Facebook Link Button Icon Linkedin Link Button Icon Instagram Link Button Icon

Milliseid lahendusi pakub Datafox IT-haavatavuste halduseks?

02.05.2023

 

Tänapäeval ei saa küberturvalisust tagada ilma IT-haavatavuste halduseta, sest ainult nii on võimalik kõrvaldada turvaaugud enne nende pahatahtlikku ärakasutamist. Infoturbejuht Janar Randväli ja IT-taristu haldusteenuste juht Erkki Meius annavad ülevaate, milliseid võimalusi me haavatavuste halduseks pakume.

 

Haavatavus (vulnerability) on tarkvaras avastatud turvaviga, mille tulemusel tarkvara ei toimi korralikult, häkker pääseb ligi mitteavalikule infole või saab IT-süsteemis käivitada mingeid lubamatuid funktsioone. Haavatavuste avastamiseks kontrollivaid testijad ja häkkerid erinevaid tarkvarasid ning teatavad avastatud vigadest. Üldine praktika on, et enne vea avalikustamist antakse tarkvaratootjale mingi aeg turvapaiga väljatöötamiseks. Seejärel avalikustatakse info haavatavuse kohta CVE (common vulnerabilities and exposures) andmebaasides, millest üks levinuim on National Vulnerability Database. Iga haavatavus saab CVE koodi ning skoori vastavalt selle kriitilisusele 10-palli skaalal. Ideaalis avalikustatakse turvanõrkus koos seda kõrvaldava paigaga, kuid praktikas see alati nii ei ole. Pahatahtlikud häkkerid tegelevad vea avastamise järel hoopis ründepaketi loomisega ning haavatavus leitakse alles pärast ründeid, mistõttu turvapaiga loomisel ollakse kurikaeltest mitu sammu maas.

 

Teoreetiliselt on võimalik haavatavustel silm peal hoida ka CVE registreid ja andmebaase, uudiskirju, temaatilisi foorumeid ning tarkvaratootjate infot jälgides, kuid praktikas on see keerukas. Esiteks on ettevõte IT-süsteemides väga palju võimalike tagaustega tarkvarakomponente ning teiseks ei anna sel viisil info kogumine ülevaadet, kas konkreetsel juhul kasutusel olev tarkvaraversioon ja seadistus on üldse avastatud haavatavusest puudutatud. Nii kulub analüüsiks väga palju aega, kuid kriitiliste turvanõrkuste korral seda aega ei ole: nendega tuleb tegelda mõne tunni jooksul, et välistada automaatründe ohvriks sattumine.

 

Seetõttu on haavatavuste haldusel tulemuslikumad spetsiaalsed skännerid, mis tagavad igale ettevõttele hea ülevaate oma serveripargi ja arvutitöökohtade turvalisusest ning annavad sisendi turvariskide kiireks maandamiseks ja haavatavuste paikamiseks. Meie kasutame koos enam kui 30 000 organisatsiooniga üle maailma tööriista nimega Tenable Nessus Vulnerability Scanner, mida peetakse selles vallas maailma üheks parimaks lahenduseks. Nessuse skänner suudab tuvastada suurima hulga turvanõrkusi (üle 62 000 erineva CVE koodiga haavatavust ja rohkem kui 100 uut pistikprogrammi nädalas 24 tundi jooksul alates turvavea avalikustamisest) ning annab oluliselt täpsemaid tulemusi kui konkureerivad tooted  (keskmiselt 0,32 valepositiivset tulemust miljoni otsingu kohta).

 

Kuidas toimib haavatavuste skänner?

 

Skänner toimib sel viisil, et kontrollib konkreetse IP-vahemiku arvutites, serverites ja muudes võrku ühendatud seadmetes asuvat tarkvara ja teenuseid ning otsib lisaks seadistusvigu. Seejärel genereeritakse raport, kas konkreetsetes versioonides esineb teadaolevaid haavatavusi või leidub võrgus valesti seadistatud seadmeid. Pärast raporti saamist tuleb asuda tegutsema.

Esimene etapp ongi avastatud haavatavuste analüüs, mille käigus leitakse antud olukorras kõige ohtlikumad puudused ning pannakse seejärel paika tegevuskava. Tavaliselt kõrvaldatakse haavatavusi vastavalt nende kriitilisuse skoorile 10–palli skaalal:

 

  • Skoor 9-10 tähendab kriitilist ohtu, kuna siis on olemas kurivara ehk exploit automaatrünnete korraldamiseks – sellele haavatavusele tuleb reageerida kohe ning kõrvaldada see minutite või tundidega.

  • Skoor 7–8,9 tähendab kõrget ohtu ja vajadust kiirelt reageerida tundidega või maksimaalselt paari päevaga.

  • Skoor 4–6,9 näitab keskmist ohtu ja vajab reageerimist päevade jooksul, kuid mitte hiljem kui 1-2 nädalaga, kui haavatavus on sisevõrgust väljapoole nähtav.

  • Skoor kuni 3,9 on madala kriitilisusega, millega tegeldakse tavaliselt siis, kui kõrgema kriitilisuse haavatavused on paigatud.

 

Iga avastatud haavatavuse puhul on oluline analüüsi käigus kontrollida, kas see on avalikust internetist nähtav. Seetõttu on kriitilise haavatavuse korral sageli esimeseks sammuks tulemüüris mõne pordi, protokolli või teenuse sulgemine, kasutajaõiguste piiramine, süsteemide eraldamine või muud muudatused seadistuses, mille tulemusel saab turvaaugule ligi vaid ettevõtte sisevõrgust. Kui turvapaika ei ole veel välja töötatud või võtab selle testtsükkel enne paigaldust mitu päeva aega, annavad ümberseadistused tublisti ajapikendust, sest nüüd peab häkker haavatavuse ärakasutamiseks läbi tulemüüri ettevõtte turvaperimeetrist läbi tungima, mis on märksa keerukam. Pärast seadistusemuudatusi tuleb kindlasti uuesti käivitada skänner, veendumaks, et haavatavuse ärapeitmine ka õnnestus.

Lisaks peaks hindama haavatavusega serveri ärikriitilisust ettevõtte toimimisel ning selles sisalduvate andmete tundlikkust. Samuti tuleb mõelda konkreetse serveri isoleeritusele ehk kas eduka ründe korral saab pahalane selle kaudu liikuda teistesse serveritesse ja IT-süsteemidesse.

 

Kolm lahendust haavatavuste halduseks

 

Datafox pakub haavatavuste halduseks klientidele kolme lahendust:

1. Ühekordne kaardistus turvaauditi või IT-keskkonna hindamise käigus või eraldi otsing 2-4 korda aastas, mille alusel koostame raporti avastatud haavatavustest.

2. Kuna enamik küberohte vajab kiiremat reageerimist, siis eelistatum on iganädalanehaavatavuste otsing, kus lisaks raporti koostamisele teeme ära lisatöö ning määrame haavatavuste kõrvaldamise järjekorra ja võimalused riskide maandamiseks, näiteks paikamine, IT-süsteemi ümberseadistused (mitigation) vms. Kui ettevõtte arvutitöökohad, serveriplatvormid ja võrgud on meie halduses, siis saame aidata turvapaikade paigaldusel ning muude meetmete elluviimisel.

3. Saame ka kliendile endale luua haavatavuste halduslahenduse, mis hõlmab süsteemi juurutust, kõiki vajalikke tarkvaralitsentse ning koolitust tööriista kasutamiseks. Näiteks Tenable Nessus pakub haavatavuste halduseks mitut erinevat lahendust: kui odavam pakett sisaldab vaid otsingut ja raporteerimist, siis kallimates on võimalused ka turvanõrkuste filtreerimiseks nende kriitilisuse alusel just konkreetsele ettevõttele ning kõrvaldamise järjekorra paikapanekuks. Sõltuvalt serveripargi suurusest saab sellise lahenduse panna haavatavusi skaneerima näiteks igal öösel, mis loob võimekuse reageerida turvariskidele väga kiiresti.

 

Eriti kriitiliste haavatavuste lisandumisel avalikku andmebaasi tulekski skaneering koos raporteerimisega käivitada koheselt, mitte aga piirduda iganädalase rutiinse otsinguga. Kui ründetarkvara on olemas, siis võidakse tagauks leida juba minutitega. Sellisel juhul võib ju turvaaugu paari päevaga sulgeda, ent kui pahalane on jõudnud selleks ajaks luua süsteemi paar varjatud administraatorikontot, siis on suuremad pahandused ettevõtte jaoks kahtlemata teel, sest nüüd saab kurje kavatsusi ellu viia ka pärast haavatavuse enda likvideerimist.

 

Kuidas leida haavatavusi ettevõtte enda loodud rakendustes?

Samas on oluline silmas pidada, et skännerid toovad päevavalgele vaid need haavatavused, mis on leitud üldkasutatavates operatsioonisüsteemides ja tarkvarades ning millele on loodud ka kurivara (exploit). Kui haavatavusest ei ole avalikult teatatud või asub see ettevõtte enda loodud rakenduses, siis taolised tööriistad seda suure tõenäosusega ei leia. Erandiks võib olla vaid see, kui rakendus põhineb mõnel üldtuntud platvormiversioonil (näiteks Oracle andmebaas või Wordpressi veebihaldussüsteem), kust on avastatud turvanõrkus.

 

Ettevõtte enda loodud eritarkvarades haavatavuste leidmiseks tuleks esmalt kontrollida seda validaatorprogrammidega, mis hindavad, kas need on arendatud ja seadistatud parimaid praktikaid kasutades. Teiseks võimaluseks on teha läbistustestimine (penetration testing ehk pentesting) spetsiaalset tarkvara kasutades, mõne usaldusväärse häkkeri kaasabil või mõne hackme-teenusega. Kolmas lahendus on preemiaprogrammides osalemine, kus häkkeritele makstakse raha iga avastatud ja ettevõttele teatatud turvanõrkuse eest.

 

Kui soovid abi ja nõu IT-haavatavuste otsimisel ning kõrvaldamisel, siis kirjuta meile:
See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.

 

 

Loe lisaks:

Kliendikogemuse 5 põhitrendi tänavuseks aastaks

Datafox pakub RIA metoodika alusel küberpöörde teekaardi koostamise teenust toetuse taotlejatele