Od co najmniej kilku miesięcy coraz większego i szerszego zasięgu nabiera tematyka dyrektyw NIS2 oraz DORA, które określają wytyczne w zakresie cyberbezpieczeństwa. W dobie wojny informacyjnej, odbijających się szerokim echem incydentów bezpieczeństwa w sektorze publicznym jak i prywatnym - cyberbezpieczeństwo jest priorytetem. Zwróćmy jednak uwagę, jakie znaczenie w kontekście wspomnianych rozporządzeń będzie miało zarządzanie podatnościami bezpieczeństwa.
NIS2 (ang. Network and Information Security Directive) jest dyrektywą, której celem jest rozszerzenie oraz doprecyzowanie regulacji w kontekście bezpieczeństwa infrastruktury informatycznej, która została przyjęta w 2016 roku. Jest ona obligatoryjna dla wszystkich krajów członkowskich Unii Europejskiej. Obecna, nowa dyrektywa weszła w życie w styczniu 2023 roku, natomiast jej obligatoryjność wchodzi w życie najpóźniej 18 października 2024 roku. Państwa członkowskie mają 21 miesięcy na wprowadzenie jej postanowień w swoich systemach prawnych.
Głównym celem NIS2 jest doprecyzowanie podmiotów, jakie podlegają nowym regulacjom wraz z ich rozszerzeniem oraz określeniem, w jakich warunkach muszą spełniać wytyczne dyrektywy. Główne z nich to:
Oczywiście to tylko część z wymaganych środków do wdrożenia w zakresie cyberbezpieczeństwa. Dyrektywa stanowi, że mają być one proporcjonalne względem danej organizacji, a także uwzględniające jej wielkość, stopień narażenia na określone ryzyka, a także prawdopodobieństwo wystąpienia incydentów. Duże znaczenie ma też ostatni aspekt, dla którego powinno określić się także wpływ i skutki np. gospodarcze lub społeczne.
DORA (ang. Digital Operational Resilience Act) to z kolei unijna dyrektywa, która definiuje wymogi cyberbezpieczeństwa dla podmiotów z sektora finansowego w Unii Europejskiej. Rozporządzenie wejdzie w życie 17 stycznia 2024 roku i będzie miało zastosowanie dla szerokiej gamy podmiotów - nie tylko bezpośrednio funkcjonujących w branży finansowej, ale także ich kontrahentów, dostawców i innych podmiotów trzecich bezpośrednio współpracujących. Tym samym mowa tutaj zarówno o np. instytucjach świadczących usługi płatnicze, udzielające kredytów czy pełniące działalność inwestycyjną, ale także dostawcy usług IT dla nich.
Podobnie jak NIS2, podmioty zobligowane do zastosowania dyrektywy DORA muszą spełniać szereg wymagań, które są bezpośrednio związane z ich odpornością na zagrożenia cyberbezpieczeństwa. Również bardzo duże znaczenie ma tutaj analiza ryzyka i zarządzanie nim jak również incydentami, które mogą z nich wynikać. DORA stawia też bardzo na testowanie odporności poprzez, chociażby regularnie realizowane testy penetracyjne infrastruktury. W dyrektywie DORA znajdziemy też wytyczne w kontekście zapewnienia ciągłości biznesowej oraz łańcucha dostaw dla infrastruktury ICT.
Celem wspomnianych dyrektyw jest dostosowanie regulacji prawnych, a tym samym wymuszenie na podmiotach dojrzałego, a także odpowiedzialnego podejścia do ryzyk i zagrożeń cyberbezpieczeństwa.
W kontekście wspomnianych wcześniej ryzyk bezpieczeństwa, zdefiniować można wiele gałęzi oraz rodzajów zagrożeń, które będą wysoko klasyfikowane dla każdego z podmiotów. Będą to chociażby aspekty związane z właściwym zarządzaniem podatnościami oprogramowania, które funkcjonuje w organizacji. Każdorazowo sięga ono nie zarówno komputerów końcowych, używanych pracowników przez urządzenia pośrednie wykorzystywane w organizacji, a kończąc na oprogramowaniu wykorzystywanym w infrastrukturze serwerowej lub sieciowej.
Proporcjonalnie do wielkości organizacji rośnie także skala wykorzystywanego oprogramowania i ryzyka ich podatności. W zależności od klasyfikacji znanymi standardami np. CVSS - niosą różne ryzyka zagrożeń. Od dekad jest to nadal popularny wektor ataku wykorzystywany przez przestępców, którzy wykorzystując podatność oprogramowania, są w stanie przełamywać zabezpieczenia organizacji, aby realizować infiltrację infrastruktury i w ostateczności określone cele - kradzieży bądź destrukcji danych. Tym samym najbardziej narażone na atak są usługi i systemy publicznie dostępne w Internecie, rozgłaszające usługi np. serwera webowego, VPN, poczty firmowej czy hostingu danych. Większość firm wykorzystuje tego typu usługi jako wsparcie dla realizowanej działalności biznesowej - szczególnie w dobie powszechnej pracy zdalnej.
Łatwo więc można wyobrazić sobie jak duża skala publicznie dostępnych serwerów i usług może być dostępna dla atakujących. Oczywiście warto także pamiętać o oprogramowaniu, które jest „schowane” za publicznie dostępną infrastrukturą firmy. Niestety nadal jest to często bagatelizowane zagadnienie, które często jest zaniedbywane przez administratorów IT. Firmy przekonują się o tym bezlitośnie gdy dochodzi do infekcji złośliwym oprogramowaniem lub kierunkowych atakach realizowanych przez przestępców.
Zarządzanie podatnościami przychodzi samoistnie wraz z dojrzałością organizacji i konieczności zapewnienia mitygacji dla ryzyk i zagrożeń z nimi związanych. Często jednak jest to wymuszane właśnie przez dyrektywy takie jak NIS2 czy DORA. Warto jednak zwrócić uwagę, że radzenie sobie z podatnościami nie jest czymś znacząco wymagającym nawet dla średniego przedsiębiorstwa.
Głównym założeniem jest sklasyfikowanie i oszacowanie krytyczności poszczególnych segmentów infrastruktury. Należy kierować się kryteriami takimi jak wrażliwość przetwarzanych danych na wybranym systemie, jego dostępności dla potencjalnego atakującego czy krytyczności dla ciągłości biznesowej w działaniu firmy. Na tej podstawie należy zaadoptować odpowiednie reguły i polityki aktualizacji oprogramowania, które pozwoli na znaczne zredukowanie czasu życia ich podatności. Taka klasyfikacja jest także mile widziana także w innych obszarach cyberbezpieczeństwa, które są rekomendowane lub wymagane do wdrożenia w organizacji np. zarządzania aktywami, ryzykiem itd.
Aby zweryfikować czy wdrożone mechanizmy zarządzania podatnościami są skuteczne, służą ku temu dedykowane narzędzia oraz metodologię testowania oprogramowania. Mowa tutaj o skanerach podatności, które w zależności od integracji mogą w różnych poziomach weryfikować czy oprogramowanie wykorzystywane w skanowanej infrastrukturze, sieci lub systemie jest podatne na oprogramowanie oraz czy posiada luki, chociażby w jej konfiguracji.
Kolejnym podejściem jest realizacja testu penetracyjnego, które również może opierać się na automatycznym testowaniu podatności, ale przede wszystkim manualnym. Wówczas zespół doświadczonych ekspertów bezpieczeństwa jest w stanie zweryfikować podatność aplikacji, usługi lub oprogramowania na podstawie, chociażby komunikacji poprzez dostępny w niej interfejs dla użytkownika. Polega to na manipulacji w komunikacji pomiędzy oprogramowaniem, a użytkownikiem i testowaniem zachowania w przypadku wstrzyknięcia nieprzewidzianych przez autorów komend, a tym samym testowania walidacji danych wejściowych przez oprogramowaniem.
Można także wdrożyć podejście hybrydowe, które opiera się na modelu polegającym na stałym przeprowadzeniu skanowania automatycznego w obszarze infrastruktury. Czynnikiem uzupełniającym, a jednocześnie weryfikującym dogłębnie są cyklicznie realizowane testy penetracyjne. Na ten model decyduje się coraz więcej firm, które chcą w ten sposób na bieżąco monitorować, identyfikować i zarządzać podatnościami poprzez wykorzystanie dwóch, uzupełniających się metod testowania. Osiągnięcie takiego modelu sprzyja także ścieżce reagowania na potencjalne incydenty mogące skutkować wykrytymi odpowiednio wcześniej anomaliami. Sumarycznie takie podejście spełni kompleksowo oczekiwania i wymagania dyrektyw oraz standardów bezpieczeństwa. Umożliwia także w trybie ad-hoc wygenerowanie raportu na temat stanu bezpieczeństwa infrastruktury w kontekście jej monitorowania pod kątem podatności.
Zarówno testy penetracyjne jak i skanery podatności to regularnie wykorzystywane rozwiązania przy zapewnianiu i weryfikacji bezpieczeństwa dla organizacji. W zależności od zastosowanych mechanizmów i metodologii pozwalają zarządzać podatnościami zarówno dla małych firm jak również rozległej infrastruktury korporacyjnej. Skuteczność działania może jednak być zapewniona przez doświadczony zespół ekspertów bezpieczeństwa, mierzony w projektach skupionych na testowaniu oprogramowania.