Sérülékenységmenedzsment folyamata KKV és nagyvállalati környezetben
A sérülékenységmenedzsment adminisztratív alapjai
A sérülékenységmenedzsment a sérülékenységvizsgálat mellett az informatikai biztonság egyik legalapvetőbb eleme, amely célja az információs rendszerek biztonságos működésének biztosítása.
Felelősök kijelölése
A sérülékenységmenedzsment folyamatának lebonyolításához meg kell nevezni azokat a személyeket, akik felelősek a folyamat irányításáért és végrehajtásáért. Ez lehet egy dedikált biztonsági csapat, vagy akár a fejlesztők és a rendszerüzemeltetők is végezhetik ezt a feladatot. A fontos, hogy mindenki tisztában legyen a felelősségével, valamint rendelkezzen az ehhez szükséges szaktudással és eszközökkel.
Kockázatok és valószínűség szerinti súlyozás
A sérülékenységek kezelésének fontos eleme a kockázatok és a valószínűség szerinti súlyozás. Az alapvető lépés, hogy az összes rendszerünket felmérjük, és azonosítsuk a lehetséges sérülékenységeket. Ezután értékeljük a kockázatokat és azok valószínűségét, majd rangsoroljuk a sérülékenységeket a súlyosságuk és a veszélyességük szerint.
Priorizálás súlyozásnak, erőforrásoknak, követelményeknek és üzleti érdekeknek megfelelően
A prioritások meghatározása során fontos szempont lehet az erőforrások rendelkezésre állása, a követelmények teljesítése, valamint az üzleti érdekek. Ez azt jelenti, hogy előbb azokat a sérülékenységeket kell kezelni, amelyek a legnagyobb kockázatot jelentik, és amelyek a rendszer működése szempontjából kritikusak. Az erőforrások allokációja során figyelembe kell venni a rendszer összetettségét, a szükséges időt és a szükséges szaktudást is.
Sérülékenységmenedzsment platformok, eszközök
A sérülékenységmenedzsment folyamatának hatékony végrehajtása érdekében számos platform és eszköz áll rendelkezésre. Az alábbiakban bemutatjuk a leggyakrabban használt sérülékenységmenedzsment platformokat és eszközöket, és részletesen kifejtjük, hogyan lehet hatékonyan használni ezeket.
Sérülékenységek kezelése, nyilvántartása Excelben (kisvállalkozásoknak)
Az Excel egy egyszerű, de hatékony eszköz a sérülékenységek kezelésére és nyilvántartására. Különösen kisvállalkozások számára javasolt, mivel könnyen használható és személyre szabható. Az alábbiakban bemutatjuk, hogy milyen adatokat érdemes tartalmaznia és milyen oszlopokat érdemes létrehozni egy ilyen nyilvántartásban.
- Azonosító: Egyedi azonosító, amely lehetővé teszi a sérülékenység azonosítását és nyomon követését.
- Sérülékenység neve: Ez az oszlop tartalmazza a sérülékenységek nevét. Javasolt az IT biztonsági szakirodalom által használt neveket használni, hogy a nyilvántartás egységes legyen.
- Sérülékenység neve: Ez az oszlop tartalmazza a sérülékenységek nevét. Javasolt az IT biztonsági szakirodalom által használt neveket használni, hogy a nyilvántartás egységes legyen.
- Súlyosság: Az oszlopban megadható, hogy milyen súlyos következményei lehetnek a sérülékenységnek, ha kihasználják. A súlyosságot általában skálán vagy számszerű értékeléssel adjuk meg.
- Érintett rendszer: A sérülékenységet tartalmazó rendszer neve, címe vagy azonosítója. Ez az információ segít azonosítani, hogy melyik rendszeren kell javítani a sérülékenységet.
- Leírás: Az oszlop tartalmazza a sérülékenység rövid leírását, hogy könnyen azonosítható legyen.
- Felelős: A sérülékenység javításáért felelős személy neve, akiért az adott sérülékenység javítása a felelősségi körébe tartozik.
- Javítás státusza: Az oszlopban megadható, hogy a sérülékenység javítása hol tart. Például: javítás alatt, várakozásban, lezárva.
- Megjegyzés: Az oszlopban megjegyzéseket lehet fűzni a sérülékenységgel kapcsolatban, pl. időpontokat, fontossági szinteket, stb.
Sérülékenységek kezelése, nyilvántartása, kiosztása ticketing rendszerben
A sérülékenységek kezelése és nyilvántartása a ticketing rendszerben hatékony módja lehet az információbiztonság fenntartásának. A ticketing rendszer egy olyan eszköz, amely lehetővé teszi az ügyfélszolgálatnak vagy az IT-osztálynak, hogy könnyen nyomon követhessék és kezelhessék az ügyféligényeket, javításokat és problémákat.
A sérülékenységek nyilvántartása és kezelése a ticketing rendszerben hasonló módon történhet, mint az előző példában említett Excel-táblázatban. A ticketing rendszer azonban lehetővé teszi a sérülékenységek könnyű nyomon követését, kezelését és dokumentálását.
Sérülékenységek teljes menedzsmentje professzionális célszoftverben
A Faraday egy nyílt forráskódú, de professional és corporate változatban is elérhető sérülékenységmenedzsment platform, amely egy központi felületen keresztül teszi lehetővé a sérülékenységek kezelését, hogy a felelősök a lehető leghatákonyabban végezhessék a munkájukat.
A Faradaynek számos előnye van az Excel vagy a ticketing rendszerhez képest, mivel teljes körű és integrált megoldást nyújt a sérülékenységek kezelésére. A platform rugalmas és testreszabható, és lehetővé teszi a felhasználók számára, hogy a saját igényeiknek megfelelően konfigurálják a rendszert. Emellett a Faraday számos integrációt kínál más biztonsági eszközökkel, például a Nessus, a Burp Suite, a Metasploit, a ZAP, az Acunetix és a OpenVAS sérülékenységvizsgáló eszközökkel.
Beazonosított sérülékenységek javítása, visszaellenőrzése
- Dokumentáljuk az összes sebezhetőséget: A sérülékenységvizsgálatot végző cég eredményeit dokumentálni kell, ideértve minden sebezhetőség leírását, súlyossági szintjét és a javasolt javítási lépéseket.
- Rendeljünk prioritást minden sebezhetőséghez: Miután dokumentáltuk az összes sebezhetőséget, prioritizálni kell őket súlyossági szintjük alapján – ami a vizsgálat mélységétől függően eltérhet a vizsgálati jelentésben meghatározottól. Ez segíti a javítási folyamat tervezésében.
- Készítsünk javítási tervet: A prioritizált sebezhetőségek listája alapján készítsünk javítási tervet. A tervnek tartalmaznia kell a szükséges erőforrásokat, időkeretet és felelősségi köröket.
- Rendeljük a feladatokat a kompetens és illetékes emberekhez: Biztosítsuk, hogy a feladatok a megbízott szakemberek képességei és rendelkezésre állása alapján kerüljenek kiosztásra.
- Dokumentáljuk a javítási folyamatot: A javítási folyamat során dokumentáljuk az összes lépést, amelyet a sebezhetőségek javítása érdekében tettünk, ideértve az előforduló kihívásokat és azok megoldási módját is.
- Teszteljük a javítás sikerességét: A javítási folyamat befejezése után teszteljük/teszteltessük újra az online szolgáltatást, hogy megbizonyosodjunk arról, hogy minden sebezhetőséget javítottunk.
- Zárjuk le a hibajegyet: Függően attól, hogy hol, milyen formában vezettük a sérülékenységek életútját, azok javítását követően zárjuk le a ticketeket.
Megjegyzés
A beazonosított sérülékenységek között lehetnek olyanok is, amiket a Szervezetnek jelenleg nem áll módjában javítani. Természetesen ebben az esetben van lehetőség a sérülékenység felvállalására is, ha a sérülékenység megfelelő módon hatásvizsgálatra és dokumentálásra került, az illetékesek írásban is jóváhagyták a felvállaló döntést, valamint kockázatcsökkentő, kompenzációs intézkedések is megvalósultak.