Προσέγγιση με βάση την πραγματική διάσταση του κινδύνου για τον οργανισμό

Οι τεχνικές ευπάθειες (vulnerabilities, κενά ασφάλειας) που άπτονται της ασφάλειας των ψηφιακών υποδομών και κατ’ επέκταση των πληροφοριών που επεξεργάζονται αφορούν στα τεχνικά κενά ασφάλειας ή/και σε ένα σύνολο παραγόντων και συνθηκών που δυνητικά θα μπορούσε να εκμεταλλευτεί ένας κακόβουλος επιτιθέμενος  (χάκερ, κρατικές υπηρεσίες, δυσαρεστημένος υπάλληλος), με σκοπό να πλήξει το υφιστάμενο επίπεδο ασφάλειας για ίδιο όφελος.

 

Νότης Ηλιόπουλος

MSc InfoSec, MSc MBIT, CISA, CISM, ISO27k LA

Information Security & Compliance Officer

MR HealthTech Ltd.

 

Αποβλέποντας στην ελαχιστοποίηση του κινδύνου από κυβερνοεπιθέσεις, οι οργανισμοί επιζητούν αποτελεσματικούς τρόπους ώστε να μειώσουν τον αριθμό των τεχνικών ευπαθειών στις οποίες βρίσκονται εκτεθειμένοι και τις οποίες θα μπορούσαν ενδεχομένως να εκμεταλλευτούν οι πιθανοί επιτιθέμενοι. Η εξάλειψη ή έστω η μείωση των τεχνικών ευπαθειών συνεπάγεται και αντίστοιχη μείωση του εύρους της έκθεσης του οργανισμού σε κυβερνοεπιθέσεις. Η αποτελεσματική διαχείρισή τους αποτελεί σε κάθε περίπτωση ένα από τα κύρια συστατικά της ενίσχυσης της ανθεκτικότητας ενός οργανισμού έναντι των πιθανών κυβερνοεπιθέσεων.

Ιδανικά, απώτερο στόχο θα μπορούσε να αποτελεί η πλήρης εξάλειψη κάθε νοητής τεχνικής αδυναμίας που εμφανίζει ένας οργανισμός. Ωστόσο, στην πραγματικότητα κάτι τέτοιο δεν είναι εφικτό, δεδομένου ότι η υλοποίηση όλων των απαραίτητων διορθωτικών ενεργειών απαιτεί πληθώρα διαθέσιμων προς τούτο πόρων και χρόνου, αλλά και του γεγονότος ότι νέες τεχνικές αδυναμίες ασφάλειας κάνουν την εμφάνισή τους και μάλιστα με αμείωτο ρυθμό. Συνεπεία αυτού, επί της ουσίας το ζητούμενο για τον κάθε οργανισμό είναι η αποτελεσματική διαχείριση των εκάστοτε υφιστάμενων τεχνικών αδυναμιών και η κατά το δυνατόν ταχύτερη και αποτελεσματικότερη υλοποίηση και εφαρμογή των διορθωτικών εκείνων ενεργειών που σχετίζονται με τις ευπάθειες, οι οποίες εγκυμονούν τους μεγαλύτερους κινδύνους  για την ασφάλεια των πληροφοριών και των ψηφιακών υποδομών του. Ταυτόχρονα, βασική παράμετρο της προσπάθειας αυτή αποτελεί ο στόχος του αποκλεισμού της πιθανότητας επανεμφάνισης των ήδη γνωστών ευπαθειών και ο κατά το δυνατόν μεγαλύτερος περιορισμός των αρνητικών επιπτώσεων που μπορούν να επέλθουν από μια πιθανή κακόβουλη εκμετάλλευσή τους.

Η διαχείριση των τεχνικών ευπαθειών ασφάλειας είναι, σε κάθε περίπτωση, μια συνεχόμενη διαδικασία, η οποία αποτελεί σημαντικό συστατικό των μέτρων ασφάλειας πληροφοριών ενός που λαμβάνει και εφαρμόζει ένας οργανισμός. Ως εκ τούτου, είναι απαραίτητο να διαμορφώνεται κατά τρόπο ώστε να εντάσσεται σε μια διατμηματική διεργασία εντός του οργανισμού με βασικούς σκοπούς α) τον έγκαιρο εντοπισμό των τεχνικών ευπαθειών που αφορούν στη ψηφιακή υποδομή, β) την υλοποίηση των κατάλληλων διορθωτικών ενεργειών προκειμένου είτε να πάψουν να υφίστανται οι ευπάθειες, είτε να μειωθεί η αρνητική τους επίπτωση και γ) την παρακολούθηση, τεκμηρίωση και αξιολόγηση της εν λόγω διεργασίας με σκοπό τη γνωστοποίηση των αποτελεσμάτων στα εμπλεκόμενα πρόσωπα , και τη μέτρηση της αποτελεσματικότητάς της.

Αλλαγή στον τρόπο προσέγγισης

Σύμφωνα με έρευνα που πραγματοποιήθηκε από τα εργαστήρια ψηφιακής ασφάλειας IBM X-Force, το διάστημα εντός του οποίου μία νέα ευπάθεια αναμένεται να γίνει αντικείμενο εκμετάλλευσης κυμαίνεται μεταξύ δύο εβδομάδων και τριών μηνών από την ημερομηνία ανακοίνωσής  της. Στατιστικά, θεωρείται απίθανο να υπάρξει προσπάθεια εκμετάλλευσης μια νέας αδυναμίας πέραν αυτού του διαστήματος. Επομένως, οι παλαιότερες ευπάθειες δεν αποτελούν προτεραιότητα κατά τη διαδικασία εφαρμογής των διορθωτικών ενεργειών και ιδιαίτερα κατά τη διαδικασία του εγκατάστασης διορθωτικού λογισμικού (patching). Στατιστικά στοιχεία από παρόμοιες έρευνες καταλήγουν στο ίδιο συμπέρασμα, στόχο, επομένως, ενός οργανισμού δεν πρέπει να αποτελεί η επιδιόρθωση των περισσοτέρων από τις ευπάθειες που τον αφορούν, αλλά ο εντοπισμός και η αντιμετώπιση εκείνων των ευπαθειών  που έχουν μεγαλύτερη πιθανότητα να γίνουν αντικείμενο εκμετάλλευσης από τους κακόβουλους χρήστες. Είναι προφανές ότι πρόκειται για διαδικασία η οποία ενέχει μεγάλο βαθμό πολυπλοκότητας, μιας και είναι αναγκαίο, να εντοπιστούν κατ’ αρχάς οι συγκεκριμένες αυτές ευπάθειες οι οποίες είναι πιθανό να γίνουν αντικείμενο εκμετάλλευσης και στη συνέχεια να προσδιορισθεί ο κίνδυνος που συνδέεται με την πιθανή εκμετάλλευσή τους.

Βάσει των ανωτέρω, κρίνεται αναγκαία η αλλαγή του παραδοσιακού μοντέλου αντιμετώπισης των ευπαθειών, σύμφωνα με το οποίο οι οργανισμοί επιδίδονται σε μία διαρκή πάλη με τον χρόνο αλλά και με τους συνεργάτες τους εντός του οργανισμού, προκειμένου να κάνουν χρήση εργαλείων αυτοματοποιημένου -και κατά το δυνατόν τακτικού- ελέγχου ευπαθειών και ταυτόχρονα να εγκαταστήσουν  λογισμικό τύπου «patches και fixes» για ν’ αντιμετωπίσουν τις περισσότερες, εάν όχι όλες, τις ευπάθειες που τους αφορούν. Η νέα προσέγγιση βασίζεται στη προτεραιοποίηση των απαιτούμενων διορθωτικών ενεργειών με γνώμονα τον αντικειμενικό κίνδυνο που ελλοχεύει από την εκμετάλλευση της κάθε ευπάθειας. Για να γίνει αυτό, απαιτείται να εμπλουτιστεί η όλη διεργασία με περισσότερα στοιχεία, όπως είναι οι διαφορετικές πηγές και οι τρόποι εντοπισμού των τεχνικών ευπαθειών, η αξιολόγηση της πιθανότητας εκμετάλλευσης της κάθε ευπάθειας σε σχέση με την αποτελεσματικότητα των υφιστάμενων δικλείδων ασφάλειας, ο συντονισμός και η συνεργασία μεταξύ των διαφορετικών οργανωτικών δομών, καθώς και η συλλογή και ανάλυση σχετικών πληροφοριών τύπου cyber threat intelligence.

Το συστατικό που συμβάλλει όμως αποφασιστικά στη μεγιστοποίηση της αποτελεσματικότητας αναφορικά με τη διαχείριση των τεχνικών ευπαθειών ασφάλειας πληροφοριών είναι η αλλαγή νοοτροπίας των επαγγελματιών της ασφάλειας πληροφοριών. Δεν πρέπει να παραγνωρίζεται η σημασία που έχει η λειτουργία της διαδικασίας με γνώμονα τον κίνδυνο που μπορεί να επέλθει από την εκμετάλλευσης μιας ευπάθειας, έτσι ώστε να προτεραιοποιούνται οι διορθωτικές ενέργειες που απαιτούνται για τη μείωση του  κινδύνου αυτού και όχι να καταναλώνονται οι πόροι του οργανισμού προκειμένου να εγκατασταθούν όσο το δυνατόν περισσότερες ενημερώσεις λογισμικού (patches). Μείωση του κινδύνου σημαίνει εφαρμογή των κατάλληλων δικλείδων ασφάλειας, πέραν του λογισμικού που διορθώνει την εκάστοτε ευπάθεια, ώστε αφενός να μειωθεί ο κίνδυνος εκμετάλλευσής της και αφετέρου να περιοριστεί η όποια αρνητική επίπτωση στην ασφάλεια των δεδομένων του οργανισμού σε περίπτωση που πράγματι επέλθει ο κίνδυνος .

Σύμφωνα με τα στατιστικά στοιχεία που προκύπτουν από σχετική έρευνα της Gartner, σε διάστημα ενός έτους μόνο μία στις οκτώ ευπάθειες αποτέλεσε αντικείμενο εκμετάλλευσης. Παρά το γεγονός ότι τα τελευταία τρία χρόνια βιώνουμε  δραματική αύξηση των τεχνικών ευπαθειών ασφάλειας, μόνο ένα μικρό ποσοστό εξ αυτών αποτέλεσε αντικείμενο εκμετάλλευσης. Επιπρόσθετα, παρατηρείται ότι οι περισσότερες προσπάθειες εκμετάλλευσης (επιτυχημένες ή όχι) αξιοποιούν το ίδιο σύνολο ευπαθειών. Είναι προφανές ότι απαιτείται η περαιτέρω ανάλυση των δεδομένων, προκειμένου να αναγνωριστεί ο πραγματικός κίνδυνος που αντιστοιχεί στην κάθε ευπάθεια ώστε αυτή να συμπεριληφθεί στη λίστα προτεραιοτήτων ενός οργανισμού.

Η αντιμετώπιση των ευπαθειών συχνά πραγματοποιείται κυρίως, με την εγκατάσταση ενημερώσεων λογισμικού (patches) και δευτερευόντως με την εφαρμογή συμπληρωματικών τεχνικών μέτρων ή/και τη διαμόρφωση ή τροποποίηση διαχειριστικών μέτρων. Στην πρώτη περίπτωση, απαιτείται μία σύντομη διακοπή της λειτουργίας των συστημάτων, ενώ  στη δεύτερη απαιτείται αλλαγή του γενικότερου τρόπου εργασίας. Η κατανόηση του επικείμενου κινδύνου από τους εμπλεκόμενους καθιστά οπωσδήποτε πιο εύκολη την αποδοχή και την υλοποίηση των απαιτήσεων για τον περιορισμό  του κινδύνου.

Μία ακόμα σημαντική παράμετρο αναφορικά με τον προσδιορισμό του αντικειμενικού κινδύνου, αποτελεί  η αξιολόγηση  της πιθανότητας εκμετάλλευσης της ευπάθειας, έναντι της επίπτωσης σε περίπτωση που αυτή πράγματι επιτύχει. Η εν λόγω διάσταση αποτιμάται κατά κανόνα  από τα αυτοματοποιημένα εργαλεία ανίχνευσης ευπαθειών και από τους διάφορους εξειδικευμένους οργανισμούς που παρέχουν πληροφόρηση αναφορικά με αναγνωρισμένες ευπάθειες. Ο πραγματικός κίνδυνος για έναν οργανισμό προκύπτει αφού ληφθούν υπ’ όψιν και οι δύο αυτές συνιστώσες (πιθανότητα εκμετάλλευσης και επίπτωση για τον οργανισμό μετά από επιτυχημένη εκμετάλλευση). Η διαμόρφωση των συνιστωσών αυτών προκύπτει τόσο από την κρισιμότητα των πληροφοριών που επηρεάζονται, όσο και από την αποτελεσματικότητα των υφιστάμενων μέτρων προστασίας τα οποία δρουν είτε προληπτικά είτε έχουν ως σκοπό να περιορίσουν την αρνητική επίπτωση σε περίπτωση επιτυχίας της επίθεσης.

Σημαντική, επίσης παράμετρο για τον υπολογισμό του κινδύνου αποτελεί  η κατανόηση πληροφοριών που σχετίζονται με το ευρύτερο οικοσύστημα που επηρεάζει και επηρεάζεται από με την κάθε ευπάθεια όπως α) η ανάπτυξη αυτοματοποιημένων εργαλείων εκμετάλλευσης της ευπάθειας τα οποία διατίθενται στο διαδίκτυο ή στο σκοτεινό διαδίκτυο, β) η αυξημένη δραστηριότητα εκμετάλλευσης της ευπάθειας σε παγκόσμιο επίπεδο, γ) οι σχετικές «συζητήσεις» που φαίνονται να λαμβάνουν χώρα σε διάφορά φανερά ή σκοτεινά fora. Όλα τα παραπάνω,  αποτελούν χρήσιμες πληροφορίες οι οποίες θα βοηθήσουν στον προσδιορισμό του πραγματικού επιπέδου επικινδυνότητας.

Συμπερασματικά, όσον αφορά στην αξιολόγηση του επίπεδου επικινδυνότητας των τεχνικών ευπαθειών,  απαιτείται να συνυπολογίζονται οι ακόλουθες παράμετροι:  α) ο βαθμός χρησιμότητας της ευπάθειας για τους επίδοξους εισβολείς, ποιο είναι δηλ. το πιθανό όφελος που μπορεί να προκύψει για αυτούς σε περίπτωση επιτυχίας της επίθεσης,  , β) η διαθεσιμότητα εργαλείου ή κώδικα λογισμικού που βοηθά στην άμεση εκμετάλλευση της ευπάθειας, γ) το εύρος διάδοσης της ευπάθειας, δ) η πληροφόρηση σχετικά με διαπιστωμένες περιπτώσεις ενεργούς εκμετάλλευσης της ευπάθειας και των επιχειρηματικών κλάδων που έχουν πληγεί συναφώς,  ε) το επίπεδο κινδύνου το οποίο είναι διατεθειμένος ν’ ανεχθεί ο οργανισμός βάσει της μεθοδολογίας διαχείρισης κινδύνων που διαθέτει.

Αποτελεσματική εφαρμογή στο επιχειρηματικό περιβάλλον

Η ταχύτητα με την οποία οι επίδοξοι εισβολείς εκμεταλλεύονται τις νέες ευπάθειες έχει αυξηθεί και βαίνει συνεχώς αυξανόμενη. Σύμφωνα με την Gartner, ο μέσος χρόνος που απαιτείται μεταξύ της αναγνώρισης μιας ευπάθειας και της εμφάνισης ενός εργαλείου ή κώδικα λογισμικού που βοηθά στην εκμετάλλευση της ευπάθειας είναι δεκαπέντε μέρες, χρονικό διάστημα κατά πολύ μειωμένο σε σχέση με τα προ δεκαετίας ισχύοντα, όταν το αντίστοιχο χρονικό διάστημα κυμαινόταν στις σαράντα πέντε μέρες. Αυτό, πρακτικά, σημαίνει  ότι οι επαγγελματίες της ασφάλειας πληροφοριών διαθέτουν ένα χρονικό περιθώριο περίπου δύο εβδομάδων προκειμένου να εφαρμόσουν τις κατάλληλες διορθωτικές ενέργειες σχετικά με την κάθε νέα εμφανιζόμενη ευπάθεια. Στην περίπτωση που αυτό δε καταστεί εφικτό, τότε είναι αναγκαίο να διαμορφωθεί συγκεκριμένο σχέδιο περιορισμού της αρνητικής επίπτωσης από την εκμετάλλευση της ευπάθειας. Οι οργανισμοί θα πρέπει, ως εκ τούτου, να διαθέτουν συγκεκριμένη και τεκμηριωμένη διεργασία, η οποία θα εφαρμόζεται και θα βοηθά τους εμπλεκόμενους να επικεντρώνονται στις ευπάθειες οι οποίες ικανοποιούν, αρχικά, δύο συνθήκες, ήτοι α) οι ευπάθειες αφορούν στο περιβάλλον του οργανισμού και β) υπάρχουν διαπιστωμένες περιπτώσεις ενεργούς εκμετάλλευσης της ευπάθειας. Στη συνέχεια, η προτεραιοποίηση θα προσδιορισθεί ανάλογα με το επίπεδο επικινδυνότητας της κάθε αδυναμίας.

Ως γνωστόν, η αρχή είναι το ήμισυ του παντός, εν προκειμένω όμως η αρχή επηρεάζει πάρα πολύ, και μάλιστα σε ποσοστό άνω του  50% την αποτελεσματικότητα της εν λόγω διεργασίας.  Ως εκ τούτου, είναι εξαιρετικά σημαντική, σε ένα πρώτο επίπεδο, η κατανόηση του υφιστάμενου λειτουργικού περιβάλλοντος και η πλήρης και επικαιροποιημένη καταγραφή του υλικού και του λογισμικού, συμπεριλαμβανομένων των τρεχουσών εκδόσεων και των εγκατεστημένων ενημερώσεων κώδικα (patches). Εξίσου σημαντική είναι η ύπαρξη προτύπων και κανόνων  ασφαλούς εγκατάστασης και παραμετροποίησης του υλικού και του λογισμικού, έτσι ώστε να αποτρέπεται  η δημιουργία περιττών ευπαθειών.

Στη συνέχεια, αποφασιστικής σημασίας είναι η αξιολόγηση του υφιστάμενου περιβάλλοντος σχετικά με νέες τεχνικές ευπάθειες, καθώς και ο εντοπισμός παλαιότερων  που εξακολουθούν  να υφίστανται. Η αποτελεσματική προσέγγιση κατά τη διαχείριση των ευπαθειών και των διαρκώς αυξανόμενων σύγχρονων απειλών στον κυβερνοχώρο  , απαιτεί  σύγχρονα εργαλεία και τεχνικές. Τα παραδοσιακά εργαλεία αυτοματοποιημένου ελέγχου τεχνικών αδυναμιών δεν αρκούν, με αποτέλεσμα η εργαλειοθήκη του  κάθε οργανισμού να πρέπει να εμπλουτίζεται με/ή να είναι σε θέση να κάνει χρήση , με τη μορφή υπηρεσίας, των αποτελεσμάτων  που προκύπτουν από τη χρήση εργαλείων αναγνώρισης ευπαθειών σ’ εφαρμογές, από ασκήσεις δοκιμών παρείσδυσης, από εργαλεία cyber threat intelligence, από βάσεις δεδομένων που δημοσιεύουν νέες ευπάθειες, καθώς και από στοχευμένη πληροφόρηση από τους προμηθευτές υλικού και λογισμικού.

Ακολούθως, απαιτείται αξιολόγηση των πληροφοριών που έχουν συλλεχθεί και η  κατάρτιση συγκεκριμένου πλάνου ενεργειών με γνώμονα τον κίνδυνο τον οποίο διατρέχει ο οργανισμός από τις ευπάθειες στις οποίες βρίσκεται εκτεθειμένος. Οι προτεραιότητες τίθενται με βάση τον κίνδυνο, λαμβανομένων υπόψη όλων των σχετικών παραμέτρων αναφορικά με τη συγκεκριμένη προσέγγιση, όπως ανωτέρω αναλύθηκε.

Με βάση τη λίστα προτεραιοτήτων ακολουθεί η αποκατάσταση της ευπάθειας ή ο περιορισμός της αρνητικής επίπτωσης σε περίπτωση που πράγματι έλαβε χώρα επιτυχής εκμετάλλευσή της. Σε κάθε περίπτωση, πρέπει να αποτιμάται ο κίνδυνος που εξακολουθεί να υφίσταται  και όπου δεν είναι εφικτή κάποια επαρκής διορθωτική ενέργεια να υπάρχει αποδοχή του κινδύνου από τον αρμόδιο ρόλο κατ’ αντιστοιχία με το  επίπεδο  επικινδυνότητας.

Το προτελευταίο στάδιο της διεργασίας αφορά στην επαναξιολόγηση του υφιστάμενου περιβάλλοντος προκειμένου να διαπιστωθεί η υλοποίηση των διορθωτικών ενεργειών. Η επαναξιολόγηση (όπως και η αρχική αξιολόγηση) θα πρέπει να γίνεται βάσει προκαθορισμένου χρονοδιαγράμματος και κατά το δυνατόν νωρίτερα από τον επόμενο κύκλο αξιολόγησης. Όσον αφορά τις πλέον κρίσιμες ευπάθειες, η επαναξιολόγησή τους  πρέπει να γίνεται ακριβώς κατά το χρονικό σημείο στο οποίο έχει προγραμματιστεί η  η υλοποίηση της διορθωτικής ενέργειας, ενώ η πρόοδος της εν λόγω υλοποίησης πρέπει να ελέγχεται.

Η πληρότητα και η αποτελεσματικότητα της διεργασίας για τη διαχείριση των τεχνικών  ευπαθειών είναι αναγκαίο να αξιολογείται. Η αξιολόγηση θα πρέπει αρχικά να επικεντρωθεί στο κατά πόσο η διεργασία είναι πλήρης και έχει ενσωματώσει όλα τα ήδη ανωτέρω αναφερθέντα στοιχεία  και στο κατά πόσο έχει τηρηθεί ο χρονοπρογραμματισμός που αφορά στις προγραμματισθείσες διορθωτικές ενέργειες.

Η αποτελεσματικότητα της διεργασίας για τη διαχείριση των τεχνικών ευπαθειών εξαρτάται σε μεγάλο βαθμό και από το επίπεδο συνεργασίας και επικοινωνίας των εμπλεκόμενων προσώπων . Η εκτίμηση όλων των παραγόντων που απαιτείται να συνυπολογιστούν δημιουργούν την ανάγκη σύστασης διατμηματικής ομάδας εντός του οργανισμού, η οποία και θα είναι επιφορτισμένη με το εν λόγω εγχείρημα και θα συντονίζει την υλοποίηση και την εφαρμογή της διεργασίας. Απαραίτητη, στο πλαίσιο αυτό είναι η τεχνική εξειδίκευση των συμμετεχόντων στην εν λόγω ομάδα, όσο και η αλληλεπίδραση  με άλλες σημαντικές διεργασίες όπως αυτές της διαχείρισης των ψηφιακών πόρων (ICT asset management), της διαχείρισης των αλλαγών στη ψηφιακή υποδομή (change management) και της διαχείρισης των ενημερώσεων λογισμικού (patch management). Επίσης κομβικής σημασίας είναι η αποτελεσματική συνεργασία και επικοινωνία των επαγγελματιών που είναι επιφορτισμένοι με τη διαχείριση της ασφάλειας πληροφοριών του οργανισμού, με τους συναδέλφους τους οι οποίοι καλούνται να εφαρμόσουν τις διορθωτικές ενέργειες. Η διάκριση ρόλων και αρμοδιοτήτων κατά την εν λόγώ διεργασία κρίνεται απολύτως αναγκαία.

Συμπερασματικά

Η διαχείριση των τεχνικών ευπαθειών που αφορούν στην ασφάλεια πληροφοριών και ψηφιακών υποδομών αποτελεί βασικό και αναπόσπαστο μέρος της προσπάθειας επίτευξης του επιθυμητού επιπέδου ασφάλειας και ανθεκτικότητας ενός οργανισμού έναντι επιθέσεων που στοχεύουν στην ψηφιακή του υποδομή. Η αποτελεσματικότητά της είναι άρρηκτα συνυφασμένη με τη δημιουργία μιας συνεχούς διεργασίας η οποία βασίζεται στην εκάστοτε πραγματική διάσταση του κινδύνου που συνιστούν για τον οργανισμό οι εκάστοτε ευπάθειες και στην προσπάθεια ελαχιστοποίησής του μέσω  των ενδεδειγμένων διορθωτικών ενεργειών.