Biztonsági vizsgálatok típusai – öntsünk tiszta bitet a pohárba

Eddig sokszor tapasztaltam, hogy rengetegen keverik a vizsgálati típusokat – nem véletlenül –, hogy melyik mi célt szolgál, mire használható, még mielőtt Mr. Salesguy ránk sózza valamelyiket. Illetve ezek ismeretében sok esetben kiszűrhető a nem hozzáértő szolgáltató is.

A piacon található vizsgálati típusok közül sok rendelkezik kifejezetten hangzatos nevekkel, amiket egy sales-es kolléga, mint ködgránátokat dobálhat egy prezentáció keretében. De sokszor az elnevezésből nehéz eldönteni, melyikre is van szüksége egy cégnek.

A piacon található és a KKV-k szempontjából fontos vizsgálatok az alábbiak:

  • Vulnerability Assesment – sérülékenység vizsgálat
  • Penetration test – behatolási vizsgálat
  • Audit
  • White/grey/black-box alapú vizsgálatok
  • Risk Assesment – Kockázat felmérés

Mint látható, laikusként nem könnyű különválasztani, hogy az adott vizsgálat pontosan mit takar és  milyen folyamatokat is tartalmaz(hat) végrehajtása során. Ezeknek a folyamatoknak/fogalmaknak tisztázása fontos lehet, ennek hatására készült a jelenlegi bejegyzés.

Sérülékenység vizsgálat – Vulnerability Assessment:

Technikai alapú vizsgálat. Célja, hogy annyi sérülékenységet felderítsen a rendszerről, amennyi csak lehetséges egy adott környezetben. A vizsgálat végeredménye általában egy riport, ami tartalmazza a talált sérülékenységeket, ezeket priorizálja előfordulási gyakoriság és kihasználhatósági kockázat szerint. Valamint emellett igyekszik a talált hiányosságokra, megelőzhetőségükre megoldást vagy megoldási javaslatokat kínálni.

A sérülékenységi vizsgálat akkor a legeredményesebb, ha a cég akkor hajtja végre, amikor a cég/rendszer biztonsági szintjeinek az érettsége-kialakítása az alacsony és a közepes szint között található. Ekkor a legfontosabb egy cég számára,hogy minél jobban képben legyen a rendszerének a hiányosságaival. Ha ez megvan, a cél, hogy a talált hibák közül a legtöbbre megoldást találjon, amilyen gyorsan csak lehetséges.

Mivel lehetnek átfedések a használt módszerek között, ezt a vizsgálati formát gyakran összekeverik a Peneration Test-tel.

Penetration Test:

A penetration test, technikai alapú, offenzív felmérés. A folyamat elején meghatározzuk a célokat, amiket a tesztet végrehajtónak el kell érnie a vizsgálat végrehajtása során. Ilyen célok lehetnek például: az ügyféladatok ellopása, a domain-adminisztrátor jogosultság elérése vagy az érzékeny fizetési információk megszerzése-módosítása.

Sokszor összekeverik a penetration test vizsgálatot a sebezhetőségi vizsgálattal. A két vizsgálat közti különbséget könnyen megértjük, ha úgy gondolunk a sebezhetőségi vizsgálatra, aminek célja végrehajtása során a terv, hogy olyan  biztonsági problémákat deritsünk fel, amikről tudjuk/ feltételezzük, hogy léteznek a rendszerünkben. A penetration test pedig ezeknek a már megtalált vagy feltételezett hibák validálásának a módszere.

A végrehajtására a legalkalmasabb időpont, amikor úgy gondoljuk, hogy a vizsgálandó szervezet biztonsági szintje erős és már volt része több sérülékenységi vizsgálatban. Ez a vizsgálat akkor ad kézzelfogható valódi eredményt, ha nem egy  alacsony vagy közepes biztonsági szinttel rendelkező szervezeten hajtják végre. Alacsony vagy közepes biztonsági szinttel rendelkező szervezetek esetén csak ajánlásokat adhat a tesztet végrehajtó, mint például: “Alakítson ki patchelési megoldást a szervezeten belül.” vagy “Tiltsa le az inaktív felhasználókat”.

Csak akkor érdemes igénybe venni a penetrációs vizsgálatot, ha a biztonsági szintet már cégen belül erősnek tekintjük és úgy gondoljuk, kiállná a külső támadó(k) próbáját.

Audit:

Az auditálás, másnéven ellenőrzés technikai és/vagy dokumentációs alapú vizsgálat lehet.  A vizsgálat főként arra összpontosít, hogy egy meglévő konfiguráció/rendszer jellemzőit hasonlítja össze az alkalmazni akart szabvány követelményeivel és állapítja meg, mennyire felel meg azoknak. Ez az auditálás lényegi eleme. Nem bizonyítja vagy validálja a biztonság meglétét, hanem az adott szabvány által meghatározott “biztonság” fogalmának való megfelelőséget állapítja meg.

Az auditálás folyamatát legtöbb esetben összekeverik bármelyik másik típusú biztonsági vizsgálattal aminek célja a sérülékenységek keresése és kijavítása. Persze ez is lehet a része az ellenőrzésnek, ha van olyan elem a szabványban, ami kimondja hogy nem lehetnek sebezhetőségek a rendszerben. De az audit lényegi eleme, hogy felmérje az aktuális állapot mennyire felel meg az adott szabványnak.

Legtöbb esetben a nagyobb a cégek és szervezetek a megfelelőség igazolására használnak biztonsági ellenőrzéseket. Fontos megjegyezni, hogy a megfelelőség nem használható a biztonság bizonyítására. A biztonságosnak tekintett szervezetek jelentősen nagyobb valószínűséggel megfelelnek a szabványoknak (ha folytonosan ellenőrzik a megfelelőséget), de az előírásoknak megfelelő szervezetek nem tekinthetők egyértelműen biztonságosnak mert megfelelnek X vagy Y szabványnak.

White/Grey/Black-box alapú vizsgálatok:

A White/Grey/Black vizsgálatok színjelzései arra utalnak, hogy a támadó/tesztelő mennyi belső információval rendelkezik a technikai vizsgálat végrehajtása során. A White-box alapú vizsgálat során a tesztelőnek teljes hozzáférése van a belső információkhoz (hálózati diagramok, forráskódok, stb). A grey-box alapú tesztelés során a vizsgálatot végrehajtónak csak részleges információi vannak a vizsgálandó rendszerekről-alkalmazásokról.Az átadott információ mennyisége megegyezéstől függ. A black-box alapú vizsgálat feltételezi, hogy a tesztelő nem rendelkezik semmiféle belső információval vagyis ez a támadó szemszögéből végzett vizsgálat.

Általános félreértés a white/grey/black-box vizsgálattal kapcsolatban, hogy sokszor tekintik egy különálló vizsgálati eljárásnak, de ideális esetben csupán az átfogó vizsgálat egyik szempontja. Általában egy sérülékenységi vizsgálathoz párosul a használata, ahol ezzel a módszerrel próbálják a legtöbb hibát felderíteni. A white/grey-box vizsgálatokat sokszor használják a belsős (cégen belüli dolgozó) támadó lehetőségeinek a szimulálására.

Megjegyzendő, hogy a sérülékenység vizsgálat célja a minnél több hiba felderítése és kijavítása. Általános az a gondolatmenet, hogy ha a vizsgálatot végrehajtó nem talál meg minden hibát, sérülékenységet a rendszerben akkor az a hiba nem is létezik. Emiatt – a megrendelő nem ad át minden szükséges információt – mivel úgy gondolja azok ismerete nélkül más sem találná meg azt a sérülékenységet. A vizsgálatot végrehajtónak az információk át nem adása nem okoz lelki törést – sőt, talán örül is, mivel hamarabb végez a munkával –, a cégnek viszont jelentősen fog amikor egy támadó mégis megtalálja a sebezhetőséget és ki is használja.

Ne kavarjuk össze azt a két fogalmat, hogy azt akarjuk tudni mit tud egy támadó tenni a rendszereinkkel és hogy milyen sérülékenységekkel rendelkezünk az adott időben. A kettő két különböző dolog, különböző módon kell megközelíteni a két problémakört. Ha azt kell kideríteni mit tud tenni egy támadó a rendszerünkkel, javítani kell az összes ismert hibát/sérülékenységet -majd ha elég biztosak vagyunk abban hogy a rendszerünk a lehető legbiztonságosabb – hajtsunk végre egy penetrációs tesztet.

Kockázat felmérés – Risk Assesment:

Akárcsak a fenyegetettségi modellek, a kockázat felmérés is lehet nagyon széleskörű, mind felfogásában, mind alkalmazásában. Magas szinten a kockázat felmérés során megállapításra kerül az  elfogadható kockázati szint, valamint felmérésre a jelenlegi kockázati szint. Ha ezek a felmérések megtörténtek, akkor azon tevékenységek meghatározása következik, ami a két elvárás közti eltéréseket egy szintre hozza. A kockázat felmérés a kockázatokat két dimenzió szerint kategórizálja:

  • adott esemény előfordulási lehetősége/valószínűsége,
  • a várt események hatásai.

Sok tekintetben a kockázat felmérés és a fenyegetettségi modellezés hasonló műfaj, mindkettő célja, hogy meghatározza azokat a teendőket amik a kockázatokat elfogadható szintre hozzák. Gyakran emiatt össze is keverik a két folyamatot, mivel mindkettő hasonló célokat követ. A fő különbség hogy, melyik felmérés hol kezdődik és melyik mire összpontosít. A fenyegetési modellek a támadási forgatókönyvekre összpontosítanak, majd a sérülékenységekre, kontrollokra és a lehetséges hatásokra. A kockázat felmérés az adatvagyon/eszköz oldaláról indulnak, felmérik az értékét és felméri a lehetséges veszélyforrásokat, az elvesztéséből fakadó hatásokat.

Összefoglaló:

Sérülékenységi Vizsgálat:
célja, hogy annyi sérülékenységet/sebezhetőséget felderítsünk vele amennyit csak lehetséges, hogy priorizálni tudjuk a kármentesítési folyamatokat. A vizsgálat eredménye egy priorizált lista a talált eredményekről.

Penetration Test:
célja, hogy megállapítsa, hogy egy támadó képes-e elérni egy meghatározott célt, a jelenlegi védelmi szint ellenére. Például képes-e ellopni érzékeny adatokat vagy egyéb tevékenységeket végrehajtani, ami ártana a cégnek. A vizsgálat eredménye egy riport, ami megállapítja, hogy milyen szinten sikerült a kitűzött célokat elérni.  A penetration test nem ad teljes listát az összes sérülékenységről vagy bármilyen priorizált listát a találtakról.

Audit:
célja, hogy felmérje adott cég mennyire felel meg az adott szabvány elvárásainak. Kimenete a vizsgálatnak egy lista, ami tartalmazza azokat a területeket amiket fejleszteni kell, hogy a szabványban elvártaknak megfeleljünk.

White/Grey/Black-box vizsgálatok:
mérőfoka és eredményessége nagyban függ attól, hogy mennyi információ kerül átadásra a cégről a vizsgálatot végrehajtónak a folyamat során. A vizsgálat lehet, belső, külső, alkalmazás alapú, hálózati alapú, exploitálási eljárások használatával vagy anélkül, stb.

Kockázat felmérés:
célja, hogy megállapítsa mik a legnagyobb kockázatok/fenyegetések, amik a cégre leselkednek. A kockázatok megállapítása után, pedig garantálható olyan folyamatok létrehozása, amik ezeket a kockázatokat elfogadható szintre csökkentik. A vizsgálat végeredménye mindig egy vagy több lista, ami tartalmazza a kockázatokat és azokra az ajánlásokat.

Az adatbiztonságról írtam korábban is, hogy teljesen képbe kerülj, a GDRP-ról szóló első és második cikkemet is érdemes elolvasnod.

 

Írta:  Mylo