Stwierdzenie, że zapobiegać jest lepiej niż leczyć odnosi się także do zdrowia infrastruktury informatycznej Twojego przedsiębiorstwa, a więc do cyberbezpieczeństwa. Takie podejście pozwala na odpowiednią prewencję przed możliwymi atakami z wykorzystaniem istniejących luk przez hakerów, dokonujących ukierunkowanych ataków na dane przedsiębiorstwo. Cyberprzestępcy mają na celu kradzież danych, sprzedaż ich konkurencji, działają na zlecenie konkurencji lub ich celem jest unieruchomienie infrastruktury informatycznej albo podważenie wiarygodności i zrujnowanie wizerunku firmy. Ponadto, trzeba pamiętać, że w Internecie mamy ogrom wirusów komputerowych i złośliwego oprogramowania, które mogą zaszkodzić każdej organizacji korzystającej z Internetu.
Testy penetracyjne, exploity i skanery podatności
Jednym z procesów umożliwiających wykrywanie owych podatności jest test penetracyjny – polega on na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.
Sprawdzanie odporności aplikacji, systemów, serwerów i serwisów może odbywać się przez pentesterów, czyli inaczej mówiąc „etycznych hakerów” w sposób niezautomatyzowany, ale warto pamiętać, że informacje o lukach, nowe „backdoory”, kolejne aktualizacje oprogramowania pojawiają się każdego dnia i ochrona tego typu powinna stanowić proces ciagły.
Warto w tym miejscu wyjaśnić pojęcie „exploit”. Jest to fragment kodu, cały program albo rodzaj ataku, który opiera się na wykorzystaniu błędu w obszarze bezpieczeństwa systemu operacyjnego albo określonego oprogramowania. Składnik infrastruktury (serwery, komputery, urządzenia sieciowe, systemy) może zostać zainfekowany w czasie „okna podatności”, czyli od wykorzystania exploita po raz pierwszy do dnia jego usunięcia, czyli zaimplementowania tzw. łatki bezpieczeństwa (np. uaktualnienia oprogramowania). Ponieważ coraz więcej organizacji i firm zajmuje się wyszukaniem tego typu dziur w oprogramowaniu organizacje urządzają programy „bug bounty” (za odnalezienie podatności lub luk i ich opisanie przekazywane są nagrody pieniężne) lub poszukują brokerów podatności, którzy oferują znaczne sumy pieniędzy za wykrycie konkretnych luk w infrastrukturze i oprogramowaniu.
Drugą stroną medalu są narzędzia stanowiące swoiste platformy do wykorzystania eksploitów w trakcie nielegalnego pozyskiwania informacji i przełamywania zabezpieczeń przez specjalistów i hakerów. Przykładem tego typu narzędzia jest chociażby popularny medialnie system Pegasus.
Skanery podatności to specjalistyczne narzędzia, które pozwalają na sprawdzanie sieci i serwerów w poszukiwaniu ukrytych luk i dziur w zabezpieczeniach. Zadaniem skanerów podatności jest monitorowanie wszystkiego, co dzieje się w infrastrukturze i wykrywanie podejrzanych aktywności. Dzięki takiemu podejściu chroni się firmę czy organizację przed włamaniem.
Hackerzy też skanują
Musimy zdawać sobie sprawę, że hackerzy również uzbrojeni są w podobne narzędzia – tylko, że ich celem nie jest wykrywanie luk, po to, żeby je „łatać” i eliminować, ale po to, aby je wykorzystywać do wrogich ataków i przejęć danych wrażliwych.
Dodatkową kategorię, aczkolwiek nieliczną w zakresie bezpieczeństwa informatycznego w firmach są hybrydowe skanery bezpieczeństwa. Narzędzia te łączą w sobie zalety automatycznych testów bezpieczeństwa z pracą zespołu pentesterów, którzy weryfikują efekty pracy narzędzia pod kątem tzw. false positive, a więc zgłoszeń niebędących zagrożeniem dla organizacji, ale mogących odwrócić uwagę specjalistów od faktycznych zagrożeń dla infrastruktury.
Następna generacja: hybrydowy skaner podatności
Działanie hybrydowego skanera podatności przedstawione zostanie w oparciu o rozwiązanie ReconMore. Bazą rozpoczęcia współpracy jest ustalenie zakresu działania narzędzia: domen, zasobów sieciowych i inne elementy infrastruktury, które mają podlegać skanowaniu. Na podstawie informacji pochodzących z zewnętrznych serwisów, stron dostawców certyfikatów, analizy archiwów, wyodrębniania danych z sieci i wykorzystania technik w obszarze DNS prowadzony jest rekonesans infrastruktury wskazanej przez Klienta, która znajduje się za domeną. W oparciu o dane wykryte w pierwszym etapie – wszelkich zasobów, subdomen, wyszukiwanie są miejsca potencjalnie podatne na eksploitacje. Rezultatem drugiego etapu jest przekazanie wykrytych miejsc ekspozycji na eksploitację przez cyberprzestępców. Etap eksploitacji polega na analizie wykrytych nowych podatności w różnych aspektach bezpieczeństwa. Efekty tych prac przekazywane są do zespołu pentersterów w celu przeprowadzenia retestów wybranych obszarów. Ostatni etap to weryfikacja przez zespół pentesterski. Usunięcie z raportu zgłoszeń false positive, priorytetyzacja, a także przekazanie raportu nowych podatności wraz z dowodem ich występowania i przykładami ich eksploitacji do użytkownika końcowego narzędzia. Pentesterzy przygotowują rekomendacje usunięcia podatności i wspierają w procesie eliminacji podatności. Pomimo tych złożonych działań równoległych sam skaner programowy pracuje dalej, tak aby ochrona infrastruktury odbywała się w sposób ciągły.
Tradycyjne skanowanie podatności oparte jest zazwyczaj o narzędzia, które nie tylko wymagają skompilowanego procesu wdrożenia i konfiguracji, ale również mogą w znaczy stopniu obciążać infrastrukturę, która podlega skanowaniu. Dodatkowo, jeśli w organizacji wykorzystywany jest skaner bez wsparcia zespołu pentesterów, to pomimo inwestycji w tego typu narzędzie nadal niezbędny jest zespół specjalistów, który będzie analizował efekty pracy oprogramowania pod kątem ważności poszczególnych efektów skanowania i potencjalnych zgłoszenia typu tzw. false positive.
Skaner jak odkrywca
Jakiego typu podatności pojawiają się najczęściej? Typowe, takie jak SQL injection w kontekście stron internetowych, czy aplikacji webowych. Często efekty pracy skanera skupiają się wokół skutków błędów ludzkich, np.: pozostawienia zasobów w tzw. głębokim ukryciu, zapominaniu o tymczasowych subdomenach, które były wykorzystywane tylko przez chwilę, a obecnie mogą stanowić źródło danych umożliwiających włamanie się do infrastruktury i nielegalne pozyskanie danych np.: pliki logów z wrażliwymi danymi, czy danych kont użytkowników serwisów umożliwiających dostęp chociażby do sklepu internetowego firmy. Często pojawiają się porzucone kopie („dump”-y) baz danych, z których sprawny cyberprzestępca jest w stanie pozyskać wrażliwe danych. Dodatkowo, jeśli chodzi o firmy z branży IT, szczególnie softwarehouse-y to poprzez zaniedbanie stosowania odpowiednich procedur dotyczących zapisu i dbania o własne kody źródłowe, wymiana tychże kodów pomiędzy pracownikami w sposób nieodpowiedzialny owocuje możliwością przejęcia dorobku zespołów developerskich o ile nie całej firmy.
Ludzki wymiar
Dlaczego warto szukać rozwiązań hybrydowych? Dlatego, że tego typu usługi umożliwiają traktowanie testów penetracyjnych i implementacji skutków ich realizacji jako „black box”, a więc dostajemy w efekcie końcowym pracy hybrydowego skanera bezpieczeństwa wyselekcjonowane informacje dotyczące najgroźniejszych podatności wraz z propozycją rozwiązania zagadnienia przygotowaną przez doświadczonych specjalistów, bez potrzeby ich zatrudniania we własnej organizacji.
W efekcie końcowym mamy więc w ramach subskrypcji do dyspozycji nie tylko samo oprogramowanie, które w sposób ciągły sprawdza stan naszej infrastruktury pod kątem odporności na ataki cyberprzestępców, ale również kompetencje pentesterów czuwających nad efektywnym wykorzystaniem skutków działania tego oprogramowania.
Czy skanery podatności to konieczność? Pytanie retoryczne – tak, dla każdej organizacji pracującej na swojej infrastrukturze lub oferującej swoje systemy swoim klientom – to w tej chwili konieczność. Bądźmy czujni i zapewnijmy sobie bezpieczeństwo. Skaner podatności stał się niezbędnym elementem ekosystemu bezpieczeństwa.