بنابراین، اولین گام برای اطمینان از حفاظت سازمان، ایجاد یک برنامه مدیریت آسیب پذیری (به انگلیسی Vulnerability Management) است که شامل جستجو و فهرست نویسی تمامی دارایی های دیجیتال، ارزیابی سطح امنیتی زیرساخت شبکه و برنامه های کاربردی وب، ارتقا پیشنهادات برای رفع آسیب پذیری های کشف شده و در قدم آخر، بررسی و اجرای این پیشنهادات است.
ماهیت مدیریت آسیب پذیری
بدون شک کنترل آسیب پذیری ها ضروری و حیاتی است. کارشناسان بر این باورند که دو سوم برنامه های کاربردی وب حاوی آسیب پذیری های جدی هستند که به هکرها اجازه می دهد داده های محرمانه را سرقت کرده و عملکرد سیستم را کنترل کنند. سیستم ها و برنامه های کاربردی شرکت ها باید بطور مستمر بروزرسانی و آپدیت شوند تا باگ ها و مشکلات آن ها برطرف گردند، اما ممکن است برخی از آسیب پذیری ها نادیده گرفته شوند که این موضوع موجب تداوم این مشکلات در هر نسخه می شود و فرصتی مناسب را برای مهاجمین فراهم می کنند، مانند آسیب پذیری های BlueKeep و DejaBlue.
نقاط ضعف تقریباً در هر قسمت از زیرساخت یافت می شود، بنابراین موارد مختلفی باید توسط مدیریت آسیب پذیری پوشش داده شوند:
- فرآیندها (به عنوان مثال، برخی از برنامه های در حال اجرا در شبکه ممکن است دارای رابط های متصل به هم باشند)
- برنامه های کاربردی وب (پرتال های سازمانی، ارتباط با مشتری و ..)
- زیرساخت شبکه (شبکه های محلی)
- توزیع نرم افزار
امروزه می توان برای پیاده سازی مدیریت آسیب پذیری از چندین گزینه استفاده نمود. وندورهای مخابراتی ممکن است طیف وسیعی از خدمات )از جمله تهیه گزارش ها، اسکنرهای آسیبپذیری، سیستم های نظارتی و غیره( را ارائه دهند و امکان قرار دادن آن ها را در فضای ابری یا زیرساخت فناوری اطلاعات سازمان فراهم سازند.
پیاده سازی سیستم در زیرساخت IT و ابر
بطور کلی برای استقرار و پیاده سازی اسکنرهای آسیبپذیری، دو راه وجود دارد:
1. در زیر ساخت فناوری اطلاعات سازمان
2. در فضای ابری سازمان
راه اول، کنترل کامل دسترسی (به سخت افزار و نرم افزار) و عدم نیاز به اشخاص ثالث را تضمین می کند. اما سازمان باید خود، اسکنر و لایسنس های مربوطه را خریداری نماید و برای آموزش افراد، توسعه و نگهداری اسکنر و شخصی که به عنوان تحلیلگر نتایج اسکنر در سازمان فعالیت می کند، هزینه پرداخت کند.
در مقابل، با استقرار و پیاده سازی اسکنر در فضای ابری، نیازی به صرف منابع زیاد جهت توسعه و نگهداری از آن وجود نخواهد داشت. همچنین این راه به دلیل مجازی سازی، تعادل بار و مزایای بسیاری که به همراه دارد، تحمل خطای بالایی را ارائه می دهد. اما، وجود یک ارائه دهنده بیرون از سازمان ممکن است با خطراتی همراه باشد. بنابراین، انتخاب یک شریک قابل اعتماد و مطمئن از اهمیت بالایی برخوردار است.
آیا اسکنر به عامل (Agent) نیاز دارد؟
بطور کلی، دو مکانیزم اساسی برای اسکنرها وجود دارد:
1. عاملی
2. بدون عامل
در نظر داشته باشید که هر دو مورد با استقرار و پیاده سازی در فضای ابری یا در زیرساخت فناوری اطلاعات مرتبط هستند.
عامل ها (Agents) به عنوان یک سرویس یا نرم افزار روی نقاط پایانی اسکن (هاست ها) میزبانی می شوند. آنها اطلاعات مربوط به این هاست ها را جمع آوری می کنند و به طور مرتب اطلاعات را به اسکنر اصلی ارسال می کنند. این رویکرد به سازمان امکان میدهد تا روی دستگاههایی که خارج از محیط شبکه قرار دارند، نظارت کنند (مانند لپتاپهای کارمندانی که از خانه کار میکنند). با این حال، دریافت اطلاعات در مورد نتایج اسکن تنها زمانی امکانپذیر است که دستگاه به اینترنت متصل باشد. علاوه بر این، نصب ایجنت ها بر روی لپ تاپ هایی که در شبکه نیستند (مانند کارمندانی که بصورت ریموتی کار می کنند) یک چالش محسوب می شود.
از طرفی، برخی از عوامل ممکن است با سیستم عامل های خاصی سازگار نباشند. در یک سازمان ممکن است کامپیوترهایی وجود داشته باشد که از یک سیستم عامل تخصصی کار کنند.
اسکنر بدون عامل به سازمان این امکان را میدهد تا داراییهای هاست لوکال و زیرساخت های IT را بدون الزامات سازگاری، بررسی کنند. در نتیجه، هزینه های اضافی برای استقرار یک شبکه عامل، پشتیبانی و خرید لایسنس به سازمان تحمیل نمی شود. اما با این حال، این فناوری مستلزم آن است که تمامی وارد اسکن شده با خود اسکنر در ارتباط باشند.
اسکنرها و مدیریت آسیب پذیری
امروزه، بازار امنیت اطلاعات می تواند ابزارهای زیادی را در رابطه با مدیریت آسیب پذیری ارائه دهد. با این حال، برخی از وندورها و ارائه دهندگان سرویس های امنیتی، تعریف متفاوتی از این سرویس ارائه می کنند. آنها به عنوان مدیریت آسیب پذیری، سرویس هایی مانند:
- نرم افزاری برای self-scanning
- خدمات جامع امنیت اطلاعات که شامل مدیریت آسیب پذیری می شود
- خدمات مدیریت آسیب پذیری
هنگامی که یک سازمان نرم افزار self-scanning را خریداری می کند، در واقع اقدام به خریداری نوعی ابزار سلف سرویس می نماید. این مورد شرکت را متحمل هزینه هایی می کند که عبارتند از:
- هنگام پیاده سازی اسکنرهای آسیبپذیری در زیرساخت، باید هزینه هایی صرف خرید، نصب، پشتیبانی تجهیزات و لایسنس ها شود. از طرفی می بایست به متخصصان و کارشناسان امنیت IT حقوق پرداخت شود.
- هنگام پیاده سازی اسکنرهای آسیبپذیری در فضای ابری، هزینه نگهداری و لایسنس ها را باید در نظر داشت.
گزینه دیگری که سازمان ها می توانند از آن بهره مند شوند، ارائه مدیریت آسیب پذیری به عنوان بخشی از راه حل جامع امنیت سایبری است که معمولاً ارزان تر از راه حل های سلف سرویس می باشد. از سوی دیگر، عملکرد مدیریت آسیب پذیری در چنین راه حل های پیچیده معمولاً به شدت کاهش می یابد.
برای مثال، اغلب میتوانید پیشنهاد پیچیدهای مانند ممیزی امنیت اطلاعات را پیدا کنید، که در آن مدیریت آسیبپذیری گنجانده شده است. اما ممیزی، فعالیتی یکباره است و نمی تواند کاربرد چندانی به ارمغان آورد. در مقابل، اثربخش بودن اسکنینگ تنها از طریق انجام دادن آن بطور منظم و مستمر حاصل می شود چون در غیر این صورت، امکان مانیتورینگ آسیب پذیری های نوظهور و ایجاد استراتژی برای حذف آنها تقریباً غیرممکن است.
بنابراین هنگام انتخاب چنین خدماتی، درک ترکیب کامل آنها، مشکلاتی که قادر هستند حل کنند و تطابق آن ها با نیازهای شرکت ضروری و حائز اهمیت است.
آخرین گزینه ای که سازمان ها در اختیار دارند، سرویس مدیریت آسیب پذیری است. در این مورد، اسکنر در فضای ابری ارائه دهنده خدمات، قرار می گیرد. این امر، علاوه بر فراهم نمودن بستری مناسب جهت تعمیر و نگهداری، امکان پردازش و تجزیه و تحلیل داده های جمع آوری شده را برای کارشناسان فراهم می نماید.
اگر یک ارائهدهنده خدمات، سرویس باکیفیتی را ارائه دهد، این رویکرد به دلایل متعددی از بهره وری بالایی برخوردار خواهد بود و برای شرکت سودآوری مناسبی را به ارمغان خواهد آورد:
1. با پرداخت هزینه کمتر، فناوری بهتری را می توان دریافت نمود.
2. کارشناسان شرکت ارائه دهنده خدمات به نقاط آسیب پذیر پایگاه داده در مقیاس بزرگ و بصورت up-to-date دسترسی دارند.
3. این سرویس نسبت به نرمافزارهای اختصاصی انعطافپذیرتر است، زیرا میتوان هاست های جدید را بدون کانفیگ مجدد نرمافزار و یا خرید لایسنس های اضافی به آن متصل نمود.
4. اگر سازمانی بخواهد برخلاف این موضوع عمل کند و خود تمامی کارها را انجام دهد، در این صورت تجزیه و تحلیل نتایج بدست آمده را بر دوش یک کارشناس امنیتی خواهد انداخت که وظایف خاص خود را نیز دارد. پس فشار کاری زیادی بر روی دوش او خواهد بود. اما یک شرکت ارائه دهنده خدمات با ارائه سریع گزارش و کوتاه نمودن زمان تهیه آن، به سازمان این امکان را می دهد تا از زمان استفاده بهتری ببرد و چنین کارهای زمان بری را برون سپاری کند.
اسکنرها چگونه آسیب پذیری ها را شناسایی می کنند؟
برای داشتن بانکی از آسیبپذیریها، میتوان از پایگاههای داده مختلف (مانند CVE) استفاده نمود. اغلب وندورها مشخصات منطقه ای موارد اسکن شده را در نظر نمی گیرند. در نتیجه، آنها عملاً هیچ اطلاعاتی در مورد آسیب پذیری های نرم افزاری که مثلاً توسط شرکت های چینی ایجاد شده است، نخواهند داشت. برعکس، وندورهای منطقه ای، با دسترسی به پایگاه های داده، تمام ویژگی های نرم افزار مورد استفاده در منطقه را در نظر می گیرند.
البته باید این موضوع را در نظر داشت که اسکنر قادر است از پایگاه های داده لوکال و بین المللی به طور همزمان استفاده کند، اما همگام سازی دائمی با منابع متنوع کار بسیار دشواری است. سازمان های رگولاتوری کشورهای مختلف می بایست بر سر موضوعات مختلفی با یکدیگر به توافق برسند، منابع مختلف را از لحاظ فنی با یکدیگر سازگار کنند و برای به روز نگه داشتن بسیاری از پایگاه های داده، بودجه ای را تعیین کنند. پس می توان نتیجه گرفت که برای یک وندور راحتتر و سودآورتر است که فقط در یک منطقه خاص یا در سطح جهانی فعالیت کند.
نتیجه گیری
همانطور که گفته شد، گزینه های زیادی برای پیاده سازی مدیریت آسیب پذیری وجود دارد. سازمان می بایست عوامل متعددی را از قبیل: زیرساخت فناوری اطلاعات، ویژگی های منطقه ای، بودجه، تعداد هاست های ریموتی، در دسترس بودن کارشناسان برای نگهداری و تعمیر اسکنر را مد نظر قرار دهند تا فرآیندهای امنیت اطلاعات به شکل درستی انجام شوند.