Děkujeme za váš zájem...

Zranitelnosti

v ICT prostředí a jejich řízení

Co je to obecně zranitelnost víme, každý člověk je zranitelný například vůči virům, úrazům, ale zranitelný nemusí být jen člověk. Zranitelnosti mají také neživé objekty, jako například budova, kancelář (chybí zámek na dveřích, nemáme budovu oplocenou) – a všechny tyto zranitelnosti nám zvyšují rizika, že se nám, nebo našemu majetku něco přihodí. Zjednodušeně řečeno, zranitelnost je slabé místo, nedostatek, který může být využit k útoku.

MÁM ZÁJEM O TUTO SLUŽBU

Děkujeme za váš zájem...

Více

Chyby nejsou jen v softwaru

Z pohledu ICT produktů se většinou jedná o chybu v samotném kódu programu, která vznikla během vývoje nebo také při aktualizacích. Můžeme se s nimi setkat téměř všude. tvůrci programů se při vývoji snaží dbát na to, aby nezavedli neúmyslně chyby, ale žádný produkt není tak dokonalý, aby nepotřeboval v průběhu své životnosti aktualizace.

Zranitelnosti ale nemusejí být jen SW chyby. Mohou to být špatné konfigurace jako např. defaultní nastavení, stará nebo slabá hesla, otevřené porty, neautorizované nebo neočekávané instalace SW, služeb, systémů, neznámá zařízení v síti, odchylky nebo nesoulad s vnitřními předpisy apod.

Existuje přes bilion vzorů malware a stále přibývají. Známých zranitelností je nyní okolo 170 000, ale zranitelností nejčastěji používaných v exploitech konkrétních malware je jen okolo 800. Vyhledáním a odstraněním několika málo zranitelností v síti tak pokryjeme obrovské množství potencionálních rizik z malware útoků.

Videa – zranitelnosti

Podívejte se na naše videa, která jsme na téma Zranitelnosti pro vás připravili.

Zranitelnosti – obecně a konkrétně

Zranitelnosti – proč je potřeba je znát a co na to říká legislativa

Zranitelnosti – obecně a konkrétně

Zranitelnosti – proč je potřeba je znát a co na to  legislativa

Zůstaňte krok před útočníky:

Každá společnost by měla řídit rizika, ať už z důvodu legislativních (ISO, GDPR, ZKB), nebo řekněme z pudu sebezáchovy. Bezpečnost IT není stav, je to dynamický proces, a řízení zranitelností je jeho součástí. Jen pokud víte, kde jsou vaše slabiny, můžete s nimi něco udělat.
detailní popis

Testování zranitelností

Začátkem řízení rizik by měla být jejich analýza. Znalost našich aktiv a jejich zranitelností a hrozeb je neodmyslitelnou součástí tohoto procesu.  

Testování zranitelností můžeme rozdělit do dvou podobných, ale přitom odlišných procesů. Výrazně se liší v úseku zjišťování  zranitelných míst.

Vulnerability Assessment

posouzení zranitelností

je jednorázové testování a porovnání nalezených zranitelností oproti databázi známých zranitelností. V případě VA vytvoříme inventarizační seznam zařízení, která máme v síti, a porovnáme jej s dostupným seznamem zranitelností. Ve většině VA systémech nedochází k opravdovému testování zranitelností a tím pádem ke zjištění, jestli se mne daná zranitelnost týká či nikoliv, případně jak moc jsme na konkrétní zranitelnost náchylní. Výsledkem je tak velké množství zranitelností, kterými se musíme zabývat nehledě na to, zda jsme na konkrétní zranitelnost opravdu náchylní. Problémem u penetračních testů může být také periodicita, kdy se tyto testy provádějí ve větších organizacích v řádů jednotek testů za rok a někdy i méně. Což je s přihlédnutím k počtu nových zranitelností v průběhu roku nedostačující.

Vulnerability Management

řízení zranitelností

Oproti VA nejenže provádí testování zranitelností, ale začleňuje ho do kompletního a opakujícího se procesu. Na začátku procesu je příprava, kde určíme rozsah a naplánujeme celý proces řízení zranitelností. Dále identifikujeme/rozpoznáme zařízení a systémy v síti a zároveň klasifikujeme konkrétní zranitelnosti u konkrétních systémů a zařízení. Následně tyto zranitelnosti prioritizujeme podle závažnosti a přidělíme konkrétní zranitelnosti lidem, kteří jsou zodpovědní za jejich zmírnění a nápravu. Zjištěné výsledky uložíme, abychom se k nim mohli později vracet pro účely například rozdílových reportů. Celý tento proces se pravidelně opakuje a vylepšuje, což je cílem správného řízení zranitelností.

Další informace detailního popisu

Databáze a hodnocení zranitelností

Databáze zranitelností

Pro lepší orientaci a přehled zranitelností existuje tzv. National Vulnerability Database (NVD). Tato databáze
je úložištěm údajů o zranitelnostech založených na standardech a protokolech SCAP (Security Content
Automation Protocol). Informace v databázi umožňují automatizaci správy zranitelností, měření zabezpečení
a dodržování předpisů. NVD zahrnuje databáze kontrolních seznamů zabezpečení, softwarové chyby
související se zabezpečením, nesprávné konfigurace, názvy produktů a dopadové metriky.

NVD provádí analýzu na základě informací z publikovaných zranitelností tzv. CVE.

 

Hodnocení zranitelností

Výsledkem informací z popisu zranitelností a jakýchkoliv doplňujících údajů, které lze v dané době získat,
je mimo jiné CVSS (Common Vulnerability Scoring System - CVSS). CVSS je standard, který definuje systém
na výpočet skóre závažnosti zranitelnosti na základě charakteristik systému a prostředí. Závažnost
konkrétní zranitelnosti můžeme vyjádřit slovně, nebo také pomocí skóre od 0 do 10.

RatingCVVS Score
None0.0
Low0.1 – 3.9
Medium4.0 – 6.9
High7.0 – 8.9 
Critical9.0  – 10.0 
Řešení a jeho cíle

Vulnerability Management

Základem VM řešení je zpravidla operační systém, webové uživatelské rozhraní, administrativní rozhraní, aplikace pro skenování a sada testů, která se pravidelně aktualizuje a doplňuje.
Počet testů samotných nemusí být klíčový, jelikož jeden test může odkrýt několik zranitelností,
a naopak na jednu zranitelnost může být k dispozici několik testů.

Cílem takového řešení je

  • Ztížení útoku na IT infrastrukturu a zajištění její odolnosti
  • Nahrazení jednorázového penetračního testu skenování procesem řízení zranitelností
  • Odhalení problematických míst a jejich prioritizace vylepší účinnost antivirových systémů,
    firewallů a dalších bezpečnostních nástrojů

Parametry systému

  • Aktualizace stavu zabezpečení několikrát za den
  • Nejnovější poznatky bezpečnostních odborníků z celého světa
  • Perspektiva přístupu pohledem útočníka z vnějších vrstev dovnitř
  • Víceúrovňové zajištění jakosti procesu
  • Šifrovaný přenos informací
  • Integrace s dalšími bezpečnostními nástroji
  • Testy zranitelnosti prostřednictvím síťového přístupu jak bez připojení do testovaných
    zařízení, tak i s uživatelským přístupem
Alternativa řešení

Testování jako služba

Je možné také využít testování zranitelností formou služby. Oproti on-premise řešení nemusíte
vlastnit HW nebo VA platformu. Vystačí vám přístup k webovému rozhraní hlavní aplikace.

 

Výhody takového řešení jsou:

  • Služba je poskytována na měsíční bázi a je velmi flexibilní z pohledu počtu testových zařízení, nebo délky využití
  • Rychlost nasazení, flexibilita
  • Škálovatelnost
  • Rychlejší reakce na vývoj hrozeb a trendů Kybernetické bezpečnosti
  • Po implementaci služby můžete v několika krocích přidat nové oblasti skenování a spustit první testy
MÁM ZÁJEM O TUTO SLUŽBU
Jsme IT distributor
cross