Význam dobře vedeného programu odhalování zranitelností

Global

Global - English

Asia

Europe

Oceania

ANZ - English

Latin America

North America

Middle East and Africa

Cancel

Resetovat

ODESLAT

Vývoj systematického programu pro správu odhalování a opravování zranitelností je důležitou součástí dovedností každého odborníka na IT a kybernetickou bezpečnost v odvětví fyzické bezpečnosti. V tomto článku společnost Hikvision uvádí podrobnosti o procesu, který vám a vaší organizaci pomůže lépe zvládat zranitelnosti.

Zranitelnosti jsou chyby, nedostatky nebo slabiny v aplikacích, operačních systémech a softwarových komponentách, které mohou aktéři hrozeb zneužít. Prostředí hrozeb se neustále rozšiřuje, co se týče složitosti a prostoru pro útoky. V roce 2022 bylo nahlášeno více než 25 000 nových běžných bezpečnostních zranitelností IT (CVE). Od ledna do dubna 2023 dosáhl tento počet 7 489 (Statista.com). Na každém počítači, chytrém telefonu a serveru navíc běží operační systém. K tomu přispívá nárůst chytrých zařízení připojených k internetu věcí (IoT), jako jsou IP bezpečnostní kamery, chytré termostaty a chytré spotřebiče.

Ve všech těchto počítačových systémech je používán software, který je třeba pravidelně aktualizovat podle toho, jak jsou objevovány nové zranitelnosti a jak dodavatelé softwaru zpřístupňují záplaty. Některé z těchto záplat se instalují automaticky, zatímco jiné vyžadují, aby je koncový uživatel softwaru nainstaloval ručně. I když máte aktualizované záplaty, je pravděpodobné, že používáte zranitelný software, ale ještě jste nenašli všechny zranitelnosti. Proto je správa zranitelností zásadní a měla by být součástí průběžného programu ve vaší organizaci.

Základy správy zranitelností

Základní struktura programu řízení zranitelností zahrnuje tyto tři prvky:

1. Objevit zranitelnost

2. Nahlásit to prodejci

3. Koordinovat zveřejnění zranitelnosti s opravou

Proces začíná objevením zranitelnosti. Záškodníci (black hat) a etičtí bezpečnostní výzkumníci (white hat) neustále hledají zranitelnosti v populárním softwaru. Hackeři se snaží tyto zranitelnosti zneužít k osobnímu a finančnímu prospěchu. Etičtí výzkumníci usilují o odstranění těchto zranitelností. Když bezpečnostní výzkumník objeví zranitelnost v produktu, obvykle na ni upozorní dodavatele softwaru, který daný produkt vlastní a spravuje. Výzkumník pak ve spolupráci s dodavatelem identifikuje zranitelnost, zmírní ji vytvořením opravy a otestuje ji, aby se ujistil, že oprava zranitelnost odstraňuje. Jakmile bude tento proces dokončen, přejdeme ke zveřejňování informací.

Zveřejnění zranitelnosti

Správné zveřejnění záplaty zranitelnosti také vyžaduje zodpovědný a koordinovaný přístup. Pokud etický bezpečnostní výzkumník a dodavatel softwaru spolupracují, obě strany počkají s informováním veřejnosti o zranitelnosti, dokud není otestována funkční záplata a není k dispozici ke stažení koncovým uživatelům. Tato akce se provádí proto, aby se zabránilo zneužití zranitelnosti ze strany aktérů hrozeb. Prodejce a výzkumník se dohodnou na datu oficiálního odhalení zranitelnosti, kdy prodejce vydá veřejné prohlášení s odkazem na opravu. Jakmile bude oprava oficiálně vydána, budou ji muset koncoví uživatelé nainstalovat, aby se ujistili, že zranitelnost byla odstraněna.

V počátcích počítačové vědy bylo opravování velmi nepřehledné, protože neexistovala žádná konvence pro pojmenování zranitelností. V roce 1999 se to pokusila napravit společnost Mitre Corporation vytvořením databáze CVE, která každé zranitelnosti přidělila jedinečný název. Správcům systému to značně usnadnilo život. CVE je nyní průmyslovým standardem pro identifikátory zranitelností a expozic.

V únoru 2020 byla společnost Hikvision pro svůj program správy zranitelností označena společností Mitre Corporation jako Common Vulnerability and Exposures (CVE) Numbering Authority (CNA), tedy CVE CNA. Většina koncových uživatelů bezpečnostních kamer Hikvision opravila známé zranitelnosti nebo nezpřístupňuje zařízení z internetu, čímž eliminuje riziko úspěšného hackerského útoku.

Role a odpovědnosti

Všichni v odvětví fyzické bezpečnosti nesou odpovědnost za kybernetickou bezpečnost a odhalování zranitelností.

Dodavatelé softwaru mohou ve spolupráci s interními týmy nebo externími zdroji posoudit vaše rizika a odhalit zranitelnosti pomocí skenovacích nástrojů nebo různých databází, jako je CVE a Národní databáze zranitelností (NVD). S vyhodnocením rizika vám může pomoci také systém CVSS (Common Vulnerability Scoring System), který umožňuje přesně vyhodnotit riziko kybernetické bezpečnosti na stupnici od "nízké 0,1-3,9" po "kritické 9,0-10,0".

Snahy o zmírnění rizik v rámci celé organizace vyžadují odhalení a zodpovědné zveřejnění záplat, aby byla zajištěna robustní strategie kybernetického bezpečnostního rizika. Pochopení tohoto přístupu vám také může pomoci identifikovat a lépe reagovat na zranitelnost v budoucnu.

Chcete-li se dozvědět více, stáhněte si kopii bílé knihy společnosti Hikvision o správě zranitelnosti.