Sérülékenységvizsgálat fontossága

Kockázati problémák

A nagyvállalatok esetében a kockázatfelmérés közben sok esetben tárul fel, hogy a biztonsági frissítésekkel kapcsolatos módszerek nem felelnek meg teljeskörűen a nagyvállalati környezetekben alkalmazott eljárásokkal, ajánlásokkal. Az esetek nagy részében ad-hoc módon, többnyire a rendszergazdák kezdeményezésére (gyártói oldalon megjelent információk alapján), vagy egyéb sérülékenységgel kapcsolatos ajánlások szerint kerülnek frissítésre az infrastruktúrában üzemeltetett hálózati eszközök, szerverek, munkaállomások.

Ez a megoldás nem ad naprakész és teljes körű védelmet a vállalatok számára. Az adott cég infrastruktúrája egyre jobban kiszolgáltatottá válik a folyamatosan megjelenő sérülékenységekkel szemben.

Egy olyan átfogó megoldásra lenne szükség, mely automatikusan, rendszeresen ütemezetten képes a teljes infrastruktúra ellenőrzésére, és folyamatos megfigyelésére. Ezen felül pedig kiegészítés képen éves szinten egy olyan teljes körű sérülékenység vizsgálatra (ethical hacking), mely felfedi az egyéb rejtett hibákat, sérülékenységeket, melyeket a szkennerek nem képesek felfedni.

 

Sérülékenységvizsgáló automata eszközök, szkennerek használata

A hálózati eszközök és szerverek, munkaállomások folyamatos, naprakész biztonsági állapotának eléréséhez, sérülékenységvizsgáló automata szkennerek bevezetését és rendszeres alkalmazása javasolt. Az automatizált felderítés elsődleges célja, hogy azonosítsa azokat a problémákat, amelyeknek kijavítása megakadályozhatja a szerverek, hálózati eszközök, webes alkalmazások későbbi kompromittálhatóságát az ismert sérülékenységek alapján.

Az automatizált eszközök felhasználásának a legnagyobb előnye, hogy nagyon gyorsan képesek kimutatni a sérülékenységeket. A piacon számos olyan remek termék beszerezhető, mely képes kielégíteni a sérülékenység-, és hardening vizsgálattal kapcsolatos komolyabb elvárásokat.

A szkennerek, a vállalat hálózati szegmenseinek különböző pontjaira is elhelyezhetőek (DMZ, belső hálózat stb), és valós időben képesek információt szolgáltatni az eszközök állapotáról, biztonsági beállításairól. Az általuk összegyűjtött információk, adatok akár központi felületen elérhetőek, lekérdezhetőek és ezen adatokat letöltve további eszközök is felhasználhatják a működésükhöz (pl: központosított naplógyűjtő-, monitoring- és eseménykezelő rendszerek).

A piacon kapható termékek támogatják az eszközökön lévő főbb operációs rendszer platformokat. Képesek megfelelő jogosultságok biztosításával, a szerverek, munkaállomások hálózati eszközökön lévő operációs rendszerek, patch-ek állapotának folyamatos és naprakész ellenőrzésére, gyenge konfigurációs és hardening beállítások felderítésére.

A szkennelések adott időintervallumra időzíthetők, és az ismétlések száma, rendszeressége is beállítható. Összetett jogosultsági rendszerük lehetővé teszi, hogy akár különféle profilt létrehozva személyre szabott hozzáféréseket állítsunk be a felhasználóknak (pl: rendszergazdai-, auditori-, szakmai vezetői jogkör stb). A piacon többnyire kétféle konstrukcióban érhetőek el ezek az alkalmazások.

Az ingyenesen letölthető verziókkal elérhető funkciók száma erősen korlátozott, a szkennelhető IP címek száma nagyon alacsony, valamint nem jár hozzájuk teljes körű terméktámogatási szolgáltatás és jogosultsági rendszer (többnyire csak egy profil állítható be).

A licenszdíjas verziók, (melyek gyártótól függően akár többféle konstrukcióban is megvásárolhatóak) azonban sokkal több funkcióval és terméktámogatási szolgáltatással rendelkeznek. Nincs korlátozva az ellenőrizni kíván IP címek száma, könnyen a vállalat méretére szabhatóak. Eltérő szerepköröket hozhatunk létre a használatához. Az így elérhető funkciók köre és a hozzá biztosított gyártói support teljes mértékben képes kiszolgálni a sérülékenység menedzsmenttel kapcsolatos elvárásokat. Ilyen funkciók lehetnek például (melyet az ingyenes verziók nem biztos, hogy teljes mértékben támogatnak) a korlátlan számú IP címek használata, hardening szkriptek és speciális sérülékenységi ellenőrzések futtatása és kiértékelése, előre beépített szkennelési policy-k használata. A vállalati környezetre szabva könnyen skálázhatóak. Használatuk lehetővé teszi a különféle típusú és részletességű riportok-, statisztikai összesítő diagramok generálásának lehetőségét és személyre szabását,

Amennyiben több szkenner is használatba kerül, egy központosított felületen (ú.n dashboard) képes az eredményeket megjeleníteni, és adott szempontok szerint rendezni. Vezetői jelentések, részletes technikai riportok, trenddiagramok megjelenítésére is képes. Ezek alapján meg lehet állapítani például, hogy egy adott szerveren adott időközben miként változtak meg a sérülékenységek, patch-ek állapota (javításra kerültek-e időközben az előző szkenneléshez képest a patchek), hardening beállítások.

Az eszközökön lévő operációs rendszerek, firmware-ek verziójáról naprakész leltár vezethető, így számon lehet tartani, hogy mely operációs rendszer verzióból hány darab található a vállalatnál.

Az eredmények automatikusan e-mailben vagy webes felületen publikálásra kerülhetnek, ahol megfelelő jogosultságok megadásával a felhasználók (auditorok, rendszergazdák, felelős vezetők) le is kérdezhetik az eredményeket.

A sérülékenységeket (nemzetközi ajánlást szerinti CVE szám alapján) kockázati kategóriákba képes rendezni (kritikus, magas, közepes, alacsony). Javasolt ezen eredmények alapján a kritikus és magas sérülékenységek javítását előre tenni, priorizálni és mielőbb elvégezni a rendszereken a kockázat csökkentése érdekében.

A sérülékenység vizsgáló alkalmazások az éppen aktuális (pl: javascript, adott operációs rendszert-, vagy böngészőt-, alkalmazást-, adatbázist vagy firmware-t érintő) pár napja megjelent expoitok stb), sérülékenységek ellenőrzésére is alkalmasak célirányosan.

Licenszköteles verziói a nemzetközi szabványokon alapuló (pl: CIS, NIST, DISA stb) hardening beállítások vizsgálatára is alkalmasak. Az eredmények többféle szempont szerint riportba rendezhetőek. A riportok számos formában (.pdf, xlm, .html stb) letölthetőek, feldolgozhatóak. Egyedi vizsgálati metódusok is feltölthetőek, (pl: xml formában), így akár személyre szabottan, központi felületről történhet a hardening vizsgálat a választott szerverekre, hálózati eszközökre. Ez a megoldás abban az esetben lehet hasznos az adott vállalat számára, ha a nemzetközi előírásoktól eltérően egyedi beállításokat, policy-t használ az operációs rendszereinek konfigurációjában (pl: jelszó policy, naplózás stb).

A szkennerek napi szinten a központi repository alapján az internet felől frissítésre kerülnek, így a nagy nemzetközi sérülékenységi adatbázisokban is megjelenő sérülékenységeket is képesek azonnal, vagy pár nap elteltével (a frissítést követően) azonosítani.

A hiányzó patch-ek azonosítását követően a patchek telepítését elővigyázatosságból először a tesztrendszeren a megfelelő tesztelést követően szabad csak az éles rendszeren is végrehajtani az arra megfelelő időpontban (amikor az üzemeltetésben nem okoz fennakadást).

A javításokat időközönként vissza is kell ellenőrizni (auditorok feladata). A rendszerek esetében felelősöket kell kijelölni, akik az aktuális javítások meglétért felelnek. Lehet ennek felelőse például a kijelölt adatgazda, rendszergazda, adott terület szakmai vezetője is. A sérülékenységek akár ticketing rendszerben is feladhatóak, így könnyebben nyomon lehet követni az állapotukat.

A rendszerváltozások miatt és az időközben publikált biztonsági hibák feltárásának érdekében optimálisan évente, de a jelentősebb informatikai fejlesztéseket követően mindenképp javasolt a sérülékenység vizsgálat ismételt végrehajtása. A sérülékenység menedzsment folyamatát írásos formában is szabályozni szükséges a vállalaton belül.

Az automatikus sérülékenység vizsgálat

Az automatikus sérülékenység vizsgálathoz felhasznált szoftverek képezik az első lépést a webes alkalmazások sérülékenység vizsgálatában. Ezek az eszközök megmutatják az ismert problémákat, mintázatokat és útvonalakat a webes alkalmazások biztonsági beállításaiban.

Az automatizált felderítés elsődleges célja, hogy azonosítsa azokat a problémákat, amelyeknek kijavítása megakadályozhatja az online alkalmazások későbbi kompromittálhatóságát az ismert, „gyári” sérülékenységek alapján.

Az automatizált eszközök felhasználásának a legnagyobb előnye, hogy nagyon gyorsan képesek kimutatni az „alap-sérülékenységeket”, viszont ellentétben a kézi vizsgálatokkal, mindez könnyen detektálható a támadás-detektáló rendszerekkel.

Kézi vizsgálatok

Szemben az automatizált felderítéssel, a kézi vizsgálatokat emberi vezérléssel végezzük el. A kézi vizsgálatok esetében a vizsgálat közben a vizsgálatot végző személy értelmezi a kliens felé adott válaszokat, és befolyásolhatja a szervernek küldött adatokat. A kézi vizsgálat legnagyobb előnye a vizsgált rendszerre vonatkozó precíz, specializált végrehajtás.

Természetesen ezzel együtt a kézi végrehajtás lassabb, mint az általánosabb, automatizált eszközök, így a webes alkalmazások sérülékenység vizsgálatában az úgynevezett hibrid vizsgálatok elvégzése vezet a legjobb eredményre.

A webes alkalmazások sérülékenység vizsgálata során, az alábbi területeken ellenőrizzük a lehetséges problémákat:

Automatizált vizsgálatok Kézi vizsgálatok
Ismert sérülékenységek Hozzáférési jogosultság problémák
Alapbeállítások Hozzáférés kontroll problémák
Cross-Site Scripting Munkafolyamat (Session) státusz problémák
SQL Injection Speciális felhasználói állományok
Információ „kitakarás” Átmeneti állományok
Könyvtár indexek Megbízható kapcsolatok problémái
Brute Forcing Adatbázis problémák
Denial of Service támadások
Parancsok futtathatósága
Puffer túlcsordulás
Szerver oldali meghívható állományok

 

Manuális, kézi sérülékenység vizsgálat, úgynevezett ethical hacking szolgáltatás igénybevételének fontossága

A fent ismertetett sérülékenység vizsgálat mellé éves szinten javasoljuk az egyedi, manuális sérülékenység vizsgálat, úgynevezett ethical hacking szolgáltatás igénybevételét is. Ez a szolgáltatás kiegészíti az automata szkennerek által nyújtott szolgáltatásokat, és így nagy mértékben kiküszöbölhető a vállalat kiszolgáltatottsága. Ilyen módon minden szempontból feltérképezésre kerülhetnek a hibák, sérülékenységek.

Ethical hacking szolgáltatást a Kürt Zrt is nyújt ügyfelei számára. Kérem keressen minket bizalommal, ha ilyen irányú vizsgálatot szeretne végeztetni a webalkalmazásán, számítógépes infrastruktúráján (szerverparkján, hálózati eszközein, wifi rendszerén). Megbízható szakembereink több évtizedes tapasztalattal, számos referenciával, szakvizsgával állnak az ügyfeleink rendelkezésére.

Szechenyi2020

Iratkozzon fel hírlevelünkre!

Ha szeretne többet tudni a legfrissebb híreinkről, szolgáltatásainkról, iratkozz fel hírlevelünkre!