Atunci când vorbim despre securitate cibernetică, vorbim despre o serie de procese specifice şi clar delimitate, acestea adresând principalele probleme ce pot să apară la nivelul unui sistem informatic – plecând de la structura lui şi modul de funcţionare. Vă prezentăm în continuare o descriere punctuală a ce presupune implementarea proceselor de bază de securitate cibernetică – managementul asset-urilor, managementul vulnerabilităților și cel al log-urilor.
Asset Management
Managementul asset-urilor constituie un proces de inventariere, plecând de la ideea că nu poţi proteja ceva ce nu ştii că ai – concret, pentru a începe efectiv securizarea reţelei informatice, este obligatoriu ca în primă instanţă să ştim ce elemente cuprinde aceasta. Atunci când vorbim despe asset-uri ne referim atat la elementele hardware, cât şi la cele software care compun structura informatică în ansambul ei, dar şi la conturile de acces.
Inventarierea pe zona de hardware – evidenţa fiecărui device, parte componentă a ansamblui informatic, cu aspectele relevante specifice precum ce reprezintă, adresa virtuală (IP-ul), adresa fizică, date logistice (cui îi aparţine), data achiziţionării, data expirării garanţiei etc.
Inventarierea pe zona de software – configuraţia firmware-urilor care rulează pe fiecare device, versiunea existentă (un element foarte important întrucât fiecare versiune vine cu o serie de vulnerabilităţi specifice), cine are acces la respectivul device şi de ce are acces (referindu-ne aici la rolul oferit – utilizator, administrator – care implică capacitatea de a interveni cu schimbări sau nu asupra sistemului).
Inventarierea conturilor – răspunde practic la „Cine la ce are acces şi de ce?”, constituind o evidenţă a tuturor conturilor din respectiva companie. Importanţa acestei inventarieri este evidentă mai ales în cazul fluxului de personal la nivelul firmei, cu referire aici la conturile create şi drepturile de acces oferite (provizionare) pentru noii angajaţi şi ce se întâmplă cu acestea atunci când intervin modificări de ordin profesional precum:
• schimbarea funcţiei în cadrul companiei – unde vorbim despre apariţia unor posibile modificări la nivel de acces oferit la diverse resurse, diferit în funcţie de funcţie/specificul activităţii etc.
• încheierea activităţii în companie.
În practică, există foarte multe situaţii în care conturilor foştilor angajaţi rămân active după încetarea activităţii acestora în cadrul companiei, la nivelul reţelei ajungându-se uneori să se strângă chiar mii de conturi. Această lipsă a deprovizionării (retragerea drepturilor de acces pentru utilizatori) duce la încărcarea serverelor cu impact direct asupra funcţionalităţii sistemului precum și la riscuri de accesare neautorizată.
Vulnerability Management
Managementul vulnerabilităţilor vizează în special zona software, în contextul în care presiunea de a aduce în piaţă un software scapă din vedere anumite elemente de securitate ale respectivului soft. Vulnerability Management presupune realizarea unei scanări din interior a fiecărui asset pe care rulează un soft, pentru determinarea datelor expuse şi a nivelului de vulnerabilitate la atacuri cibernetice.
Există și scanarea din exterior a asset-urilor, în scopul determinării gradului de vizibilitate al vulnerabilităților și potențialul de a fi exploatate. De principiu se alege o țintă (sau mai multe) și cu un soft special se scanează respectiva țintă.
Fiecare dintre cele două operațiuni se finalizează cu un raport tehnic ce trebuie înțeles și analizat în vederea aplicării de măsuri de remediere.
Log Management
Deoarece orice device şi aplicaţie lasă urme privind activitatea desfăşurată, verificarea periodică a log-urilor este esenţială pentru companii, în vederea identificării potenţialelor atacuri cibernetice. În acest proces de căutare a erorilor, anomaliilor sau activităţilor suspecte la nivelul sistemului, logurile devin semnale de alarmă. Însă luând în calcul cantitatea mare de date generate de sisteme, o monitorizare zilnică fectuată manual este total contraproductivă şi imposibil de realizat.
Tocmai din acest motive utilizarea unui soft de colectare şi management al log-urilor devine fundamentală. Software-ul de monitorizare a log-urilor utilizează reguli specifice pentru a automatiza revizuirea lor și evidențiază doar acele evenimente care ar putea reprezenta probleme sau amenințări. Adesea, acest lucru se face folosind sisteme de raportare în timp real care vă avertizează atunci când este detectat ceva suspect.
Astfel, soluţiile de log management se referă la centralizarea log-urilor, oferind posibilitatea:
• efectuării unor căutări ulterioare pe anumite activităţi, în cazul apariţiei unor incidente de securitate;
• realizării unei monitorizări în timp real.
Soluţia Cyber-In-a-Box, dezvoltată de certSIGN ca o completare a măsurilor de igienă cibernetică pentru companiilor mici (reţele de până în 100 de device-uri) , include soluţiile care adresează aceste trei procese esenţiale de securitate cibernetică – Asset Management, Vulnerability Management şi Log Management.
Află mai multe pe acest subiect de la specialiştii certSIGN, la Radio Guerrilla!
Podcast “De la Transformare digitală la DIGITAL TRUST” @ Guerrilla Hub.
Ep.3. Asset, Vulnerability & Log Management
(invitat Dan Ionuţ Grigore, Cyber Security Director certSIGN)