Upravljanje ranjivostima

Upravljanje ranjivostima ili Vulnerability management  je veoma važna funkcija u upravljanju bezbjednošću u informacionim sistemima

Ranjivost (Vulnerabillity) – osobina sistema koja čini sistem nebezbjednim, ranjivim, koja omogućava da se sistem napadne i iskoristi u zlonamjerne svrhe. To je bezbjednosni propust na sistemu. Definiše se kao presjek tri elementa: osjetljivosti sistema zbog neke manjkavosti, mogućnosti napadača da pristupi toj manjkavosti i mogućnosti napadača da iskoristi tu manjkavost.

Exploit –  program koji može da iskoristi ranjivost kako bi narušio neku od tri osobine bezbjednosti: raspoloživost, integritet ili poverljivost. Svi napadi na računarske sisteme u osnovi koriste neki exploit. Ne postoji exploit za svaku pronađenu ranjivost. Ova činjenica je veoma važna i može da nam pomogne u efikasnijoj zaštiti sistema.

CVE (Common Vulnerabilities and Exposures) - je spisak zajedničkih identifikatora za poznate ranjivosti  u sajber bezbjednosti. Upotreba identifikatora CVE-a ili "CVE ID-ova", koje dodeljuju CVE-ovi autoriteti iz čitavog svijeta, osigurava pouzdanost među stranama kada se koriste za diskusiju ili dijeljenje informacija o nekoj ranjivosti softvera ili firmvera, pruža osnovnu vrijednost za evaluaciju i omogućuje razmjenu podataka za automatizaciju sajber bezbjednosti.

CVSS (Common Vulnerability Scoring System) – okvir za ocjenu ozbiljnosti ranjivosti na sistemu. CVSS koristi algoritam za određivanje tri težine: Base, Temporal i Environmental. Rezultati su numerički; oni se kreću od 0.0 do 10.0 gde je 10.0 najveća ranjivost.

Base CVSS je metrika na koju se najviše oslanjaju preduzeća i bavi se s inherentnim osobinama ranjivosti. Temporal rezultati predstavljaju karakteristike ranjivosti koja se vremenom mijenja, a Environmental  predstavlja osobine ranjivosti koje su specifične za okolinu pogođenog korisnika.

CVSS dozvoljava organizacijama da prioritizuju koje ranjivosti će prvo popraviti i procijeniti uticaj ranjivosti na svoje sisteme. Mnoge organizacije koriste CVSS, a  američka Nacionalna baza podataka (NVD) daje rezultate za najpoznatije ranjivosti. Prema NVD-u, osnovni rezultat CVSS od 0,0 do 3,9 smatra se "niskom" težinom (Low); bazični CVSS rezultat od 4.0-6.9 je "srednja" (Medium); i bazni rezultat od 7.0-10.0 je "visoka" (High) ozbiljnost.

Danas je aktuelna Metodologija procjene CVSS v3.0 , mada mnogi sistemi još uvijek koriste prethodne verzije.

Zašto je ovo važno?

Baratanje ovom veličinama (što sam objasnila u posebnom tekstu) , pomaže nam da definišemo upravljanje ranjivostima, i kriterijume na osnovu kojih će se planirati preduzimanje akcija. Možemo reći da npr. sve ranjivosti čiji je CVSS veći od 5 moraju biti odmah sanirane.

Ove brojke nam takođe pokazuju gdje smo i koliko ranjivi, i pomažu u procjeni rizika.

Ranjivosti u organizaciji možemo pratiti na više načina, najčešća su dva:

1.      Manuelno praćenje pretnji i ranjivosti (praćenje preporuke i upozorenja izdatih od vendora i specijalizovanih agencija)

2.      Automatizovano praćenje ranjivosti ( korišćenje specijalnih sistema predviđenih da skeniraju mrežu i radno okruženje i izvještavaju o ranjivostima. Neki od ovih sistema nude i mogućnost virtuelnog pečovanja pronađenih ranjivosti.