fbpx
+36 1 781 4842 info@fortix.hu

Miért van annyi sérülékenység?

Először is, mi az a sérülékenység vagy más néven biztonsági rés?

A kiberbiztonságban a sérülékenység a rendszerek olyan állapota, hiányossága, amelyet a számítógépes bűnözők kihasználhatnak, hogy illetéktelenül hozzáférjenek a számítógépes rendszerhez.
A biztonsági rés kihasználása után a kibertámadás alatt kártékony kódokat futtathat, rosszindulatú programokat telepíthet, sőt akár érzékeny adatokat is ellophat.

A biztonsági réseket sokféleképpen ki lehet használni.
Párat megemlítve: SQL injektálással, meghibásodott hitelesítés, oldalak közti szkriptelés (XSS) és még sorolhatnánk.

A National Institute of Standards and Technology (NIST) így határozza meg a sérülékenységet:

  • Az információs rendszer, a rendszerbiztonsági eljárások, a belső kontrollok vagy a megvalósítás gyengesége, amelyet egy fenyegetésforrás kihasználhat vagy kiválthat.

Mikor kell nyilvánosságra hozni egy sérülékenységet?

Még nem tisztázott, hogy melyik lehetőség lenne a legjobb megoldás, de két opció van.

Azonnali nyilvánosságra hozatal:

  • Egyes szakértők úgy vélik, hogy ez biztonságos szoftverekhez és gyorsabb javításokhoz vezet, javítva a szoftverek, alkalmazások, számítógépek és az operációs rendszer biztonságát.

Korlátozott nyilvánosságra hozatal:

  • Mások úgy gondolják, hogy az azonnali nyilvánosságra hozatallal a biztonsági réseket jobban ki lehet használni. A korlátozott nyilvánosságra hozatal támogatói úgy vélik, hogy az információk korlátozása bizonyos csoportokba csökkenti a kockázatot.

Attól függetlenül, hogy melyik oldalra esik a választásunk, tudni kell, hogy a kiberbűnözők rendszeresen keresik a sebezhetőségeket és tesztelik a már ismert sérülékenységeket.

Egyes vállalatoknak vannak belső biztonsági csoportjai, amelyek feladata az informatikai biztonság és a szervezet egyéb biztonsági intézkedéseinek tesztelése az általános információs kockázatkezelési és kiberbiztonsági kockázatkezelési folyamatok részeként.

Vannak olyan vállalatok is, amelyek hibakereső játékokat, úgynevezett bug bounty programokat kínálnak, ezáltal arra ösztönözve bárkit, hogy találja meg és számoljon be a sebezhetőségekről a vállalat számára. Természetesen ezt a tevékenységet honorálják is.

Mi a különbség a sérülékenység és a kockázat között?

A kiberbiztonsági kockázatokat általában a sérülékenységek közé sorolják.
A sérülékenység és a kockázat azonban nem ugyanaz.
Gondoljon a kockázatra úgy, mint a sérülékenység kihasználásának valószínűségére és annak hatására; a kockázat a sérülékenység kihasználásából adódó negatív hatású esemény lehetősége. Így, ha a sérülékenység kihasználásának hatása és valószínűsége alacsony, akkor a kockázat is alacsony lesz.

Mi okozza a sérülékenységet? 

Számos oka van, többek között:

  • Bonyolultság: A komplex rendszerek növelik a hibák valószínűségét.

  • Ismertség: A közös kód, szoftverek, operációs rendszerek és a hardver növeli annak a valószínűségét, hogy a támadó találni fog sérülékenységet vagy információval rendelkezik az ismert biztonsági résekről.
  • Kapcsolódás: Minél több összekapcsolt eszközünk van, annál nagyobb a sérülékenység esélye.
  • Gyenge jelszókezelés: A gyenge, alapértelmezett, rosszul konfigurált jelszavak könnyen feltörhetők brute force technikával.
  • Operációs rendszerek hibái: Mint minden szoftvernek, az operációs rendszernek is lehetnek hibái. Alapértelmezés szerint nem biztonságos operációs rendszer az, amely minden felhasználó számára teljes hozzáférést biztosít, lehetővé téve a vírusok és rosszindulatú programok számára a parancsok végrehajtását.
  • Internet használat: Az internet tele van rosszindulatú szoftverekkel (pl.: spyware), amelyek a megfelelő védelem hiányában fenyegetést okoznak a számítógépükre nézve.
  • Szoftverhibák: A programozók akarva, akaratlanul is hagyhatnak hibát a szoftverben.
  • Emberek: A legnagyobb biztonsági rés bármely szervezetben az ember. Ezért is jelenti a legnagyobb veszélyt a legtöbb szervezetre nézve a social engineering.

Sérülékenységek észlelése és kezelése 

A biztonsági rés vizsgálata olyan szoftverek segítségével történik, amelynek célja a számítógépek, hálózatok vagy alkalmazások ismert sebezhetőségének felmérése.
Felismerhetik és azonosíthatják a hálózaton belüli hibás konfigurációból és hibás programozásból eredő sérülékenységeket majd hitelesített vizsgálatokat hajthatnak végre.
A hitelesített (authentikált) vizsgálatok lehetővé teszik a sérülékenység vizsgáló szoftver számára, hogy közvetlenül hozzáférjen a hálózati eszközökhöz távoli adminisztrációs protokollok, például shell (SSH) vagy távoli asztali protokoll (RDP) használatával és hitelesítse a megadott rendszert.

A másik megoldás az ütemezett, külső partner által végzett penetrációs teszt.

A penetrációs teszt az a gyakorlat, amikor egy információs technológiai eszközt tesztelnek annak érdekében, hogy megtalálják a támadók által kihasználható biztonsági réseket és teszteljék azok gyakorlati, visszaélésre alkalmas kihasználhatóságát.
A teszt történhet szoftver segítségével vagy manuálisan. A folyamat célja, hogy információkat gyűjtsön a célrendszerről, azonosítsa a lehetséges sérülékenységeket, megkísérelje azokat kihasználni majd beszámoljon az eredményekről.

A penetrációs tesztelés a szervezet biztonsági politikájának, a megfelelőségi követelmények betartásának, az alkalmazottak biztonságtudatosságának és a szervezet biztonsági incidensek azonosítására és az azokra való reagálásra való képességének tesztelésére is használható. 

A biztonsági rések észlelése, osztályozása és orvoslása a sérülékenység – menedzsment részei.
Mivel a számítógépes támadások folyamatosan fejlődnek, a sérülékenység menedzsment rendszeres és ismétlődő gyakorlat kell legyen annak érdekében, hogy a szervezet továbbra is védett maradjon.

Konklúzió 

Tehát, ahogy a való világban, úgy a számítógép világában is vannak és lesznek is olyan személyek, akik rosszindulatúak (bűnözők – kiberbűnözők).
Ennek következtében, mindig is lesznek olyanok, akik az újabb és újabb sérülékenységeket kihasználva károkozásra törekednek. Abból kifolyólag is, hogy nincs tökéletesen megírt szoftver, nincs tökéletesen megtervezett hálózati infrastruktúra, illetve nincs tökéletes ember sem.

A legjobb megoldás az lehet, ha céltudatosan és felelősségteljesen gondolkozunk, illetve a fent említett módszerek használatával (ütemezett penetrációs teszt és sérülékenység vizsgálatok) csökkentjük a felmerülő kockázatok számát.

Iratkozzon fel hírlevelünkre!



    (*)