Zranitelnost (výpočetní technika) - Vulnerability (computing)

V oblasti počítačové bezpečnosti , je zranitelnost je slabost, která může být využita prostřednictvím hrozeb herec , například s útočníkem, ke křížovým výsad hranice (tj provádět nepovolené akce) v počítačovém systému. Aby útočník mohl zneužít tuto chybu zabezpečení, musí mít alespoň jeden použitelný nástroj nebo techniku, pomocí které se může připojit k oslabení systému. V tomto rámci jsou zranitelnosti známé také jako útočná plocha .

Správa zranitelnosti je cyklický postup, který se teoreticky liší, ale obsahuje běžné procesy, které zahrnují: objevit všechna aktiva, upřednostnit aktiva, posoudit nebo provést kompletní sken zranitelnosti, podat zprávu o výsledcích, napravit zranitelnosti, ověřit nápravu - opakovat. Tato praxe se obecně týká zranitelnosti softwaru ve výpočetních systémech. Agilní správa zranitelností odkazuje na prevenci útoků identifikací všech zranitelností tak rychle, jak je to možné.

Bezpečnostní riziko je často nesprávně klasifikováno jako chyba zabezpečení. Použití zranitelnosti se stejným významem rizika může vést ke zmatku. Rizikem je potenciál významného dopadu vyplývající z využití zranitelnosti. Pak existují zranitelnosti bez rizika: například když dotčené aktivum nemá žádnou hodnotu. Zranitelnost s jednou nebo více známými instancemi fungujících a plně implementovaných útoků je klasifikována jako zneužitelná zranitelnost - zranitelnost, pro kterou existuje zneužití . Oknem zranitelnosti je doba od okamžiku, kdy byla bezpečnostní díra zavedena nebo se projevila v nasazeném softwaru, do okamžiku, kdy byl odstraněn přístup, byla k dispozici/nasazena oprava zabezpečení nebo byl útočník deaktivován-viz útok nultého dne .

Bezpečnostní chyba ( bezpečnostní chyba ) je užší koncept. Existují chyby zabezpečení, které nesouvisejí se softwarem: chyby zabezpečení hardwaru , webu a personálu jsou příklady chyb zabezpečení, které nejsou chybou zabezpečení softwaru.

Konstrukty v programovacích jazycích, které je obtížné správně používat, mohou projevovat velké množství zranitelností.

Definice

ISO 27005 definuje zranitelnost jako:

slabá stránka aktiva nebo skupiny aktiv, která může být zneužita jednou nebo více hrozbami, kde aktivem je cokoli, co má hodnotu pro organizaci, její obchodní operace a jejich kontinuitu, včetně informačních zdrojů, které podporují poslání organizace

Chyba zabezpečení IETF RFC 4949 jako:

Chyba nebo slabina v návrhu, implementaci nebo provozu a správě systému, která by mohla být zneužita k porušení zásad zabezpečení systému

Výbor pro otázky národní bezpečnosti systémů z Spojených států amerických je definováno zranitelnosti v CNSS instrukce 4009 ze dne 26.dubna 2010 National Information Assurance Slovníček pojmů :

Zranitelnost - Slabost v informačním systému, postupech zabezpečení systému, interních kontrolách nebo implementaci, kterou by mohl zneužít zdroj hrozeb.

Mnoho publikací NIST definuje zranitelnost v kontextu IT v různých publikacích: termín FISMApedia poskytuje seznam. Mezi nimi SP 800-30, dejte širší:

Chyba nebo slabina v postupech zabezpečení zabezpečení, návrhu, implementaci nebo interních kontrolách systému, které by mohly být uplatňovány (omylem spuštěny nebo záměrně zneužity) a které mají za následek narušení zabezpečení nebo porušení zásad zabezpečení systému.

Agentura ENISA definuje zranitelnost takto:

Existence slabiny, chyby designu nebo implementace, které mohou vést k neočekávané, nežádoucí události [G.11] ohrožující zabezpečení příslušného počítačového systému, sítě, aplikace nebo protokolu. (ITSEC)

Otevřená skupina definuje zranitelnost jako

Pravděpodobnost, že schopnost hrozby převyšuje schopnost odolat hrozbě .

Faktorová analýza informačního rizika (FAIR) definuje zranitelnost jako:

Pravděpodobnost, že aktivum nebude schopno odolat jednání agenta ohrožení

Podle FAIR zranitelnost souvisí s Control Strength, tj. Síla kontroly ve srovnání se standardním měřítkem síly a schopností ohrožení , tj. Pravděpodobná úroveň síly, kterou je agent hrozby schopen aplikovat proti aktivu.

ISACA definuje zranitelnost v rámci Risk It jako:

Slabá stránka návrhu, implementace, provozu nebo vnitřní kontroly

Zabezpečení dat a počítačů: Slovník pojmů a termínů standardů, autoři Dennis Longley a Michael Shain, Stockton Press, ISBN  0-935859-17-9 , definuje zranitelnost jako:

1) V oblasti počítačové bezpečnosti slabá stránka postupů zabezpečení automatizovaných systémů, administrativních kontrol, ovládacích prvků na internetu atd., Které by mohly být zneužity hrozbou k získání neoprávněného přístupu k informacím nebo k narušení kritického zpracování. 2) V oblasti počítačové bezpečnosti slabá stránka fyzického uspořádání, organizace, postupů, personálu, správy, správy, hardwaru nebo softwaru, která může být zneužita k poškození systému nebo činnosti ADP. 3) V zabezpečení počítače jakákoli slabost nebo chyba existující v systému. Útok nebo škodlivá událost nebo příležitost, kterou má agent hrozby k připojení k tomuto útoku.

Matt Bishop a Dave Bailey uvádějí následující definici zranitelnosti počítače :

Počítačový systém se skládá ze stavů popisujících aktuální konfiguraci entit, které tvoří počítačový systém. Systém vypočítává pomocí stavových přechodů, které mění stav systému. Všechny stavy dosažitelné z daného počátečního stavu pomocí sady stavových přechodů spadají do třídy autorizovaných nebo neautorizovaných, jak je definováno zásadou zabezpečení. V tomto příspěvku jsou definice těchto tříd a přechodů považovány za axiomatické. Zranitelný stav je autorizovaný stav, ze kterého lze dosáhnout nepovoleného stavu pomocí přechodů autorizovaného stavu. Kompromitovaný stav je takto dosažený stav. Útok je sekvence autorizovaných stavových přechodů, které končí v kompromitovaném stavu. Podle definice útok začíná ve zranitelném stavu. Zranitelnost je charakteristika zranitelného stavu, která jej odlišuje od všech neohrožených států. Je -li obecná, může tato chyba zabezpečení charakterizovat mnoho zranitelných států; pokud je konkrétní, může charakterizovat pouze jednu ...

Národní školicí a vzdělávací centrum pro zajišťování informací definuje zranitelnost :

Slabost v automatizovaných postupech zabezpečení systému, administrativních kontrolách, interních kontrolách atd., Která by mohla být zneužita hrozbou k získání neoprávněného přístupu k informacím nebo narušení kritického zpracování. 2. Nedostatky v postupech zabezpečení systému, hardwarovém designu, interních kontrolách atd., Které by bylo možné využít k získání neoprávněného přístupu k utajovaným nebo citlivým informacím. 3. Slabá stránka fyzického uspořádání, organizace, postupů, personálu, managementu, správy, hardwaru nebo softwaru, která může být zneužita k poškození systému nebo činnosti ADP. Přítomnost zranitelnosti sama o sobě nezpůsobuje újmu; zranitelnost je pouze podmínkou nebo sadou podmínek, které mohou umožnit poškození systému nebo činnosti ADP útokem. 4. Tvrzení týkající se primárně entit vnitřního prostředí (aktiva); říkáme, že aktivum (nebo třída aktiv) je zranitelné (nějakým způsobem může zahrnovat agenta nebo sbírku agentů); píšeme: V (i, e) kde: e může být prázdná množina. 5. Citlivost na různé hrozby. 6. Sada vlastností konkrétní interní entity, která ve spojení se sadou vlastností konkrétní externí entity znamená riziko. 7. Charakteristiky systému, které způsobují jeho definitivní degradaci (neschopnost plnit určenou misi) v důsledku toho, že byl vystaven určité úrovni účinků v nepřirozeném (člověkem) nepřátelském prostředí.

Modely zranitelnosti a rizikových faktorů

Prostředek (fyzický nebo logický) může mít jednu nebo více chyb zabezpečení, které může zneužít aktér hrozeb. Výsledek může potenciálně ohrozit důvěrnost , integritu nebo dostupnost zdrojů (ne nutně zranitelných) patřících organizaci a/nebo jiným zúčastněným stranám (zákazníkům, dodavatelům). Takzvaná triáda CIA je základním kamenem informační bezpečnosti .

Útok může být aktivní, když se pokouší změnit systémové prostředky nebo ovlivnit jejich provoz, narušit integritu nebo dostupnost. „ Pasivní útok “ se pokouší naučit nebo využít informace ze systému, ale nemá vliv na systémové prostředky a narušuje důvěrnost.

OWASP: vztah mezi agentem hrozeb a dopadem na podnikání

OWASP (viz obrázek) zobrazuje stejný jev v trochu odlišných termínech: agent hrozeb prostřednictvím vektoru útoku využívá slabost (zranitelnost) systému a související bezpečnostní kontroly, což má technický dopad na IT zdroj (aktivum) připojený k obchodní dopad.

Celkový obraz představuje rizikové faktory rizikového scénáře.

Systém řízení informační bezpečnosti

Byla vyvinuta sada zásad týkajících se systému řízení bezpečnosti informací (ISMS), která má podle zásad řízení rizik řídit protiopatření k zajištění strategie zabezpečení podle pravidel a předpisů platných pro danou organizaci. Tato protiopatření se také nazývají Bezpečnostní kontroly , ale když se aplikují na přenos informací, nazývají se bezpečnostní služby .

Klasifikace

Chyby zabezpečení jsou klasifikovány podle třídy aktiv, se kterou souvisí:

  • Hardware
    • náchylnost k vlhkosti nebo prachu
    • náchylnost k nechráněnému úložišti
    • opotřebení na základě věku, které způsobuje selhání
    • přehřátí
  • software
    • nedostatečné testování
    • nejisté kódování
    • nedostatek auditního záznamu
    • designová chyba
  • síť
  • personál
  • fyzické stránky
    • oblast postižená přírodními katastrofami (např. povodně, zemětřesení)
    • přerušení zdroje energie
  • organizační
    • nedostatek pravidelných auditů
    • nedostatek plánů kontinuity
    • nedostatek zabezpečení

Příčiny

  • Složitost: Velké, složité systémy zvyšují pravděpodobnost chyb a nezamýšlených přístupových bodů .
  • Známost: Používání běžného, ​​dobře známého kódu, softwaru, operačních systémů a/nebo hardwaru zvyšuje pravděpodobnost, že útočník má nebo může najít znalosti a nástroje k využití chyby.
  • Konektivita: Více fyzických připojení, oprávnění, portů, protokolů a služeb a doba, po kterou je každý z nich přístupný, zvyšuje zranitelnost.
  • Chyby správy hesel: Uživatel počítače používá slabá hesla, která lze zjistit hrubou silou. Uživatel počítače uloží heslo do počítače, kde k němu má přístup program. Uživatelé opakovaně používají hesla mezi mnoha programy a webovými stránkami.
  • Základní operační systém konstrukční chyby: Operační systém zvolí návrhář prosazovat suboptimální politiky týkající se řízení uživatel / programu. Například operační systémy se zásadami, jako je výchozí povolení, udělují každému programu a každému uživateli plný přístup k celému počítači. Tato chyba operačního systému umožňuje virům a malwaru spouštět příkazy jménem správce.
  • Procházení webových stránek na internetu: Některé internetové stránky mohou obsahovat škodlivý spyware nebo adware, které lze automaticky nainstalovat do počítačových systémů. Po návštěvě těchto webových stránek se počítačové systémy nakazí a osobní údaje budou shromažďovány a předávány jednotlivcům třetích stran.
  • Softwarové chyby : Programátor zanechá zneužitelnou chybu v softwarovém programu. Softwarová chyba může útočníkovi umožnit zneužití aplikace.
  • Nekontrolovaný vstup uživatele : Program předpokládá, že veškerý vstup uživatele je bezpečný. Programy, které nekontrolují vstup uživatele, mohou povolit nechtěné přímé spuštění příkazů nebo příkazů SQL (známé jako Přetečení vyrovnávací paměti , vložení SQL nebo jiné nevalidované vstupy).
  • Neučit se z minulých chyb: například většina zranitelností objevených v softwaru protokolu IPv4 byla objevena v nových implementacích IPv6 .

Výzkum ukázal, že nejzranitelnějším bodem ve většině informačních systémů je lidský uživatel, operátor, projektant nebo jiný člověk: lidé by tedy měli být v různých rolích považováni za aktiva, hrozby a informační zdroje. Sociální inženýrství je stále větší bezpečnostní obavou.

Důsledky

Dopad narušení zabezpečení může být velmi vysoký. Většina legislativy vidí selhání IT manažerů při řešení zranitelnosti IT systémů a aplikací, pokud jsou jim známy, jako pochybení; IT manažeři mají odpovědnost za řízení rizik IT . Zákony o ochraně osobních údajů nutí manažery jednat, aby snížili dopad nebo pravděpodobnost tohoto bezpečnostního rizika. Audit zabezpečení informačních technologií je způsob, jak nechat ostatní nezávislé osoby certifikovat, že je prostředí IT spravováno správně, a snížit odpovědnost, alespoň když prokázali dobrou víru. Penetrační test je formou ověření slabosti a protiopatření přijatých organizací: hacker White hat se snaží napadnout aktiva informačních technologií organizace, aby zjistil, jak snadné nebo obtížné je ohrozit zabezpečení IT. Správný způsob profesionálního řízení rizika IT je přijetí systému řízení bezpečnosti informací, jako je ISO/IEC 27002 nebo Risk IT, a jeho dodržování podle bezpečnostní strategie stanovené vyšším managementem.

Jedním z klíčových konceptů informační bezpečnosti je princip hloubkové obrany , tj. Vytvoření vícevrstvého obranného systému, který může:

  • zabránit exploitu
  • detekovat a zachytit útok
  • zjistit agenty hrozeb a stíhat je

Systém detekce narušení je příkladem třídy systémů používaných k detekci útoků .

Fyzické zabezpečení je soubor opatření k fyzické ochraně informačního aktiva: pokud někdo může získat fyzický přístup k informačnímu aktivu, je všeobecně uznáváno, že útočník může získat přístup k jakýmkoli informacím o něm nebo znepřístupnit zdroj pro své legitimní uživatele.

Byly vyvinuty některé sady kritérií, která má počítač, jeho operační systém a aplikace splňovat, aby splňovaly dobrou úroveň zabezpečení: ITSEC a společná kritéria jsou dva příklady.

Zveřejnění zranitelnosti

Koordinované zveřejňování zranitelností (někteří jej označují jako „ odpovědné zveřejňování “, ale ostatní jej považují za předpojatý termín) je tématem velké debaty. Jak uvádí The Tech Herald v srpnu 2010, „ Google , Microsoft , TippingPoint a Rapid7 vydaly pokyny a prohlášení týkající se toho, jak budou v budoucnu postupovat při odhalení“. Druhou metodou je obvykle úplné zveřejnění , kdy jsou zveřejněny všechny podrobnosti o chybě zabezpečení, někdy se záměrem vyvinout tlak na autora softwaru, aby opravu zveřejnil rychleji. V lednu 2014, kdy společnost Google odhalila zranitelnost společnosti Microsoft, než společnost Microsoft vydala opravu k opravě, zástupce společnosti Microsoft vyzval ke koordinovaným postupům mezi softwarovými společnostmi při odhalování informací.

Inventář zranitelnosti

Mitre Corporation vede neúplný seznam veřejně odhalených zranitelností v systému zvaném Společné chyby zabezpečení a ohrožení . Tyto informace jsou okamžitě sdíleny s Národním institutem pro standardy a technologie (NIST), kde je každé zranitelnosti přiděleno skóre rizika pomocí systému Common Vulnerability Scoring System (CVSS), schématu Common Platform Enumeration (CPE) a Common Weakness Enumeration .

OWASP udržuje seznam tříd zranitelností s cílem vzdělávat návrháře systémů a programátory, čímž snižuje pravděpodobnost neúmyslného zapsání zranitelností do softwaru.

Datum zveřejnění chyby zabezpečení

Čas odhalení chyby zabezpečení je v komunitě zabezpečení a průmyslu definován odlišně. Nejčastěji se označuje jako „druh veřejného zveřejňování bezpečnostních informací určitou stranou“. Informace o zranitelnosti jsou obvykle prodiskutovány v seznamu adresátů nebo zveřejněny na zabezpečeném webu a následně vyústí v bezpečnostní doporučení.

Doba zveřejnění je datum prvního chyba zabezpečení je popsána v kanále, kde je popsán informací o zranitelnosti musí splňovat následující požadavky:

  • Informace jsou volně dostupné veřejnosti
  • Informace o zranitelnosti jsou publikovány důvěryhodným a nezávislým kanálem/zdrojem
  • Zranitelnost prošla odbornou analýzou tak, aby po zveřejnění byly zahrnuty informace o hodnocení rizika
Identifikace a odstranění zranitelností

Existuje mnoho softwarových nástrojů, které mohou pomoci při zjišťování (a někdy i odstraňování) zranitelností počítačového systému. Ačkoli tyto nástroje mohou poskytnout auditorovi dobrý přehled o možných přítomných zranitelnostech, nemohou nahradit lidský úsudek. Spoléhání se pouze na skenery přinese falešná pozitiva a omezený pohled na problémy přítomné v systému.

Chyby zabezpečení byly nalezeny ve všech hlavních operačních systémech včetně Windows , macOS , různých forem Unixu a Linuxu , OpenVMS a dalších. Jediným způsobem, jak snížit pravděpodobnost použití zranitelnosti proti systému, je neustálá ostražitost, včetně pečlivé údržby systému (např. Používání softwarových záplat), osvědčených postupů při zavádění (např. Používání bran firewall a řízení přístupu ) a auditování (obojí během vývoj a během celého životního cyklu nasazení).

Místa, ve kterých se projevují zranitelnosti

Zranitelnosti souvisejí a mohou se projevovat v:

  • fyzické prostředí systému
  • personál (tj. zaměstnanci, vedení)
  • administrativní postupy a bezpečnostní politika
  • obchodní provoz a poskytování služeb
  • hardware včetně periferních zařízení
  • software (tj. v prostorách nebo v cloudu)
  • konektivita (tj. komunikační zařízení a zařízení)

Je evidentní, že čistě technický přístup nemůže vždy chránit fyzický majetek: jeden by měl mít administrativní postup, který umožní personálu údržby vstupovat do zařízení a lidi s adekvátními znalostmi postupů, motivovaní k tomu, aby jej dodržovali s řádnou péčí. Technická ochrana však nemusí nutně zastavit útoky sociálního inženýrství (zabezpečení) .

Příklady zranitelností:

  • útočník najde a použije slabost přetečení vyrovnávací paměti k instalaci malwaru a poté odfiltruje citlivá data;
  • útočník přesvědčí uživatele, aby otevřel e -mailovou zprávu s připojeným malwarem;
  • povodeň poškozuje počítačové systémy instalované v přízemí.

Chyba zabezpečení softwaru

Mezi běžné typy softwarových chyb, které vedou k zranitelnostem, patří:

Byla vyvinuta určitá sada pokynů pro kódování a bylo použito velké množství analyzátorů statického kódu k ověření, že se kód řídí pokyny.

Viz také

Reference

externí odkazy