Evaluarea vulnerabilităților, primul pas în îmbunătățirea securității la nivelul întregii organizații
Vulnerabilitățile software reprezintă la momentul actual unul dintre cele mai importante riscuri de securitate la care sunt expuse organizațiile. Zilnic, cercetătorii în domeniul securității și vendorii de soluții software și hardware identifică zeci de astfel de probleme pe care le fac publice. Cu toate acestea, o bună parte dintre companii iau cunoștință de pericolele la care se expun abia în urma unui incident de securitate. Iar pagubele rezultate și măsurile de remediere necesare sunt întotdeauna mai costisitoare decât acțiunile de prevenție.
Un exemplu de manual
Pentru a ilustra cât mai concret ce riscuri generează o vulnerabilitate cel mai bun exemplu este atacul WannaCry din Mai 2017, care a afectat și companii și instituții publice din România.
WannaCry a exploatat o vulnerabilitate software de nivel 9 (conform clasificării CVSS) din protocolul Windows SMB, pentru care Microsoft publicase încă din luna Martie un patch (CVE-2017-0144). Puține companii l-au și aplicat însă în decursul celor două luni, iar urmările s-au văzut. Conform Europol, atacul a afectat mai mult de 10.000 de organizații din 150 de țări (circa 400.000 de calculatoare infectate) și a produs o pagubă totală estimată la peste 3,5 miliarde de Euro.
Când paguba depășește pierderea directă
Problema este că victimele nu înregistrează pierderi doar ca urmare a întreruperii activității angajaților (cum s-a întâmplat cu Uzinele Dacia-Mioveni în cazul WannaCry), ci se expun și riscului unor penalități substanțiale. Cel mai recent exemplu în acest sens este cel al gigantului american Equifax, care în septembrie 2017 a fost victima unui atac ce a exploatat o vulnerabilitate software a serverelor Apache.
La data atacului exista însă un patch deja publicat, iar comisia care a investigat incidentul de securitate ce a dus la compromiterea datelor personale a peste 148 de milioane de cetățeni americani a concluzionat că acesta putea fi pe deplin prevenit. Ca urmare, verdictul final al Federal Trade Commission și Consumer Financial Protection Bureau dat în Iulie a.c. a constat în amendarea Equifax cu o sumă de 700 milioane USD.
GDPR-ul complică lucrurile
Exemplele de acest fel au început să se înmulțească simțitor în ultimul an și în Europa, fapt la care a contribuit intrarea în vigoare a noului Regulament privind protecția datelor personale. Conform datelor colectate la nivelul UE, în primul an de GDPR au fost emise aproximativ 90.000 de notificări cu privire la încălcări ale securității datelor cu caracter personal.
Din Iulie a.c., și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a început să aplice amenzi și în România, în August ajungând la a patra sancțiune de acest tip.
Este adevărat, printre cauzele amenzilor date de ANSPDCP nu se regăsesc - încă - și breșele de securitate apărute în urma exploatării vulnerabilităților software. Dar nu este decât o chestiune de timp până când se va întâmpla, pentru că gradul de incidență al acestui tip de riscuri este unul crescut. Conform studiului Tripwire 2019 Vulnerability Management Survey, anul trecut una din trei companii europene se confruntase cu o breșă ca urmare a unor vulnerabilități neremediate. Iar numărul lor crește continuu, atacurile țintind, evident, cele mai utilizate sisteme software. Potrivit raportului anual realizat de Recorded Future, Microsoft a ocupat 8 poziții în topul celor mai exploatate 10 vulnerabilități din 2018.
Confuzii periculoase
Deși sunt cvasi-inevitabile, ca urmare a faptului că majoritatea vulnerabilităților au drept cauză erori de codare ale producătorilor sau greșeli de configurare la nivelul clienților, nu înseamnă însă că nu pot fi și prevenite.
Practica a demonstrat că ceea mai eficientă metodă de depistare și remediere este realizarea unui proces iterativ de "Evaluare a vulnerabilităților" ("Vulnerability Assessment").
Unele organizații confundă însă procesul de evaluare cu cel de scanare a vulnerabilităților („Vulnerability Scan“). O eroare explicabilă având în vedere că în cadrul evaluării se utilizează, într-adevăr, unul sau mai multe instrumente de scanare a soluțiilor hardware și software, a rețelei, etc. Însă confuzia poate genera probleme, mai ales că orice companie care deține competențe tehnice minime poate achiziționa, instala și utiliza un scaner de vulnerabilități, obținând astfel o listă de probleme, ierarhizată în funcție de sistemul de clasificare. Interpretarea rezultatului necesită însă competențe avansate în domeniul securității informatice, pentru că, fără a apela la un specialist, e ca și cum ați face o radiografie și ați încerca să o interpretați singuri pentru a vă stabili tratamentul.
O altă confuzie frecventă este cea în care conceptul de "Vulnerability Assessment" este înțeles ca sinonim pentru așa-numitele teste de penetrare ("Penetration Testing" sau "Pentest"). Este adevărat, ambele procese au ca scop identificarea punctelor slabe din infrastructura unei organizații. Dar "Vulnerability Assessment" urmărește depistarea și determinarea severității vulnerabilităților, în scopul evaluării în profunzime a nivelului de securitate a unei organizații și pentru a stabili măsurile necesare de remediere și/sau atenuare a riscurilor. Spre deosebire, un "Pentest" are mai puțin de-a face cu descoperirea vulnerabilitătilor și este mai degrabă axat pe simularea unui atac cât mai real posibil, pentru a examină eficacitatea măsurilor de protecție existente și a cartografia posibilele căi pe care un atacator le-ar putea folosi. Practic, testele de penetrare indică modalitățile prin care un atacator este capabil să treacă de sistemele de securitate și mai puțin vulnerabilitățile specifice de care se folosește. De aceea, atunci când faceți un Pentest fără ca înainte să realizați o evaluare completă a vulnerabilităților - și să aplicați măsurile de remediere necesare - este ca și cum ați testa rezistența la apă a fundației unei case fără a pune mai întâi hidroizolația.
Specialistul, "ingedientul" indispensabil
Apelarea la competențele unei companii specializate - precum ECKO - pentru realizarea unui "Vulnerability Assessment" este necesară în primul rând pentru că identificarea vulnerabilităților nu este și sinonimă cu eliminarea lor, iar "tratamentul" diferă de la caz la caz.
În condiții optime, vulnerabilitățile pot fi remediate prin aplicarea de patch-uri și/sau reconfigurări. Dar există și situații când acest lucru nu poate fi realizat - dacă încă nu a fost publicat un patch, de exemplu - și atunci trebuie luate măsuri de reducere a impactului și/sau a probabilității lor. Determinarea amplorii impactului, a potențialelor sisteme și servicii afectate este însă o altă problemă delicată, pe care nu multe companii reușesc să o soluționeze corect.
Alteori se impune acceptarea respectivei vulnerabilități - măsură justificată atunci când riscul este scăzut, iar costul de remediere este substanțial mai mare decât potențialele pagube pe care le-ar putea produce exploatarea ei. De asemenea, există și cazuri în care măsurile de remediere recomandate nu reprezintă soluții fezabile și/sau imediat aplicabile. Cum ar fi cazul înlocuirii unei aplicații critice de business aflate la sfârșitul ciclului de viață și pentru care vendorul nu mai oferă suport sau cel al upgrade-ului unui echipament costisitor și care necesită configurări elaborate.
În plus, ca orice unealtă de securitate, nici scanerele de vulnerabilități nu sunt perfecte și au o rată de detecție fals-pozitive care trebuie luată în calcul și corijată activ, și aici este nevoie din nou de experiență reală în acest domeniu.
La rândul lor, aplicarea patch-urilor, dar mai ales schimbările de configurații pot genera probleme de compatibilitate, iar pentru preîntâmpinarea unor astfel de situații competențele multivendor și abilitățile de integrator de sistem sunt indispensabile.
Sunt provocări frecvente care depășesc posibilitățile multor organizații, de aceea apelarea la serviciile unei companii specializate în domeniul "Vulnerability Assessment" este salutară. Mai ales că, pentru a-și atinge obiectivele, procesul de evaluare trebuie reluat periodic. Pe de o parte pentru că vulnerabilitățile continuă să apăra (până la data publicării acestui post, National Vulnerability Database contabilizase peste 1000 numai în luna Septembrie a.c.), iar pe de alta pentru că orice organizație are nevoie să știe ce îmbunătățiri ale nivelului de securitate a obținut.
Ori, așa cum o demonstrează realitatea din piață, puține companii au resursele necesare și/sau își permit să specializeze și aloce oameni pentru realizarea proceselor de "Vulnerability Assessment". Dacă vă aflați într-o astfel de situație, ECKO vă poate veni în ajutor pentru că deține atât specialiști, cât și experiență reală în acest domeniu. Prin urmare, dacă doriți să beneficiați de o evaluare corectă a nivelului de risc și să abordați proactiv problema vulnerabilităților, puteți apela la serviciile noastre.