BLOG

Co utrudnia proces zarządzania podatnościami? Główne wyzwania

Michał Horubała
Michał Horubała
23/04/2025
null

Zarządzanie podatnościami to proces, który może zostać relatywnie łatwo opisany i zaplanowany. Teoretycznie sprowadza się on do cyklicznego skanowania (identyfikacja, klasyfikacja i priorytetyzacja) oraz przekazywania informacji o odkrytych podatnościach do działu IT wraz z zaleceniami aktualizacji, wyeliminowania lub odizolowania podatnych systemów i aplikacji (remediacja i mitygacja). Wystarczy zatem zainwestować w skaner podatności, regularnie przeprowadzać skanowania i przekazywać uporządkowane raporty (wg CVSS i hostów) do IT, które zajmie się ich realizacją.

Na tym moglibyśmy zakończyć ten artykuł. Mamy rozwiązanie, które jest relatywnie proste i tanie w implementacji. Kupiliśmy skaner, zdefiniowaliśmy proces, odhaczyliśmy punkt na liście wymagań zgodności. Niestety, jest to jeden z wielu aspektów cyberbezpieczeństwa, który potwierdza, że "w teorii nie ma różnicy między teorią a praktyką, podczas gdy w praktyce jest", jak to powiedział kiedyś amerykański bejsbolista Yogi Berra.

Jako Zespół SOC360 mamy wieloletnie doświadczenie w implementacji i utrzymaniu procesów zarządzania podatnościami w zróżnicowanych środowiskach małych, średnich i dużych organizacji. W tym artykule chcemy zwrócić uwagę na wyzwania, z którymi spotykamy się w praktyce.

Cykl życia podatności: od wykrycia do decyzji

Prosty schemat? Tylko w teorii

Cykl życia podatności to pozornie prosta sprawa. Podatność jest albo jej nie ma. Właśnie dlatego wykrycie podatności powinno prowadzić do działań mających na celu jej usunięcie. Wychodząc z takiego założenia można pokusić się o obsługę podatności w procesie zbliżonym do obsługi incydentów: wykrycie -> reakcja. Podobnie możemy również podejść do priorytetów – im wyższa punktacja CVSS (Common Vulnerability Scoring System), tym wyższy priorytet obsługi.

Oczywiście w przypadku podatności pracujemy z ryzykiem, a nie bezpośrednim zagrożeniem. Dlatego usprawiedliwione jest rozciągnięcie procesu w czasie i reagowanie w trybie wsadowym. Można więc przyjąć, że podatności będą grupowane pod względem priorytetów i przekazywane prosto do IT w celu ich usunięcia.

Kluczowe decyzje w procesie: trzy możliwe scenariusze

Niestety w tym miejscu pozornie prosty proces znacznie się komplikuje. Przede wszystkim, w zarządzaniu podatnościami należy uwzględnić decyzje, które nie sprowadzają się do usunięcia podatności. Mamy co najmniej trzy ścieżki, którymi może podążyć nasz proces:

  1. Podatność zostanie usunięta.
  2. Ryzyko związane z istnieniem podatności zostało zaakceptowane.
  3. Ryzyko jest nieakceptowalne, ale podatności nie można usunąć. Zostaną podjęte inne działania w celu ograniczania ryzyka.

Wybór jednej z powyższych ścieżek wymaga podjęcia decyzji. Dlatego w procesie trzeba zadbać o odpowiednie zasoby, a osoby decyzyjne muszą dysponować kontekstem i kompetencjami.

W dodatku każda decyzja o postępowaniu z podatnością wiąże się z wyzwoleniem zupełne innego procesu jej obsługi.

Scenariusz 1: Usunięcie podatności

Usunięcie podatności wymaga poinformowania osób odpowiedzialnych za dany system, uzyskania od nich potwierdzenia, że mogą i kiedy planują ją usunąć, a następnie ponownego skanowania, by sprawdzić, czy działania były skuteczne. Proces musi też uwzględniać sytuacje, w których zalecenia nie są realizowane lub ich wdrożenie się opóźnia – wtedy może być konieczne podjęcie alternatywnych działań.

Scenariusz 2: Akceptacja ryzyka

W przypadku wybrania ścieżki akceptacji ryzyka proces musi uwzględnić ponowną ocenę ryzyka w przypadku zmiany okoliczności. Punktacja podatności może ulec zmianie w wyniku nowych odkryć lub opublikowania metod jej wykorzystania. Ponadto ekspozycja podatnego systemu może się zmienić. Dlatego istniejące podatności, które zostały zaakceptowane w zasadzie nigdy nie opuszają procesu i będą musiały być stale nadzorowane.

Scenariusz 3: Ograniczenie ryzyka

W sytuacji, kiedy podatności nie można usunąć i zdecydujemy się na ograniczenie ryzyka w inny sposób: na przykład poprzez ograniczenie ekspozycji podatnego zasobu lub zastosowanie dodatkowych zabezpieczeń, nasz proces musi uwzględniać stały nadzór i kontrolę skuteczności tych środków. Działania te często wykraczają poza zakres procesu skanowania podatności i wymagają dodatkowych ustaleń.

Powyższe wyzwania wydają się być relatywnie łatwe do zaadresowania, jeśli tylko dobrze opiszemy i zaimplementujemy proces zarządzania podatnościami. Tu jednak pojawia się kwestia skali. Obsługa wyżej opisanych ścieżek dla kilku lub kilkudziesięciu podatności nie wydaje się skomplikowanym zadaniem. Natomiast, jeśli mamy do czynienia z dziesiątkami tysięcy ujawnionych podatności, które w dodatku muszą być poddane grupowaniu i priorytetyzacji, zadanie to może urosnąć do rangi niemożliwych.

Analiza danych, czyli kluczowy aspekt zarządzania podatnościami

Na rynku istnieje kilka komercyjnych skanerów, które cieszą się popularnością wśród specjalistów cyberbezpieczeństwa. Mimo drobnych różnic na poziomie technicznym, dane które zwracają, możliwości filtrowania i eksportowania są do siebie stosunkowo zbliżone.

Rezultaty, które widzimy bezpośrednio w konsolach skanerów mogą jednak nie być wystarczające do podjęcia realnych działań – szczególnie, kiedy mówimy o dużych, organizacjach z zasobami liczonymi w tysiącach.

Z konsoli najczęściej możemy dowiedzieć się jedynie, że na hoście X znajduję się podatność Y o CVSS Z. Cały proces związany ze śledzeniem cyklu życia podatności, ich łataniem i analizą powinien następować natomiast poza konsolą skanera. Bez procesu obejmującego eksportowanie odpowiednych danych, czy to do własnego systemu zarządzania podatnościami, czy do systemów przetwarzania danych (np. PowerBI) w celu prowadzenia analizy ilościowej, skuteczna analiza podatności w organizacji nie jest możliwa. Kluczowe jest odpowiednie obrobienie tysięcy, a czasem nawet milionów logów pochodzących z każdego kolejnego skanu.

Analiza ilościowa wykrytych podatności, prowadzona np. w Power BI lub za pomocą własnych narzędzi, pozwala monitorować skuteczność procesu łatania, identyfikować najbardziej narażone zasoby i wspierać strategiczne decyzje dotyczące zarządzania ryzykiem.

Odpowiednio przygotowana wizualizacja danych umożliwia weryfikację wielu istotnych parametrów, w tym m.in.:

  • porównanie liczby unikalnych podatności wykrytych w kolejnych skanach,
  • identyfikację, jaki procent podatności powtórzył się względem poprzedniego skanu,
  • określenie liczby nowych podatności, które pojawiły się od ostatniego skanowania,
  • śledzenie zmian w liczbie podatności na poszczególnych hostach na przestrzeni czasu,
  • interaktywne wskazanie hostów i oprogramowania, których dotyczy największa liczba podatności,
  • wykrycie zasobów lub podsieci, w których proces łatania działa słabo lub nie działa wcale.

Przy wyeksportowaniu odpowiednich danych ze skanerów możliwości obróbki są nieograniczone. Jest to kluczowy aspekt zarządzania podatnościami pozwalający na zdefiniowanie i śledzenie parametrów niezbędnych do poprawy procesu. Pokazuje to jednak, że sam skaner zaimplementowany w infrastrukturze sieciowej nie wystarczy. Oprócz procesu zarządzania podatnościami nie obejdziemy się bez skutecznej analizy ilościowej. Oczywiście możemy skorzystać z kompleksowych platform do zarządzania podatności, jednak rozwiązania te są bardzo drogie.

Zakres i zróżnicowanie procesu zarządzania podatnościami

Proces zarządzania podatnościami powinien obejmować zasoby w sieci LAN, zasoby dostępne z sieci Internet, środowiska chmurowe i systemy automatyki przemysłowej. Każdy z tych obszarów wymaga innych narzędzi, planowania i kompetencji, a także wiąże się ze specyficznymi ograniczeniami w zakresie skanowania, mitygacji i remediacji podatności.

Zarządzanie podatnościami a rzeczywista powierzchnia ataku

Proces zarządzania podatnościami może obejmować tylko te zasoby, które zostały zidentyfikowane przez organizację i są świadomie tym procesem objęte. Jednak w większości organizacji istnieją zasoby IT, które pozostają w cieniu: samowolne inicjatywy administratorów i użytkowników, zapomniane usługi uruchomione i udostępnione "tylko na chwilę", zasoby wyeksponowane wskutek nieświadomości lub pomimo świadomości ryzyka, zasoby wyeksponowane bez wiedzy IT w oddziałach lub spółkach zależnych, zasoby w chmurze wyeksponowane "tylko do testów" lub w celach developmentu, zasoby usługodawców, z którymi organizacja ma zestawione połączenia VPN.

Attack Surface Assessment

W związku z powyższym proces zarządzania podatnościami nie powinien funkcjonować w oderwaniu od procesów oceny powierzchni ataku (ASA Attack Surface Assessment) i zarządzania powierzchnią ataku ASM - Attack Surface Management. Jest to proces zbliżony do zarządzania podatnościami, ale o szerszym zakresie. Obejmuje bowiem nie tylko podatności związane z błędami w oprogramowaniu, dla których ustalono CVE i CVSS.

ASM rozpoczyna się od zidentyfikowania zasobów i usług organizacji, które stanowią powierzchnię ataku już przez sam fakt ich dostępności. Dzięki temu możemy nie tylko uwzględnić te zasoby w procesie skanowania podatności, ale również zidentyfikować luki, które nie zostaną ujawnione przez skanowanie podatności, na przykład: dostępnych z sieci Internet usług RDP, wszelkiej maści paneli administracyjnych, dostępu zdalnego VPN bądź dostępu do poczty, które nie zostały zabezpieczone mechanizmami 2FA, do których hasła wyciekły lub są podatne na ataki brute-force.

Powiązanie procesu zarządzania podatnościami z procesem zarządzania powierzchnią ataku jest nieodzowne – szczególnie w przypadku dużych organizacji oraz tych, które mają skomplikowaną i rozproszoną strukturę.

Analiza ryzyka w procesie zarządzania podatnościami

Teoretycznie zarządzanie podatnościami powinno być bardziej efektywne, jeśli w procesie zostanie uwzględniona analiza ryzyka. W praktyce wygląda to jednak trochę inaczej.

Bardzo często spotykamy się z próbami powiązania priorytetów obsługi podatności z szeroko pojętą krytycznością zasobów, na których podatności te występują. Najwyższy priorytet otrzymują podatności ujawnione na systemach, które przetwarzają poufne lub regulowane dane i na systemach, które są związane z krytycznymi dla organizacji usługami.

Mamy zatem organizację, która stawia przed sobą cele inwentaryzacji zasobów informacyjno-usługowych i powiązania tych zasobów z rodzajem przetwarzanych danych i usługami biznesowymi. Następnie zebrane informacje są zestawiane z ekspozycją zasobów (z punktu widzenia architektury sieci) oraz wdrożonymi zabezpieczeniami. Na to wszystko nakłada się wyniki skanowania podatności. W rezultacie możemy przeprowadzić analizę ryzyka i na tej podstawie podejmować decyzję o priorytetach. Na pierwszy rzut oka trudno dyskutować z zasadnością takiego podejścia.

Rozbieżność między analizą ryzyka a rzeczywistością ataków

W praktyce jednak dochodzi do sytuacji, w których zastosowanie tej metodyki obniża efektywność całego procesu.

Po pierwsze, inwentaryzacja zasobów i ocena ryzyka to działania długotrwałe i dynamika zmian w środowiskach IT często je wyprzedza. Dane, na których opierają się te procesy często mają charakter deklaratywny, a praktyczny stan rzeczy nie jest weryfikowany. W rezultacie w wielu organizacjach proces zarządzania podatnościami jest wstrzymywany przez analizę ryzyka, która nigdy nie będzie doprowadzona do końca i nie daje jednoznacznych podstaw do podejmowania decyzji. Po drugie, cyberprzestępcy najczęściej kompletnie ignorują wyniki analizy ryzyka i dostają się do organizacji wykorzystując podatności w zasobach, które w hierarchii ważności wylądowały na szarym końcu.

Po uzyskaniu wczesnego dostępu do infrastruktury organizacji, podatności w zasobach krytycznych – lub ich brak – tracą znaczenie. Dlatego podczas wdrażania procesu zarządzania podatnościami warto skupić się na jego dynamice i skuteczności działania, a kwestie związane z analizą ryzyka odłożyć na późniejszy etap, gdy sytuacja będzie pod kontrolą.

Marvel vs. DC czyli bezpieczeństwo vs. IT

Na koniec wyzwanie, z którym najtrudniej sobie poradzić – rozbieżność priorytetów między zespołami bezpieczeństwa i zespołami IT.

Misją IT jest dostarczanie i utrzymanie systemów wspierających usługi i procesy biznesowe. Możliwie dobrze, tanio i szybko.

Rola zespołów bezpieczeństwa jest postrzegana wręcz przeciwnie. Ich działania są kosztowne, obniżają jakość usług i powodują opóźnienia. Zadania IT zazwyczaj mają najwyższy priorytet, a pracownicy są często przeciążeni ilością projektów i ich tempem. Nic dziwnego – terminy gonią, systemy muszą działać, a jeśli działają to lepiej ich nie ruszać.

W wielu organizacjach zespoły bezpieczeństwa i IT nie darzą się sympatią – często rywalizują, mają różne cele i odmienne podejście do priorytetów. W takiej atmosferze wdrożenie i utrzymanie procesu zarządzania podatnościami staje się ogromnym wyzwaniem. Raporty i rekomendacje trafiają w próżnię albo odbijają się od ściany.

Co ważne, podobne trudności pojawiają się nawet tam, gdzie nie ma otwartego konfliktu, a obie strony wykazują dobrą wolę i chęć współpracy. Problemem są często ograniczenia czysto praktyczne: brak zasobów, brak dostępnych okien serwisowych, czy konieczność zakupu nowego sprzętu lub licencji.

W efekcie, proces zarządzania podatnościami sprowadza się do cyklicznego skanowania i raportowania – bez realnego wpływu na poprawę bezpieczeństwa organizacji.

Jak w praktyce wspierać proces zarządzania podatnościami?

Zarządzanie podatnościami to znacznie więcej niż tylko skanowanie i przesyłanie raportów. Proces ten wymaga realnego zaangażowania zasobów, skutecznego procesu remediacji i współpracy pomiędzy zespołami.

Identyfikacja podatnych zasobów jest stosunkowo prosta. Trudności zaczynają się na etapie decyzji, kto i kiedy ma zająć się podatnością, czy istnieją warunki do jej usunięcia, a także – jak formalnie zorganizować cały ten proces. Bez zorganizowanego systemu łatania podatności zarządzanie nimi staje się wręcz niemożliwe. Zespoły bezpieczeństwa mogą analizować dane, priorytetyzować ryzyko, wizualizować wyniki, ale bez realnego działania po stronie operacyjnej nie będą w stanie przełamać bariery między wiedzą a realnym działaniem.

Właśnie w takich warunkach – pełnych ograniczeń, niepewności i złożoności – pojawiamy się my, z doświadczeniem, które przekładamy na realne działanie.

Nasz zespół SOC360 od lat wspiera organizacje w projektowaniu i usprawnianiu procesów zarządzania podatnościami. Pracujemy z firmami o różnej skali i strukturze, pomagając:

  • uporządkować procesy wokół wykrywania i łatania podatności,
  • analizować dane ze skanerów i ustalać priorytety,
  • określić, które problemy są lokalne, a które mają charakter systemowy,
  • prowadzić działania, które realnie zwiększają poziom bezpieczeństwa.

Zachęcamy do kontaktu by wzmocnić bezpieczeństwo swojej organizacji z pomocą naszych specjalistów.

Artykuł został w całości przygotowany przez ekspertów cybersecurity – bez wsparcia narzędzi sztucznej inteligencji.

Autor tekstu:
Michał Horubała
Michał Horubała , Vice President, SOC360 , 4Prime Group
Ekspert z wieloletnim doświadczeniem w branży bezpieczeństwa IT. Specjalizuje się w zagadnieniach związanych z ochroną przed zaawansowanymi atakami cybernetycznymi oraz projektowaniem i organizacją jednostek SOC. Zajmował się wdrożeniami i nadzorowaniem systemów bezpieczeństwa oraz świadczył usługi doradcze dla firm z sektora enterprise w Polsce i Europie Zachodniej.

Czytaj również

Attack Surface Management

Exposure Management

Attack Surface Management – czyli jak zarządzać podatnościami w Twojej firmie

Matryca Mitre Att&ck a strategia

Strategia

Zastosowanie matrycy MITRE ATT&CK w budowaniu skutecznej strategii cyberbezpieczeństwa

Ataki na tożsamość użytkowników

SOC

Wzrost popularności Microsoft Office a ataki na tożsamość użytkowników

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.