Bezpieczeństwo

Program Zarządzania Podatnościami VMP (Vulnerability Management Program) – zarządzanie przedsiębiorstwem w procesie bezpieczeństwa IT

 

27.06.2019

Czym jest VMP

W poniższym artykule omówiony zostanie temat bardzo istotny dla poprawnego, a zatem bezpiecznego funkcjonowania procesów informatycznych wewnątrz organizacji. Program Zarządzania Podatnościami (ang. Vulnerability Management Program – VMP), czyli kompleksowy cykl uszeregowanych działań, których stosowanie pozwala na eliminację, minimalizację oraz zapobieganie niebezpieczeństwom zachodzącym podczas codziennego korzystania z sieci informatycznych w przedsiębiorstwie.
Żyjemy w czasach rewolucji informatycznej. Każdego dnia rodzi się szereg nowych projektów, a na rynek trafia więcej produktów cyfrowych niż kiedykolwiek. Wraz z rozwojem informatyki, popularyzacją internetu i rosnącym zapotrzebowaniem na stosowanie cyfrowych rozwiązań, rodzą się nowe niebezpieczeństwa i sposoby ataku na użytkowników sieci.

Chcąc zobrazować skalę zagrożenia, warto spojrzeć na kilka groźnych ataków hakerskich z minionych lat, których efekt okazał się być bardzo kosztowny w skutkach:

2000r.: ILOVEYOU, robak w ciągu jednego dnia zainfekował 10 proc. wszystkich ówczesnych komputerów podłączonych do internetu – szacowane straty to około 5,5 mld dolarów.

2010r. Stuxnet, wirus autorstwa współpracy rządów USA i Izraela użyty jako broń militarna. Za pośrednictwem trwałego nośnika pamięci typu pendrive, zainfekował irańskie instalacje nuklearne przyczyniając się do zahamowania technologii procesu wzbogacania uranu na ok. 1,5 roku.

2017r.: WannaCry, atak hakerski typu ransomware, skierowany głównie na instytucje finansowe, rządowe, użyteczności publicznej. Przeprowadzony poprzez wykorzystanie luki bezpieczeństwa w przestarzałym systemie Windows XP – szacowane straty gospodarcze wyniosły ok. 8 mld dolarów.

Choć przedstawiona powyżej skala ataku wydaje się niewyobrażalna, pewnie wiele osób może stwierdzić, że powyższe zagrożenie ich nie dotyczy. Zaprezentowane przykłady to skrajności. Cele ataku często nie były skupione wokół „zwykłych” użytkowników sieci, a skierowane w stronę placówek rządowych bądź finansowych. Obrazuje to rangę zagrożenia jaką spowodować może nieodpowiednie nadzorowanie, czy wręcz ignorowanie polityki bezpieczeństwa sieci i systemów informatycznych.

Kto tak naprawdę jest zagrożony

Każdego dnia na całym świecie, tysiące przedsiębiorstw ulega atakom hakerskim o małej skali. Są one mniej medialne, a więc nie nagłaśniane publicznie. Nie oznacza to jednak, że dla niewielkiego przedsiębiorstwa czy też projektu informatycznego, skutki cyberataku mogą okazać się mniej groźne lub niosące mniej znaczne reperkusje, aniżeli te wymienione. O ile międzynarodowa korporacja zwykle dysponuje potężnymi środkami finansowymi, które w razie kryzysu może uruchomić i załagodzić skutki ataku, dla wielu mniejszych przedsiębiorstw utrata stabilności funkcjonowania infrastruktury informatycznej może wiązać się nawet z upadkiem biznesu i bankructwem.

W celu minimalizacji zagrożeń i sprawnego zarządzania potencjalnymi niebezpieczeństwami, opracowany został Program Zarządzania Podatnościami (ang. VMP – Vulnerability Management Program). Jest to wieloetapowy proces, charakteryzujący się podejściem do zarządzania podatnościami w całym cyklu ich życia i zapewniający kompleksową kontrolę systemu. Konieczność utrzymania odpowiedniego poziomu bezpieczeństwa informatycznego, wymaga ciągłej identyfikacji występujących podatności i zagrożeń płynących z zewnątrz środowiska lokalnego. Nakłada również konieczność analizy incydentów oraz wdrażania metod minimalizowania ryzyk potencjalnych ataków, mogących wystąpić w przyszłości.

Odpowiednie spojrzenie na proces zarządzania podatnościami wymaga, by całość czynności wykonywana była w sposób zaplanowany i uwzględniający potencjalne ryzyka, z jednoczesnym wykorzystaniem dostępnych rozwiązań technologicznych i kompetentnej kadry specjalistów. Realizując VMP w sposób efektywny, konieczne jest wdrożenie narzędzi automatyzujących czynności związane z zarządzaniem i przebiegiem procesów analizy bezpieczeństwa.

Etapy procesu zarządzania podatnościami:

1. Przygotowanie środowiska

Zanim rozpoczniemy jakiekolwiek czynności związane z Procesem Zarządzania Podatnościami, powinniśmy zadać sobie pytanie dlaczego chcemy przeprowadzić skan, jaki jest jego cel, gdzie mogą występować potencjalne podatności i czego oczekujemy od wdrożenia procesu.

Zrozumienie istoty VMP, jest kluczowe gdyż tylko wtedy poznamy jego faktyczną potrzebę i uświadomimy sobie wartość, jaką poprawnie przeprowadzony program może wnieść w naszej organizacji. Określając i strukturyzując powyższe założenia, przechodzimy do kolejnych kroków, które pozwolą nam rozpocząć proces i sprawnie przechodzić przez dalsze etapy.
Przed rozpoczęciem kluczowego etapu, jakim będzie proces skanowania zasobów, należy przeprowadzić konsultacje z kadrą zarządzającą oraz zespołem odpowiedzialnym za techniczne zarządzanie procesem. W efekcie opracowujemy strategię obejmującą zakres prowadzonych prac i uzyskujemy zgody na podjęcie dalszych aktywności. Posiadając niezbędne zgody oraz przydzielony zespół kompetentnych pracowników, mamy otwartą formalną furtkę do rozpoczęcia działań.

2. Inwentaryzacja zasobów

Kolejnym krokiem jest przeprowadzenie inwentaryzacji zasobów, zapoznanie się ze środowiskiem sieciowym i posiadaną infrastrukturą software i hardware. Inwentaryzacja w zależności od rozmiaru organizacji i ilości zasobów, przeprowadzana jest w sposób manualny lub automatyczny. W dużych organizacjach, zwykle używa się narzędzi automatyzujących inwentaryzację, które sprawnie katalogują posiadane zasoby i przedstawiają w formie raportu.

W raporcie z inwentaryzacji powinny znaleźć się następujące informacje:

  • nazwa zasobu;
  • typ i ilość posiadanych jednostek (komputery stacjonarne, urządzenia mobilne, serwery, routery);
  • zainstalowane oprogramowanie i posiadane licencje;
  • lokalizacja zasobu (adres IP, adres MAC, domena);
  • rodzaje stosowanych zabezpieczeń (IDS, firewall, antywirus, proxy);
  • właściciele/użytkownicy zasobów (nazwa i kontakt).

Po przeprowadzonej inwentaryzacji, znając szczegółową budowę sieci, przechodzimy do konfiguracji środowiska, w którym będziemy pracować. Na tym etapie podejmujemy decyzję o wyborze stosowanych narzędzi automatyzujących skanowanie sieci, które następnie konfigurujemy zgodnie z oczekiwaniami. Podejmujemy również decyzję o oddelegowaniu kadry do obsługi wybranych zasobów – ustalamy osoby odpowiedzialne i użytkowników zasobów, których wzajemna współpraca w będzie kluczowa w celu skutecznego przeprowadzenia skanowania.

Dalszy krok, to nadanie priorytetów wpływu posiadanych zasobów dla funkcjonowania sieci. Znając posiadane zasoby i potencjalne ryzyka, jesteśmy w stanie zdecydować, które elementy są kluczowe dla funkcjonowania organizacji, a które są mniej ważne. Na tej podstawie decydujemy, jakie zasoby mają być analizowane w pierwszej kolejności i na które zwrócić szczególną uwagę.

Po uszeregowaniu wszystkich powyższych elementów możemy przejść do kluczowego etapu analizy podatności, jakim jest skanowanie systemu. Przed rozpoczęciem skanowania, ponownie uzyskujemy zgodę kierownictwa na przeprowadzenie skanu, podsumowujemy dotychczasowe ustalenia i przechodzimy do działania…

3. Skanowanie i analiza

Kluczowym etapem w Procesie Zarządzania Podatnościami, jest skanowanie pod kątem występujących słabych punktów. Luki w zabezpieczeniach można wykryć za pomocą skanera podatności, który analizuje system komputerowy w poszukiwaniu nieprawidłowości, takich jak otwarte porty, niezabezpieczone konfiguracje oprogramowania i skłonność na infekcje złośliwym oprogramowaniem. Skan wykonuje się za pomocą dedykowanych narzędzi, które mogą różnić się pod kątem zaawansowania technicznego, wymagań dodatkowej konfiguracji oraz kosztu licencji.
Zastosowane narzędzie skanujące jest niezwykle ważne, należy jednak pamiętać, że efekty skanowania zależą w dużej mierze od doświadczenia osób zaangażowanych w proces.

Po zakończonej pracy, skaner podatności w szczegółowym raporcie przekaże nam informacje o wykrytych słabościach. Większość skanerów posiada zintegrowaną możliwość usuwania lub łagodzenia wykrytych podatności w postaci aktualizacji, łat czy sugestii naprawy. Tutaj pojawia się istotny element, który warto wziąć pod uwagę na wcześniejszym etapie konfiguracji środowiska i decyzji o wyborze narzędzia skanującego. Bardziej rozbudowane i doinwestowane narzędzie prawdopodobnie posiadać będzie bogatszą ofertę rozwiązań wspomagających proces skanowania i wspierania czynności przeprowadzanych po jego zakończeniu.

Może okazać się, że ograniczony budżet przedsiębiorstwa nie pozwala na zakup drogiej licencji. Stąd tak istotne znaczenie niesie posiadanie odpowiednio doświadczonego i przeszkolonego personelu, który nawet przy ograniczonych możliwościach narzędzi będzie w stanie przeprowadzić skuteczny skan i wyciągnąć z niego kluczowe informacje.

Z uwagi, że skanowanie może powodować destabilizację funkcjonowania infrastruktury w postaci np. obniżonej przepustowości łącza czy przepełnienia bufora, niezmiernie ważne jest, by planowany czas jego przeprowadzenia wcześniej skonsultować z administratorami IT. Ustalenie dogodnego momentu pozwoli zaplanować tzw. okno serwisowe i przeprowadzić skan w taki sposób, aby powodował on minimalne negatywne skutki dla działającego systemu.

Zaleca się, by skanowanie wspomagać bieżącym monitoringiem stabilności skanowanych zasobów, by w razie wystąpienia nieprawidłowości personel odpowiedzialny za wykonanie skanowania był o tym poinformowany i mógł podjąć decyzję odnośnie dalszych działań.

W trakcie skanowania, narzędzia do zarządzania podatnościami przeszukują sieć pod kątem występowania słabych punktów, które potencjalnie mogą zostać wykorzystane przez przestępców w celu wyrządzenia szkody. Oprogramowanie do zarządzania lukami raportuje wykryte słabości, równolegle sugerując działania naprawcze konieczne do usunięcia lub złagodzenia nieprawidłowości w systemie.

Skaner podatności – dlaczego jest taki ważny?

Rola skanera podatności polega na wynajdywaniu nieprawidłowości, których istnienie może powodować zagrożenie atakiem z zewnątrz w przyszłości. Skanowanie ma charakter proaktywny i wychodzi naprzeciw zaistniałym zagrożeniom, zanim te faktycznie przyczynią się do wyrządzenia szkody wskutek wykorzystania przez osoby niepowołane. Zasadnicza różnica pomiędzy programem VMP a ideą użytkowania programów antywirusowych, systemów IDS, zapór firewall wynika stąd, że zarządzanie podatnościami podejmuje działanie zanim problem przyniesie negatywne skutki, a nie przeciwdziała w momencie, gdy zainfekowany system jest już atakowany z powodu zaistniałych luk w bezpieczeństwie.

Rozpoznane zagrożenia, by zminimalizować zagrożenie atakiem i następstw podatności 0-day, powinny być naprawiane możliwie szybko od momentu ich wykrycia, jednak z zachowaniem zgodności z harmonogramem oraz ustalonymi w fazie projektowej priorytetami. Sprawne reagowanie na podatności pozwala minimalizować ryzyko przejścia wykrytych nieprawidłowości w obszar działania systemów bezpośredniego zapobiegania atakom i utrzymać zagrożenie krok dalej od naszego systemu.

Wraz z zakończeniem procesu skanowania, kolejnym krokiem jest analiza dotychczas zebranych informacji. Jest to niezwykle ważny element procesu badawczego, gdyż na tym etapie otrzymujemy holistyczną odpowiedź zwrotną na temat badanego systemu. Przegląd całości zasobów sieci pozwala w jednym miejscu zebrać szczegółowe informacje pod kątem występujących uszkodzeń i podatności. Na tym etapie dokonuje się podsumowania wrażliwych elementów sieci wraz z identyfikacją luk wymagających natychmiastowego działania naprawczego. Analiza, to krok, w którym na podstawie zebranych danych o sieci jesteśmy w stanie ocenić dokładny jej status oraz trendy ewolucji infrastruktury w czasie.

4. Ustalanie priorytetów i raportowanie

W dziale tym, omówimy wyniki otrzymanej analizy, by korzystając z ustaleń i pozyskanych informacji wraz z uwzględnieniem istniejących zabezpieczeń i wartości zasobów, określić wagę luki i jej priorytet w procesie unieszkodliwiania.
Na tym etapie Procesu Analizy Podatności zbieramy również w całość informacje, jakie należy umieścić w raporcie dla kierownictwa i właścicieli aktywów, podsumowujemy proces analizy i definiujemy główny cel naszych działań naprawczych. Co do zasady celem generalnym, jest konsolidacja rzeczywistego stanu luk w zabezpieczeniach i uzyskanie zgody na przeprowadzenie działań naprawczych lub minimalizacji zagrożeń.

Czynniki mające wpływ na ustalenie poziomu priorytetu:

  • poziom luki zabezpieczenia (słabości) według oceny skanera i analizy środowiska;
  • weryfikacja dostępności łaty, aktualizacji lub poprawki;
  • ryzyko konsekwencji zastosowania działań naprawczych;
  • planowanie harmonogramu działań.

Raportowanie obejmuje zbiór dotychczas zgromadzonych informacji. Treść raportu wysyłana jest do zatwierdzenia przez kierownictwo. Następnie kierownictwu, właścicielom zasobów i zespołowi inżynierów IT dostarczane są rekomendacje rozwiązań. Zatwierdzenie rekomendacji przez osoby związane z Procesem Zarządzania Podatnościami, pozwala ukształtować ogół czynności przewidzianych w zakresie działań naprawczych.

Zawartość raportu:

  • informacje pozyskane przez narzędzie skanujące (jakie podatności mogą wystąpić w systemie);
  • lista priorytetów działań naprawczych (które podatności mogą stanowić największe zagrożenie);
  • ryzyko niosące niezastosowanie zalecanych planów naprawczych;
  • długoterminowe trendy zmian (jak konfigurować politykę bezpieczeństwa systemu oraz weryfikować zgodność z jej założeniami)

5. Remediacja, mitygacja – usuwanie i łagodzenie podatności

Ostatnim etapem procesu zarządzania podatnościami, jest określenie strategii o wprowadzeniu w określonych obszarach działań naprawczych lub łagodzących. Po otrzymaniu informacji zwrotnej od kierownictwa, można rozpocząć proces naprawy i łagodzenia nieprawidłowości.
Niektóre metody naprawcze mogą powodować występowanie błędów i problemów z systemami lub usługami. Zadaniem inżynierów IT odpowiedzialnych za funkcjonowanie procesu, jest testowanie poprawek i zaplanowanie wdrożenia w odpowiednim czasie, by zmiany możliwie najłagodniej wpłynęły na funkcjonowanie systemu dla użytkowników końcowych.

Rozróżnia się dwie kategorie eliminacji podatności:

-metody naprawcze (remediacja)

-metody łagodzące (mitygacja)

Remediacja, to zastosowanie poprawki, której zadaniem jest rozwiązanie problemu. Implementowane bezpośrednio w podatnym systemie. Zazwyczaj ma postać łaty, aktualizacji lub zmiany konfiguracji. Rozwiązanie w postaci korekty konfiguracji powoduje, że nie będzie ona ponownie wykrywała wykrytej nieprawidłowości przy kolejnych skanach.

Mitygacja, to wprowadzenie w podatnym systemie, działań zmniejszających ryzyko związane z luką np. konfiguracja urządzeń mająca na celu blokowanie dostępu do podatnych źródeł. Metody łagodzące, bywają stosowane w charakterze rozwiązań proceduralnych.
Po wprowadzeniu zmiany bez fizycznej naprawy źródła podatności, usterka nadal będzie sygnalizowana przez skaner jako błąd (fałszywy pozytyw), ale dostępna dokumentacja potwierdzi brak występowania ryzyka w tym obszarze. Środki te nie mają celu usunięcia podatności, a złagodzenie związanego z nią ryzyka i zminimalizowanie podatności na działanie zewnętrznych zagrożeń atakiem.

W wielu przypadkach działania łagodzące są łatwiejsze do wdrożenia niż działania naprawcze, a jednocześnie zapewniają wystarczającą ochronę. Metody łagodzące zamiast naprawy stosowane są w sytuacjach, gdy remediacja jest kosztowna lub zachodzi wysokie ryzyko związane z naprawą wykrytej luki – usunięcie podatności spowoduje wyższe zagrożenie, niż pozostawienie jej na miejscu i znalezienie innego środka niwelującego nieprawidłowość.

Mitygacja znajduje zastosowanie, gdy z różnych powodów nie ma możliwości natychmiastowego użycia domyślnych środków korygujących np.:
-zastosowanie poprawek bezpieczeństwa obarczone jest ryzykiem destabilizacji działania infrastruktury lub naruszenia warunków kontraktowych;
-zastosowanie domyślnego środka korygującego wymaga testów poprzedzających wdrożenie;
-wdrożenie jest możliwe jedynie w określonym czasie, w tzw. oknie serwisowym;
-podatność występuje w systemie wbudowanym w specjalistyczne urządzenia;

Zdarza się, że w przedsiębiorstwie istnieją już rozwiązania bezpieczeństwa, które zapewniają wystarczający poziom ochrony i wprowadzanie zmian naprawczych na niższym poziomie nie jest konieczne.

Kontynuacja ciągłości procesu

Program Zarządzania Podatnościami jest procesem ciągłym, ulegającym ewolucji i modyfikacji. Zasoby sieci są dynamiczne i rozwijają się – wciąż dochodzą nowe urządzenia i technologie, personel ulega rotacji, a zmiana konfiguracji może wprowadzić nowe podatności.
Choć ukończenie pierwszego cyklu analizy bezpieczeństwa pozwoliło wykryć i zniwelować szereg nieprawidłowości, w tym wiele poważnych luk zabezpieczeń, nadal jesteśmy zbyt daleko by móc stwierdzić, że skutecznie zabezpieczyliśmy wszystkie aktywa firmowej infrastruktury.
Ukończenie procesu VMP, w odpowiednio zaplanowanym okresie, rodzi konieczność rozpoczęcia całego cyklu od nowa. Jednorazowe i trwałe rozwiązanie wszystkich problemów nie istnieje. Nie wystarczy jednokrotnie przeprowadzić Programu Zarządzania Podatnościami, by uznać że cel został osiągnięty. Aby proces był skuteczny należy wdrożyć go trwale, rozwijać i kontynuować.

Elementy wpływające na powodzenie Programu Zarządzania Podatnościami:

  • wysoka jakość przygotowania i inwentaryzacji środowiska aktywów;
  • minimalizacja okresu wykrycia i ekspozycji podatności;
  • poprawna ocena ryzyka wykrytej podatności;
  • umiejętny dobór właściwych środków zaradczych adekwatnych do zagrożenia;
  • umiejętność wykorzystania dostępnych środków zaradczych;
  • odpowiedni dobór kompetencji i doświadczenia kadry zaangażowanej w proces;
  • prawidłowa organizacja i zarządzanie przebiegiem procesu;
  • powiązanie i wpływ na inne procesy zarządzania obowiązujące w przedsiębiorstwie;
  • właściwa analiza jakości i efektywności wraz z oceną trendu rozwoju procesu VMP.

Umiejętnie przeprowadzony Program Zarządzania Podatnościami, z całą swoją mocą pozwala na efektywne kontrolowanie zagrożeń i niwelowanie ryzyka wystąpienia potencjalnych skutków naruszeń bezpieczeństwa sieci, w tym ingerencji w system elementów nieuprawnionych i wycieków poufnych danych biznesowych. Prawidłowa konstrukcja i wdrożenie procesu, wraz ze wsparciem doświadczonego personelu i odpowiednich narzędzi wspomagających pracę, otwierają przed firmą drzwi do osiągnięcia wymiernej korzyści w zakresie wzmocnienia własnego bezpieczeństwa wewnętrznego.

Choć branża informatyczna przeżywa swoje złote czasy, to świadomość kadry zarządzającej pod kątem zagrożeń i cyberbezpieczeństwa przedsiębiorstw nadal pozostaje na miernym poziomie. Program Zarządzania Podatnościami, z pewnością jest jedną z kluczowych strategii, które powinny być brane pod uwagę przez osoby decyzyjne, mające w zamiarze wdrożyć lub wzmocnić poziom bezpieczeństwa swojej organizacji. Opcjonalność, elastyczność i rozbieżność kosztowa procesu VMP, jest bardzo szeroka, co czyni go możliwym do wdrożenia praktycznie w każdym typie przedsiębiorstwa, bez względu na branżę czy rozmiar.

Oceń artykuł:

27.06.2019

Wojciech Lika

QA Software Engineer. Niezależny doradca ds. bezpieczeństwa. Pasjonat zarządzania cyberbezpieczeństwem i bezpieczeństwem fizycznym w kontekście biznesowym.