Sérülékenység kezelés Komli József project manager PTA CERT-Hungary Központ 1
A biztonságérzet a veszély érzékelésének hiánya 2
Mi a sérülékenység? Sérülékenység: Az IT biztonság területén a sérülékenység megnevezést azokra a rendszer vagy termék gyengeségekre alkalmazzuk, amelyek lehetővé teszik a támadó számára a termék vagy rendszer kompromittálását, azaz a bizalmasság, sértetlenség, rendelkezésre állás megsértését. Egy sérülékenység az alábbiakat eredményezhetik: Jelszó kezelési hibák Alapvető OS hibák Szoftver hibák (bug) Nem megfelelő felhasználói bevitel ellenőrzések
Miért veszélyes? 0-day sérülékenység: Az IT biztonság területén ezt a megnevezést azokra a rendszer vagy termék gyengeségekre alkalmazzuk, amelyek még ismeretlenek a publikum számára, esetleg a gyártó számára is, és nem áll rendelkezésre javítócsomag (patch) Exploit: (káros) kód vagy kódrészlet mely egy rendszer vagy termék gyengeségét, sérülékenyéségét hivatott kiaknázni A 0-day sérülékenységek és exploitok az internetes feketepiacon (Black market) értékesíthetőek. Csak a sérülékenységet felfedező szándékán múlik kinek adja el, vagy kinek ajánlja fel megvételre.
Fenyegetések Fenyegetés forrása Motiváció Tevékenység Hacker, Cracker Számítógépes bűnöző Kihívás, ego, lázadás Információ megsemmisítése, illegális információ közlés, pénz szerzés, jogosulatlan adat megváltoztatás Hackelés, social engineering, behatolás, jogosulatlan hozzáférés Rendszer behatolás, spoofing, megvesztegetés, hacker technikák Terroristák Ipari kémek (vállalatok, külföldi kormányzatok, más kormányzati érdekeltségek) Megsemmisítés, kihasználás, bosszú, rémhír terjesztés Gazdasági előnyök szerzése, verseny előnyök, hírszerzés Rendszer támadás, DDOS, rendszer penetráció, rendszer hamisítás, információs háború Információ lopás, social engineering, személyes adatok felhasználása, jogosulatlan rendszer hozzáférések (bizalmas adatok, technológiai adatok, stb.) Belső személyek A munkavállaló megfenyegetése, rossz hír terjesztése, számítógépes Kíváncsiság, ego, információ csalás, információ lopás, szerzés, pénz szerzés, bosszú, hibák megszakítás, meghamisított adatok, rendszer szabotálás, stb.
Sérülékenység kezelés Sérülékenység kezelés: A sérülékenység felismerésétől, a javítások elkészítésén át, a jelzésekig terjedő folyamat. Informálni kell a támogatott szervezeteket és a társadalmat a védekezés elősegítésére és a lehetséges incidensek csökkentésére Sérülékenységet kihasználó incidensek száma Felelősség Vendor CERT Javítás implementációjának kezdete Javítás kiadás Exploit publikálás Sérülékenység felfedezés
Sérülékenység kezelés Sérülékenységi információ: A publikált információnak megfelelőnek kell lennie, azaz tartalmaznia kell megfelelő mennyiségű és mélységű adatot a sérülékenységről, hogy a problémákat mind a technikai, mind a nem technikai közösség megértse. Információ tulajdonságai: sebesség hitelesség hasznosság megbízhatóság Különböző források felhasználása: Több forrás ellenőrzése szükséges Az információk ellenőrzése szükséges: Megbízható forrás Több forrás ellenőrzése Teszteléssel való ellenőrzés
Információ források CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/ OSVDB - Open Source Vulnerability DataBase http://osvdb.org/ SECUNIA http://secunia.com/ US-CERT http://www.us-cert.gov/ SecurityFocus http://www.securityfocus.com/ PTA CERT-Hungary Központ http://cert-hungary.hu/
Kockázat elemzés Egy sérülékenység kockázata eltérő lehet rendszerenként, ezért kockázat elemzést kell végrehajtani a rendszerünket érintő sérülékenységek esetén. A szállítók és a sérülékenység riportoló szervezetek is készítenek kockázat elemzést, de más-más szempontrendszer szerint. A FIRST létrehozta a Common Vulnerability Scoring System (CVSS) kockázat értékelési módszertant, hogy segítse a szervezeteket a különböző kockázat értékelések összehasonlításában. Léteznek más egységes kockázat értékelési módszerek is.
Kockázat elemzés - CVSS A Temporal és az Environmental vektor opcionális Rész vektorok értékei: 1-10 Csoport vektor értékei: 1-10
Kockázat elemzés CVSS metric groups Base metric group: a sérülékenységek azon alapvető sajátosságai, melyek sem az idő, sem pedig a felhasználói környezetben függvényében nem változnak meg. Értéke: 1-10 Temporal metric group:a sérülékenységek azon jellemzői, melyek az időben függvényében változhatnak, ám a környezeti beállítások, platformok szerint soha. Értéke: 1-10 Környezeti: a sérülékenységek azon karakterisztikumai, melyek az egyes felhasználói környezetre (platformok stb.) jellemzőek egyedi módon. Értéke: 1-10 http://www.first.org/cvss/cvss-guide.html