Nieprzerwana lub minimum cykliczna analiza luk bezpieczeństwa sieci i zasobów teleinformatycznych jest podstawą zapobiegania atakom na infrastrukturę IT. Jeżeli ją zaniechamy to nie tylko nie będziemy znali słabych stron naszych zasobów ale również ryzyka związanego ze skutecznym atakiem teleinformatycznym.
Jak analizować słabe strony komponentów naszej sieci?
Analiza powinna być procesem ciągłym – przecież zawsze powinniśmy znać słabe strony infrastruktury i dążyć do ich doskonalenia, podobnie jak w przypadku wyścigu zbrojeń. Tyle teorii. W praktyce oczywistym ograniczeniem w modelu ciągłym będą zasoby – nie zawsze możemy sobie pozwolić na budowę działu cybersecurity czy oddelegowanie kilku pracowników do zarządzania ryzykiem. Optymalnie zatem wykonywać analizę w modelu cyklicznym, dopasowując częstość do wagi naszych zasobów. Czyli dla strategicznych aktywów organizacji, bez których realizacja procesów biznesowych jest niemożliwa zwiększamy cykliczność analizy a dla infrastruktury wspierającej cykliczność będzie stosunkowo niska.
Analiza powinna być oparta zarówno o szczebel operacyjny jak i zarządczy, czyli w praktyce należałoby zagwarantować udział administratora oraz kadry zarządzającej. Każdy z nich posiadać będzie informacje istotne z punktu widzenia bezpieczeństwa teleinformatycznego. Ostatecznie właśnie te osoby podejmować będą decyzje co do prawdopodobieństwa i skutku materializacji zagrożenia.
Skąd czerpać informacje o lukach bezpieczeństwa naszej sieci?
Istnieje klika źródeł wiedzy o potencjalnych problemach bezpieczeństwa, z którymi możemy się zmagać. Na początku należałoby przyjrzeć się informacją, które już posiadamy, czyli:
- logi systemowe – to tu znajdziemy wszelkie dane o działaniu systemu teleinformatycznego, np. informacje o uwierzytelnieniu się użytkownika, błędy aplikacji czy status instalacji.
- incydenty bezpieczeństwa – być może użytkownicy ujawnili już lukę bezpieczeństwa zgłaszając problem z funkcjonowaniem aplikacji; istotą jest zrozumienie zgłoszonego problemu i właściwa analityka pod kątem wystąpienia luki bezpieczeństwa. Co ważne – analiza pojedynczego incydentu nie wystarczy, często dopiero klika zgłoszeń od użytkowników daje obraz potencjalnej luki bezpieczeństwa.
- systemowej analizy ryzyka utraty bezpieczeństwa informacji – w prawdzie dla informatyków często analiza taka wydaje się teoretyczna, to i tak jest to niezbędne narzędzie, które umożliwia identyfikację luk.
Kompleksowa analiza powinna obejmować również źródła informacji, które musimy pozyskać. Warto zatem spojrzeć na wyniki:
- identyfikacji pasywnej podatności czyli przeglądu baz podatności, biuletynów producenta czy portalów i for cybersecurity – to tam często znajdziemy informacje o problemie dotyczącym danego typu urządzenia czy konkretnej wersji oprogramowania. W bazach podatności czy w informacjach od producentów znajdziemy często sposób załatania luk.
- identyfikacji aktywnej podatności czyli wykorzystaniu specjalnych skanerów podatności, które w skrócie ujmując porównują nasz system z bazą wzorów i identyfikują zagrożenia bezpieczeństwa.
- testów penetracyjnych rozumianych jako faktyczne i niezaprzeczalne potwierdzenie wystąpienia luki bezpieczeństwa w systemie czy sieci
Raport na biurku i co dalej… Co zrobić z wynikiem analizy?
Analiza luk bezpieczeństwa to mechanizm doskonalenia wykorzystujący cykl Deminga (stąd ważna jest jego cykliczność). Kolejnym krokiem jest opracowanie planu działania, który umożliwi naprawę wykrytych luk a dalej jego realizacja. Wyniki analizy warto uwzględnić w rocznym budżecie IT.