„Otkad koristimo InsightVM, u stanju smo da ranjivosti otkrijemo i uklonimo za manje od nedelju dana. Sigurnost našeg sistema možemo pratiti u realnom vremenu, a pomoću podataka koje izveštaji pružaju realno stanje lako možemo preneti menadžerima.“
James Cairns, Bow Valley College, database administrator
Osnovni korak u osiguravanju bezbednosti informacionog sistema jedne kompanije jeste poznavanje infrastrukture i prepoznavanje njenih slabosti, što nije uvek jednostavan zadatak. Zato COMING ima rešenje u vidu usluge skeniranja ranjivosti i analize sistema.
Više nije pitanje hoće li neko postati meta cyber napada, nego kada. Statistika kaže da se hakerski napadi dešavaju na svakih 39 sekundi, što je 2.215 napada u toku dana! Prosečno vreme otkrivanja proboja u sistem bilo je u 2019. godini čitavih 206 dana, dok su 43% meta cyber napada činila baš manja preduzeća. Procena istraživača kaže da je ljudski faktor bio uzrok za 95% uspešnih napada. Najskoriji napadi na TV N1 i JKP Informatika iz Novog Sada govore da se i srpske firme lako mogu naći na meti napadača.
Naš cilj je da učinimo sve što je u našoj moći da takvi napadi budu neuspešni, a da bi se rizik umanjio implementira se nekoliko nivoa sigurnosti. Iako možda zvuči očigledno, prvi i osnovni korak jeste poznavanje sopstvene infrastrukture i njenih slabosti. Kada tačno znamo čime raspolažemo i gde su „rupe“, lako možemo preduzeti i odgovarajuće aktivnosti. Međutim, usled konstantnih dnevnih aktivnosti inženjera zaduženih za IT infrastrukturu, podatak da zapravo većina kompanija ima problema da baš ovo ustanovi ne predstavlja veliko iznenađenje.
Šta je ranjivost?
Govorimo o skeniranju ranjivosti, ali šta je zapravo ranjivost IT sistema? Ranjivost je slabost uređaja ili aplikacije koju napadač može da iskoristi i nanese štetu sistemu. To može biti starija verzija aplikacije ili zaboravljeni otvoreni port. Nismo uvek svesni svih ranjivosti, a to i nije baš tako lako postići u velikim, dinamičnim sistemima. Sem toga, hakeri velikom brzinom nalaze nove načine da zaobiđu sigurnosna rešenja i iskoriste ranjivosti trenutnih verzija operativnih sistema i aplikacija. Ovo je naročito problematično u organizacijama koje imaju ogroman broj servera i radnih stanica, ili testnu i razvojnu infrastrukturu koju treba zaštititi jednako kao i produkcionu. Nedovoljan broj ljudi u IT sektoru, a naročito u security timovima, čest je slučaj.
Fundamentalna stvar za svaku organizaciju jeste da obezbedi svoju infrastrukuturu i aplikacije, kako bi sačuvala svoj i integritet svojih korisnika koji koriste te resurse. Ne postoji administrator koji može tvrditi da na poruku „A new version of this software has been published. Do you want to update now?” nikada nije kliknuo „Remind me later“. Zbog upgrade procedure koju poštuje kompanija i zbog velikog broja servera koje jedan administrator održava, dešava se da to „later“ bude mnogo kasnije ili ne bude nikada. Poznati su primeri ranjivosti za koje vendor izbaci patch nakon mesec dana, a nakon više godina čitamo u vestima kako je u napadima na nekoliko hiljada sistema iskorišćena baš ta ranjivost. Na žalost, često se tek tada postavlja pitanje bezbednosti i ulaganja u nju. Do tog trenutka čini se kao da je bezbednost nešto što predstavlja trošak, kako finansijski, tako i u vremenu koje bi joj inženjeri posvetili.
COMING je prepoznao ovaj problem i zato je svoj security fokus, pored implementacije dobro poznatih preventivnih bezbednosnih rešenja, usmerio i ka pružanju usluge u vidu skeniranja ranjivosti i analize sistema.
Rapid7
Rapid7 je globalni lider u razvijanju rešenja za bezbednost informacija, skeniranje ranjivosti, penetration testiranje, testiranje bezbednosti aplikacija i u drugim oblastima povezanim sa sigurnošću. Svetski konsultantski giganti za oblast bezbednosti, poput firme Frost & Sullivan, prepoznali su Rapid7 kao vodećeg provajdera u analizi i automatizaciji bezbednosti. U 2018. godini Rapid7 je dobio nagrade za najbolju security kompaniju i najbolje anti-phising rešenje. InsightVM je 2017. godine nagrađen kao najinovativnije rešenje za skeniranje ranjivosti, a 2018. za najbolje na tržištu. Iz tih razloga COMING je odabrao upravo Rapid7 kao rešenje za analizu bezbednosti i skeniranje ranjivosti.
InsightVM
Odabrali smo da u ovom tekstu fokus stavimo na InsightVM, rešenje za skeniranje ranjivosti. Dve glavne komponente koje ga čine su Security Console i Scan Engine. Security Console je centralna konzola iz koje se vrše sva podešavanja. Na njoj se definišu uređaji koje želimo da skeniramo, bira se način skeniranja, zakazuje ili izvršava skeniranje, definišu polise, kreiraju izveštaji itd. Scan Engine je komponenta koja komunicira sa samim serverima i izvršava skeniranje. Ovo razdvajanje funkcija omogućava da InsightVM odlično radi u hibridnim arhitekturama.
Proces skeniranja počinje određivanjem aktivnih uređaja na mreži. Ovo otkrivanje uređaja može biti obezbeđeno slanjem ICMP, ARP, TCP i UDP paketa ili uz pomoć integracije sa vCentrom, što omogućava da InsightVM dinamički prati promene na virtuelnoj infrastrukturi. Kako bi se prikazala najpreciznija slika stanja IT sistema, preporuka je da Scan Engine ne bude ograničen firewall pravilima.
Nakon otkrivanja uređaja pokreće se skeniranje, kojim se detektuju verzije operativnih sistema i aktivni servisi. Za svaki od detektovanih softverskih paketa vrši se skeniranje ranjivosti definisanih u okviru polise koja najviše odgovara potrebama kompanije. Nakon završetka skeniranja, Scan Engine šalje podatke centralnoj konzoli.
Svi rezultati prikazuju se u okviru centralne konzole, koja uz pomoć custom dashboard-a i izveštaja pruža stvarnu sliku o stanju IT infrastrukture. CVSS scoring sistem omogućava prikaz jasnih rezultata, koji olakšavaju administratorima da spoznaju rizike svog sistema i odrede prioritete u rešavanju problema. Pomoću API funkcionalnosti administratori mogu lako da automatizuju celokupni rad InsightVM-a. Security Console i Scan Engine mogu se instalirati na Windows (Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016) ili Linux okruženju (Ubuntu, Red Hat Enterprice Linux Server, CentOS7). Memorija i storidž zavise od količine uređaja koji su predviđeni za skeniranje. Konkretno, za skeniranje do 5.000 uređaja za Security Console je potrebno 16 GB memorije i 1 TB storidža, a za Scan Engine 8 GB memorije i 100 GB storidža.
Kako vam COMING može pomoći da zaštitite svoje sisteme?
Odgovarajući tip arhitekture i usluge može se odabrati u zavisnosti od potreba same kompanije. Samim tim, korisniku je na raspolaganju da odabere on-premises appliance ili samo uslugu skeniranja. Appliance se preporučuje u sredinama gde je imperativ da podaci ne izlaze iz kompanije i gde administratori žele potpunu kontrolu nad intervalom i parametrima skeniranja.
COMING usluga skeniranja ranjivosti idealna je za kompanije koje nemaju dovoljno infrastrukturnih, inženjerskih ili finansijskih resursa na raspolaganju. U ovom slučaju predviđeno je da se svi podaci čuvaju na sigurnom mestu u COMING cloud-u, čime se obezbeđuje da podaci ne napuste Srbiju. U dogovoru sa korisnicima, njihovim inženjerima mogu se dati ograničena administratorska prava, a rezultati skeniranja mogu se automatski uklanjati sa sistema kako bi se osigurala maksimalna privatnost korisnika.
Jasna Miletić i Strahinja Soskić
COMING
0 komentara