Efektivní řízení zranitelností v nadnárodní společnosti
Řešení společnosti Axians jsou v oblasti IT bezpečnosti a řízení zranitelností osvědčená. Na následujících řádcích případové studie se tak dočtete, v čem takové řízení zranitelností spočívá, proč je pro vaši firmu výhodné a kde hledat, pokud byste o něj měli zájem. Navíc se dozvíte i o jedinečné nabídce oskenování IT infrastruktury vašeho podniku a vyhodnocení nalezených zranitelností zdarma.
Řízení zranitelností je jedním ze základních stavebních kamenů kybernetické bezpečnosti v každé společnosti. Víte jaké zranitelnosti jsou nejčastěji zneužívány? Je potřeba se především soustředit na ty neznámé? K jakým útokům v poslední době došlo v České republice a v zahraničí? Jaké existují druhy a úrovně řízení zranitelností?
To vše se dozvíte v tomto článku a na závěr představíme jedinečnou nabídku, jak začít s řízením zranitelností ve Vaší firmě – jednorázové oskenování Vaší IT infrastruktury a vyhodnocení nalezených zranitelností zdarma.
Proč je tak důležité řídit zranitelnosti?
Zranitelnosti můžeme rozdělit na dvě skupiny – zranitelnosti nultého dne (dosud nebyly zveřejněny) a známé zranitelnosti. Řízení zranitelností se zaměřuje pouze na druhou skupinu. To však nevadí, protože více než 99 % kybernetických incidentů je způsobeno zneužitím již známých zranitelností. Pouze zbývající procento incidentů je způsobeno zneužitím zranitelnosti nultého dne.
Mezi útočníky využívající zranitelnosti nultého dne se mohou řadit například hackerské skupiny podporované některým státem. Tyto zranitelnosti jsou navíc často odhaleny spolu s detekcí kybernetického útoku a stávají se veřejně známými. Obrana proti těmto útočníkům vyžaduje zavedení pokročilé kybernetické bezpečnosti v organizaci a není předmětem tohoto článku. Dále se budeme věnovat pouze známým zranitelnostem.
Mezi nejznámější medializované případy z poslední doby využívající známé zranitelnosti můžeme zařadit bezpečnostní incidenty v Benešovské nemocnici nebo ve společnosti OKD. Z veřejně dostupných informací se můžeme domnívat, že za útoky stojí malware Emotet a TrickBot, společně s ransomwarem Ryuk. Malware využívá zranitelnosti EternalBlue pro rozšíření v rámci infrastruktury napadené organizace. Stejná zranitelnost byla před více než dvěma lety využita chronicky známým ransomwarem WannaCry, který si získal pozornost především díky vyřazení kritických systémů nemocnic ve Velké Británii. WannaCry napadl celosvětově více než 200 tisíc počítačů ve více než 150 zemích s odhadovanými škodami 4 miliardy dolarů, a to s využitím pouze několika známých zranitelností.
Řízení zranitelností je jedním ze základních stavebních kamenů informační bezpečnosti a dokáže zabránit, nebo alespoň omezit škody způsobené kybernetickým útokem.
Od manuálního hledání až po detekci zranitelných aplikací a systémů v reálném čase
Manuální identifikace zranitelností: Základní možností řízení zranitelností je manuální kontrola nových zranitelností prováděná běžně pracovníky IT oddělení. Existuje množství webů, které se věnují poskytování aktuálních informací o nových zranitelnostech. Tento způsob řízení zranitelností se nejčastěji zavádí ve firmách, kde není kybernetická bezpečnost žádným způsobem formalizována a řešena. Navíc je tato činnost velmi časově nákladná a neefektivní, mnoho zranitelností není tímto způsobem vůbec objeveno. Jak je vidět z příkladů v první části článku, velké množství firem, některé dokonce spadající do kritické infrastruktury státu, řeší zranitelnosti tímto nevhodným způsobem.
Jednorázové skenování zranitelností: Toto je často odrazovým můstkem pro zavádění kybernetické bezpečnosti ve společnosti. Kompletní infrastrukturu zákazníka oskenujeme profesionálním nástrojem, sesbíraná data podrobí naši experti důkladné analýze a připravíme report obsahující nejzávažnější detekované zranitelnosti a nedostatky. Zákazník může následně efektivně prioritizovat řešení těchto problémů a vynakládání finančních prostředků. Tyto jednorázové skeny jsou prováděny pravidelně, např. kvartálně. Vždy se ale jedná pouze o jednorázový obraz aktuálního stavu infrastruktury. Pokud se mezi jednotlivými skenováními objeví nová zranitelnost nebo jiný problém, opět musí být odhalen manuálně. Toto řešení je vhodné pro malé a střední firmy, které mají na kybernetickou bezpečnost limitovaný rozpočet.
Sledování zranitelností v reálném čase: Jedná se o nejkomplexnější řešení, při kterém jsou jednotlivé systémy a aplikace monitorovány a vyhodnocovány v reálném čase. Data jsou vzdáleně nebo lokálně sbírána a odesílána do centrálního managementu, kde dochází k jejich vyhodnocení a prioritizaci. Hlavní výhodou je okamžitá identifikace nových zranitelností, jejich prioritizace a efektivní řešení těch nejzávažnějších, pro které je např. již k dispozici exploit (způsob, jak lze zranitelnost zneužít útočníkem; ne každou zranitelnost lze automaticky zneužít).
Nasazení systému řízení zranitelností v nadnárodní společnosti
Naším zákazníkem je nadnárodní organizace provozující desítky tisíc serverů a stovky tisíc koncových stanic ve více než sto geograficky oddělených lokalitách po celém světě. Hlavním problémem zákazníka bylo zavedení nepřetržitého monitorování zranitelností na všech provozovaných systémech a aplikacích, včetně monitorování databází a průmyslových systémů. Dále pak integrace tohoto systému s dalšími zavedenými nástroji kybernetické bezpečnosti.
Pro implementaci požadovaného řešení jsme zvolili technologii Qualys. Mezi hlavní výzvy při návrhu řešení patřilo množství různých systémů a aplikací provozovaných zákazníkem. Na některé systémy nebylo možné instalovat lokálního agenta a museli jsme tedy počítat i se vzdáleným monitoringem a skenováním. Navíc docházelo k častým přesunům jednotlivých zařízení v rámci infrastruktury, nová zařízení byla denně přidávána a nahrazována. To vyžadovalo integraci s dalšími nástroji jako je asset management nebo systém pro správu ticketů. Rozsah navrženého systému neumožňoval jeho manuální správu a bylo nutné navrhnout a naimplementovat vysokou míru automatizace standardních činností.
Výše nastíněné problémy se podařilo vyřešit s využitím API použitého nástroje a vlastním vývojem automatizačních nástrojů a integračních modulů. V současné době systém detekuje miliony zranitelností, které automaticky prioritizuje podle kritičnosti daného prvku infrastruktury, způsobu využití detekované zranitelnosti a dalších parametrů. Kromě udržování a rozšiřování systému zajišťujeme i jeho nepřetržitý provoz.
Nad rámec popsané detekce a vyhodnocení zranitelností je toto řešení dále schopno vyhodnotit soulad nastavení systémů a aplikací s best practice a soulad s bezpečnostní politikou zákazníka. Mezi hlavní přínosy pro zákazníka patří zvýšená úroveň kybernetické bezpečnosti v celé organizaci. Rozšiřující moduly umožňují snadnější prokazování souladu se standardy a legislativou. Služba navíc umožňuje efektivní alokaci lidských a finančních zdrojů a celkovou finanční úsporu.
Jedinečná šance právě pro Vaši firmu
Navrhnuté řešení lze replikovat u dalších zákazníků majících za cíl zvýšení kybernetické bezpečnosti zavedením služby řízení zranitelností. Aktuálně navíc nabízíme jednorázové oskenování Vaší infrastruktury zdarma. Získáte tak aktuální obraz největších zranitelností ve Vaší infrastruktuře včetně doporučení, jak se s těmito zranitelnostmi vypořádat. Následně se můžete rozhodnout, zda je pro Vás tento formát vhodný např. ve formě čtvrtletního testování, nebo zda posunout řízení zranitelností na vyšší úroveň.