih prijetnji, pa je i postupak primjene bio znatno sporiji.

A u ovih 16 godina (zapravo, konferenciju smo planirali na donekle okruglu obljetnicu u 2021. ali zbog poznatih uvjeta je događaj odgođen), došlo je do izuzetnih promjena na području računalnih prijetnji.

Krenimo od promjena koje su utjecale na povećanje visine rizika:

  • Perimetar se preselio sa stvarnog ruba mreže na unutarnji dio mreže. Sada ga čine osobna računala, ali i nove forme obrade podataka kroz kontejnere.
  • Broj ranjivosti rapidno raste iz godinu u godinu, način njihove detekciji postaje sve učinkovitiji, tako da i broj detektiranih ranjivosti postaje sve veći (npr. detekcija pomoću agenata kao što je Qualys Cloud Agent) 
  • Eksploatacija ranjivosti je postala ili dobro utemeljena industrijska djelatnost ili bogato sponzorirana državna agentura. Nekad dominantni hobisti tako su integrirani u sustav, uz redovite i obilne prihode, iako su poneki od njih prešli na svijetlu stranu.

Ukratko, „cyber“ prijetnje su pružile jasan razlog svog interesa za računalne ranjivosti.

Nažalost, disciplina upravljanja računalnim ranjivostima u novo-nastaloj situaciji nije pružila adekvatan odgovor, barem ne u onom ritmu kojeg su nametnule cyber prijetnje.  Nadležnost za primjenu popravaka i dalje ostaje u odjelima IT operative, uz sve njihove rezerve koje su postojale i ranije.

Promjene koje gore navodim nisu nimalo pomogle popraviti situaciju. Povećanje broja ranjivosti koje treba otkloniti samo je dodatno frustriralo timove iz IT operative. Frontalni i neselektivni pristup primjeni popravaka je pojačao uobičajenu, blago rečeno, rezervu koju IT operativa ima prema „compliance“ obavezama, kako ovi timovi primarno percipiraju proces primjene popravaka. Kombinirano s uobičajenim strahovima, to je zapravo značilo još nižu razinu učinkovitosti procesa primjene popravaka.

U isto vrijeme, „infosec“ odjeli se i dalje smatraju odgovornim u slučaju kada dođe do proboja cyber prijetnji, a s obzirom na sve veću frekvenciju cyber napada i sve veći broj ranjivosti koje ovi napadi iskorištavaju, sasvim je izvjesno da će CISO biti prva osoba čija će se glava tražiti nakon cyber incidenta.  

Ukratko: „infosec“ odjeli su izloženi puno nepovoljnijim posljedicama zbog sve izglednijih proboja cyber napada, a istovremeno su lišeni mogućnosti primjene jedne od najznačajnijih preventivnih mjera: efikasnog otklanjanja ranjivosti.

Izlaz iz takve situacije treba potražiti u sljedećoj doktrini:

  • „Infosec“ mora dobro poznavati cjeloviti obuhvat imovine izložene cyber prijetnjama (tradicionalni „Asset management“ procesi ne pružaju nužno adekvatnu razinu ažurnosti i detaljnosti, često su odvojeni od „infosec“ procesa, ponekad i nedostupni jer funkcioniraju po principu silosa)
  • Potrebno je prioritizirati detektirane ranjivosti sukladno prisutnosti Threat Intelligence faktora, kao što su prisutnost exploita, iskorištavanje ranjivosti u evidentiranim i ostvarenim prijetnjama, kumulativni potencijal detektirane ranjivosti (CVSS ipak pokazuje manjkavosti u odnosu na dosljednu primjenu ovih zahtjeva)…
  • Potrebno je prioritizirati ranjivosti s obzirom na značaj, smještaj te poslovni kontekst resursa na kojem je detektirana ranjivost…
  • Dobrodošlo je pružiti polugu (alat) „infosec“ odjelu za primjenu programskih popravaka i korekcija postavki

Cilj je provući sve detektirane ranjivosti kroz ljevak prema jasno definiranim kriterijima te izvući dio ranjivosti, možda tek desetinu u odnosu na ukupni broj, na koje se IT operativa mora fokusirati. Ovo je jako liješpo ilustrirano na sljedećoj slici (prema Transitioning to a Risk-based Approach to Cybersecurity):


I ne samo to: bilo bi dobro  „infosec“ odjelu dati alat koji će im omogućiti da se sami obračunaju s ovim ranjivostima. Qualys je objavio zanimljiv podataka: analizom vremena otklanjanja detektiranih ranjivosti utvrđeno je da korisnici koji primjenjuju popravke kroz modul Qualys Patch Management (sustav integriran s  Qualys VMDR modulom), popravke primjenjuju 60% brže u odnosu na korisnike koji upotrebljavaju suatve za primjenu popravaka koji nisu integirani s Vulnerability Management modulom.

Ova doktrina nas konačno vodi do mogućnosti stvarne kvantifikacije težine računalnih ranjivosti te do kvantifikacije rizika s obzirom na stvarno stanje ranjivosti i prisutni prijetnji. Primjenom ove doktrine, „infosec“ odjel odbacuju „compliance“ ruho, te postaje kreator odluka temeljenih na realnim rizicima. 

Qualys Cloud Platform je jedan od primjera na tržištu koje ukazuje na usvajanje navedene doktrine. Ova platforma kontinuirano uključuje nove module i nove sposobnosti, a upravljanje ranjivosti na temelju rizika postaje ključan mehanizam za provedbu „workflow-a“ ojačanja informacijskih sustava. 

A sve je krenulo od običnog skeniranja mreže prije dvadesetak godina…