Podatności (z ang. vulnerability) to w języku IT wady oprogramowania, sieci i systemów, które zagrażają bezpieczeństwu infrastruktury informatycznej lub narażają na ujawnienie, uszkodzenie bądź usunięcie (tzw. exploit) poufnych danych. W zasadzie żaden system IT nie jest całkowicie wolny od wad, a jego aktualizacja (a czasem jej brak) czy zmiana w strukturze może wywołać nowe zagrożenia.

 

Podatności w oprogramowaniu nazywa się za pomocą używanych do tego standardów (np. słownika CVE – Common Vulnerabilities and Exposures), a informacje o nich publikuje się w ogólnodostępnej bazie danych. W przypadku standardu CVE dane o podatnościach są przechowywane na platformie firmy MITRE od 1999 r. Dla osób zajmujących się cyberbezpieczeństwem oznacza to z jednej strony dostęp do znormalizowanej bazy, pozwalającej na ocenę ryzyka według jasnych wytycznych, a z drugiej – prestiż i nobilitację w przypadku, gdy wykryta przez nich podatność zostanie opublikowana w takiej bazie.

 

Skany podatności (inaczej testy podatności, skany penetracyjne) sieci, systemów i oprogramowania są pierwszym krokiem w procesie zwanym zarządzaniem podatnościami (z ang. vulnerability management). Stanowią one tani i wydajny sposób zabezpieczenia firmowej infrastruktury IT, a polegają na:

 

• przeprowadzeniu symulacji prawdziwego ataku (tzw. testy inwazyjne) w sposób kontrolowany,

 

• dokonaniu analizy struktury sieci i wchodzących w jej skład punktów bez rzeczywistego testowania podatności (tzw. testy nieinwazyjne).

 

Zarządzanie podatnościami wykorzystuje obie powyższe metody do sprawdzania infrastruktury informatycznej pod kątem występowania luk w zabezpieczeniach. Jednak to testy inwazyjne oferują szczególnie duży zasięg penetracji, który jest potrzebny do wykrycia słabości wykorzystywanych w danej organizacji systemów.

 
Zarządzanie podatnościami powinno rozpocząć się jeszcze przed wykryciem pierwszych luk w zabezpieczeniach. Zgodnie z zasadami wywodzącymi się z modelu Deminga prawidłowa kolejność działań to Plan-Do-Check-Act (Zaplanuj-Wykonaj-Sprawdź-Popraw), czyli w skrócie PDCA. Jest to porządek logiczny stosowany w normach ISO, dotyczących zarządzania jakością i bezpieczeństwem.

 

 

Zarządzanie podatnościami jest częścią Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Dokładne procedury organizacyjne tego procesu uzależnione są od wymagań prawnych, jakim poddawana jest firma (m. in. Ustawa o KSC, RODO czy Krajowe Ramy Interoperacyjności). Niezależnie od procedur zarządzanie podatnościami powinno składać się z kilku etapów:

 

• Skanowanie i proaktywny monitoring sieci – podstawą wszelkich działań w zakresie zarządzania podatnościami jest pozyskanie rzetelnych informacji. Są one dostarczane w ramach skanowania i obserwacji infrastruktury informatycznej wykonywanej w sposób ciągły, gdyż każda aktualizacja czy drobna zmiana w strukturze może wywołać nowe podatności.

 

• Ocena ryzyka, kategoryzacja i nadanie priorytetu poszczególnym podatnościom – liczba ostrzeżeń o podatnościach pojawiających się podczas monitoringu bywa bardzo duża. W związku z tym wszystkim wykrytym lukom nadaje się kategorie i priorytety, aby osoby, które nimi zarządzają miały ułatwioną pracę przy tworzeniu wstępnych planów działania. Wykorzystuje się do tego stworzone w tym celu normy i standardy.

 

• Raportowanie – informacje zebrane podczas wcześniejszych dwóch etapów formułuje się w zwięzłe raporty wraz z rekomendowanymi działaniami naprawczymi.

 

• Wdrażanie zmian – proces, w trakcie którego podejmowane są zalecane działania naprawcze w celu wyeliminowania wykrytych luk w zabezpieczeniach. Po jego zakończeniu, wszystkie urządzenia, systemy i oprogramowanie firmowe powinny być dalej monitorowane ze względu na możliwość pojawienia się w nich nowych podatności.

   

Niemal codziennie pojawiają się nowe cyberzagrożenia, które mogą utrudnić lub całkowicie sparaliżować działanie firmy. Z tego też względu monitorowanie i skanowanie systemów informatycznych w poszukiwaniu podatności powinno być na stałe wpisane w funkcjonowanie każdej organizacji. Warto również postawić na różne usługi bezpieczeństwa od sprawdzonego dostawcy.

 

Netia może przeprowadzić testy podatności według normy ISO 27001, a także wdrożyć w wydajnym kosztowo modelu abonamentowym rozwiązania rekomendowane w raporcie z przeprowadzonych działań.

 

Kompleksową ochronę i ciągłe czuwanie nad bezpieczeństwem mogą zapewnić Twojej firmie urządzenia UTM dostępne w ofercie Netii.

 

Netia Managed UTM to podstawowa wersja zarządzanego, proaktywnego i ciągłego monitoringu bezpieczeństwa w punkcie styku firmowej sieci z Internetem, a jednocześnie rekomendowane uzupełnienie ochrony w postaci oprogramowania antywirusowego. Usługa jest dostępna w ramach opłaty abonamentowej, w nieobciążającym firmowego budżetu modelu usługowym. Zakup sprzętu, wdrożenie usługi i jej utrzymanie leży w 100% po stronie specjalistów Netii, dzięki czemu klienci mogą się skupić na prowadzeniu biznesu.

 

Przedsiębiorcy, którzy potrzebują bardziej złożonej ochrony, mogą powierzyć bezpieczeństwo swojej organizacji zespołowi Netia Security Operations Center. Dzięki temu zyskają pomoc specjalistów o zróżnicowanym zakresie kompetencji w przypadku wykrycia podatności czy incydentów, a także otrzymają dostęp do zróżnicowanych usług Netii.

 

Masz pytania dotyczące podatności? Skontaktuj się z naszymi specjalistami. Razem wypracujemy najlepsze rozwiązanie dla Twojej firmy!