Обучение по Киберсигурност – Заплахи и уязвимости 2024

Тема „Заплахи и Уязвимости. Видове участници в заплахите и тяхната мотивация. Откриване и управление на уязвимости“

На 13.03.2024 г. в Българския културен център в София се проведе първото за годината обучение на ISACA Sofia Chapter на тема „Уязвимости, заплахи и управление на риска“.

Лектор беше Yanko Spassov – основател на Antivirus BG и фондация Cybersecurity for All – Foundation.

Според лектора за ефективно оценяване на сигурността не е достатъчно да се анализират и оценят само мерките и стратегиите за защита на активите на организацията. Усложненият характер на съвременните заплахи за киберсигурността изисква създаването на профили на видовете и поведението на извършителите на заплахите (threat actors). Този анализ включва идентифициране на атрибутите на местоположението, способностите, ресурсите / финансирането и мотивацията на участниците в заплахите. ​Необходимо е също така, правилно да се идентифицират и оценят векторите и повърхността на атаките.
Беше дадена методика за откриване и класифициране на уязвимостите и начини за тяхното управление и преодоляване.

Кратко видео от събитието

 

Детайли за обучението

Дата и локация

Обучението ще се проведе в присъствен формат на 13 Март 2024 г. от 09:00ч. в София, ул. Московска № 5, етаж 6. Продължителността на обучението е 8 учебни часа.

За лектора

Инж. Янко Спасов е високо квалифициаран професионалист по ИТ и киберсигурност с богат опит в различни роли, включително системен администратор, системен инженер, инженер по предпродажби, инженер по поддръжката, инженер по решения за сигурност, архитект на решения за сигурност, консултант по киберсигурност и одитор по информация и киберсигурност. Той ще представи и сподели своите знания с нас.
С магистърска степен по електроника и автоматизация, Янко Спасов е придобил широк спектър от умения и опит в индустрията на ИТ и киберсигурността. Той също така е получил няколко сертификата, включително Microsoft Certified Professional (MCP), Panda Security Endpoint Security Engineer, WatchGuard Network Engineer, Certified Information System Auditor (CISA) и ISO/IEC 27001 ISMS Lead Auditor, което допълнително демонстрира неговия ангажимент да бъде актуален с най-новите тенденции и технологии в областта.

 

Детайли за обучението

За да се направи ефективна оценка на сигурността не е достатъчно да се анализират и оценят само  мерките и стратегиите за защита на активите на организацията. Необходимо е да се познават техниките, тактиките и процедурите за атака, както и мотивацията на самите атакуващи. Необходимо е също така, правилно да се идентифицират и оценят уязвимостите в организацията, както и да се анализират стратегиите предприети за намаляване на възможността тези уязвимости да бъдат използвани от атакуващите или волно или неволно от служителите в организацията.

Неизменна част от оценката на сигурността са и ефективните практики за управление на риска които да включват систематично идентифициране, оценяване, определяне приоритетите за намаляване и непрекъснато наблюдение на рисковете. Тези практики са от съществено значение за поддържане на проактивни и устойчиви операции по сигурността, като същевременно се гарантира съответствие със законовите изисквания и стандартите за киберсигурност.

 

Тема 1: Видове атакуващи и тяхната мотивация. Повърхности и вектори на атака

1.1. Характеристики и съпоставяне на обичайните участници в заплахите

Когато оценявате състоянието на сигурността на вашата организация, трябва да прилагате концепциите за уязвимост, заплаха и риск. Рискът е мярка за вероятността и въздействието на дадена заплаха да се възползва от уязвимост в системите за сигурност на вашата организация.

За да оцените тези фактори, трябва да сте в състояние да оцените източниците на заплахи или участници в заплахата. Тази тема ще ви помогне да класифицирате и оцените мотивацията и възможностите на видовете участници в заплахи, така че да можете да оценявате и намалявате рисковете по-ефективно.

1.2. Повърхности и вектори на атака

Разбирането на методите, чрез които участниците в заплахите проникват в мрежите и системите на атакуваната организация е от съществено значение, за да можете да оцените повърхността на атака на вашите мрежи и да разгърнете подходящи контроли за блокиране на векторите на атака.

Обобщение

След обучението ще можете да обясните как да оценявате видовете външни и вътрешни заплахи, по отношение на намеренията и възможностите. Също така ще можете да обобщите векторите, които съставляват повърхността на атака на организацията.

Ще знаете как да:

  • Създавате профил на видовете участници в заплахи, които представляват най-вероятни заплахи за вашата организация и бизнеса. Не забравяйте, че може да сте мишена на атака като доставчик на по-голяма организация.
  • Използвате анализ на бизнес работните процеси и инвентара на активите, за да идентифицирате повърхността на атака на организацията.
  • Използвате изследвания, за да разширите разбирането за повърхността на атаката до конкретни заплахи, като уязвим софтуер, несигурни мрежи, верига за доставки и атаки, базирани на съобщения, и примамки, които са насочени към човешкия вектор.

Тема 2: Уязвимости – идентифициране, оценяване и управление.

Управлението на уязвимостите е от решаващо значение за стратегията за киберсигурност на всяка организация, като включва идентифициране, оценяване, третиране и докладване на уязвимостите в сигурността, в операционните системи, приложенията и други компоненти на ИТ структурата на организацията. Управлението на уязвимостите може да включва поправяне на остарели системи, укрепване на конфигурациите или надграждане до по-сигурни версии на операционните системи. За приложенията то може да включва прегледи на кода, тестване на сигурността и актуализиране на библиотеки на трети страни.

Сканирането на уязвимостите е ключов компонент на този процес, като специализираните инструменти, използвани за идентифициране на потенциални слабости в цифровите активи на организацията могат да го автоматизират до определено ниво. Тези инструменти сканират за известни уязвимости, като например отворени портове, несигурни софтуерни конфигурации или остарели версии. След сканирането трябва да се извърши анализ за валидиране, класифициране и приоритизиране на идентифицираните уязвимости за отстраняване въз основа на фактори като потенциалното въздействие на пробива, лекотата на използването на уязвимостта и важността на застрашения актив. Този непрекъснат цикъл на оценка и усъвършенстване помага на  организациите да поддържат безопасни и сигурни компютърни среди.

2.1. Уязвимости на устройства и операционни системи

Операционните системи, включително мобилните операционни системи, са често срещана цел за кибератаки. Управлението на уязвимостите в тези системи играе централна роля в операциите за киберсигурност. Уязвимостите се въвеждат от различни източници, като например недостатъци в дизайна на операционната система, грешки в нейния код или несигурни настройки по  подразбиране. Нападателите могат да се възползват от тези уязвимости, за да получат неоторизиран достъп и да нарушат работата или да откраднат чувствителна информация.

Допълнителни опасения възникват при мобилните операционни системи поради фактори, като разнообразието от устройства и версии на операционната система, заобикалянето на вградените защити в операционната система и използването на приложения, изтеглени извън официалните магазини за приложения. Идентифициране и управление на уязвимостите често включва актуализиране на операционните системи с най-новите пачове, подсигуряване и усилване на системните конфигурации и внимателно управление на потребителските привилегии и контрол на софтуерните приложения.

2.2. Уязвимости на приложения – локални и инсталирани в отдалечени (облачни) среди

Уеб приложенията и приложенията, базирани на облак, създават уникални проблеми с уязвимостите, произтичащи от различни източници, като неправилни конфигурации, несигурно кодиране и използване на компоненти на трети страни с известни уязвимости. Нападателите могат да се възползват от тези слабости, за да получат неоторизиран достъп до чувствителни данни, да нарушат функционирането на услугите или дори да компрометират цели системи. В облачна среда, моделите на споделена отговорност и архитектурите с много наематели увеличават сложността на управлението на уязвимостите.

За да се справят с тези проблеми, разработчиците и специалистите по сигурността трябва да използват утвърдени практики за безопасно кодиране, да извършват редовни оценки на уязвимостите и да прилагат надежден контрол на достъпа. Също така е от съществено значение да се поддържат актуални компонентите на трети страни и да спазват специфичните за доставчика на облачни услуги препоръки за сигурност. Чрез разбирането и проактивното управление на тези уязвимости, организациите могат да гарантират сигурността и надеждността на своите уеб и облачни приложения, и да предпазят ценни данни и ресурси от потенциални кибератаки.

2.3. Методи и действия за идентифициране на уязвимости

Сканирането на уязвимостите е основна задача в рамките на управлението на уязвимостите и използва автоматизирани процеси на сканиране за идентифициране и оценка на уязвимостите и потенциалните проблеми. Сканирането на уязвимостите се фокусира върху мрежи, операционни системи, приложения и други функционални области, за да открие известни уязвимости, включително несигурни конфигурации, остарели версии на софтуера или липсващи пачове за сигурност.

Редовното сканиране е необходимо, за да се поддържа точна картина на сигурността на организацията и за идентифициране на нови уязвимости. Информационните канали за открити заплахи играят важна роля за повишаване на ефективността на уязвимостите чрез предоставяне на информация в реално време за възникващи заплахи и новооткритите уязвимости. Информационните канали за заплахи обединяват данни от различни източници, включително изследователи в областта на киберсигурността, доставчици и световни общности по сигурността, и се интегрират в инструменти за сканиране на уязвимости, за да се подобри тяхното откриване.

Като използват каналите за заплахи, организациите могат да изпреварят заплахите и да определят приоритетите си и да се справят с най-критичните уязвимости, преди нападателите да могат да се възползват от тях.

2.4. Анализ, управление и отстраняване на уязвимости

Анализът на уязвимостите и отстраняването им са критични етапи при управление на уязвимостите. Анализът на уязвимостите включва оценка на уязвимостите за тяхното потенциално въздействие и възможност за експлоатиране. Този процес може да вземе предвид фактори като лесна експлоатация, потенциални щети от успешна експлоатация, стойност на уязвимия актив и текущата среда на заплахи.

Анализът на уязвимостите помага да се определят приоритетите на усилията за отстраняване на нередности, като се гарантира, че най-критичните уязвимостите да бъдат разгледани първо. Управлението описва как към откритите уязвимостите се предприемат мерки, за да се намали потенциалния риск от възможната им експлоатация. Техниките за намаляване на въздействието обикновено включват прилагане на пачове, промяна на конфигурациите, актуализиране на софтуера или замяна на уязвимите системи. Когато незабавното отстраняване на проблема е невъзможно, се използват компенсиращи контроли описващи алтернативни планове за намаляване на риска. Проверка дали коригирането е успешно, се извършва чрез няколко метода, включително повторно сканиране на засегнатите системи. Организациите могат значително да подобрят своята устойчивост срещу кибератаки чрез внимателно анализиране и отстраняване на уязвимостите.

Обобщение

След обучението ще можете да обобщите видовете оценки на сигурността, като например уязвимост, търсене на заплахи и тестове за проникване. Също така ще да можете да обясните общите процедури за провеждане на тези оценки.

Ще знаете как да:

  • Определяте процедурите и инструментите, които са необходими за сканиране за уязвимости. Това може да означава осигуряване на пасивни мрежови скенери, активни отдалечени или базирани на агенти скенери за мрежи, както и скенери за приложения или уеб приложения.
  • Разработвате планове за конфигуриране и поддръжка, за да осигурите актуализации на уязвимости и заплахи.
  • Извършвате преглед на резултатите от периодични сканирания, за да идентифицирате фалшиво положителни и фалшиво отрицателни резултати, като използвате преглед на логовете и допълнителна информация за CVE, за да потвърдите резултатите, ако е необходимо.
  • Планирате прегледи на конфигурацията и планове за отстраняване на нередности, като използвате CVSS за критичните уязвимости, за да определяне приоритетите на отделните действия.
  • Разгледате възможността за внедряване на платформи за анализ на заплахите, мониторинг на съветите бюлетини за нови източници на заплахи.
  • Оценявате прилагането на тестване за проникване, като се уверите, че те са правилно дефинирани и с ясен обхват на проекта.