Skenování zranitelností

Skenování zranitelností vašich webových aplikací a infrastruktury je základem komplexní metody řízení zranitelností. Získáte tak makroskopický obraz stavu zabezpečení vašich webových aplikací – e-shopů, zákaznických portálů, platebních bran a podobně. Součástí je také otestování mnohdy zapomenutých, avšak stále aktivních systémů interní infrastruktury, které mohou být často zastaralé a představovat největší riziko.

Jakékoli weby a webové aplikace, které nakládají s uživatelskými daty je vhodné otestovat. Nejen, že ověření zabezpečení přímo udává směrnice GDPR, ale je v zájmu samotného provozovatele služby. Náklady spojené s únikem dat a ztrátou uživatelské důvěry jsou totiž daleko vyšší.

Vhodné je provádět skenování zranitelností infrastruktury a webových aplikací pravidelně, a to především u těch, které se dynamicky rozvíjí. Rutinní skenování totiž umožňuje velmi rychle identifikovat, a hlavně řešit nově vzniklé zranitelností. Odhalíte tak bezpečnostní rizika ještě předtím, než jich někdo stihne zneužít.

Získáte přehled o stavu zabezpečení

Odhalíme vám rizika a slabiny zabezpečení

Splníte požadavky GDRP směrnice

Zjistíte, jak účinně nalezená rizika minimalizovat nebo odstranit

Skenování zranitelností vs. penetrační testování – nenechte se nachytat

Při skenování zranitelností se využívá automatických a poloautomatických nástrojů. Díky tomu je skenování časově úsporné, periodicky opakovatelné a ekonomické. V žádném případě však nedokáže nahradit penetrační testování, protože je pouze jeho podmnožinou, nemá tedy takovou komplexitu.

Přesto bývají tyto dvě služby zavádějícím způsobem zaměňovány s cílem přesvědčit objednatele, že obdržel mimořádně výhodnou nabídku. Takové praktiky s sebou nesou vysoké riziko. Závěry o stavu zabezpečení organizace po provedení skenování zranitelností v žádném případě nemohou, co do úplnosti, konkurovat výstupu z penetračního testu. Ten je mnohem náročnější a využívá mnohem sofistikovanější kombinace různých vektorů útoku, vedeného zkušenými specialisty.

O tom, jak probíhá penetrační testování v naší režii, si můžete podrobně přečíst na stránkách představujících jednotlivé služby.

Přínosy skenování zranitelností

Sken zranitelností přináší rychlý, a komplexní audit zabezpečení vaší IT infrastruktury. Můžete díky němu identifikovat potencionálně zranitelná místa.

  • Nasazení neaktuální verze serverové technologie se známými zranitelnostmi
  • Použití zastaralého a nedostačujícího šifrování
  • Špatně ošetřené uživatelské vstupy ve formulářích
  • Chybějící nebo nedostatečné prvky autentifikace prohlížeče vůči serveru
  • Odhalená či nedostatečně chráněná citlivá data a mnoho dalších zranitelností

Hlavní síla automatického skenování zranitelností spočívá v možnosti (respektive nutnosti) opakovat ho v pravidelně stanovených intervalech (databáze známých zranitelností se neustále rozšiřuje), nebo alespoň po provedení větších změn ve vašich systémech.

Vulnerability scan představuje ekonomickou cestu k udržení přehledu o stavu zabezpečení vaší organizace. Z toho důvodu je také jedním z prvních nástrojů, po kterém sáhne útočník pokoušející se zjistit, jak rychle a obtížně lze infiltrovat vaši infrastrukturu nebo webové aplikace. Když zařadíte pravidelné skenování do své bezpečnostní rutiny, získáte tím možnost reagovat na nově vznikající hrozby s předstihem, což je vždy efektivnější než řešit následky kybernetického incidentu.

Průběh a výstup skenu zranitelností

Ke skenování zranitelností využíváme spolehlivé a osvědčené nástroje, mezi nimi nechybí Nessus ProfessionalOpenVasAcunetix nebo Burp Suite Professional, avšak doplněné o vlastní podpůrné skripty podle druhu testované infrastruktury.

Při naší práci postupujeme podle metodiky, kterou zde pro zjednodušení shrneme do tří kroků:

1. Definice cílů skenu zranitelností

V úvodu spolupráce se dohodneme, které části vaší IT infrastruktury budou skenovány. Na základě toho odvodíme časovou dotaci z našich, ale rovněž i z vašich zdrojů. Optimální je samozřejmě (minimálně u prvního skenu) zahrnout všechny systémy v síti. Po vyhodnocení výsledků je možné stanovit různou frekvenci skenů jednotlivých součástí podle jejich kritičnosti.

Vnější perimetr, tedy systémy a služby umístěné mimo prostředí vaší interní sítě, je vhodné prověřit klasických síťovým skenem. V tomto případě stačí informovat kompetentní zaměstnance o jeho provedení. Skenem těchto z internetu dostupných systémů získáme katalog potenciálních zranitelností, který si stejně snadno může opatřit i případný útočník. U skenu webové aplikace pak doporučujeme využít detailní autentizovaný sken.

2. Analýza a verifikace výsledků

Syrovým výstupem skenu je katalog zranitelností získaných na základě porovnání odpovědí testovaných systémů s databází známých zranitelností. Jednotlivé položky jsou automaticky kategorizovány dle několika parametrů: funkční zařazení v rámci firemní infrastruktury, použitý operační systém, typ zranitelností apod.

Výsledky poté manuálně prověřujeme na falešnou pozitivitu. Verifikované zranitelnosti jsou kategorizovány dle stupnice CVSS. Z toho následně vychází i celkové hodnocení zranitelností testovaných systémů.

3. Report, návrh na odstranění zjištěných zranitelností a návrh dalšího postupu

Výstupem skenování je obsáhlá zpráva, která se skládá z následujících součástí.

  • Katalogu zjištěných potenciálních zranitelností
  • Hodnocení jejich závažnosti dle CVSS, doplněného komentářem
  • Doporučených opatření pro odstranění či minimalizaci rizika plynoucího ze zranitelnosti
  • Návrhu dalšího postupu

Po implementaci doporučených opatření je vhodné provést kontrolní sken pro ověření účinnosti. Následně se můžeme dohodnout na provádění opakovaných skenů vybraných systémů. Frekvence bude stanovena s ohledem na počet a závažnost zjištěných zranitelností, úroveň důležitosti daného systému a další parametry.

Menu