Sebezhetőség kezelése a gyakorlatban

Sebezhetőség kezelése a gyakorlatban

Példa eset: Log4Shell (CVE-2021-44228) sebezhetőség kezelése

1. Észlelés

Esemény: A szervezet OpenVAS sebezhetőség-kezelő rendszere rendszeres szkennelést végez a webszerveren.

Eredmény: A rendszer kritikus sebezhetőséget azonosít - a webszerver Log4j 2.14.1 verziót használ, amely tartalmazza a Log4Shell biztonsági rést (CVE-2021-44228, CVSS pontszám: 10.0).

Technikai részletek:

  • A sebezhetőség lehetővé teszi távoli kódfuttatást (RCE)
  • Érintett komponens: Apache Log4j könyvtár
  • Sebezhetőség oka: Nem megfelelő JNDI lookup kezelés

2. Értékelés és priorizálás

Kockázatelemzés:

  • Kritikus szintű sebezhetőség (10/10 CVSS)
  • Könnyen kihasználható
  • Az érintett rendszer ügyféladatokat kezel
  • Aktív kihasználás folyik a "vadvilágban"

Priorizálás:

  • Azonnali beavatkozást igényel (P1 - legmagasabb prioritás)
  • Ideiglenes védelmi intézkedések azonnali bevezetése szükséges

3. Javítási folyamat

Jegy létrehozása:

  • IT-SEC-2023-0142 azonosítóval jegy kerül létrehozásra a jegykezelő rendszerben
  • Felelősök kijelölése: infrastruktúra csapat és alkalmazásüzemeltetés

Ideiglenes megoldás:

  • Log4j konfigurációjának módosítása a JNDI lookup funkció letiltásával
  • WAF (Web Application Firewall) szabály bevezetése a támadási minták blokkolására

Végleges javítás:

  • Log4j frissítése biztonságos verzióra (2.15.0 vagy újabb)
  • Alkalmazás tesztelése a frissítést követően
  • Változáskezelési folyamat követése

4. Ellenőrzés

Verifikáció:

  • Újraszkenneléssel a sebezhetőség-kezelő rendszer ellenőrzi a javítás sikerességét
  • Célzott penetrációs teszt végrehajtása a sebezhetőség eltávolításának igazolására
  • Naplófájlok elemzése esetleges kihasználási kísérletek felderítésére

5. Dokumentálás és jelentés

Dokumentáció:

  • A teljes esemény dokumentálása a sebezhetőség-kezelő rendszerben
  • Javítási időszak: észleléstől a javításig eltelt idő (12 óra)
  • Alkalmazott intézkedések részletes leírása

Jelentéskészítés:

  • Technikai jelentés a biztonsági csapat számára
  • Vezetői összefoglaló a CISO részére
  • NIS2 megfelelőségi dokumentáció frissítése

Nyílt forráskódú sebezhetőség-kezelő eszközök

1. OpenVAS/Greenbone Vulnerability Manager (GVM)

  • Elsődleges funkció: Sebezhetőség-szkennelés és -kezelés
  • Előnyök:
    • Átfogó CVE adatbázis
    • Részletes jelentések
    • Aktív fejlesztés
    • Rugalmas szkennelési beállítások
  • Használat: Hálózati és alkalmazás sebezhetőségek felderítése

2. OWASP ZAP (Zed Attack Proxy)

  • Elsődleges funkció: Webalkalmazás-sebezhetőség szkennelés
  • Előnyök:
    • Könnyen használható
    • Passzív és aktív szkennelés
    • Fejlesztői csapatoknak is ideális
    • Részletes API támadás-felderítés
  • Használat: Webes és API sebezhetőségek vizsgálata

3. Wazuh

  • Elsődleges funkció: Biztonsági monitorozás és sebezhetőség-észlelés
  • Előnyök:
    • Integrált SIEM funkcionalitás
    • Valós idejű riasztások
    • Fájlintegritás-figyelés
    • Megfelelőségi ellenőrzések
  • Használat: Átfogó biztonsági monitorozás és sebezhetőség-felügyelet

4. Archery

  • Elsődleges funkció: Sebezhetőség-kezelési munkafolyamat
  • Előnyök:
    • Különböző szkennelési eszközök integrációja
    • Sebezhetőség-kezelési folyamat támogatása
    • Jegykezelés és követés
    • Kollaboratív platform
  • Használat: Sebezhetőség-kezelési folyamatok és munkafolyamatok

5. Dependency-Track

  • Elsődleges funkció: Szoftverkomponens-analízis (SCA)
  • Előnyök:
    • Könyvtárfüggőségek sebezhetőségeinek követése
    • SBOM (Software Bill of Materials) kezelés
    • Integrálható CI/CD folyamatokba
    • Automatikus értesítések
  • Használat: Alkalmazásfejlesztési folyamatban a függőségek biztonsági ellenőrzése

A leghatékonyabb megoldás gyakran több eszköz kombinációja, például az OpenVAS a hálózati és rendszerszintű szkenneléshez, az OWASP ZAP a webalkalmazások vizsgálatához, és egy kezelési platform mint az Archery a folyamat koordinálásához.