Efektivní řízení zranitelností v nadnárodní společnosti

Řízení zranitelností je jedním ze základních stavebních kamenů kybernetické bezpečnosti v každé společnosti. Víte, jaké druhy jsou nejčastěji zneužívány? Je potřeba se především soustředit na ty neznámé? K jakým útokům v poslední době došlo v České republice a v zahraničí? Jaké existují druhy a úrovně řízení zranitelností?

To vše se dozvíte v tomto článku. Na závěr představíme jedinečnou nabídku, jak začít s řízením zranitelností ve Vaší firmě – jednorázové oskenování Vaší IT infrastruktury a vyhodnocení nalezených zranitelností zdarma.

Proč je tak důležité řídit zranitelnosti?

Zranitelnosti můžeme rozdělit na dvě skupiny – zranitelnosti nultého dne (dosud nebyly zveřejněny) a známé zranitelnosti. Řízení se zaměřuje pouze na druhou skupinu. To však nevadí, protože více než 99 % kybernetických incidentů je způsobeno zneužitím již známých zranitelností. Pouze zbývající procento incidentů je způsobeno zneužitím zranitelnosti nultého dne.

Mezi útočníky využívající zranitelnosti nultého dne se mohou řadit například hackerské skupiny podporované některým státem. Tyto zranitelnosti jsou navíc často odhaleny spolu s detekcí kybernetického útoku a stávají se veřejně známými. Obrana proti těmto útočníkům vyžaduje zavedení pokročilé kybernetické bezpečnosti v organizaci a není předmětem tohoto článku. Dále se budeme věnovat pouze známým zranitelnostem.

Mezi nejznámější medializované případy z poslední doby můžeme zařadit bezpečnostní incidenty v Benešovské nemocnici nebo ve společnosti OKD. Z veřejně dostupných informací se můžeme domnívat, že za útoky stojí malware Emotet a TrickBot, společně s ransomwarem Ryuk. Malware využívá zranitelnosti EternalBlue pro rozšíření v rámci infrastruktury napadené organizace. Stejná zranitelnost byla před více než dvěma lety využita chronicky známým ransomwarem WannaCry, který si získal pozornost především díky vyřazení kritických systémů nemocnic ve Velké Británii. WannaCry napadl celosvětově více než 200 tisíc počítačů ve více než 150 zemích s odhadovanými škodami 4 miliardy dolarů, a to s využitím pouze několika známých druhů.

Řízení zranitelností je jedním ze základních stavebních kamenů informační bezpečnosti a dokáže zabránit, nebo alespoň omezit škody způsobené kybernetickým útokem.

Od manuálního hledání až po detekci zranitelných aplikací a systémů v reálném čase.

Manuální identifikaceí: Základní možností řízení je manuální kontrola nových zranitelností prováděná běžně pracovníky IT oddělení. Existuje množství webů, které se věnují poskytování aktuálních informací o nových typech. Tento způsob řízení se nejčastěji zavádí ve firmách, kde není kybernetická bezpečnost žádným způsobem formalizována a řešena. Navíc je tato činnost velmi časově nákladná a neefektivní, mnoho zranitelností není tímto způsobem vůbec objeveno. Jak je vidět z příkladů v první části článku, velké množství firem, některé dokonce spadající do kritické infrastruktury státu, je řeší tímto nevhodným způsobem.

Jednorázové skenování zranitelností je často odrazovým můstkem pro zavádění kybernetické bezpečnosti ve společnosti. Kompletní infrastrukturu zákazníka oskenujeme profesionálním nástrojem, sesbíraná data podrobí naši experti důkladné analýze a připravíme report obsahující nejzávažnější detekované zranitelnosti a nedostatky. Zákazník může následně efektivně prioritizovat řešení těchto problémů a vynakládání finančních prostředků. Tyto jednorázové skeny jsou prováděny pravidelně, např. kvartálně. Vždy se ale jedná pouze o jednorázový obraz aktuálního stavu infrastruktury. Pokud se mezi jednotlivými skenováními objeví nová zranitelnost nebo jiný problém, opět musí být odhalen manuálně. Toto řešení je vhodné pro malé a střední firmy, které mají na kybernetickou bezpečnost limitovaný rozpočet.

Sledování zranitelností v reálném čase: Jedná se o nejkomplexnější řešení, při kterém jsou jednotlivé systémy a aplikace monitorovány a vyhodnocovány v reálném čase. Data jsou vzdáleně nebo lokálně sbírána a odesílána do centrálního managementu, kde dochází k jejich vyhodnocení a prioritizaci. Hlavní výhodou je okamžitá identifikace nových zranitelností, jejich prioritizace a efektivní řešení těch nejzávažnějších, pro které je např. již k dispozici exploit (způsob, jakým ji lze zneužít útočníkem; ne každou lze automaticky zneužít).

Nasazení systému řízení zranitelností v nadnárodní společnosti

Naším zákazníkem je nadnárodní organizace provozující desítky tisíc serverů a stovky tisíc koncových stanic ve více než sto geograficky oddělených lokalitách po celém světě. Hlavním problémem zákazníka bylo zavedení nepřetržitého monitorování zranitelností ve všech provozovaných systémech a aplikacích, včetně monitorování databází a průmyslových systémů. Dále pak integrace tohoto systému s dalšími zavedenými nástroji kybernetické bezpečnosti.

Pro implementaci požadovaného řešení jsme zvolili technologii Qualys. Mezi hlavní výzvy při návrhu řešení patřilo množství různých systémů a aplikací provozovaných zákazníkem. Na některé systémy nebylo možné instalovat lokálního agenta a museli jsme tedy počítat i se vzdáleným monitoringem a skenováním. Navíc docházelo k častým přesunům jednotlivých zařízení v rámci infrastruktury, nová zařízení byla denně přidávána a nahrazována. To vyžadovalo integraci s dalšími nástroji jako je asset management nebo systém pro správu ticketů. Rozsah navrženého systému neumožňoval jeho manuální správu a bylo nutné navrhnout a naimplementovat vysokou míru automatizace standardních činností.

Výše nastíněné problémy se podařilo vyřešit s využitím API použitého nástroje a vlastním vývojem automatizačních nástrojů a integračních modulů. V současné době systém detekuje miliony zranitelností, které automaticky prioritizuje podle kritičnosti daného prvku infrastruktury, způsobu využití detekované zranitelnosti a dalších parametrů. Kromě udržování a rozšiřování systému zajišťujeme i jeho nepřetržitý provoz.

Nad rámec popsané detekce a vyhodnoceníje toto řešení dále schopno vyhodnotit soulad nastavení systémů a aplikací s best practices a soulad s bezpečnostní politikou zákazníka. Mezi hlavní přínosy pro zákazníka patří zvýšená úroveň kybernetické bezpečnosti v celé organizaci. Rozšiřující moduly umožňují snadnější prokazování souladu se standardy a legislativou. Služba navíc umožňuje efektivní alokaci lidských a finančních zdrojů a celkovou finanční úsporu.

Jedinečná šance právě pro Vaši firmu

Navrhnuté řešení lze aplikovat u dalších zákazníků majících za cíl zvýšení kybernetické bezpečnosti zavedením služby řízení zranitelností. Aktuálně navíc nabízíme jednorázové oskenování Vaší infrastruktury zdarma. Získáte tak aktuální obraz největších problémůí ve Vaší infrastruktuře včetně doporučení, jak se s nimi vypořádat. Následně se můžete rozhodnout, zda je pro Vás tento formát vhodný např. ve formě čtvrtletního testování, nebo zda chcete posunout řízení zranitelností na vyšší úroveň.

Článek byl zveřejněn v magazínu Procomputing. Přečíst si ho můžete  zde.