Sérülékenység kezelés
Komli József project manager PTA CERT-Hungary Központ
1
“A biztonságérzet a veszély érzékelésének hiánya”
2
Mi a sérülékenység?
Sérülékenység: Az IT biztonság területén a sérülékenység megnevezést azokra a rendszer vagy termék gyengeségekre alkalmazzuk, amelyek lehetővé teszik a támadó számára a termék vagy rendszer kompromittálását, azaz a bizalmasság, sértetlenség, rendelkezésre állás megsértését. Egy sérülékenység az alábbiakat eredményezhetik: −
Jelszó kezelési hibák
−
Alapvető OS hibák
−
Szoftver hibák (bug)
−
Nem megfelelő felhasználói bevitel ellenőrzések
Miért veszélyes?
0-day sérülékenység: Az IT biztonság területén ezt a megnevezést azokra a rendszer vagy termék gyengeségekre alkalmazzuk, amelyek még ismeretlenek a publikum számára, esetleg a gyártó számára is, és nem áll rendelkezésre javítócsomag (patch) Exploit: (káros) kód vagy kódrészlet mely egy rendszer vagy termék gyengeségét, sérülékenyéségét hivatott kiaknázni A 0-day sérülékenységek és exploitok az internetes feketepiacon (Black market) értékesíthetőek. Csak a sérülékenységet felfedező szándékán múlik kinek adja el, vagy kinek ajánlja fel megvételre.
Fenyegetések Fenyegetés forrása
Motiváció
Tevékenység Hackelés, social engineering, behatolás, jogosulatlan hozzáférés
Hacker, Cracker
Kihívás, ego, lázadás
Számítógépes bűnöző
Információ megsemmisítése, illegális információ közlés, pénz szerzés, jogosulatlan adat megváltoztatás
Rendszer behatolás, spoofing, megvesztegetés, hacker technikák
Terroristák
Megsemmisítés, kihasználás, bosszú, rémhír terjesztés
Rendszer támadás, DDOS, rendszer penetráció, rendszer hamisítás, információs háború
Ipari kémek (vállalatok, külföldi kormányzatok, más kormányzati érdekeltségek)
Gazdasági előnyök szerzése, verseny előnyök, hírszerzés
Információ lopás, social engineering, személyes adatok felhasználása, jogosulatlan rendszer hozzáférések (bizalmas adatok, technológiai adatok, stb.)
Belső személyek
A munkavállaló megfenyegetése, rossz hír terjesztése, számítógépes Kíváncsiság, ego, információ csalás, információ lopás, szerzés, pénz szerzés, bosszú, hibák megszakítás, meghamisított adatok, rendszer szabotálás, stb.
Sérülékenység kezelés
Sérülékenység kezelés: A sérülékenység felismerésétől, a javítások elkészítésén át, a jelzésekig terjedő folyamat. Informálni kell a támogatott szervezeteket és a társadalmat a védekezés elősegítésére és a lehetséges incidensek csökkentésére Sérülékenységet kihasználó incidensek száma Felelősség CERT Vendor Javítás implementációjának kezdete Javítás kiadás Exploit publikálás Sérülékenység felfedezés
Sérülékenység kezelés
Sérülékenységi információ: A publikált információnak megfelelőnek kell lennie, azaz tartalmaznia kell megfelelő mennyiségű és mélységű adatot a sérülékenységről, hogy a problémákat mind a technikai, mind a nem technikai közösség megértse.
Információ tulajdonságai: sebesség hitelesség hasznosság megbízhatóság
Különböző források felhasználása: Több forrás ellenőrzése szükséges Az információk ellenőrzése szükséges: Megbízható forrás Több forrás ellenőrzése Teszteléssel való ellenőrzés
Információ források
CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/ OSVDB - Open Source Vulnerability DataBase http://osvdb.org/ SECUNIA http://secunia.com/ US-CERT http://www.us-cert.gov/ SecurityFocus http://www.securityfocus.com/ PTA CERT-Hungary Központ http://cert-hungary.hu/
Kockázat elemzés
Egy sérülékenység kockázata eltérő lehet rendszerenként, ezért kockázat elemzést kell végrehajtani a rendszerünket érintő sérülékenységek esetén. A szállítók és a sérülékenység riportoló szervezetek is készítenek kockázat elemzést, de más-más szempontrendszer szerint. A FIRST létrehozta a Common Vulnerability Scoring System (CVSS) kockázat értékelési módszertant, hogy segítse a szervezeteket a különböző kockázat értékelések összehasonlításában. Léteznek más egységes kockázat értékelési módszerek is.
Kockázat elemzés - CVSS
A Temporal és az Environmental vektor opcionális Rész vektorok értékei: 1-10 Csoport vektor értékei: 1-10
Kockázat elemzés CVSS metric groups
●
●
●
Base metric group: a sérülékenységek azon alapvető sajátosságai, melyek sem az idő, sem pedig a felhasználói környezetben függvényében nem változnak meg. Értéke: 1-10 Temporal metric group:a sérülékenységek azon jellemzői, melyek az időben függvényében változhatnak, ám a környezeti beállítások, platformok szerint soha. Értéke: 1-10 Környezeti: a sérülékenységek azon karakterisztikumai, melyek az egyes felhasználói környezetre (platformok stb.) jellemzőek egyedi módon. Értéke: 1-10 http://www.first.org/cvss/cvss-guide.html