Оценка уязвимостей безопасности и применение исправлений

Carder

Carder

Professional
Messages
2,619
Reputation
9
Reaction score
1,719
Points
113

Введение​

Применение исправлений к операционным системам, приложениям и устройствам имеет решающее значение для обеспечения безопасности систем. Таким образом, установка исправлений является частью восьмерки основных стратегий смягчения инцидентов кибербезопасности.

Этот документ содержит руководство по оценке уязвимостей системы безопасности, чтобы определить риск для организаций, если исправления не применяются своевременно. В этом документе под уязвимостью безопасности понимается недостаток в операционной системе, приложении или устройстве, а не ошибка неправильной конфигурации или развертывания.

Оценка уязвимостей безопасности​

Существует несколько источников информации, которые организации могут использовать для оценки применимости и риска уязвимостей безопасности в контексте своей среды. Сюда может входить информация, опубликованная в бюллетенях по безопасности поставщиков или рейтинги серьезности, присвоенные уязвимостям безопасности с использованием таких стандартов, как Общая система оценки уязвимостей (CVSS).

Оценка риска позволяет организациям оценить серьезность уязвимостей безопасности, вероятность их использования злоумышленником и риск, связанный с их системами и информацией, которую они обрабатывают, хранят или передают, если исправления не применяются своевременно. При проведении оценки рисков организациям важно учитывать следующие факторы:
  • если затронуты активы с высокой стоимостью или высокой подверженностью риску, это может увеличить риск; и наоборот, если затронуты активы с низкой стоимостью или низкой подверженностью риску, это может снизить риск
  • если исправление не было выпущено или исправление не может полностью устранить уязвимость системы безопасности, это может увеличить риск
  • если исправление было выпущено вне регулярного графика исправления поставщика, это, вероятно, указывает на то, что уязвимость безопасности активно используется в дикой природе, это может увеличить риск
  • если какие-либо эксплойты, связанные с уязвимостью системы безопасности, можно автоматизировать, это может увеличить риск
  • Если смягчающие меры контроля действуют или скоро появятся для всех затронутых активов, это может снизить риск.

Примеры результатов оценки рисков для уязвимостей безопасности:
  • крайний риск
    • уязвимость безопасности облегчает удаленное выполнение кода
    • критические бизнес-системы затронуты
    • эксплойт существует в открытом доступе и активно используется
    • система подключена к Интернету без каких-либо средств смягчения последствий
  • высокий риск
    • уязвимость безопасности облегчает удаленное выполнение кода
    • критические бизнес-системы затронуты
    • эксплойт существует в открытом доступе и активно используется
    • система находится в защищенном анклаве с сильным контролем доступа
  • умеренный риск
    • уязвимости системы безопасности позволяют злоумышленнику выдать себя за законного пользователя удаленного доступа
    • решение удаленного доступа доступно ненадежным пользователям
    • решение удаленного доступа требует двухфакторной аутентификации
    • решение удаленного доступа предотвращает использование учетных данных привилегированного пользователя
  • низкий риск
    • уязвимость системы безопасности требует, чтобы аутентифицированные пользователи выполняли атаки с использованием SQL-инъекций
    • система содержит неконфиденциальную общедоступную информацию
    • Существуют смягчающие меры, которые делают использование уязвимости безопасности маловероятным или очень трудным.

Применение патчей​

После того, как производитель выпустил исправление и соответствующая уязвимость системы безопасности была оценена на предмет его применимости и важности, исправление должно быть применено и проверено в сроки, соизмеримые с риском, представляемым для систем и информации, которую они обрабатывают, хранят или общаться. Это гарантирует эффективное и действенное расходование ресурсов за счет сосредоточения усилий в первую очередь на наиболее значительных рисках.

При установке исправлений организации могут быть обеспокоены риском выхода исправлений для систем или приложений и связанных с этим сбоев, которые это может вызвать. Хотя это законное беспокойство, и его следует учитывать при принятии решения о том, какие действия предпринять в ответ на уязвимости системы безопасности, многие поставщики проводят тщательное тестирование всех исправлений перед их выпуском для широкой публики. Это тестирование проводится в широком диапазоне сред, приложений и условий. Часто немедленная защита, обеспечиваемая исправлением уязвимости системы безопасности с чрезвычайным риском, намного перевешивает последствия маловероятного возникновения необходимости отката исправления.

Важно как можно быстрее устранять уязвимости системы безопасности. После публикации уязвимости в операционной системе, приложении или устройстве можно ожидать, что вредоносный код (также известный как вредоносное ПО) будет разработан злоумышленниками в течение 48 часов. Фактически, бывают случаи, когда злоумышленники разрабатывают вредоносный код в течение нескольких часов после вновь обнаруженных уязвимостей безопасности [1] [2].

Ниже приведены рекомендуемые временные рамки для применения и проверки исправлений на основе результатов оценки рисков для уязвимостей безопасности:
  • крайний риск: в течение 48 часов после выпуска патча
  • высокий риск: в течение двух недель после выпуска патча
  • средний или низкий риск: в течение одного месяца после выпуска патча.
В ситуациях, когда ресурсы ограничены, организациям рекомендуется уделять приоритетное внимание развертыванию исправлений. Например, исправления могут быть применены и проверены, по крайней мере, на рабочих станциях пользователей с высоким уровнем риска (например, старших менеджеров и их сотрудников; системных администраторов; и сотрудников отдела кадров, продаж, маркетинга, финансов и права) в течение 48 часов, после чего на всех остальных рабочих станциях в течение двух недель.

Временные обходные пути​

Временные обходные пути могут обеспечить единственную эффективную защиту, если от поставщиков не доступны исправления для уязвимостей системы безопасности. Эти обходные пути могут быть опубликованы вместе с объявлениями об уязвимостях безопасности или вскоре после них. Временные обходные пути могут включать отключение уязвимых функций в операционной системе, приложении или устройстве, а также ограничение или блокирование доступа к уязвимой службе с помощью брандмауэров или других средств управления.
Решение о применении временного обходного пути должно основываться на оценке риска, как и при установке исправлений.

Пример оценки риска​

Ниже приводится упрощенная оценка риска уязвимости системы безопасности удаленного выполнения кода Microsoft Office:
  • вероятность того, что злоумышленник нападет на организацию и успешно воспользуется уязвимостью системы безопасности на рабочих станциях: вероятно
  • Последствия успешного использования злоумышленником уязвимости безопасности на рабочих станциях: основные
  • неотъемлемый риск, связанный с уязвимостью системы безопасности: высокий.
Хотя приведенная выше оценка риска показала, что неотъемлемый риск, связанный с уязвимостью системы безопасности, высок, в организации уже имеется ряд средств контроля на рабочих станциях. Это включало контроль приложений, правила уменьшения поверхности атаки [3] , а также использование Microsoft Office Protected View и блокировку макросов.

После оценки воздействия существующих средств смягчающего контроля оценка риска была обновлена:
  • вероятность того, что злоумышленник нападет на организацию и успешно воспользуется уязвимостью безопасности на рабочих станциях: маловероятно
  • Последствия успешного использования злоумышленником уязвимости безопасности на рабочих станциях: основные
  • остаточный риск уязвимости системы безопасности: умеренный.
В результате организация определила, что остаточный риск, связанный с уязвимостью системы безопасности, был умеренным. Таким образом, они решили применить исправление к рабочим станциям в течение двух недель после его выпуска.

Резюме​

Поддерживая оптимизированную стратегию управления исправлениями, включая осведомленность об источниках информации, используемых для оценки применимости и риска уязвимостей безопасности, осведомленность о регулярных графиках выпуска исправлений поставщиками и определение ответственности лиц, участвующих в оценке уязвимостей безопасности и приложений исправлений - организации могут быстро реагировать на бюллетени по безопасности или выпуски исправлений. Таким образом, организации могут значительно сократить время между получением информации о новых уязвимостях системы безопасности, оценкой уязвимостей и применением исправлений или временных обходных решений, где это необходимо.
 
You must log in or register to reply here.

Similar threads

Tomcat
Оценка риска мошенничества – упреждающий подход
Replies
0
Views
13
Tomcat
Tomcat
CarderPlanet
Оценка мошенничества с использованием IP: как работает анализ IP для обнаружения мошенничества
Replies
0
Views
346
CarderPlanet
CarderPlanet
CarderPlanet
Что такое оценка мошенничества с использованием IP-адресов и как она помогает снизить уровень мошенничества с платежами?
Replies
0
Views
426
CarderPlanet
CarderPlanet
Tomcat
Оценка мошенничества 101
Replies
0
Views
622
Tomcat
Tomcat
Tomcat
Оценка мошенничества
Replies
1
Views
661
Tomcat
Tomcat
Top