Nagu termin viitab, on haavatavuse hindamine süsteemi haavatavuste tuvastamise ja klassifitseerimise protsess. See hõlmab mis tahes hindamist alates arvutisüsteemidest kuni võrgutaristuteni. Haavatavuse hindamise eesmärk on teavitada asjassepuutuvat osapoolt ohtudest tema süsteemidele ja sellest, millised on võimalikud ennetusmeetmed.
Haavatavuse hindamine on oluline mehhanism, mis võimaldab organisatsioonidel tuvastada lüngad oma süsteemis ja need vastavalt parandada. Arvestades küberturvalisuse olulisust kaasaegses maailmas on tegemist elutähtsa protseduuriga, mis kindlustab organisatsiooni turvalisuse digitaalses keskkonnas.
Haavatavuse hindamise protsess
Haavatavuse hindamine hõlmab 5 sammu. See algab eesmärkide seadmisest, sellele järgneb hindamise skoobi määratlemine. Seejärel viiakse läbi informatsiooni kogumise protsess. Just kolmandas etapis toimub haavatavuste tuvastamine. Hindamine viiakse lõpule siis, kui andmete analüüs ja planeerimine on lõpetatud.
Eesmärgid
Selles etapis tehakse kindlaks testi eesmärgid.
Skoop
Enne testi tegelikku läbiviimist on oluline selgelt määratleda hindamise ulatus. Üks võimalik meetod on kasutada musta kasti, valge kasti või halli kasti testimist.
Informatsiooni kogumine
Siinkohal on eesmärgiks koguda sihtmärgiks oleva süsteemi kohta võimalikult palju informatsiooni. Seda saab teostada suhtlusrünnete, eelkontrolli või muude sarnaste vahendite abil.
Haavatavuste tuvastamine
Kogu protsessi tegelik testimise osa toimub selles etapis. Sihtsüsteemi kontrollitakse ja haavatavused tuvastatakse.
Informatsiooni analüüsimine ja planeerimine
Viimaks analüüsitakse, klassifitseeritakse ja prioritiseeritakse tuvastatud haavatavused. Lisaks hõlmab see võimalikke ennetavaid meetmeid hinnatud haavatavuste vältimiseks.
Haavatavuse hinnanguid on erinevat tüüpi, millest igaüks keskendub erinevatele aspektidele.
Võrgupõhine kontrollimine
See meetod otsib arvutivõrkudest võimalikke lünki. Võrgupõhine kontrollimine annab võrguadministraatorile või võrgu turvalisuse eest vastutavatele isikutele võimaluse mõõta konkreetse võrgu tugevust. Seda tüüpi hindamine hõlmab mitmeid elemente. Nende hulka kuuluvad:
- Ruuteri ja WiFi paroolide analüüsimine;
- Turvalisuse analüüsimine seadme tasemel;
- Võrgu tugevuse hindamine võrgupõhiste rünnakute, näiteks võrku sissetungimise, vahendajaründe, hajutatud teenuse tõkestamise korral;
- Võrku ähvardavate ohtude identifitseerimine ja tähtsuse järjekorda asetamine.
Traadita võrgu skaneerimine
Põhitasemel aitab seda tüüpi skaneerimine tuvastada organisatsiooni traadita võrguühenduse turvalisuse eripära. Cisco põhjal on tegemist 5-astmelise protsessiga.
- Kõigi võrgus olevate traadita seadmete tuvastamine;
- Kõrvaliste seadmete tuvastamine. Siin tuvastatakse võrgus loata olevad või tahtmatult sinna sattunud traadita seadmed ja tegeletakse nendega;
- Võrgu volitatud juurdepääsupunktide testimine;
- Seadmeloendi värskendamine, et kajastada kõiki võimalikke seadmeid, mis võivad võrguga suhelda;
- Kõigi leitud haavatavuste parandamine.
Loomulikult tuleb tähele panna, et traadita võrgu skaneerimine võib ulatuda ka märksa kaugemale kui need 5 sammu.
Rakenduste skaneerimine
Rakenduse skaneerimine määrab organisatsiooni süsteemide tarkvara turbetaseme. See hõlmab võrgu- või veebirakenduste valede konfiguratsioonide tuvastamist. See hõlmab ka tarkvara haavatavuste, näiteks SQL-i süstimise, saidiülese skriptimise ja puhvri ületäitumiste otsimist.
Andmebaaside skaneerimine
Need skaneeringud keskenduvad süsteemi haavatavustele andmebaasi vaatenurgast. Osaliselt hõlmab see andmebaasitaseme turvalisuse tuvastamist ja tugevdamist selliste pahatahtlike rünnakute nagu SQL-i süstimine eest.
Hostipõhine skaneerimine
Hostipõhised haavatavuse hinnangud keskenduvad võrgu hostidele, näiteks serveritele ja tööjaamadele. Hostipõhised skaneerimisvahendid laadivad sihtsüsteemi vahendava tarkvara. Pärast seda jälgitakse olulisi tegevusi ja antakse ette antud osapooltele aru. Tüüpilisel hostipõhisel skaneerimisel vaadeldakse porte/teenuseid, mis on võrgupõhistele skaneeringutele nähtavad.
Lisaks ülaltoodule on olemas ka erinevad haavatavuse hindamise meetodid. Näiteks aktiivse testimise puhul keskendub testija testi tehes aktiivselt uutele testjuhtumitele ja -aladele. Passiivse testimise puhul testitakse hetkel töötavat süsteemi ilma uusi andmeid sisse toomata. Võrgupõhine testimine keskendub võrgu komponentidele. Hajutatud testimine puudutab rakendusi, mis töötavad samaaegselt mitme kliendiga.
Haavatavuse hindamise vahendid
Nende testide läbiviimiseks on saadaval palju töövahendeid. Mõned tuntumad nendest on:
- Acunetix: automatiseeritud veebirakenduste turvalisuse testimise töövahend
- OpenVAS: avatud lähtekoodiga töövahend, mis pakub võimalusi nii haavatavuse kontrollimiseks kui ka haavatavuse haldamiseks
- Nikto: avatud lähtekoodiga veebiskanner
- Wireshark: võrguprotokolli analüüsi vahend
- Aircrack: kasutatakse WiFi võrgu turvalisuse hindamiseks
- Nessus: bränditud ja patenteeritud haavatavuse skanner
- Microsoft Baseline Security Analyzer: tasuta Microsofti tööriist Microsofti juhiste alusel Windowsi süsteemi turvamiseks
Milline on haavatavuse hindamise ja läbistustestimise vahe
Asi ei ole niivõrd erinevustes, vaid pigem selles, mida iga protseduur küberturvalisuse alal saavutada soovib. Läbistustestimine on tegelikult osa haavatavuse hindamise protsessist. Läbistustestimine võimaldab süsteemi haavatavusi tõhusamalt tuvastada. Haavatavuse skaneerimisel jäävad turvaaugud mõnikord kahe silma vahele.
Tuleks tähele panna, et haavatavuse hindamisel ei piisa ainult läbistustestimisest. Läbistustestimine on aktiivselt suunatud haavatavuste ja nende ärakasutamise vastu. Võrdluseks kasutatakse haavatavuse hindamisel automatiseeritud tööriistu, mis hõlmavad kogu süsteemis tuvastamata turvaauke. Kui nõutav on täpsem analüüs, viiakse haavatavuse hindamine läbi käsitsi.
Tegemist on pideva protsessiga
Mõlemal juhul tuleks haavatavuse hindamist organisatsioonis regulaarselt läbi viia. Süsteemid muutuvad sageli kiiresti. Vahel võib see tähendada uute seadmete lisamist või uute tarkvarateenuste kasutusele võtmist. Kui ettevõte kasutab vanu süsteeme või tarkvara, siis on oht pahatahtliku rünnaku ohvriks langeda veelgi suurem. Seda põhjusel, et süsteemide vananedes kahaneb ajas nende prioriteetsus tootjate jaoks. Alles hiljuti andis Microsoft välja täienduse Internet Explorerile, brauserile, mida endiselt kasutab enam kui 7% kõigist brauserikasutajatest.
Kuid see tähendab, et uute seadmetega kaasneb alati automaatselt vähem haavatavusi. Hiljuti tuvastatud “checkm8” haavatavus vanematel iOS-seadmetel on siinkohal suurepärane näide. Kõigest hoolimata on oluline hoida süsteemid kaasaegsetena. Haavatavuse hindamine võimaldab organisatsioonidel seda olulisel määral teha. Kui teil on huvi oma ettevõtte haavatavuse hindamisega alustada, siis tutvuge meie tegemistega. Meiega saate ühendust võtta meili teel info@c-yber.ee või helistades numbril (+372) 602 3532.