A kockázatalapú sérülékenységrangsorolás olyan alapvető kiberbiztonsági stratégia, amelyet a szervezetek a sérülékenység által jelentett
szervezetspecifikus kockázat alapján használnak a rendszereikben lévő sebezhetőségek azonosítására, értékelésére és rangsorolására. Ez a módszer túlmutat a hagyományos sérülékenységkezelési megközelítéseken, amelyek jellemzően a gyenge pontok keresését és befoltozását (patchelését) tartalmazzák a felfedezés sorrendjében vagy a súlyosság alapján. Ehelyett a kockázatalapú rangsorolás figyelembe veszi az egyes sebezhetőségek üzleti kihatását, beleértve:
a szervezet kritikus eszközeire és szolgáltatásaira gyakorolt potenciális hatást,
a kihasználás valószínűségét, valamint
a sebezhetőség hálózati kitettségét és hozzáférhetőségét.
A kockázatalapú sérülékenységrangsorolás azon az elven alapul, hogy
nem minden sebezhetőség jelent egyforma veszélyt egy szervezetre. Célja az erőforrások hatékonyabb elosztása azáltal, hogy a véges üzemeltetési erőforrásokat azokra a kritikus sérülékenységekre összpontosítja, amelyek a legnagyobb kárt okozhatják, vagy amelyeket a legnagyobb valószínűséggel használnak ki a támadók. Ez a megközelítés megköveteli a szervezeten belüli potenciális hatások átfogó ismeretét.
Iparági szabványos kockázatértékelés
Közel 20 éve a súlyosságot a Common Vulnerability Scoring System (CVSS) alapján határozzák meg. A CVSS szabványosított módszertant biztosít a sérülékenység fő jellemzőinek rögzítésére, és a sebezhetőség súlyosságát tükröző pontszámok létrehozására. A pontszámítás annak értékelésével történik, hogy a sérülékenység milyen mértékben veszélyezteti a rendszer bizalmas jellegét, integritását és rendelkezésre állását, valamint a valószínű támadási vektort és a sebezhetőség kihasználásának bonyolultságát. A kiszámítás után a végső CVSS-pontszámot a sérülékenységhez rendelik.
A prioritási folyamat tovább finomítható a kihasználhatóság figyelembevételével, ami azt méri, hogy egy sebezhetőséget jelenleg milyen mértékben használnak ki. Egy jó sérülékenységkezelési program a fenyegetésekkel kapcsolatos információk alapján elemzi az egyes azonosított sebezhetőségek kihasználhatóságát, beleértve a különböző kihasználási módok, például a rosszindulatú programok és a Proof of Concept (POC) kódok észlelését az egyes exploitokhoz.
A jövőbeli kihasználhatóság előrejelzése
Ezt a folyamatot ki lehet egészíteni annak felmérésével, hogy egy adott sérülékenységet milyen valószínűséggel használnak ki egy jövőbeni időszakban. Az olyan szervezetek, mint a First.org, egy Exploit Prediction Scoring System (EPSS) rendszert biztosítanak ennek eléréséhez. Egy modern sérülékenységkezelési megoldás az EPSS gépi tanulási modelljeit és adatelemzését használja fel az exploitok 30 napos előrejelzésére. A kihasználhatósági ellenőrzés eredménye egy numerikus érték, amely bekerül a kockázatalapú sebezhetőség értékelésébe, és jelzi, hogy elérhető-e már megvalósított káros kód egy sérülékenységhez, és hogy az exploit a való életben is megvalósult-e, így növelve a sebezhetőség kockázati prioritását. A CVSS súlyosság és kihasználhatóság iparági szabványos módszereket adnak a kockázatok értékelésére. Ezek akkor voltak elegendőek, amikor a támadási felületek még korlátozottabbak voltak és a sebezhetőségek száma is kisebb volt.
Manapság azonban az IT-csapatok egyre nagyobb támadási felülettel és több ezer, ha nem milliónyi sérülékenységgel szembesülnek a környezetükben. Következésképpen az olyan iparági szabványos mérőszámok, mint a súlyosság és a kihasználhatóság önmagukban a magas és kritikus súlyosságú sérülékenységek hatalmas számát eredményezi, anélkül, hogy a szükséges javítási betekintést nyújtanák, így a csapatok túlterheltté válnak.
A Skybox Cyber Threat Intelligence platformja 35 különböző forrásból származó, folyamatosan frissülő sérülékenységi adatbázist tartalmaz.
Új megközelítésre van szükség a kockázatértékeléshez, amely túllép ezen az „uniformizált” megközelítésen, és figyelembe veszi a szervezetre jellemző egyedi körülményeket.
Ügyfélspecifikus kockázatértékelés
A sérülékenységek által jelentett kockázatok teljes körű megértéséhez a szervezeteknek be kell építeniük az ügyfélspecifikus kockázatok értékelését, például a szolgáltatáskiesés üzleti hatását és azt, hogy egy eszköz milyen mértékben lehet kitéve a hálózaton keresztül történő támadásnak.
A sérülékenység miatt bekövetkező szolgáltatáskiesés
üzleti hatása kritikus elem a kockázatalapú sebezhetőségi rangsorolásban. Egy-egy szolgáltatás fontosságát tükröző érték hozzárendelése, vagy akár automatizálással előállított értékek alkalmazása egy tartományban – pl.: alacsonyabb súlyozott érték egy tesztadatbázishoz, magasabb egy éles üzemi adatbázishoz – nagyszerű módja annak, hogy a
szolgáltatáskiesés üzleti hatását figyelembe tudjuk venni a kockázatalapú prioritásszámításban.
A szervezetek a szolgáltatáskiesés üzleti hatásának értékelését tovább is vihetik, és a kiberkockázat számszerűsítését (CRQ) használhatják a kiesés pénzbeli kockázatának megértéséhez. Ennek a mérőszámnak a kockázatalapú priorizálási számításba történő beépítése segít a legnagyobb potenciális pénzügyi hatással járó kiberkockázatok meghatározásában, javítva ezzel a döntéshozatalt és erősítve a szervezet általános biztonsági helyzetét.
Hálózati kitettség
A következő – és sok szempontból a legfontosabb –
mérőszám a hálózaton keresztüli kitettség, vagyis az, hogy egy támadó milyen mértékben érheti el a hálózaton keresztül a sebezhető eszközt.
Az ügyfélspecifikus kitettség valódi megértéséhez a szervezeteknek részletesen ismerniük kell a támadási felületüket, beleértve az eszközöket, a hálózati infrastruktúrát, a hozzáférési útvonalakat, valamint a szkennerekből és az információszolgáltatásokból származó összes releváns biztonsági adatot.
Ezzel a tudással felvértezve a kockázatalapú prioritásszámítás a sebezhető eszköz kitettségét a lehetséges fenyegetések eredete alapján értékelheti, beleértve a külső, belső, partneri és felhőalapú fenyegetéseket, és figyelembe veheti az olyan tényezőket is, mint például azt, hogy az eszköz elérhetetlen vagy tűzfallal védett, továbbá közvetve vagy közvetlenül hozzáférhető.
Az ügyfélspecifikus kockázatértékelési tényezők, például az üzleti hatás és a hálózati kitettség, felbecsülhetetlen értékűek, mert segítenek gyorsan azonosítani a szervezet számára legnagyobb kockázatot jelentő eszközök sérülékenységeit, és lepontozni azokat, amelyek ugyan súlyosak, de a mögöttes biztonsági ellenőrzések miatt hozzáférhetetlenek.
A Skybox megoldása, mivel hálózati feltérképezést is végez, képes ezen komplex értékelés automatikus végrehajtására.
Többtényezős kockázatértékelés
A szervezetek egyre inkább azt tapasztalják, hogy a kizárólag a súlyosságon és a kihasználhatóságon alapuló hagyományos sérülékenységi prioritási kezdeményezések már nem elegendőek ahhoz, hogy lépést tartsanak a szervezeti támadási felület összetettségével és a sebezhetőségek puszta mennyiségével. Szerencsére a modern sérülékenységkezelési megoldások segíthetnek.
Egy modern sérülékenységkezelő megoldás automatikusan rangsorolja a sebezhetőségeket az iparági és az ügyfélspecifikus tényezők alapján, és olyan kockázati pontszámot ad, amely mindkettőt figyelembe veszi. Az értékeléshez egy dinamikus biztonsági modell segítségével a megoldás folyamatosan elemzi a súlyosságot, a kihasználhatóságot, az üzleti hatást és a kitettséget, majd a szervezet egyedi körülményeihez igazított, rangsorolt kockázati pontszámokat ad.
Egy modern sérülékenységkezelési megoldás felbecsülhetetlen értékű betekintést nyújt a hálózat biztonságába, hiszen általa megérthetők a legújabb kockázatok, amelyek értékelhetők a hálózat és a kritikus üzleti eszközök összefüggésében.
A Skybox megoldásaival kapcsolatban keresse a RelNet szakértőit!
Forrás
What is risk-based vulnerability prioritization?
Kapcsolódó tartalom
Gondolkozzon kiberbűnözőként a kitettség csökkentése érdekében! - RelNet Technológia Kft.
Skybox Security képzések a RelNet eLearning programban