Skenování zranitelností webových aplikací a interní infrastruktury

Sken zranitelností (vulnerability scan) je základním stavebním kamenem komplexní metodiky řízení zranitelností (vulnerability management). Skenováním zranitelností získáte makroskopický obraz stavu zabezpečení vašich webových aplikací (e-shopy, zákaznické/uživatelské portály, platební brány apod.) i interní infrastruktury. Výhodou je schopnost otestovat i již prakticky zapomenuté, avšak stále aktivní systémy, které často mohou útočníkovi otevřít dveře do vaší sítě.

Skenování má své opodstatnění už u jednoduchých webů a aplikací, které jakýmkoliv způsobem nakládají s uživatelskými daty. Zajištění, testování a vyhodnocování zabezpečení citlivých dat nejen ukládá směrnice GDPR, ale především je v zájmu provozovatele. Náklady a problémy spojené s kompromitací uživatelských dat a ztrátou důvěry zákazníků mohou vaši organizaci dostat do nelehké situace.

Zejména dynamické webové aplikace by pak měly procházet skeny zranitelností pravidelně. Rutinní skenování umožňuje velmi rychle identifikovat a řešit nově vzniklé zranitelnosti. A to právě v kritickém čase mezi jejich odhalením a plošným rozšířením bezpečnostní záplaty. Toto období totiž poskytuje naprosto optimální podmínky k provedení útoku na vaši infrastrukturu a webové aplikace.

Kdo jsme a jak pracujeme

EO SECURITY s.r.o. je nezávislá česká společnost s transparentní vlastnickou strukturou. Od roku 2016 působíme v oborech ochrany proti odposlechu, kybernetické bezpečnosti a datové bezpečnosti. Díky našemu týmu expertů ve zmíněných oblastech, jejichž hranice se nutně překrývají, dokážeme klientům poskytnout komplexní služby. Od analýzy a testování stávajícího zabezpečení až po návrh a realizaci nového.

Jsme držiteli prestižních průmyslových bezpečnostních certifikací:

• Certified Ethical Hacker CEH
• Offensive Security Certified Professional OSCP
• Offensive Security Wireless Professional OSWP
• Certified ISMS Manager & Auditor (ISO 27001) TÜV AUSTRIA
• Linux Assembly Expert 32-bit
• Linux Assembly Expert 64-bit

Skenování zranitelností vs. penetrační testování – nenechte se nachytat

Při skenování zranitelností se využívá automatických a poloautomatických nástrojů, jimž se podrobněji věnujeme níže. Díky tomu je skenování časově úsporné, periodicky opakovatelné a ekonomické. V žádném případě však nedokáže nahradit penetrační testování, jehož je pouhou podmnožinou!

Přesto bývají tyto dvě služby zavádějícím způsobem zaměňovány s cílem přesvědčit objednatele, že obdržel mimořádně výhodnou nabídku. Takové praktiky s sebou nesou vysoké riziko. Závěry o stavu zabezpečení organizace po provedení skenování zranitelností v žádném případě nemohou, co do úplnosti, konkurovat výstupu z penetračního testu. Ten je řádově náročnější a využívá mnohem sofistikovanější kombinace různých vektorů útoku, vedeného zkušenými specialisty.

O tom, jak probíhá penetrační testování v naší režii, si můžete podrobně přečíst na stránkách představujících jednotlivé služby:

• Penetrační testování webových aplikací
• Penetrační testování infrastruktury
• Penetrační testování bezdrátových sítí

Přínosy skenování zranitelností

Sken zranitelností přináší rychlý a levný audit zabezpečení vaší IT infrastruktury. Lze díky němu identifikovat potenciálně zranitelná místa:

• Nasazení neaktuální verze serverové technologie se známými zranitelnostmi
• Použití zastaralého a již nedostačujícího šifrování
• Špatně ošetřené uživatelské vstupy ve formulářích
• Chybějící nebo nedostatečné prvky autentifikace prohlížeče vůči serveru
• Odhalená či nedostatečně chráněná citlivá data a mnoho dalších zranitelností

Hlavní síla automatického skenování zranitelností spočívá v možnosti (respektive nutnosti) opakovat jej v pravidelně stanovených intervalech (databáze známých zranitelností se neustále rozšiřuje), nebo alespoň po provedení větších změn ve vašich systémech.

Vulnerability scan představuje ekonomickou cestu k udržení přehledu o stavu zabezpečení vaší organizace. Z toho důvodu je také jedním z prvních nástrojů, po kterém sáhne útočník pokoušející se zjistit, jak rychle a obtížně lze infiltrovat vaši infrastrukturu. Když zařádíte pravidelné skenování do své bezpečnostní rutiny, získáte tím možnost reagovat na nově vznikající hrozby s předstihem, což je vždy efektivnější než řešit následky kybernetického incidentu.

Průběh a výstup skenu zranitelností

Ke skenování zranitelností využíváme spolehlivé a osvědčené nástroje, mezi nimiž nechybí Nessus Professional, OpenVas, Acunetix nebo Burp Suite, doplněné o vlastní podpůrné skripty dle druhu testované infrastruktury.

Při naší práci postupujeme dle metodiky, kterou zde pro zjednodušení shrneme do tří kroků:

1. Definice cílů skenu zranitelností

V úvodu spolupráce se dohodneme, které části vaší IT infrastruktury budou skenovány. Na základě toho lze odvodit časovou dotaci z našich, ale rovněž i z vašich zdrojů. Optimální je samozřejmě (minimálně u prvního skenu) zahrnout všechny systémy v síti. Po vyhodnocení výsledků je možné stanovit různou frekvenci skenů jednotlivých součástí dle jejich kritičnosti.

Vnější perimetr, tedy systémy a služby umístěné mimo prostředí vaší interní sítě, je vhodné prověřit klasických síťovým skenem. V tomto případě stačí informovat kompetentní zaměstnance o jeho provedení. Skenem těchto z internetu dostupných systémů získáme katalog potenciálních zranitelností, který si může opatřit i případný útočník. U skenu webové aplikace pak doporučujeme pro prohloubení dosahu využít autentizovaný sken.

2. Analýza a verifikace výsledků

Syrovým výstupem skenu je katalog zranitelností získaných na základě porovnání odpovědí testovaných systémů s databází známých zranitelností. Jednotlivé položky jsou automaticky kategorizovány dle několika parametrů: funkční zařazení v rámci firemní infrastruktury, použitý operační systém, typ zranitelnosti apod.

Výsledky poté manuálně prověřujeme na falešnou pozitivitu. Verifikované zranitelnosti jsou kategorizovány dle stupnice CVSS. Z toho následně vychází i celkové hodnocení zranitelností testovaných systémů.

3. Report, návrh na odstranění zjištěných zranitelností a návrh dalšího postupu

Výstupem skenování je obsáhlá zpráva, sestávající z:

• Katalogu zjištěných potenciálních zranitelností
• Hodnocení jejich závažnosti dle CVSS, doplněného komentářem
• Doporučených opatření pro odstranění či minimalizaci rizika plynoucího ze zranitelnosti
• Návrhu dalšího postupu

Po implementaci doporučených opatření je vhodné provést kontrolní sken pro ověření účinnosti. Následně se můžeme dohodnout na provádění opakovaných skenů vybraných systémů, jejichž frekvence bude stanovena s ohledem na počet a závažnost zjištěných zranitelností, úroveň důležitosti daného systému a další parametry.

Máte zájem o sken zranitelností?

V případě zájmu nás kontaktujte na e-mailu sales@eo-security.com

Další služby