A kockázatalapú sebezhetőségrangsorolás olyan alapvető kiberbiztonsági stratégia, amelyet a szervezetek a sebezhetőség által jelentett
szervezetspecifikus kockázat alapján használnak a rendszereikben lévő sebezhetőségek azonosítására, értékelésére és rangsorolására. Ez a módszer túlmutat a hagyományos sebezhetőségkezelési megközelítéseken, amelyek jellemzően a gyenge pontok keresését és befoltozását (patchelését) tartalmazzák a felfedezés sorrendjében vagy a súlyosság alapján. Ehelyett a kockázatalapú rangsorolás figyelembe veszi az egyes sebezhetőségek üzleti kihatását, beleértve:
a szervezet kritikus eszközeire és szolgáltatásaira gyakorolt potenciális hatást,
a kihasználás valószínűségét, valamint
a sebezhetőség hálózati kitettségét és hozzáférhetőségét.
A kockázatalapú sebezhetőségrangsorolás azon az elven alapul, hogy
nem minden sebezhetőség jelent egyforma veszélyt egy szervezetre. Célja az erőforrások hatékonyabb elosztása azáltal, hogy a véges üzemeltetési erőforrásokat azokra a kritikus sebezhetőségekre összpontosítja, amelyek a legnagyobb kárt okozhatják, vagy amelyeket a legnagyobb valószínűséggel használnak ki a támadók. Ez a megközelítés megköveteli a szervezeten belüli potenciális hatások átfogó ismeretét.
Iparági szabványos kockázatértékelés
Közel 20 éve a súlyosságot a Common Vulnerability Scoring System (CVSS) alapján határozzák meg. A CVSS szabványosított módszertant biztosít a sebezhetőség fő jellemzőinek rögzítésére, és a sebezhetőség súlyosságát tükröző pontszámok létrehozására. A pontszámítás annak értékelésével történik, hogy a sebezhetőség milyen mértékben veszélyezteti a rendszer bizalmas jellegét, integritását és rendelkezésre állását, valamint a valószínű támadási vektort és a sebezhetőség kihasználásának bonyolultságát. A kiszámítás után a végső CVSS-pontszámot a sebezhetőséghez rendelik.
A prioritási folyamat tovább finomítható a kihasználhatóság figyelembevételével, ami azt méri, hogy egy sebezhetőséget jelenleg milyen mértékben használnak ki. Egy jó sebezhetőségkezelési program a fenyegetésekkel kapcsolatos információk alapján elemzi az egyes azonosított sebezhetőségek kihasználhatóságát, beleértve a különböző kihasználási módok, például a rosszindulatú programok és a Proof of Concept (POC) kódok észlelését az egyes exploitokhoz.
A jövőbeli kihasználhatóság előrejelzése
Ezt a folyamatot ki lehet egészíteni annak felmérésével, hogy egy adott sebezhetőséget milyen valószínűséggel használnak ki egy jövőbeni időszakban. Az olyan szervezetek, mint a First.org, egy Exploit Prediction Scoring System (EPSS) rendszert biztosítanak ennek eléréséhez. Egy modern sebezhetőségkezelési megoldás az EPSS gépi tanulási modelljeit és adatelemzését használja fel az exploitok 30 napos előrejelzésére. A kihasználhatósági ellenőrzés eredménye egy numerikus érték, amely bekerül a kockázatalapú sebezhetőség értékelésébe, és jelzi, hogy elérhető-e már megvalósított káros kód egy sebezhetőséghez, és hogy az exploit a való életben is megvalósult-e, így növelve a sebezhetőség kockázati prioritását. A CVSS súlyosság és kihasználhatóság iparági szabványos módszereket adnak a kockázatok értékelésére. Ezek akkor voltak elegendőek, amikor a támadási felületek még korlátozottabbak voltak és a sebezhetőségek száma is kisebb volt.
Manapság azonban az IT-csapatok egyre nagyobb támadási felülettel és több ezer, ha nem milliónyi sebezhetőséggel szembesülnek a környezetükben. Következésképpen az olyan iparági szabványos mérőszámok, mint a súlyosság és a kihasználhatóság önmagukban a magas és kritikus súlyosságú sebezhetőségek hatalmas számát eredményezi, anélkül, hogy a szükséges javítási betekintést nyújtanák, így a csapatok túlterheltté válnak.
A Skybox Cyber Threat Intelligence platformja 35 különböző forrásból származó, folyamatosan frissülő sérülékenységi adatbázist tartalmaz.
Új megközelítésre van szükség a kockázatértékeléshez, amely túllép ezen az „uniformizált” megközelítésen, és figyelembe veszi a szervezetre jellemző egyedi körülményeket.
Ügyfélspecifikus kockázatértékelés
A sebezhetőségek által jelentett kockázatok teljes körű megértéséhez a szervezeteknek be kell építeniük az ügyfélspecifikus kockázatok értékelését, például a szolgáltatáskiesés üzleti hatását és azt, hogy egy eszköz milyen mértékben lehet kitéve a hálózaton keresztül történő támadásnak.
A sebezhetőség miatt bekövetkező szolgáltatáskiesés
üzleti hatása kritikus elem a kockázatalapú sebezhetőségi rangsorolásban. Egy-egy szolgáltatás fontosságát tükröző érték hozzárendelése, vagy akár automatizálással előállított értékek alkalmazása egy tartományban – pl.: alacsonyabb súlyozott érték egy tesztadatbázishoz, magasabb egy éles üzemi adatbázishoz – nagyszerű módja annak, hogy a
szolgáltatáskiesés üzleti hatását figyelembe tudjuk venni a kockázatalapú prioritásszámításban.
A szervezetek a szolgáltatáskiesés üzleti hatásának értékelését tovább is vihetik, és a kiberkockázat számszerűsítését (CRQ) használhatják a kiesés pénzbeli kockázatának megértéséhez. Ennek a mérőszámnak a kockázatalapú priorizálási számításba történő beépítése segít a legnagyobb potenciális pénzügyi hatással járó kiberkockázatok meghatározásában, javítva ezzel a döntéshozatalt és erősítve a szervezet általános biztonsági helyzetét.
Hálózati kitettség
A következő – és sok szempontból a legfontosabb –
mérőszám a hálózaton keresztüli kitettség, vagyis az, hogy egy támadó milyen mértékben érheti el a hálózaton keresztül a sebezhető eszközt.
Az ügyfélspecifikus kitettség valódi megértéséhez a szervezeteknek részletesen ismerniük kell a támadási felületüket, beleértve az eszközöket, a hálózati infrastruktúrát, a hozzáférési útvonalakat, valamint a szkennerekből és az információszolgáltatásokból származó összes releváns biztonsági adatot.
Ezzel a tudással felvértezve a kockázatalapú prioritásszámítás a sebezhető eszköz kitettségét a lehetséges fenyegetések eredete alapján értékelheti, beleértve a külső, belső, partneri és felhőalapú fenyegetéseket, és figyelembe veheti az olyan tényezőket is, mint például azt, hogy az eszköz elérhetetlen vagy tűzfallal védett, továbbá közvetve vagy közvetlenül hozzáférhető.
Az ügyfélspecifikus kockázatértékelési tényezők, például az üzleti hatás és a hálózati kitettség, felbecsülhetetlen értékűek, mert segítenek gyorsan azonosítani a szervezet számára legnagyobb kockázatot jelentő eszközök sebezhetőségeit, és lepontozni azokat, amelyek ugyan súlyosak, de a mögöttes biztonsági ellenőrzések miatt hozzáférhetetlenek.
A Skybox megoldása, mivel hálózati feltérképezést is végez, képes ezen komplex értékelés automatikus végrehajtására.
Többtényezős kockázatértékelés
A szervezetek egyre inkább azt tapasztalják, hogy a kizárólag a súlyosságon és a kihasználhatóságon alapuló hagyományos sebezhetőségi prioritási kezdeményezések már nem elegendőek ahhoz, hogy lépést tartsanak a szervezeti támadási felület összetettségével és a sebezhetőségek puszta mennyiségével. Szerencsére a modern sebezhetőségkezelési megoldások segíthetnek.
Egy modern sebezhetőségkezelő megoldás automatikusan rangsorolja a sebezhetőségeket az iparági és az ügyfélspecifikus tényezők alapján, és olyan kockázati pontszámot ad, amely mindkettőt figyelembe veszi. Az értékeléshez egy dinamikus biztonsági modell segítségével a megoldás folyamatosan elemzi a súlyosságot, a kihasználhatóságot, az üzleti hatást és a kitettséget, majd a szervezet egyedi körülményeihez igazított, rangsorolt kockázati pontszámokat ad.
Egy modern sebezhetőségkezelési megoldás felbecsülhetetlen értékű betekintést nyújt a hálózat biztonságába, hiszen általa megérthetők a legújabb kockázatok, amelyek értékelhetők a hálózat és a kritikus üzleti eszközök összefüggésében.
A Skybox megoldásaival kapcsolatban keresse a RelNet szakértőit!
Forrás
What is risk-based vulnerability prioritization?
Kapcsolódó tartalom
Gondolkozzon kiberbűnözőként a kitettség csökkentése érdekében! - RelNet Technológia Kft.
Skybox Security képzések a RelNet eLearning programban