Αξιολόγηση ευπάθειας - Vulnerability Assessment

Η αξιολόγηση ευπάθειας (Vulnerability Assessment) είναι η διαδικασία προσδιορισμού, ταξινόμησης και ιεράρχησης των τρωτών σημείων σε συστήματα υπολογιστών, εφαρμογών και δικτυακών υποδομών και η παροχή στον οργανισμό της αξιολόγησης με τις απαραίτητες γνώσεις, ευαισθητοποίηση και υπόβαθρο κινδύνου για την κατανόηση των απειλών στο περιβάλλον και την κατάλληλη αντίδραση.

Οι οργανισμοί που χρησιμοποιούν αυτές τις αξιολογήσεις έχουν επίγνωση των κινδύνων ασφάλειας και κατανοούν ότι χρειάζονται βοήθεια για τον προσδιορισμό και την ιεράρχηση πιθανών θεμάτων. Με την κατανόηση των τρωτών σημείων τους, ένας οργανισμός μπορεί να διατυπώσει λύσεις και διορθώσεις για αυτά τα τρωτά σημεία για ενσωμάτωση στο σύστημα διαχείρισης κινδύνων.

Οργανισμοί οποιουδήποτε μεγέθους ή ακόμη και άτομα που αντιμετωπίζουν αυξημένο κίνδυνο επιθέσεων στον κυβερνοχώρο μπορούν να επωφεληθούν από κάποια μορφή αξιολόγησης ευπάθειας, αλλά οι μεγάλες επιχειρήσεις και άλλοι τύποι οργανισμών που υπόκεινται σε συνεχιζόμενες επιθέσεις θα ωφεληθούν περισσότερο από την ανάλυση ευπάθειας.

Ένα τακτικό πρόγραμμα αξιολόγησης βοηθά τους οργανισμούς να διαχειρίζονται τον κίνδυνο τους ενόψει ενός συνεχώς εξελισσόμενου απειλητικού περιβάλλοντος, εντοπίζοντας και βαθμολογώντας τις ευπάθειες έτσι ώστε οι επιτιθέμενοι να μην προσελκύουν οργανισμούς απροετοίμαστοι.

Τρόποι αξιολόγησης

Εξωτερικά - External Vulnerability Assessment

Εντοπίζονται τα τρωτά σημεία των εξωτερικών δικτύων και προστατεύονται τα ευαίσθητα δεδομένα. Η αξιολόγηση αυτή ειδοποιεί τις ομάδες ασφαλείας, προτείνει λύσεις και τις διορθώνει όσο το δυνατόν γρηγορότερα, για να αποτρέψει την είσοδο των χάκερ σε συστήματα πληροφοριών.

Μια αξιολόγηση ευπάθειας εξωτερικού δικτύου μπορεί να προσδιορίσει πώς ένας δυνητικός εισβολέας μπορεί να προκαλέσει απειλή στο σύστημά σας από το εξωτερικό του δικτύου σας.

Οι εξωτερικές αξιολογήσεις ευπάθειας περιλαμβάνουν τόσο μια τεκμηρίωση των ευρημάτων όσο και συστάσεις σχετικά με τον τρόπο αποτελεσματικής και αποτελεσματικής αποκατάστασης ή μετριασμού αυτών των τρωτών σημείων.

Εσωτερικά - Internal Vulnerability Assessment

Η εκτίμησή για την ευπάθεια του εσωτερικού δικτύου βασίζεται στους οδηγούς τεχνικής εφαρμογής της ασφάλειας DoD (STIG) και στις βέλτιστες πρακτικές της βιομηχανίας και λαμβάνει υπόψη ένα ευρύ φάσμα προβλημάτων δικτύου και εντοπίζει τις αδυναμίες που χρειάζονται διόρθωση, συμπεριλαμβανομένων των τρωτών σημείων κακής διαμόρφωσης και πολιτικής μη συμμόρφωσης.

Συνήθως, η αξιολόγηση αυτή περιλαμβάνει την εξέταση όλων, από διακομιστές, επιτραπέζιους υπολογιστές και πολιτικές ομάδας έως τη διαμόρφωση των συσκευών δικτύωσης και των τείχη προστασίας. Η εσωτερική αξιολόγηση περιλαμβάνει τόσο μια τεκμηρίωση των ευρημάτων όσο και συστάσεις σχετικά με τον τρόπο αποτελεσματικής αποκατάστασης και μετριασμού αυτών των τρωτών σημείων.

Είδη εκτιμήσεων ευπάθειας

Οι αξιολογήσεις ευπάθειας εξαρτώνται από την ανακάλυψη διαφορετικών τύπων τρωτών σημείων του συστήματος ή δικτύου, πράγμα που σημαίνει ότι η διαδικασία αξιολόγησης περιλαμβάνει τη χρήση ποικίλων εργαλείων, σαρωτών και μεθοδολογιών για τον εντοπισμό τρωτών σημείων, απειλών και κινδύνων.

Μερικοί από τους διάφορους τύπους ανίχνευσης ευπάθειας περιλαμβάνουν τα εξής:

• Οι σαρώσεις με βάση το δίκτυο χρησιμοποιούνται για τον εντοπισμό πιθανών επιθέσεων ασφάλειας δικτύων.
• Οι σαρώσεις βάσει κεντρικού υπολογιστή χρησιμοποιούνται για τον εντοπισμό και τον εντοπισμό τρωτών σημείων σε διακομιστές, σταθμούς εργασίας ή άλλους κεντρικούς υπολογιστές δικτύου.
• Οι σαρώσεις ασύρματου δικτύου των δικτύων Wi-Fi ενός οργανισμού επικεντρώνονται συνήθως σε σημεία επίθεσης στην υποδομή ασύρματου δικτύου.
• Οι σαρώσεις εφαρμογών μπορούν να χρησιμοποιηθούν για τη δοκιμή ιστότοπων, προκειμένου να εντοπιστούν γνωστά ευπάθειες λογισμικού και εσφαλμένες διαμορφώσεις σε εφαρμογές δικτύου ή ιστού.
• Οι σαρώσεις βάσεων δεδομένων μπορούν να χρησιμοποιηθούν για τον εντοπισμό των αδύναμων σημείων μιας βάσης δεδομένων, έτσι ώστε να αποφευχθούν οι κακόβουλες επιθέσεις, όπως οι επιθέσεις ένεσης SQL.