19 Август 2021г.
Eдин от най-добрите начини за предотвратяване изтичането на данни и атаки върху информационната инфраструктура на организацията е чрез сканиране за уязвимости.
Сканирането за уязвимости е про-активен метод, даващ възможност за предсказване и предотвратяване на атаки към информационните активи и данните на организацията.
Първата стъпка от този процес е откриването на уязвимости в информационната среда на организацията. Така откриваме отворените и незаключени "врати" към нашите системи и данни. Следващата стъпка включва отстраняване на откритите уязвимости и съответно "запушване" на отворените "врати". Важно е да се отбележи че метода "Сканиране за уязвимости" осигурява видимост на откритите уязвимости и възможност за приоритизиране при адресирането и тяхното остраняване. Това дава възможност да преразгледаме ежедневните процеси в информационната среда и те да бъдат преструктурирани с цел намаляване на нейната уязвимост към външни атаки.
Представяме ви кратко ръководство представящо основите на сканирането на уязвимости, оценка на уязвимости без сканиране, принципите на работа и съвети за по-добро управление на информационните ресурси с цел намаляване на риска от успешни външни атаки.
Необходимо ли е сканирането за уязвимости?
Поради слабости в технологиите, много организации имат информационни среди и системи, уебсайтове или софтуерно осигуряване, които са уязвими за атаки от самото начало на тяхното внедряване.
При компрометиране на информационните системи, освен загуба на чувствителна информация и съответните последствия за конкурентоспособността на организацията, това може да доведе и до сериозни санкции и глоби за нарушаване на различни регулации и законови разпоредни. Много от тези последствия могат да бъдат преодолени и предотвратени, ако предварително се извърши сканиране на уязвимости в ИТ средата на организацията.
Често организациите са уязвими за външни атака, защото не успяват да приложат навреме софтуерните поправка или "patches" към своите ИТ системи, както и подходяща актуализация на протоколите за сигурност. За да се предотвратят пробиви и изтичане на данни е нужно критичните уязвимости да бъдат постоянно приоритизирани, идентифицирани и отстранявани.
Понякога нападателите използват същите инструменти за сканиране на уязвимости, на които организациите разчитат за своите нужди. За да бъдат изпреварени, е необходимо въоръжаването с актуални решения и организиране на непрекъснат процес на сканиране на вътрешните и външните мрежи.
Какво трябва да се очаква от сканирането за уязвимости?
Като начало сканирането за уязвимости е автоматизиран тест на високо ниво, който претърсва и докладва за потенциално идентифицирани уязвимости. Например, при сканиране за уязвимости могат да бъдат намерени над 50 000 уникални вътрешни и/или външни слабости.
Сканирането за външни уязвимости са тези, които се извършват извън периметъра на вътрешната мрежа. Чрез тях може да се идентифицират слабости в структурата на мрежата. Сканирането за вътрешни уязвимости се извършва във вътрешната мрежа, както и на хостове в същата мрежа, за да се открият вътрешни слабости.
За да се разбере по-добре процеса, мислете за вашата среда като за вашия дом. Сканирането за външни уязвимости наподобява проверка дали прозорците и вратите на вашият дом са заключени, докато вътрешното сканиране наподобява проверка на вратите на вашата кухня и спалня.
В идеалния случай сканирането за уязвимости ви дава подробен доклад за откритите уязвимости и препратки за по-нататъшно проучване на тези уязвимости. По-добрите инструменти, предлагат указания как може да се отстрани проблема, а също и възможнсти за автоматизиране на този процес.
Сканирането само по себе си не е достатъчно. Полученият отчет е само информативен, поради което е нужно извършването на определени дейности за отстраняване на всяка открита уязвимост. Необходимо е и допълнително да се уверим, че всички слабости в сигурността са неутрализирани и уязвимостите успешно отстранена. Това става чрез нов процес на сканиране.
Разлики между сканиране за уязвимости и Penetration Testing (Тестване на проникване).
Значителната разлика между сканирането за уязвимости и тестовете за проникване (Penetration Testing) е, че първият процес е автоматизиран, докато втория изисква специалист, който се задълбочава в сложността на конкретната мрежа. Сканирането за уязвимости може само да търси и идентифицира уязвимости, докато Penetration тестерът ще "копае" по-надълбоко, за да стигне до източника на откритата експозиция.
Тестовете за проникване и сканирането за уязвимости работят заедно, за да подобрят сигурността на защитената мрежа. Сканирането за уязвимости дават периодична информация за сигурността на вашата мрежа, докато тестовете за проникване осигуряват по-задълбочен анализ на мрежовата сигурност.
Как работят скенерите за уязвимости?
Скенерът за уязвимости не проверява всеки мрежов файл, както прави антивирусният софтуер. Ето защо той трябва да бъде конфигуриран за сканиране на специфични интерфейси, включително вътрешни и външни IP адреси.
Действията по сканирането за уязвимости са проектирани да бъдат ненатрапчиви, така че да потребителите да имат възможност да извършват нормалните си всекидневни дейности, докато сканирането се изпълнява във фонов режим.
Сканирането за уязвимости е процес на откриване на уязвимостите в информационните системи и обобщение на сигналите, по които впоследствие да се извършат необходимите дейности за тяхното неутрализиране. Резултатите от сканирането предоставят данни, характеризиращи уязвимостите и експозициите на информационните активи. Тези данни могат да бъдат сравнени с еталони от National Vulnerability Database (https://nvd.nist.gov), които ще помогне за разбиране и приоритизиране на рисковете от откритите уязвимости.
План за управление на уязвимости
Планът за управление на уязвимости е жизненоважен за мрежовата сигурност на организацията и откриване на съществуващи слабости във вашата мрежа.
Той трябва да включва периодично сканиране за уязвимости - в идеалния случай всяка организация трябва да изпълнява вътрешни и външни сканирания на всяко тримесечие - общо осем годишно. С подходящия избор на решение за сканиране този процес може да става автоматично.
Задължително трябва да се извършва сканиране и след всяка значителна промяна в мрежата.
Значителната промяна зависи от това как е конфигурирана информационната инфраструктура, но в общия случаи това означава всяка модификация или надстройка, която би могла да повлияе на сигурността на ИТ средата.
Ето няколко примера за значителни промени, изискващи задължително сканиране за уязвимости:
- Прехвърляне на данни на нов сървър;
- Добавяне на нови приложения за криптиране;
- Добавяне на нови системи или сървърни компоненти;
- Промяна на интерфейси;
- Промяна на правилата на защитната стена (Firewall);
- Промяна на мрежовата инфраструктура.
Сканиране за уязвимости с Vicarius от Инфинити ООД
Основната причина за нуждата от периодично сканиране на мрежата е, че киберпрестъпниците непрекъснато откриват нови и креативни начини за използване на уязвимостите.
Чрез сканиране за уязвимости и съответната оценка се предоставя възможност за установяване на надежден и повтарящ се процес за отстраняване на слабости и проблеми в информационната инфраструктура на организацията.
След приключването на процеса на сканиране, следват дейностите по тяхното отстраняване. Необходимо е да се отчете съответния риск и усилията по отстраняване на съответанат уязвимост. За целта инструментът за сканиране трябва да позволява приоретизиране на откритите уязвимости. Следва ново сканиране и така процесът се повтаря докато е необходимо.
Vicarius TOPIA е идеалното решение за сканиране на уязвимости и тяхната оценка и приоритезиране. Решението осигурява и извършването на оценка на уязвимостите без сканиране. Vicarius е идеалният инструмент за служителите по киберсигурност и ИТ мениджъра на организацията.
В качеството си на официален партньор на израелската компания Vicarius за територията на България, Сърбия, Северна Македония и Албания, Инфинити ООД има удоволствието да представи Vicarius TOPIA - централизирано решение за управление на язвимости (Vulnerability Management), осигуряващо анализ, приоритезиране и защита на приложенията от заплахи и атаки. TOPIA управлява сигурността на организацията от началото до края чрез идентифициране на активните рискове и елиминиране на заплахите в реално време.
Повече информация за Vicarius можете да намерите тук: https://vicarius.infinity.bg/index.html
Кратко видео: https://www.youtube.com/watch?v=VL5yadytcY4
Инфинити ООД е системен интегратор на пазара на информационни технологии в България, с фокус във внедряването на решения за информационна сигурност.
Инфинити ООД си партнира и представлява на българския пазар, водещи световни производители на продукти и решения за информационна сигурност сред които:
Acronis DeviceLock – Решения за предотвратяване изтичане и кражба на данни Data Leak Prevention DLP
CoSoSys Endpoint Protector - Решения за предотвратяване на изтичане и кражба на данни Data Leak Prevention DLP
DataLocker & Ironkey - Решения за хардуерно криптиране и сигурен пренос и съхранение на данни
BoldonJames – Решения за класификация и маркиране на данни Data Classification & Labeling
Blancco – Решения за сертифицирано унищожаване на данни
Actiphy – Решения за високоскоростен Backup и възстановяване на данни
Clearswift – Решения за сигурна електронна поща Secure Email Gateway - SEG
Alien Vault – Решения за откриване на вътрешни заплахи и SIEM
GalaxКey – Решения за End-To-End криптиране и подписване на документи и ел. поща
Handheld – Решения за екстремни условия - Rugged Handhelds & Tablets и др.
Vicarius - Решения за управление на уязвимости Vulnerability Management
ANET SureLog SIEM - Система за управление на информацията и събитията в сигурността
Инфинити ООД консултира, доставя, внедрява, обучава, поддържа организации и структури от различни сектори и индустрии в Р.България и чужбина.