Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Fokus
Objavljeno: 11.6.2019 | Avtor: Miran Varga | Monitor Posebna 2019

Predvidevanje za poslovanje kritičnih ranljivosti

Učinkovita kibernetska varnost zahteva več časa in sredstev, kot jih imajo na voljo ekipe za kibernetsko varnost in oddelki IT. Za učinkovito varovanje podjetja velja zato prednostno obravnavati kritične ranljivosti in se izogibati zapravljanju časa za odvečne dejavnosti. Toda kako?

Prepoznavanje ranljivosti in šibkih točk, ki so najpomembnejše za podjetje ali organizacijo, je težko, posebej v današnjem času, ko si večina javno razkritih ranljivosti prisluži oceno visoka stopnja pomembnosti ali kritična ranljivost. Natančnejše informacije omogočajo boljšo porabo časa, denarja in ljudi. Uporaba prediktivnega določanja prioritet krpanja ranljivosti, kjer gre za postopek določanja prednostnih ranljivosti, ki temelji na verjetnosti, da bodo izkoriščene v kibernetskem napadu, lahko močno izboljša učinkovitost in uspešnost sanacije napada.

Število tehnoloških virov v podjetjih se stalno povečuje, njihovo varovanje pa postaja vse težje. Tudi naraščajoča kompleksnost ustvarja ranljivosti, ki jih je težko prepoznati in odpraviti. Varnostni strokovnjaki pogosto nimajo vpogleda v vse vire podjetja, ki sestavljajo t. i. napadalno površino organizacije. Tudi če bi ga imeli, pa bi bilo odpravljanje vseh ranljivosti z omejenimi finančnimi in človeškimi viri izjemno zahtevno – če ne celo nemogoče.

Številke so zastrašujoče: v letu 2017 je bilo objavljenih 15.038 novih ranljivosti v primerjavi s 9.837 v letu 2016. V enem samem letu smo doživeli 53-odstotno povečanje. Lani je bilo objavljenih 16.500 novih ranljivosti. V povprečju podjetja dnevno najdejo 870 ranljivosti v svojih 960 IT-virih. Skupine za kibernetsko varnost in oddelki IT preprosto nimajo časa ali virov za obravnavanje vseh ranljivosti, zato je potreba po uvajanju prednostnih nalog na področju odkrivanja in krpanja ranljivosti očitna.

Tradicionalno upravljanje ranljivosti je vse manj učinkovito

V popolnem svetu bi podjetja odpravila oziroma zakrpala vse ranljivosti, vendar pa število potrebnih popravkov v IT-virih preprosto presega finančna in človeška sredstva, ki jih imajo podjetja na voljo za kibernetsko varnost in IT. Ameriška nacionalna zbirka podatkov o ranljivostih (NVD; nvd.nist.gov) je od leta 1999 objavila že več kot 110.000 ranljivosti. A vseh napadalci niso izkoristili niti jih ne bodo. Pravzaprav ti pri svojem delu uporabljajo le delček odkritih ranljivosti.

Lani je bilo odkritih 16.500 novih ranljivosti, vendar pa so napadalci napisali škodljive kode le za sedem odstotkov teh ranljivosti ali jih kako drugače izkoristili.

Po podatkih NVD je bilo lani odkritih 16.500 novih ranljivosti, napadalci pa so napisali škodljive kode le za sedem odstotkov teh ranljivosti ali jih kako drugače izkoristili. Še manjši je bil delež ranljivosti, ki so omogočile dejanski napad na podjetja. To pa pomeni, da je velika večina odkritih ranljivosti predstavljala zgolj teoretično tveganje. Za večino organizacij se razlika med ranljivostmi, ki jih je mogoče izkoristiti, in tistimi, ki bodo najverjetneje izkoriščene, meri v tisočih, zaradi česar je zelo težko določiti, katere ranljivosti najprej sanirati, če sploh. Dodatna težava podjetij, ki dejansko spremljajo nastanek novih ranljivosti, je tudi v tem, da ocene (CVSS), ki jih ranljivostim prisodijo varnostni analitiki, ko skrbijo za NVD, že v več kot 60 odstotkih primerov pridobijo oznako kritično ali visoka stopnja pomembnosti. Če naj bo odpravljanje ranljivosti učinkovito, mora določanje prednostnih nalog krpanja ranljivosti postati natančnejše.

Površina za napade se povečuje

Napadalci imajo vedno večjo površino, ki jo izkoristijo za napad, saj podjetja premorejo vse več naprav in povezav oziroma točk, skozi katere napadalec lahko vstopi v podjetje. Digitalna preobrazba podjetij je poskrbela, da se je napadalna površina iz tradicionalnih IT-virov razširila še na mobilne naprave, računalniške oblake, virtualne zabojnike, internet stvari in industrijske nadzorne sisteme. Preprosto povedano, več naprav v poslovnih okoljih prinaša več ranljivosti.

Več naprav širi površino za napade oziroma krajino, ki jo morajo varnostni strokovnjaki in oddelki IT varovati.

Podjetja so precej spretna in uspešna pri obravnavanju tradicionalnih ranljivosti, ki vključujejo posodabljanje in krpanje strežnikov, namiznih računalnikov in omrežne opreme. Kar je tudi logično, saj so orodja za ta področja tudi najbolj razširjena in »zrela«. Mobilna varnost še vedno ostaja izziv ob upoštevanju različnosti naprav, operacijskih sistemov, brskalnikov in predvsem mobilnih aplikacij, ki naj bi jih (za)varovali. Poleg kompleksnosti mobilne infrastrukture bodeta v oči še slaba varnostna zasnova aplikacij in splošno pomanjkanje kibernetske higiene pri končnih uporabnikih mobilnih naprav. Sredstva v oblaku, vključno z navideznimi stroji in zabojniki, so pogosto kratkotrajna in jih je težko upravljati. Industrijske naprave in njihovi nadzorni sistemi (SCADA) pa so bili zasnovani še v času pred internetom in niso bili grajeni z mislijo na kibernetsko varnost.

Poleg tega se velja zavedati, da ima posamezen IT-vir oziroma naprava lahko več ranljivosti. V času pisanja tega prispevka je bilo z operacijskim sistemom Windows 10, ki je nameščen na največ računalnikih v današnjih poslovnih okoljih, po podatkih NVD povezanih kar 5.718 ranljivosti!

Nezmožnost podjetij, da bi odpravila vse ranljivosti, ustvarja priložnosti za napadalce. Raziskava inštituta Ponemon je decembra lani ugotovila, da je v zadnjih dveh letih 91 % organizacij doživelo vsaj en kibernetski napad s škodljivimi posledicami, 60 % pa jih je doživelo dva napada ali več.

Uvedba predvidevanja prednostnih nalog na področju krpanja ranljivosti

Vsako podjetje bi rado vedelo, kje naj začne krpanje ranljivosti. Isto vprašanje so si postavili tudi pri varnostnem ponudniku Tenable in razvili postopek prediktivnega napovedovanja ranljivosti, ki zahtevajo prednostno obravnavo za posamezno podjetje oziroma njegovo digitalno krajino. Proces izkorišča tehnologijo strojnega učenja in razvršča ranljivosti glede na verjetnosti, da jih bodo napadalci izkoristili v napadu na podjetje.

Postopek, poimenovan Predictive Prioritization, združuje več kot 150 podatkovnih virov o ranljivostih iz vsega sveta. Algoritem analizira vsako ranljivost v zbirki NVD in ji dodeli oceno verjetnosti uporabe v napadu na podjetje. Izid je nadvse uporaben: varnostni strokovnjaki in informatiki lahko svoj čas in znanja osredotočijo le na 3 odstotke ranljivosti, ki so dobile oceno, da bodo zelo verjetno izkoriščene v namene napada na podjetje. Praksa kaže, da omenjeni postopek loči med resničnimi in teoretičnimi tveganji, zato lahko podjetja zmanjšajo število ranljivosti, ki jih morajo nujno zakrpati za kar 97 %. Seveda je priporočljivo, da, četudi oborožena s tem znanjem, podjetja zakrpajo kar največ ranljivosti, začenši s tistimi, ki so za njihovo poslovanje najbolj kritične.

Kako deluje predvidevanje prednostnih nalog krpanja ranljivosti? Postopek prediktivnega določanja prioritet krpanja ranljivosti omogoča podjetjem, da se osredotočijo na ranljivosti, ki bodo najverjetneje izkoriščene in bodo imele velik vpliv na poslovanje. Omenjeni algoritem vsakemu podatkovnemu viru ranljivosti dodeli neko verjetnost, pri čemer analizira značilnosti ranljivosti v sedmih kategorijah, kot so: vzorec pretekle nevarnosti, prejšnji vir grožnje, meritve ranljivosti, metapodatki o ranljivosti, pretekli napadi, prizadeta podjetja in razpoložljivost škodljivih kod. Rezultat analize je prednostna ocena ranljivosti (VPR – vulnerability priority rating), ki je je deležna vsaka objavljena ranljivost. Ocena se giblje na intervalu med 1 in 10, pri čemer 10 predstavlja za podjetje najbolj varnostno kritično ranljivost. Poleg tega se ocene več kot 111.000 znanih ranljivosti osvežijo vsakih 24 ur, saj krajina digitalnih groženj in napadalcev seveda ne miruje.

Takole je videti upravljavska konzola rešitve Tenable.sc, ki stalno spremlja kritične ranljivosti in jim dodeljuje ocene tveganja za poslovanje podjetja.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • <span><span>Redka zmaga malega rudarja kriptovalut</span></span>

    Redka zmaga malega rudarja kriptovalut

    V času, ko rudarjenje bitcoina obvladujejo velika podjetja s specializirano opremo in ogromnimi viri, je neodvisnemu solo rudarju uspel izjemen podvig. 

    novice
    Objavljeno: 27.7.2025 13:00
  • Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Šibko geslo in hekerski vdor pogubila 158 let staro podjetje

    Britansko podjetje KNP iz Northamptonshira, ki se je ukvarjalo s prevozi, je po 158 letih obratovanja zaprlo vrata, zaradi česar je brez dela ostalo 700 ljudi. Razlog ni slabo poslovanje, težke tržne razmere, izgube ali celo poneverbe, temveč precej bolj banalen. Podjetje je opustošil hekerski napad, v katerem so napadalci odnesli podatke o vseh strankah.

    novice
    Objavljeno: 23.7.2025 05:00
  • ChatGPT je bogatejši za pravega raziskovalnega agenta

    ChatGPT je bogatejši za pravega raziskovalnega agenta

    ChatGPT agent je nova generacija digitalnega pomočnika, ki združuje sposobnosti vizualnega in tekstovnega brskanja ter neposredne interakcije z zunanjimi platformami, kot so Google Drive, GitHub in SharePoint.

    novice
    Objavljeno: 18.7.2025 08:00
  • Tehnologija je orodje za množično nadzorovanje

    Tehnologija je orodje za množično nadzorovanje

    Ko je minuli teden kamera na koncertu skupine Coldplay v Bostonu prikazala par, ki objet posluša Chrisa Martina, bi bil lahko to le še eden izmed množice povsem običajnih in dolgočasni prizor. A ker se je ženska na posnetku obrnila proč in obraz zakopal v roke, moški pa se je sklonil pod kader, je posnetek vzbudil veliko pozornosti. Pevec Chris Martin ga je na odru komentiral z besedami, da sta bodisi zelo sramežljiva bodisi razmerje skrivata – in ostalo je bilo zgodovina.

    novice
    Objavljeno: 21.7.2025 05:00
  • <span><span>ChatGPT je slab v šahu</span></span>

    ChatGPT je slab v šahu

    Najboljši šahist sveta Magnus Carlsen je v spletnem dvoboju premagal umetno inteligenco ChatGPT v vsega 53-ih potezah, pri čemer sam ni izgubil niti ene same figure. 

    novice
    Objavljeno: 21.7.2025 09:00
  • <span><span>ChatGPT-5 bo na voljo avgusta</span></span>

    ChatGPT-5 bo na voljo avgusta

    Sam Altman, izvršni direktor OpenAI, je potrdil, da bo model GPT-5 izšel že v začetku avgusta. 

    novice
    Objavljeno: 25.7.2025 09:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Julij-avgust 2025 Prelistaj! Spletni nakup Arhiv številk
Julij-avgust 2025

Uvodnik
Strojni svetovni splet

Mnenja
Dočakal sem prihodnost

Nove tehnologije
Koliko hitrosti je dovolj? Povezani na poti Pregon!

Fokus
Elektronski papir v barvah Neznosna lahkost branja RLCD - Renesansa LCD Uvodnik: Strojni svetovni splet

Dosje
Ali androidi sanjajo o električnih ovcah?* Med trirazsežnim navdušenjem in strahom

Monitor Pro
Oblak je temelj digitalne preobrazbe Prihodnost sodelovanja in digitalnih komunikacij Uvodnik - Je oblak vsemogočen?

Na zvezi
Kariera v IT

Zgodovina
Kralj omrežij Mikroračunalniški roboti

Odprta scena
Teleskop kot tveganje za državno varnost Zakaj nas mora skrbeti za prihodnost čipov

Prenosni računalniki
Zmogljivost stane!

Telefoni
Prenovljeni srednji razred

Preizkusi
Kupil sem ZX Spectruma Previdni korak naprej Projektor v žepu

Nasveti
Oblačni triki

Mobilno
Applove nagrade Če hodiš, lahko plešeš Naš izbor na Androidu Naš izbor na iPhonu

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov