Ευπάθειες

Τι είναι η ευπάθεια ασφαλείας;

Μια ευπάθεια ασφαλείας είναι μια αδυναμία που ένας αντίπαλος θα μπορούσε να εκμεταλλευτεί για να θέσει σε κίνδυνο την εμπιστευτικότητα, τη διαθεσιμότητα ή την ακεραιότητα ενός πόρου.

Μια αδυναμία αναφέρεται σε ελαττώματα εφαρμογής ή επιπτώσεις ασφαλείας λόγω σχεδιαστικών επιλογών. Για παράδειγμα, η δυνατότητα υπέρβασης των ορίων ενός buffer ενώ εισάγονται δεδομένα σε αυτό, ορίζεται ως ευπάθεια υπερχείλισης buffer (buffer overflow vulnerability). Παραδείγματα αξιοσημείωτων ευπαθειών είναι το Heartbleed, το Shellshock / Bash και το POODLE.

Δημόσια αποθετήρια ευπαθειών (Public Vulnerability Repositories)

Οι ευπάθειες ημέρας-μηδέν (zero-day vulnerabilities) είναι ευπάθειες που δεν έχουν αποκαλυφθεί δημόσια και παραμένουν ιδιωτικές. Υπάρχουν πολλά δημόσια αποθετήρια ευπαθειών που επιτρέπουν σε όσους ενδιαφέρονται, να έχουν εύκολη πρόσβαση σε πληροφορίες σχετικά με γνωστές ευπάθειες. Τα πιο εμφανή αποθετήρια ευπάθειας είναι τα CVE, NVD και OVAL. Το CVE έχει δημιουργήσει ένα σύστημα αναφοράς για την καταγραφή ευπαθειών που ονομάζεται “Αναγνωριστικό CVE” (CVE-ID). Τα CVE-ID συνήθως περιλαμβάνουν μια σύντομη περιγραφή της ευπάθειας ασφαλείας και μερικές φορές συμβουλές, μέτρα μετριασμού και αναφορές.

Διαχείριση Ευπαθειών

Η διαχείριση ευπαθειών εντοπίζει, ταξινομεί, αξιολογεί και μετριάζει τις ευπάθειες. Οι επαγγελματίες ασφαλείας πληροφορικής εκτελούν τη διαδικασία διαχείρισης με οργανωμένο και έγκαιρο τρόπο ακολουθώντας τα βήματα που περιγράφονται παρακάτω:

  • Προετοιμασία: Ορισμός του εύρους της διαδικασίας διαχείρισης.
  • Σάρωση ευπάθειας: Οι σαρωτές ευπάθειας είναι αυτοματοποιημένα εργαλεία που σαρώνουν ένα σύστημα για γνωστές ευπάθειες ασφαλείας, παρέχοντας μια αναφορά με όλες τις ευπάθειες που θα βρεθούν και τις ταξινομούν με βάση τη σοβαρότητά τους. Οι γνωστοί σαρωτές ευπάθειας είναι οι Nexpose, Nessus και OpenVAS.
  • Αναγνώριση, ταξινόμηση και αξιολόγηση των ευπαθειών: Ο σαρωτής ευπάθειας παρέχει μια αναφορά για τις ευπάθειες που βρέθηκαν.
  • Επιδιόρθωση ενεργειών: Ο υπεύθυνος καθορίζει ποιες από τις ευπάθειες θα μετριαστούν.
  • Επανάληψη σάρωσης: Μόλις ολοκληρωθούν οι ενέργειες αποκατάστασης, επανεκτελείται σάρωση για να επαληθευτεί η αποτελεσματικότητά τους.

Πηγή: https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/vulnerabilities-and-exploits