Blog
Topic
Vše
AIoT
SMB Solutions
Products and technologies
Industries
Vše
Retail
Traffic
Education
Logistics
Building
Energy
Manufacturing
Sports
Sustainability
Business trends
Cybersecurity
Partner and customer experience
Deep learning
Thermal
Events
Access control
Video Intercom
Security Operations
Trends
Solution
LED
Resources and events
Resetovat
Search blog
Blog
Filter
Cancel
Topic
Vše
AIoT
SMB Solutions
Products and technologies
Industries
Vše
Retail
Traffic
Education
Logistics
Building
Energy
Manufacturing
Sports
Sustainability
Business trends
Cybersecurity
Partner and customer experience
Deep learning
Thermal
Events
Access control
Video Intercom
Security Operations
Trends
Solution
LED
Resources and events
Resetovat
ODESLAT

Význam dobře vedeného programu odhalování zranitelností

Vývoj systematického programu pro správu odhalování a opravování zranitelností je důležitou součástí dovedností každého odborníka na IT a kybernetickou bezpečnost v odvětví fyzické bezpečnosti. V tomto článku společnost Hikvision uvádí podrobnosti o procesu, který vám a vaší organizaci pomůže lépe zvládat zranitelnosti.

 

Zranitelnosti jsou chyby, nedostatky nebo slabiny v aplikacích, operačních systémech a softwarových komponentách, které mohou aktéři hrozeb zneužít. Prostředí hrozeb se neustále rozšiřuje, co se týče složitosti a prostoru pro útoky. V roce 2022 bylo nahlášeno více než 25 000 nových běžných bezpečnostních zranitelností IT (CVE).  Od ledna do dubna 2023 dosáhl tento počet 7 489 (Statista.com). Na každém počítači, chytrém telefonu a serveru navíc běží operační systém. K tomu přispívá nárůst chytrých zařízení připojených k internetu věcí (IoT), jako jsou IP bezpečnostní kamery, chytré termostaty a chytré spotřebiče.

 

Ve všech těchto počítačových systémech je používán software, který je třeba pravidelně aktualizovat podle toho, jak jsou objevovány nové zranitelnosti a jak dodavatelé softwaru zpřístupňují záplaty. Některé z těchto záplat se instalují automaticky, zatímco jiné vyžadují, aby je koncový uživatel softwaru nainstaloval ručně. I když máte aktualizované záplaty, je pravděpodobné, že používáte zranitelný software, ale ještě jste nenašli všechny zranitelnosti. Proto je správa zranitelností zásadní a měla by být součástí průběžného programu ve vaší organizaci.

 

Základy správy zranitelností

Základní struktura programu řízení zranitelností zahrnuje tyto tři prvky:

 

1.      Objevit zranitelnost

2.      Nahlásit to prodejci

3.      Koordinovat zveřejnění zranitelnosti s opravou

 

Proces začíná objevením zranitelnosti. Záškodníci (black hat) a etičtí bezpečnostní výzkumníci (white hat) neustále hledají zranitelnosti v populárním softwaru. Hackeři se snaží tyto zranitelnosti zneužít k osobnímu a finančnímu prospěchu. Etičtí výzkumníci usilují o odstranění těchto zranitelností. Když bezpečnostní výzkumník objeví zranitelnost v produktu, obvykle na ni upozorní dodavatele softwaru, který daný produkt vlastní a spravuje. Výzkumník pak ve spolupráci s dodavatelem identifikuje zranitelnost, zmírní ji vytvořením opravy a otestuje ji, aby se ujistil, že oprava zranitelnost odstraňuje. Jakmile bude tento proces dokončen, přejdeme ke zveřejňování informací.

 

Zveřejnění zranitelnosti

Správné zveřejnění záplaty zranitelnosti také vyžaduje zodpovědný a koordinovaný přístup. Pokud etický bezpečnostní výzkumník a dodavatel softwaru spolupracují, obě strany počkají s informováním veřejnosti o zranitelnosti, dokud není otestována funkční záplata a není k dispozici ke stažení koncovým uživatelům. Tato akce se provádí proto, aby se zabránilo zneužití zranitelnosti ze strany aktérů hrozeb. Prodejce a výzkumník se dohodnou na datu oficiálního odhalení zranitelnosti, kdy prodejce vydá veřejné prohlášení s odkazem na opravu. Jakmile bude oprava oficiálně vydána, budou ji muset koncoví uživatelé nainstalovat, aby se ujistili, že zranitelnost byla odstraněna.

 

V počátcích počítačové vědy bylo opravování velmi nepřehledné, protože neexistovala žádná konvence pro pojmenování zranitelností. V roce 1999 se to pokusila napravit společnost Mitre Corporation vytvořením databáze CVE, která každé zranitelnosti přidělila jedinečný název. Správcům systému to značně usnadnilo život. CVE je nyní průmyslovým standardem pro identifikátory zranitelností a expozic.

 

V únoru 2020 byla společnost Hikvision pro svůj program správy zranitelností označena společností Mitre Corporation jako Common Vulnerability and Exposures (CVE) Numbering Authority (CNA), tedy CVE CNA. Většina koncových uživatelů bezpečnostních kamer Hikvision opravila známé zranitelnosti nebo nezpřístupňuje zařízení z internetu, čímž eliminuje riziko úspěšného hackerského útoku.

 

Role a odpovědnosti

Všichni v odvětví fyzické bezpečnosti nesou odpovědnost za kybernetickou bezpečnost a odhalování zranitelností.

 

Dodavatelé softwaru mohou ve spolupráci s interními týmy nebo externími zdroji posoudit vaše rizika a odhalit zranitelnosti pomocí skenovacích nástrojů nebo různých databází, jako je CVE a Národní databáze zranitelností (NVD). S vyhodnocením rizika vám může pomoci také systém CVSS (Common Vulnerability Scoring System), který umožňuje přesně vyhodnotit riziko kybernetické bezpečnosti na stupnici od "nízké 0,1-3,9" po "kritické 9,0-10,0".

 

Snahy o zmírnění rizik v rámci celé organizace vyžadují odhalení a zodpovědné zveřejnění záplat, aby byla zajištěna robustní strategie kybernetického bezpečnostního rizika. Pochopení tohoto přístupu vám také může pomoci identifikovat a lépe reagovat na zranitelnost v budoucnu.

 

Chcete-li se dozvědět více, stáhněte si kopii bílé knihy společnosti Hikvision o správě zranitelnosti

Hikvision.com uses strictly necessary cookies and related technologies to enable the website to function. With your consent, we would also like to use cookies to observe and analyse traffic levels and other metrics and tailor our website’s content. For more information on cookie practices please refer to our cookie policy.

Kontakt
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.