החשיבות של תוכנית גילוי פגיעות מנוהלת היטב

Global

Global - English

Asia

Europe

Oceania

ANZ - English

Latin America

North America

Middle East and Africa

Cancel

Reset

Submit

פיתוח תוכנית שיטתית לניהול חשיפת פגיעות ותיקון היא מרכיב חשוב במיומנויות של כל מקצוען IT ואבטחת סייבר בתעשיית האבטחה הפיזית. במאמר זה, Hikvision מספקת פרטים על התהליך כדי לעזור לכם ולארגון שלכם להתמודד טוב יותר עם נקודות תורפה.

פגיעויות הן הבאגים, הפגמים או החולשות ביישומים, מערכות הפעלה ורכיבי תוכנה שגורמי איומים יכולים לנצל. נוף האיומים הולך ומתרחב במורכבות ובמשטחי תקיפה. בשנת 2022 דווח על יותר מ-25,000 פרצות וחשיפה נפוצות באבטחת IT (CVE). בין ינואר לאפריל 2023, מספר זה הגיע ל-7,489 (Statista.com). בנוסף, כל מחשב, סמארטפון ושרת מריצים מערכת הפעלה. הצמיחה של האינטרנט של הדברים (IoT) התקנים חכמים מחוברים כמו מצלמות אבטחה וידאו IP, תרמוסטטים חכמים ומכשירים חכמים מוסיפה לכך.

כל מערכות המחשוב הללו מריצות תוכנה שצריכה להתעדכן באופן קבוע ככל שמתגלות פרצות חדשות ותיקונים זמינים על ידי ספקי התוכנה שלהן. חלק מתיקונים אלו מותקנים באופן אוטומטי בעוד שאחרים דורשים ממשתמש הקצה של התוכנה להתקין את התיקונים באופן ידני. גם כאשר אתה מעודכן בתיקונים, סביר להניח שאתה מפעיל תוכנה פגיעה אבל פשוט עדיין לא מצאת את כל הפגיעויות. זו הסיבה שניהול נקודות תורפה הוא חיוני וצריך להיות חלק מתוכנית מתמשכת בארגון שלכם.

יסודות ניהול פגיעות

המבנה הבסיסי של תוכנית לניהול פגיעות כולל את שלושת האלמנטים הבאים:

1. מגלים את הפגיעות

2. מדווחים על כך לספק

3. תיאום חשיפה פומבית של הפגיעות עם תיקון

התהליך מתחיל בגילוי של פגיעות. גורמי איומים זדוניים (כובע שחור) וחוקרי אבטחה אתית (כובע לבן) מחפשים כל הזמן נקודות תורפה בתוכנות פופולריות. האקרים מבקשים לנצל את הפגיעויות הללו לרווח אישי וכלכלי. חוקרים אתיים מבקשים לתקן את הפגיעויות הללו. בדרך כלל, כאשר חוקר אבטחה מגלה פגיעות במוצר, הוא יתריע לספק התוכנה שבבעלותו ומנהל אותו. לאחר מכן החוקר עובד עם הספק כדי לזהות את הפגיעות, לצמצם אותה על ידי יצירת תיקון, ולבדוק אותה כדי לוודא שהתיקון מתקן את הפגיעות. לאחר השלמתו, אנו עוברים למרכיב החשיפה לציבור של התהליך.

גילוי פומבי של פגיעות

חשיפה נכונה של תיקון פגיעות דורשת גם גישה אחראית ומתואמת. כאשר חוקר אבטחה אתית וספק תוכנה עובדים יחד, שני הצדדים ימתינו ליידע את הציבור על הפגיעות עד שתיקון עובד ייבדק וזמין להורדה של משתמש קצה. פעולה זו ננקטת כדי למנוע מגורמי איומים לנצל את הפגיעות. הספק והחוקר יסכימו על תאריך רשמי לגילוי פגיעות, שבו הספק ישחרר הצהרה פומבית עם קישור לתיקון. לאחר שהתיקון ישוחרר באופן רשמי, משתמשי קצה יצטרכו להתקין את התיקון כדי להבטיח שהפגיעות טופלה.

בימים הראשונים של מדעי המחשוב, תיקון היה מאוד מבלבל מכיוון שלא הייתה מוסכמות שמות לפגיעויות. בשנת 1999, תאגיד Mitre שאף לתקן זאת על ידי יצירת מסד הנתונים CVE אשר נתן לכל פגיעות שם ייחודי. זה הפך את החיים להרבה יותר קלים למנהלי מערכת. CVE הוא כעת תקן התעשייה עבור מזהי פגיעות וחשיפה.

בפברואר 2020, Hikvision סומנה כרשות מספור נפוצה של פגיעות וחשיפות (CNA), CVE CNA, על ידי Mitre Corporation עבור תוכנית ניהול הפגיעות שלה. רוב משתמשי הקצה של מצלמות האבטחה של Hikvision תיקנו נקודות תורפה ידועות או לא מנגישים מכשירים מהאינטרנט, מה שמבטל את הסיכון לפריצה מוצלחת.

תפקידים ואחריות

לכל אחד בתעשיית האבטחה הפיזית יש אחריות בתהליך אבטחת הסייבר וחשיפת פגיעות.

ספקי תוכנה יכולים לעבוד עם צוותים פנימיים או משאבים חיצוניים כדי להעריך את הסיכונים שלכם ולגלות נקודות תורפה באמצעות כלי סריקה או מסדי נתונים שונים כמו CVE ומסד הנתונים הלאומי לחולשות (NVD). מערכת ה-CVSS (Common Vulnerability Scoring System) יכולה גם לעזור לכם להעריך את הסיכון באמצעות מערכת ניקוד החומרה שלה, ומאפשרת דירוג מדויק של סיכון אבטחת הסייבר שלכם בסולם מ"נמוך 0.1-3.9" ל"קריטי 9.0-10.0".

מאמצי הפחתה ברחבי הארגון דורשים גילוי וחשיפה אחראית של תיקונים כדי להבטיח אסטרטגיית סיכון אבטחת סייבר חזקה. הבנת הגישה יכולה גם לעזור לכם לזהות ולהוביל תגובות פגיעות טובות יותר בעתיד.

למידע נוסף, הורידו עותק של המסמך הלבן של Hikvision של ניהול הפגיעות.