A kock\u00e1zatalap\u00fa sebezhet\u0151s\u00e9grangsorol\u00e1s olyan alapvet\u0151 kiberbiztons\u00e1gi strat\u00e9gia, amelyet a szervezetek a sebezhet\u0151s\u00e9g \u00e1ltal jelentett szervezetspecifikus kock\u00e1zat alapj\u00e1n haszn\u00e1lnak a rendszereikben l\u00e9v\u0151 sebezhet\u0151s\u00e9gek azonos\u00edt\u00e1s\u00e1ra, \u00e9rt\u00e9kel\u00e9s\u00e9re \u00e9s rangsorol\u00e1s\u00e1ra. Ez a m\u00f3dszer t\u00falmutat a hagyom\u00e1nyos sebezhet\u0151s\u00e9gkezel\u00e9si megk\u00f6zel\u00edt\u00e9seken, amelyek jellemz\u0151en a gyenge pontok keres\u00e9s\u00e9t \u00e9s befoltoz\u00e1s\u00e1t (patchel\u00e9s\u00e9t) tartalmazz\u00e1k a felfedez\u00e9s sorrendj\u00e9ben vagy a s\u00falyoss\u00e1g alapj\u00e1n. Ehelyett a kock\u00e1zatalap\u00fa rangsorol\u00e1s figyelembe veszi az egyes sebezhet\u0151s\u00e9gek \u00fczleti kihat\u00e1s\u00e1t, bele\u00e9rtve:<\/p>\n
a szervezet kritikus eszk\u00f6zeire \u00e9s szolg\u00e1ltat\u00e1saira gyakorolt potenci\u00e1lis hat\u00e1st,<\/p>\n
a kihaszn\u00e1l\u00e1s val\u00f3sz\u00edn\u0171s\u00e9g\u00e9t, valamint<\/p>\n
a sebezhet\u0151s\u00e9g h\u00e1l\u00f3zati kitetts\u00e9g\u00e9t \u00e9s hozz\u00e1f\u00e9rhet\u0151s\u00e9g\u00e9t.<\/p>\n
A kock\u00e1zatalap\u00fa sebezhet\u0151s\u00e9grangsorol\u00e1s azon az elven alapul, hogy nem minden sebezhet\u0151s\u00e9g jelent egyforma vesz\u00e9lyt egy szervezetre. C\u00e9lja az er\u0151forr\u00e1sok hat\u00e9konyabb eloszt\u00e1sa az\u00e1ltal, hogy a v\u00e9ges \u00fczemeltet\u00e9si er\u0151forr\u00e1sokat azokra a kritikus sebezhet\u0151s\u00e9gekre \u00f6sszpontos\u00edtja, amelyek a legnagyobb k\u00e1rt okozhatj\u00e1k, vagy amelyeket a legnagyobb val\u00f3sz\u00edn\u0171s\u00e9ggel haszn\u00e1lnak ki a t\u00e1mad\u00f3k. Ez a megk\u00f6zel\u00edt\u00e9s megk\u00f6veteli a szervezeten bel\u00fcli potenci\u00e1lis hat\u00e1sok \u00e1tfog\u00f3 ismeret\u00e9t.<\/p>\n
K\u00f6zel 20 \u00e9ve a s\u00falyoss\u00e1got a Common Vulnerability Scoring System (CVSS) alapj\u00e1n hat\u00e1rozz\u00e1k meg. A CVSS szabv\u00e1nyos\u00edtott m\u00f3dszertant biztos\u00edt a sebezhet\u0151s\u00e9g f\u0151 jellemz\u0151inek r\u00f6gz\u00edt\u00e9s\u00e9re, \u00e9s a sebezhet\u0151s\u00e9g s\u00falyoss\u00e1g\u00e1t t\u00fckr\u00f6z\u0151 pontsz\u00e1mok l\u00e9trehoz\u00e1s\u00e1ra. A pontsz\u00e1m\u00edt\u00e1s annak \u00e9rt\u00e9kel\u00e9s\u00e9vel t\u00f6rt\u00e9nik, hogy a sebezhet\u0151s\u00e9g milyen m\u00e9rt\u00e9kben vesz\u00e9lyezteti a rendszer bizalmas jelleg\u00e9t, integrit\u00e1s\u00e1t \u00e9s rendelkez\u00e9sre \u00e1ll\u00e1s\u00e1t, valamint a val\u00f3sz\u00edn\u0171 t\u00e1mad\u00e1si vektort \u00e9s a sebezhet\u0151s\u00e9g kihaszn\u00e1l\u00e1s\u00e1nak bonyolults\u00e1g\u00e1t. A kisz\u00e1m\u00edt\u00e1s ut\u00e1n a v\u00e9gs\u0151 CVSS-pontsz\u00e1mot a sebezhet\u0151s\u00e9ghez rendelik.<\/p>\n
A priorit\u00e1si folyamat tov\u00e1bb finom\u00edthat\u00f3 a kihaszn\u00e1lhat\u00f3s\u00e1g figyelembev\u00e9tel\u00e9vel, ami azt m\u00e9ri, hogy egy sebezhet\u0151s\u00e9get jelenleg milyen m\u00e9rt\u00e9kben haszn\u00e1lnak ki. Egy j\u00f3 sebezhet\u0151s\u00e9gkezel\u00e9si program a fenyeget\u00e9sekkel kapcsolatos inform\u00e1ci\u00f3k alapj\u00e1n elemzi az egyes azonos\u00edtott sebezhet\u0151s\u00e9gek kihaszn\u00e1lhat\u00f3s\u00e1g\u00e1t, bele\u00e9rtve a k\u00fcl\u00f6nb\u00f6z\u0151 kihaszn\u00e1l\u00e1si m\u00f3dok, p\u00e9ld\u00e1ul a rosszindulat\u00fa programok \u00e9s a Proof of Concept (POC) k\u00f3dok \u00e9szlel\u00e9s\u00e9t az egyes exploitokhoz.<\/p>\n
Ezt a folyamatot ki lehet eg\u00e9sz\u00edteni annak felm\u00e9r\u00e9s\u00e9vel, hogy egy adott sebezhet\u0151s\u00e9get milyen val\u00f3sz\u00edn\u0171s\u00e9ggel haszn\u00e1lnak ki egy j\u00f6v\u0151beni id\u0151szakban. Az olyan szervezetek, mint a First.org, egy Exploit Prediction Scoring System (EPSS) rendszert biztos\u00edtanak ennek el\u00e9r\u00e9s\u00e9hez. Egy modern sebezhet\u0151s\u00e9gkezel\u00e9si megold\u00e1s az EPSS g\u00e9pi tanul\u00e1si modelljeit \u00e9s adatelemz\u00e9s\u00e9t haszn\u00e1lja fel az exploitok 30 napos el\u0151rejelz\u00e9s\u00e9re. A kihaszn\u00e1lhat\u00f3s\u00e1gi ellen\u0151rz\u00e9s eredm\u00e9nye egy numerikus \u00e9rt\u00e9k, amely beker\u00fcl a kock\u00e1zatalap\u00fa sebezhet\u0151s\u00e9g \u00e9rt\u00e9kel\u00e9s\u00e9be, \u00e9s jelzi, hogy el\u00e9rhet\u0151-e m\u00e1r megval\u00f3s\u00edtott k\u00e1ros k\u00f3d egy sebezhet\u0151s\u00e9ghez, \u00e9s hogy az exploit a val\u00f3 \u00e9letben is megval\u00f3sult-e, \u00edgy n\u00f6velve a sebezhet\u0151s\u00e9g kock\u00e1zati priorit\u00e1s\u00e1t. A CVSS s\u00falyoss\u00e1g \u00e9s kihaszn\u00e1lhat\u00f3s\u00e1g ipar\u00e1gi szabv\u00e1nyos m\u00f3dszereket adnak a kock\u00e1zatok \u00e9rt\u00e9kel\u00e9s\u00e9re. Ezek akkor voltak elegend\u0151ek, amikor a t\u00e1mad\u00e1si fel\u00fcletek m\u00e9g korl\u00e1tozottabbak voltak \u00e9s a sebezhet\u0151s\u00e9gek sz\u00e1ma is kisebb volt. Manaps\u00e1g azonban az IT-csapatok egyre nagyobb t\u00e1mad\u00e1si fel\u00fclettel \u00e9s t\u00f6bb ezer, ha nem milli\u00f3nyi sebezhet\u0151s\u00e9ggel szembes\u00fclnek a k\u00f6rnyezet\u00fckben. K\u00f6vetkez\u00e9sk\u00e9ppen az olyan ipar\u00e1gi szabv\u00e1nyos m\u00e9r\u0151sz\u00e1mok, mint a s\u00falyoss\u00e1g \u00e9s a kihaszn\u00e1lhat\u00f3s\u00e1g \u00f6nmagukban a magas \u00e9s kritikus s\u00falyoss\u00e1g\u00fa sebezhet\u0151s\u00e9gek hatalmas sz\u00e1m\u00e1t eredm\u00e9nyezi, an\u00e9lk\u00fcl, hogy a sz\u00fcks\u00e9ges jav\u00edt\u00e1si betekint\u00e9st ny\u00fajtan\u00e1k, \u00edgy a csapatok t\u00falterheltt\u00e9 v\u00e1lnak.<\/p>\n
A Skybox Cyber Threat Intelligence platformja 35 k\u00fcl\u00f6nb\u00f6z\u0151 forr\u00e1sb\u00f3l sz\u00e1rmaz\u00f3, folyamatosan friss\u00fcl\u0151 s\u00e9r\u00fcl\u00e9kenys\u00e9gi adatb\u00e1zist tartalmaz.<\/p>\n
\u00daj megk\u00f6zel\u00edt\u00e9sre van sz\u00fcks\u00e9g a kock\u00e1zat\u00e9rt\u00e9kel\u00e9shez, amely t\u00fall\u00e9p ezen az \u201euniformiz\u00e1lt\u201d megk\u00f6zel\u00edt\u00e9sen, \u00e9s figyelembe veszi a szervezetre jellemz\u0151 egyedi k\u00f6r\u00fclm\u00e9nyeket.<\/p>\n
A sebezhet\u0151s\u00e9gek \u00e1ltal jelentett kock\u00e1zatok teljes k\u00f6r\u0171 meg\u00e9rt\u00e9s\u00e9hez a szervezeteknek be kell \u00e9p\u00edteni\u00fck az \u00fcgyf\u00e9lspecifikus kock\u00e1zatok \u00e9rt\u00e9kel\u00e9s\u00e9t, p\u00e9ld\u00e1ul a szolg\u00e1ltat\u00e1skies\u00e9s \u00fczleti hat\u00e1s\u00e1t \u00e9s azt, hogy egy eszk\u00f6z milyen m\u00e9rt\u00e9kben lehet kit\u00e9ve a h\u00e1l\u00f3zaton kereszt\u00fcl t\u00f6rt\u00e9n\u0151 t\u00e1mad\u00e1snak.<\/p>\n
A sebezhet\u0151s\u00e9g miatt bek\u00f6vetkez\u0151 szolg\u00e1ltat\u00e1skies\u00e9s \u00fczleti hat\u00e1sa kritikus elem a kock\u00e1zatalap\u00fa sebezhet\u0151s\u00e9gi rangsorol\u00e1sban. Egy-egy szolg\u00e1ltat\u00e1s fontoss\u00e1g\u00e1t t\u00fckr\u00f6z\u0151 \u00e9rt\u00e9k hozz\u00e1rendel\u00e9se, vagy ak\u00e1r automatiz\u00e1l\u00e1ssal el\u0151\u00e1ll\u00edtott \u00e9rt\u00e9kek alkalmaz\u00e1sa egy tartom\u00e1nyban \u2013 pl.: alacsonyabb s\u00falyozott \u00e9rt\u00e9k egy tesztadatb\u00e1zishoz, magasabb egy \u00e9les \u00fczemi adatb\u00e1zishoz \u2013 nagyszer\u0171 m\u00f3dja annak, hogy a szolg\u00e1ltat\u00e1skies\u00e9s \u00fczleti hat\u00e1s\u00e1t figyelembe tudjuk venni a kock\u00e1zatalap\u00fa priorit\u00e1ssz\u00e1m\u00edt\u00e1sban.<\/p>\n
A szervezetek a szolg\u00e1ltat\u00e1skies\u00e9s \u00fczleti hat\u00e1s\u00e1nak \u00e9rt\u00e9kel\u00e9s\u00e9t tov\u00e1bb is vihetik, \u00e9s a kiberkock\u00e1zat sz\u00e1mszer\u0171s\u00edt\u00e9s\u00e9t (CRQ) haszn\u00e1lhatj\u00e1k a kies\u00e9s p\u00e9nzbeli kock\u00e1zat\u00e1nak meg\u00e9rt\u00e9s\u00e9hez. Ennek a m\u00e9r\u0151sz\u00e1mnak a kock\u00e1zatalap\u00fa prioriz\u00e1l\u00e1si sz\u00e1m\u00edt\u00e1sba t\u00f6rt\u00e9n\u0151 be\u00e9p\u00edt\u00e9se seg\u00edt a legnagyobb potenci\u00e1lis p\u00e9nz\u00fcgyi hat\u00e1ssal j\u00e1r\u00f3 kiberkock\u00e1zatok meghat\u00e1roz\u00e1s\u00e1ban, jav\u00edtva ezzel a d\u00f6nt\u00e9shozatalt \u00e9s er\u0151s\u00edtve a szervezet \u00e1ltal\u00e1nos biztons\u00e1gi helyzet\u00e9t.<\/p>\n
A k\u00f6vetkez\u0151 \u2013 \u00e9s sok szempontb\u00f3l a legfontosabb \u2013 m\u00e9r\u0151sz\u00e1m a h\u00e1l\u00f3zaton kereszt\u00fcli kitetts\u00e9g, vagyis az, hogy egy t\u00e1mad\u00f3 milyen m\u00e9rt\u00e9kben \u00e9rheti el a h\u00e1l\u00f3zaton kereszt\u00fcl a sebezhet\u0151 eszk\u00f6zt.<\/p>\n
Az \u00fcgyf\u00e9lspecifikus kitetts\u00e9g val\u00f3di meg\u00e9rt\u00e9s\u00e9hez a szervezeteknek r\u00e9szletesen ismerni\u00fck kell a t\u00e1mad\u00e1si fel\u00fclet\u00fcket, bele\u00e9rtve az eszk\u00f6z\u00f6ket, a h\u00e1l\u00f3zati infrastrukt\u00far\u00e1t, a hozz\u00e1f\u00e9r\u00e9si \u00fatvonalakat, valamint a szkennerekb\u0151l \u00e9s az inform\u00e1ci\u00f3szolg\u00e1ltat\u00e1sokb\u00f3l sz\u00e1rmaz\u00f3 \u00f6sszes relev\u00e1ns biztons\u00e1gi adatot.<\/p>\n
Ezzel a tud\u00e1ssal felv\u00e9rtezve a kock\u00e1zatalap\u00fa priorit\u00e1ssz\u00e1m\u00edt\u00e1s a sebezhet\u0151 eszk\u00f6z kitetts\u00e9g\u00e9t a lehets\u00e9ges fenyeget\u00e9sek eredete alapj\u00e1n \u00e9rt\u00e9kelheti, bele\u00e9rtve a k\u00fcls\u0151, bels\u0151, partneri \u00e9s felh\u0151alap\u00fa fenyeget\u00e9seket, \u00e9s figyelembe veheti az olyan t\u00e9nyez\u0151ket is, mint p\u00e9ld\u00e1ul azt, hogy az eszk\u00f6z el\u00e9rhetetlen vagy t\u0171zfallal v\u00e9dett, tov\u00e1bb\u00e1 k\u00f6zvetve vagy k\u00f6zvetlen\u00fcl hozz\u00e1f\u00e9rhet\u0151.<\/p>\n
Az \u00fcgyf\u00e9lspecifikus kock\u00e1zat\u00e9rt\u00e9kel\u00e9si t\u00e9nyez\u0151k, p\u00e9ld\u00e1ul az \u00fczleti hat\u00e1s \u00e9s a h\u00e1l\u00f3zati kitetts\u00e9g, felbecs\u00fclhetetlen \u00e9rt\u00e9k\u0171ek, mert seg\u00edtenek gyorsan azonos\u00edtani a szervezet sz\u00e1m\u00e1ra legnagyobb kock\u00e1zatot jelent\u0151 eszk\u00f6z\u00f6k sebezhet\u0151s\u00e9geit, \u00e9s lepontozni azokat, amelyek ugyan s\u00falyosak, de a m\u00f6g\u00f6ttes biztons\u00e1gi ellen\u0151rz\u00e9sek miatt hozz\u00e1f\u00e9rhetetlenek.<\/p>\n
A Skybox megold\u00e1sa, mivel h\u00e1l\u00f3zati felt\u00e9rk\u00e9pez\u00e9st is v\u00e9gez, k\u00e9pes ezen komplex \u00e9rt\u00e9kel\u00e9s automatikus v\u00e9grehajt\u00e1s\u00e1ra.<\/p>\n
A szervezetek egyre ink\u00e1bb azt tapasztalj\u00e1k, hogy a kiz\u00e1r\u00f3lag a s\u00falyoss\u00e1gon \u00e9s a kihaszn\u00e1lhat\u00f3s\u00e1gon alapul\u00f3 hagyom\u00e1nyos sebezhet\u0151s\u00e9gi priorit\u00e1si kezdem\u00e9nyez\u00e9sek m\u00e1r nem elegend\u0151ek ahhoz, hogy l\u00e9p\u00e9st tartsanak a szervezeti t\u00e1mad\u00e1si fel\u00fclet \u00f6sszetetts\u00e9g\u00e9vel \u00e9s a sebezhet\u0151s\u00e9gek puszta mennyis\u00e9g\u00e9vel. Szerencs\u00e9re a modern sebezhet\u0151s\u00e9gkezel\u00e9si megold\u00e1sok seg\u00edthetnek.<\/p>\n
Egy modern sebezhet\u0151s\u00e9gkezel\u0151 megold\u00e1s automatikusan rangsorolja a sebezhet\u0151s\u00e9geket az ipar\u00e1gi \u00e9s az \u00fcgyf\u00e9lspecifikus t\u00e9nyez\u0151k alapj\u00e1n, \u00e9s olyan kock\u00e1zati pontsz\u00e1mot ad, amely mindkett\u0151t figyelembe veszi. Az \u00e9rt\u00e9kel\u00e9shez egy dinamikus biztons\u00e1gi modell seg\u00edts\u00e9g\u00e9vel a megold\u00e1s folyamatosan elemzi a s\u00falyoss\u00e1got, a kihaszn\u00e1lhat\u00f3s\u00e1got, az \u00fczleti hat\u00e1st \u00e9s a kitetts\u00e9get, majd a szervezet egyedi k\u00f6r\u00fclm\u00e9nyeihez igaz\u00edtott, rangsorolt kock\u00e1zati pontsz\u00e1mokat ad.<\/p>\n
Egy modern sebezhet\u0151s\u00e9gkezel\u00e9si megold\u00e1s felbecs\u00fclhetetlen \u00e9rt\u00e9k\u0171 betekint\u00e9st ny\u00fajt a h\u00e1l\u00f3zat biztons\u00e1g\u00e1ba, hiszen \u00e1ltala meg\u00e9rthet\u0151k a leg\u00fajabb kock\u00e1zatok, amelyek \u00e9rt\u00e9kelhet\u0151k a h\u00e1l\u00f3zat \u00e9s a kritikus \u00fczleti eszk\u00f6z\u00f6k \u00f6sszef\u00fcgg\u00e9s\u00e9ben.<\/p>\n
<\/p>\n
What is risk-based vulnerability prioritization?<\/a><\/p>\nKapcsol\u00f3d\u00f3 tartalom<\/h5>\n