Managementul vulnerabilităţilor și evaluarea riscurilor în domeniul securității informatice

Cristian Filip
Application Management & Support @ NTT DATA Romania

Datorită dezvoltării tehnologice din domeniului IT, informaţiile circulă cu o viteză foarte mare, accesul utilizatorului fiind aproape instantaneu, via internet sau intranet. Informațiile unei companii se pot regăsi: în format tipărit , stocate în sistemele informatice și bineînțeles în mintea utilizatorului prin parole, username etc. . 

Ce reprezintă securitatea informaţiilor ?

Securitatea informațiilor poate fi descrisă de caracteristicile de prelucrare şi stocare ale informaţiilor de orice tip şi provenienţă, având ca scop confidenţialitatea, disponibilitatea și integritatea datelor.

Securitatea informațiilor nu este amenințată doar de acte intenționate (interceptarea comunicațiilor, viruși sau furt), ci și de elemente precum:

• Situaţii de forţă majoră (Inundaţii, incendii, cutremure sau furtuni) care pot distruge sau limita accesul (documentele nemaifiind disponibile în timp util).
• O actualizare nereușită de software care poate perturba sau modifica datele.
• Indisponibilitatea (din cauza unei boli, unui accident etc.) a singurei persoane care cunoștea informația.
• Divulgarea de informații confidențiale (intenționat sau neintenționat) către persoane neautorizate.
• Neasigurarea securității informațiilor în fața unor potențiale vulnerabilități poate aduce la pierderi economice semnificative, lucru nedorit de nicio companie.

Vulnerabilităţile

Vulnerabilitățile în domeniul securității informatice pot fi împărțite în mai multe categorii: tehnice, legate de procedurile de acces ale angajaților în sistemele IT, organizatorice sau erori umane.

De aceea, este bine ca într-o companie politicile de acces să fie implementate după analiza de risc, ea făcând parte din metodologia conceptului de securitate şi este aplicată în toate etapele de dezvoltare a acesteia.

Analiza de risc are ca scop evaluarea vulnerabilităților și găsirea de soluții în faţa amenințărilor potențiale urmărind diminuarea posibilelor pierderi. 

Cum ne protejăm folosind Managementul sistemului de Securitate informatică ?

Este recomandat ca în toate organizaţiile să fie definit şi implementat un document cu politici, norme şi standarde de securitate. Acest document trebuie să conțină toate politicile organizatorice ale companiei referitoare la permisiuni, restricții, nivel de acces, etc. . El trebuie respectat de către angajaţi, administratori de reţea, experţi în securitate şi echipa de management.

Politica de securitate trebuie să cuprindă cel puțin următoarele capitole:

• Prezentare generală,
• Domeniul de aplicare,
• Standarde de securitate,
• Ghid de aplicare,
• Definiții,
• Istoricul versiunilor.

Ce trebuie să urmărim pentru a avea un Management Informatic sănătos ?

De-a lungul timpului au fost create mai multe standarde și norme de securitate, dintre care cele mai importante în domeniul securității informatice sunt:

• ISO 17799,
• Health Insurance Portability and Accountability Act (HIPAA) 
• Personally identifiable information (PII)
• ISO 27001 
• ITIL

ISO 17799 

Specifică cele mai bune practici pentru managementul securității informației. Acest standard împarte managementul securității informațiilor în diferite categorii, după cum urmează:

• evaluarea riscurilor,
• politici de securitate,
• organizarea securităţii,
• protecţia activelor,
• securitatea personalului,
• securitatea fizică și a mediului înconjurător,
• managementul comunicării și funcționării,
• controlul accesului, 
• sistemul de întreținere,
• continuitatea afacerii.

Health Insurance Portability and Accountability Act (HIPAA) 

A fost creat în 1996 și se ocupă cu confidențialitatea datelor medicale.

Personally identifiable information (PII) 

Se ocupă cu protejarea datelor personale de identitate.

ISO 27001 

Conţine modelul de "plan-do-check-act" şi anume planificare definire, implementare folosire, monitorizare evaluare şi în ultimă fază menţinerea şi îmbunătăţirea performanţelor.

Figura 1: Modelul "PLAN-DO-CHECK-ACT"(ehs.unc.edu)

ITIL

Constă în orientări şi în cele mai bune practici care descriu modul în care un "IT Service Management (ITSM)" poate fi pus în aplicare printr-un ciclu de viaţă.

Figura 2: Ciclul de viaţă ITIL (ITIL® v3 Foundation Study Guide, taruu LLC, 2009)

Atacuri, ameninţări şi protecţie

Atacuri

• Social-Engineering sunt atacuri prin metode de contact social, cum ar fi telefon sau E-mail prin care hackerul încearcă prin diverse metode să compromită securitatea (de exemplu, Phishing , Dumpster diving, Tailgating );
• Atacuri asupra reţelei prin Denial of service (DOS) sau Distributed Denial of Service (DDoS);

Figura 3: Destributed Denial of Service

• Atacuri asupra parolelor;
• Atacuri prin SQL injection .

Ameninţări :

• Privilage Escalation,
• Worm Virus,
• Trojan Virus,
• Logic Bomb,
• Spyware,
• Rootkit,
• Keylogger.

Protecţie 

Pentru a ne proteja împotriva atacurilor şi a ameninţărilor trebuie să ne întărim securitatea dispozitivelor de reţea, să utilizăm filtre MAC, să utilizăm standarde de control al accesului la reţea precum 802 lx şi politici de grup. Sistemele trebuie monitorizate şi updatate continuu şi erorile apărute ca urmare a monitorizării trebuie reparate.

Managementul Vulnerabilităţilor prin analiza de risc

Managementul Vulnerabilităţilor este un proces prin care, pe baza riscului și costurilor asociate determinăm dacă vulnerabilitățile cu care ne putem confrunta trebuie îndepărtate, atenuate sau chiar tolerate. După stabilirea vulnerabilităților începe procesul de prevenție prin folosirea unei analize de risc care aparţine de Managementul Vulnerabilităţilor.

• Această analiză conţine următoarele procese:
• Identificarea tuturor bunurilor ( calculatoare, date etc.) ;
• Identificarea vulnerabilităților fiecărui bun;
• Analiza impactului acestor vulnerabilități;
• Prioritizarea ameninţărilor;
• Identificarea tehnicii de protejare;
• Evaluarea riscurilor reziduale.

De asemenea, există mai multe tipuri de analiză.

• Calitativă prin care se stabileşte tehnica de diminuare (mitigation) a riscului fără a calcula efectiv costurile. 

Risk = Probabilitate x Pierdere

• Cantitativă prin care se calculează costul pentru fiecare risc şi ce pierderi poate aduce acesta.

Aşteptarea de pierdere unică (APU) = valoarea bunului ($) x factorul de expunere (%) 

După calcularea aşteptării de pierdere unică putem calcula:

Aşteptarea de pierdere anuală = APU x rata anuală de apariţie

În concluzie, de îndată ce au fost identificate și ierarhizate amenințările, se va decide ce trebuie făcut pentru gestionarea acestor riscuri.

Managementul riscurilor include reducerea riscului printr-un control de securitate cu scopul de a accepta, a transfera sau a ignora.

Minimizarea riscurilor se poate face prin audituri interne de securitate periodice şi prin asigurarea respectării politicilor și procedurilor de securitate.

În ziua de azi, vedem din ce în ce mai multe ştiri despre atacuri informatice, adevărate războaie cibernetice cu efecte dezastruoase.

Managementul vulnerabilităților și evaluarea riscurilor în domeniul securității informatice reprezintă acțiuni vitale care trebuie tratate cu prioritate maximă în orice companie împotriva "black hat hackers".

Figura 4 Cyber Attacks

Bibliografie

1. Lucrare de dizertație - "Schwachstellen-Management und Risikobewertung im Bereich Informationssicherheit" Cristian A. Filip 2. Glen E. Clarke, CompTIA Security+ Certification Study Guide, Second Edition (Exam SYO-401 ) , 2014, McGraw-Hill Education
2. [27001] ISO/IEC 27001:2013"Information technology - Security techniques - Information security management systems requirements specification", ISO/IEC JTC1/SC27
3. [17799] ISO/IEC 17799:2005" Information technology -- Security techniques -- Code of practice for information security management"
4. [HIPPA]
5. [PII]
6. [ITIL] ITIL® v3 Foundation Study Guide, taruu LLC, 2009