Artykuł pochodzi z wydania: Marzec 2021
Elementem stosowanych zasad bezpieczeństwa jest identyfikacja słabych punktów systemów. Jednak zarządzanie często tysiącami wykrytych luk w zabezpieczeniach systemów jest wyzwaniem zarówno organizacyjnym, jak i technicznym.
Chcąc uruchomić skuteczny model zarządzania bezpieczeństwem, należy wykonać analizę potrzeb związanych z zabezpieczeniami. Wynika ona najczęściej z ryzyka występującego dla poszczególnych elementów systemu w różnych obszarach – od bezpieczeństwa fizycznego, przez środowiskowe, aż po informatyczne. Zabezpieczenia własnej infrastruktury stosują praktycznie wszyscy administratorzy. Trudno bowiem wyobrazić sobie nadzorowaną sieć bez ochrony dostępu do serwerowni czy firewalla na brzegu sieci. Tego typu zabezpieczenia dział IT wybiera samodzielnie oraz niejednokrotnie implementuje je w znanym środowisku. Jednak czy system jest przez to szczelny?
> ZARZĄDZANIE BEZPIECZEŃSTWEM
Zarządzając systemami, zadajemy sobie pytanie, jakie mają podatności mogące prowadzić do infekcji malware lub innego rodzaju incydentu. Niektóre z nich mogą wymagać instalacji poprawek bądź zmiany konfiguracji. W każdym zasobie sieci czy systemu informatycznego mogą istnieć luki wynikające z technologii lub ze sposobu konfiguracji, które mogą wymagać odpowiedniej reakcji. Szybkość działania i ukierunkowanie działań na właściwie wybrane podatności jest kluczowa. Liczba podatności nawet w niewielkim środowisku może być wyzwaniem, ponieważ musimy dokonać analizy krytyczności i nadać właściwe priorytety dla działań mających na celu jej załatanie lub uniknięcie wykorzystania luki.
Niezbędną informacją jest rodzaj technologii, zasobów sieci i systemów, którymi zarządzamy. Jest to ważne ze względu na konieczność oceny ich krytyczności dla działania naszej firmy czy instytucji. Najlepiej, gdy określimy dla poszczególnych zasobów systemowych wymagania bezpieczeństwa w zakresie zapewnienia poufności, integralności oraz dostępności. Na tej podstawie możemy zbudować klasyfikację tych zasobów w celu uzyskania wiedzy o ich istotności, tj. krytyczności dla bezpieczeństwa zarządzanej infrastruktury i przetwarzanych w niej danych.
Potrzebne są więc zasady, które pozwolą na zarządzanie naszymi działaniami na etapie wyboru narzędzi i technologii wykorzystywanych do identyfikacji podatności. Powinniśmy określić sposób identyfikacji, klasyfikacji, oceny i priorytetyzacji podatności z uwzględnieniem atrybutów bezpieczeństwa chronionych zasobów, czyli ich poufności, integralności oraz dostępności. Oprócz samego wykrywania podatności powinniśmy uwzględnić wykonywanie testów penetracyjnych. Ich realizacja jest elementem uzupełniającym, ale koniecznym do upewnienia się, że pozostałe podatności są trudne lub w praktyce niemożliwe do wykorzystania w racjonalnym scenariuszu ataku. Potrzebna jest więc metoda działania i zestaw narzędzi, które pozwolą na zarządzanie podatnościami oraz zaplanowanie testów, a następnie sprawdzenie użytych mechanizmów ochronnych. Na końcu pozostaje utwardzenie infrastruktury.
> PRODUKCJA PODATNOŚCI
Administratorzy zajmujący się systemami bezpieczeństwa starają się realizować wymagania organizacji za pomocą odpowiedniej konfiguracji urządzeń oraz oprogramowania. Często stosowane podejście to identyfikacja zagrożeń, następnie identyfikacja podatności i ocena ich krytyczności. Następnie opracowywane są scenariusze dla najważniejszych zasobów i dla ich najpoważniejszych zagrożeń. Na tej podstawie można zidentyfikować zagrożone obszary infrastruktury i zastosować określone zabezpieczenia, w tym wybrać zakres i częstość wykonywania testów podatności.
Aby określić możliwość wykorzystania istniejących luk w zabezpieczeniach, na wstępie należy je zidentyfikować oraz zweryfikować, czy działające urządzenia oraz systemy minimalizują ryzyko wykorzystania wykrytej podatności. Nawet w małych i średnich infrastrukturach możemy mieć do czynienia z dziesiątkami istotnych baz danych, systemów operacyjnych, aplikacji biznesowych oraz różnego rodzaju urządzeń mobilnych. A w nich podatności, które często są pozostawione bez właściwego zarządzania tylko automatom lub, co gorsza, decyzji użytkownika. Wykonując skanowanie podatności w takiej infrastrukturze, możemy uzyskać wynik setek lub więcej wykrytych podatności.
[…]
Artur Cieślik
Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 22301 oraz ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.