Pochopení zranitelností, hrozeb a rizik v kybernetické bezpečnosti
V oblasti kybernetické bezpečnosti je třeba brát v úvahu nekonečné množství faktorů. Než se pustíme do složitějších témat, pojďme si nejdříve důkladně vysvětlit tři základní pojmy bezpečnosti: zranitelnosti, hrozby a riziko.
V tomto článku se podíváme na tyto bezpečnostní koncepty podrobně a přineseme vám aktuální názory odborníků z oboru.
Zranitelnost vs. Hrozba vs. Riziko
Tyto termíny se často používají společně, ale představují tři samostatné komponenty kybernetické bezpečnosti. Stručně řečeno, můžeme je vnímat jako spektrum:
- Zranitelnost vystavuje vaši organizaci hrozbám.
- Hrozba je škodlivá nebo negativní událost, která využívá zranitelnost.
- Riziko je potenciál pro ztrátu a poškození, když se hrozba zrealizuje.
Nyní se podívejme na každý z těchto pojmů podrobněji.
Co je zranitelnost?
Začněme zranitelnostmi. Zranitelnost je slabina, chyba nebo jiný nedostatek v systému (infrastruktuře, databázi nebo softwaru), ale může také existovat v procesu, souboru kontrol nebo jednoduše v tom, jak bylo něco implementováno nebo nasazeno.
Existují různé typy zranitelností, můžeme je obecně shrnout jako:
- Technické zranitelnosti, jako jsou chyby v kódu nebo chyba v nějakém hardwaru nebo softwaru. Podle Positive Technologies bylo v roce 2022 72 % zranitelností spojeno s chybami ve webových aplikacích.
- Lidské zranitelnosti, jako jsou zaměstnanci, kteří se nechají nachytat na phishing, smishing nebo jiné běžné útoky. Cílem 85 % těchto útoků je krádež dat.
Některé zranitelnosti jsou rutinní: vydáte něco a rychle na to vydáte opravu. Problém s touto slabinou nastává, když je neznámá nebo neobjevená vaším týmem. Pokud zůstane, může být tato slabina zranitelná vůči útoku nebo hrozbě. Například zranitelnost je nechat přes noc odemčené dveře. Samotné to není problém, ale pokud přijde určitá osoba a vstoupí těmito dveřmi, mohou nastat velmi špatné věci.
Dopad zranitelnosti
Čím více zranitelností máte, tím větší je potenciál pro hrozby a vyšší je vaše riziko.
To samozřejmě dává smysl, ale rozsah je ohromný: podle britského poskytovatele serverů a domén Fasthosts mohou mít organizace tisíce — dokonce miliony! — potenciálních zranitelností.
Podle 2023 Cost of a Data Breach Report by IBM jsou průměrné náklady na narušení dat na rekordní výši 4,45 milionu USD, což představuje nárůst o 2,2 % oproti roku 2022 a 15% nárůst za 3 roky. Tyto útoky mohou být nákladné a mohou mít dalekosáhlé důsledky. Například společnost Progress Software se stále vyrovnává s následky a obnovou po zranitelnosti MOVEit Transfer z roku 2023, která dosud postihla přes 94 milionů uživatelů a způsobila škody ve výši přes 15 miliard USD, a toto číslo stále roste.
Nedávné příklady zranitelností zahrnují:
- 2024 RegreSSHion, kritická zranitelnost nalezená v OpenSSH
- 2024 únik informací na platformě Trello
- 2023 průnik do podpory Okta
- 2023 kompromitovaný klíč pro podpis spotřebitelů Microsoftu
Chcete se dozvědět více? CVE je slovník veřejně zveřejněných zranitelností a expozic, hlavní zdroj znalostí v oblasti bezpečnosti.
Co je hrozba?
V kybernetické bezpečnosti je nejběžnější definicí hrozby toto: cokoliv, co by mohlo využít zranitelnost a ovlivnit důvěrnost, integritu nebo dostupnost vašich systémů, dat, lidí a dalších.
(Důvěrnost, integrita a dostupnost, někdy známé jako CIA triáda, jsou dalším základním konceptem kybernetické bezpečnosti.)
Pokročilejší definicí hrozby je situace, kdy má protivník nebo útočník příležitost, schopnost a úmysl přinést negativní dopad na vaše operace, majetek, pracovní sílu a/nebo zákazníky. Příklady toho mohou zahrnovat malware, ransomware, phishingové útoky a další — a typy hrozeb se budou neustále vyvíjet.
Důležité je, že ne všechny hrozby jsou stejné, jak zdůrazňuje Bob Rudis, viceprezident pro datovou vědu v GreyNoise Intelligence. A právě zde vstupuje do hry přístup k informacím o hrozbách. Rudis říká:
„Útočník může mít úmysl a schopnost způsobit škodu, ale žádnou příležitost.“
Například vaše organizace nemusí mít žádné zranitelnosti k využití díky solidnímu programu správy záplat nebo silným politikám segmentace sítě, které brání přístupu ke kritickým systémům. Nicméně v reálném světě je velmi pravděpodobné, že nějaké zranitelnosti máte, takže se podívejme na faktor rizika.
Co je riziko?
Riziko je pravděpodobnost negativní (škodlivé) události a také potenciální rozsah této škody. Riziko vaší organizace se v průběhu času mění, někdy dokonce na denní bázi, kvůli vnitřním i vnějším faktorům.
Trochu technicky vzato, Open FAIR body of knowledge definuje kybernetické riziko jako pravděpodobnou frekvenci a pravděpodobnou velikost ztráty. Zní to složitě, dokud to nerozdělíme: „Začneme tím,“ říká Rudis, „že neexistuje žádné éterické riziko. Něco [hmatatelného] je v ohrožení, ať už jde o systém, zařízení, obchodní proces, bankovní účet, pověst vaší firmy nebo lidský život.“
Zde mohou týmy kybernetické bezpečnosti začít měřit riziko:
- Odhadněte, jak často se protivník nebo útočník pravděpodobně pokusí využít zranitelnost k dosažení požadované škody.
- Zhodnoťte, jak dobře vaše stávající systémy, kontroly a procesy odolají těmto pokusům.
- Určete hodnotu dopadu nebo škody, kterou by útočník mohl způsobit, pokud by byl úspěšný.
Jedním ze způsobů, jak popsat riziko, bylo důsledek X pravděpodobnost, ale jak bezpečnostní týmy pokročily ve svých procesech a informacích, vidíme, že musíte také brát v úvahu již zavedené ochrany.
Riziko = hrozba x zranitelnost
Toto je další způsob, jak se podívat na riziko, byť poněkud zjednodušený:
Zranitelnost×Hrozba=Riziko
Můžeme tento výpočet shrnout pomocí výše uvedených konceptů: že jediná zranitelnost násobená potenciální hrozbou (frekvence, stávající ochrany a potenciální hodnota ztráty) vám může poskytnout odhad rizika. Aby organizace mohly začít s mitigací rizik a řízením rizik, musíte nejprve porozumět svým zranitelnostem a hrozbám vůči těmto zranitelnostem. To není malý úkol.
Reálný příklad
Vaše organizace se možná snaží chránit všechna svá data, pravděpodobně pomocí metod šifrování dat a dalších přístupů. Tento přístup je však neuvěřitelně nákladný, takže musíte zúžit, která data chránit nejlépe.
Můžete přemýšlet o riziku tímto způsobem: pokud mechanismus pro ochranu určitých dat selže, budete mít jednu nebo více zranitelností. A pokud existuje útočník, který tuto zranitelnost najde a využije, hrozba se zrealizuje.
Zde je riziko, jak cenné by bylo ztratit tato data pro útočníka.
Osvědčené postupy řízení rizik
Část problému s rizikem je tato univerzální pravda: nemůžete eliminovat nebo zcela chránit před všemi hrozbami, bez ohledu na to, jak pokročilé jsou vaše systémy. Zde přichází na řadu praxe řízení rizik: rutinní, probíhající praxe, při které správní pracovníci pravidelně přezkoumávají rizika, aby minimalizovali potenciál pro určité hrozby.
Prvním krokem k proaktivnímu přístupu a vytvoření strategie řízení rizik je uznání, že organizace nemohou zcela eliminovat riziko. Jakmile toto pochopíte, můžete začít definovat své hodnocení rizik, které zahrnuje pět významných kroků:
1. Identifikace rizika
Vyhodnoťte IT prostředí a infrastrukturu vaší organizace na zranitelnosti, které by mohly ovlivnit vaše operace. To zahrnuje také:
- Určení, co by mohlo jít špatně.
- Definování toho, co je normální nebo standardní provozní postup.
- Zajištění, že dodržujete regulační požadavky na shodu.
2. Hodnocení rizika
Zde se zaměřujete na jakýkoli potenciální dopad, který by toto identifikované riziko mohlo způsobit vaší organizaci, jejímu provozu a jejím cílům. K určení rizika je třeba se více zaměřit na objevivost, využitelnost a reprodukovatelnost zranitelností, abyste plně pochopili, jak by vás mohly ovlivnit.
3. Analýza rizika
Na základě výsledků z předchozích kroků definujete nejlepší opatření nebo přístupy, které by vaše organizace měla přijmout k mitigaci rizik. V závislosti na dopadu rizika můžete zvolit:
- Přijetí: Zde uznáváte riziko a neděláte s ním nic. Obvykle je dopad přijatelný a náklady na mitigaci rizika jsou vyšší než dopad.
- Vyhnutí se: Zde přestanete provádět činnosti nebo operace, které představují významná rizika, zejména pokud převyšují přínosy.
- Přenos: Zde sdílíte riziko s třetí stranou buď outsourcingem, nebo nákupem kybernetického pojištění.
- Mitigace: Zde implementujete bezpečnostní opatření a kontroly k redukci dopadu nebo pravděpodobnosti, že k němu dojde.
4. Nastavení a přezkoumání kontrol rizik
V tomto kroku nastavíte kontroly k řízení a mitigaci možných rizik tak, aby byly eliminovány nebo výrazně sníženy. Některé kontroly zahrnují konfiguraci firewallu, hesla, vícefaktorovou autentizaci a šifrování. Ve skutečnosti organizace, které měly v roce 2023 kontrolní opatření, ušetřily přibližně 1,76 milionu USD ve srovnání s organizacemi, které je neměly.
Rámce jako NIST CSF a FAIR Framework jsou zde také velmi užitečné.
5. Dokumentace rizik
Pravidelně dokumentujte a přezkoumávejte jakékoli porušení, která nastanou, abyste se z nich mohli poučit a zlepšit své hodnocení a kontrolu rizik.
Nepodceňujte všechny hrozby
Zranitelnosti a hrozby jsou pro organizace příliš nákladné na ignorování; proto musí být vaší prioritou. Definujte efektivní hodnocení řízení rizik s vědomím, že riziko nelze zcela eliminovat a že se jedná o průběžný proces, který je třeba neustále přezkoumávat.
Zdroj: Splunk, Inc.