918博天堂·(中国区)首页

    Blog
    Topic
    Vše
    AIoT
    SMB Solutions
    Products and technologies
    Industries
    Vše
    Retail
    Traffic
    Education
    Logistics
    Building
    Energy
    Manufacturing
    Sports
    Sustainability
    Business trends
    Cybersecurity
    Partner and customer experience
    Deep learning
    Thermal
    Events
    Access control
    Video Intercom
    Security Operations
    Trends
    Solution
    LED
    Resources and events
    IFPD
    Resetovat
    Search blog
    Blog
    Filter
    Cancel
    Topic
    Vše
    AIoT
    SMB Solutions
    Products and technologies
    Industries
    Vše
    Retail
    Traffic
    Education
    Logistics
    Building
    Energy
    Manufacturing
    Sports
    Sustainability
    Business trends
    Cybersecurity
    Partner and customer experience
    Deep learning
    Thermal
    Events
    Access control
    Video Intercom
    Security Operations
    Trends
    Solution
    LED
    Resources and events
    IFPD
    Resetovat
    ODESLAT

    Význam dobře vedeného programu odhalování zranitelností

    Vývoj systematického programu pro správu odhalování a opravování zranitelností je důležitou součástí dovedností každého odborníka na IT a kybernetickou bezpečnost v odvětví fyzické bezpečnosti. V tomto článku společnost Hikvision uvádí podrobnosti o procesu, který vám a vaší organizaci pomůže lépe zvládat zranitelnosti.

     

    Zranitelnosti jsou chyby, nedostatky nebo slabiny v aplikacích, operačních systémech a softwarových komponentách, které mohou aktéři hrozeb zneužít. Prostředí hrozeb se neustále rozšiřuje, co se týče složitosti a prostoru pro útoky. V roce 2022 bylo nahlášeno více než 25 000 nových běžných bezpečnostních zranitelností IT (CVE).  Od ledna do dubna 2023 dosáhl tento počet 7 489 (Statista.com). Na každém počítači, chytrém telefonu a serveru navíc běží operační systém. K tomu přispívá nárůst chytrých zařízení připojených k internetu věcí (IoT), jako jsou IP bezpečnostní kamery, chytré termostaty a chytré spotřebiče.

     

    Ve všech těchto počítačových systémech je používán software, který je třeba pravidelně aktualizovat podle toho, jak jsou objevovány nové zranitelnosti a jak dodavatelé softwaru zpřístupňují záplaty. Některé z těchto záplat se instalují automaticky, zatímco jiné vyžadují, aby je koncový uživatel softwaru nainstaloval ručně. I když máte aktualizované záplaty, je pravděpodobné, že používáte zranitelný software, ale ještě jste nenašli všechny zranitelnosti. Proto je správa zranitelností zásadní a měla by být součástí průběžného programu ve vaší organizaci.

     

    Základy správy zranitelností

    Základní struktura programu řízení zranitelností zahrnuje tyto tři prvky:

     

    1.      Objevit zranitelnost

    2.      Nahlásit to prodejci

    3.      Koordinovat zveřejnění zranitelnosti s opravou

     

    Proces začíná objevením zranitelnosti. Záškodníci (black hat) a etičtí bezpečnostní výzkumníci (white hat) neustále hledají zranitelnosti v populárním softwaru. Hackeři se snaží tyto zranitelnosti zneužít k osobnímu a finančnímu prospěchu. Etičtí výzkumníci usilují o odstranění těchto zranitelností. Když bezpečnostní výzkumník objeví zranitelnost v produktu, obvykle na ni upozorní dodavatele softwaru, který daný produkt vlastní a spravuje. Výzkumník pak ve spolupráci s dodavatelem identifikuje zranitelnost, zmírní ji vytvořením opravy a otestuje ji, aby se ujistil, že oprava zranitelnost odstraňuje. Jakmile bude tento proces dokončen, přejdeme ke zveřejňování informací.

     

    Zveřejnění zranitelnosti

    Správné zveřejnění záplaty zranitelnosti také vyžaduje zodpovědný a koordinovaný přístup. Pokud etický bezpečnostní výzkumník a dodavatel softwaru spolupracují, obě strany počkají s informováním veřejnosti o zranitelnosti, dokud není otestována funkční záplata a není k dispozici ke stažení koncovým uživatelům. Tato akce se provádí proto, aby se zabránilo zneužití zranitelnosti ze strany aktérů hrozeb. Prodejce a výzkumník se dohodnou na datu oficiálního odhalení zranitelnosti, kdy prodejce vydá veřejné prohlášení s odkazem na opravu. Jakmile bude oprava oficiálně vydána, budou ji muset koncoví uživatelé nainstalovat, aby se ujistili, že zranitelnost byla odstraněna.

     

    V počátcích počítačové vědy bylo opravování velmi nepřehledné, protože neexistovala žádná konvence pro pojmenování zranitelností. V roce 1999 se to pokusila napravit společnost Mitre Corporation vytvořením databáze CVE, která každé zranitelnosti přidělila jedinečný název. Správcům systému to značně usnadnilo život. CVE je nyní průmyslovým standardem pro identifikátory zranitelností a expozic.

     

    V únoru 2020 byla společnost Hikvision pro svůj program správy zranitelností označena společností Mitre Corporation jako Common Vulnerability and Exposures (CVE) Numbering Authority (CNA), tedy CVE CNA. Většina koncových uživatelů bezpečnostních kamer Hikvision opravila známé zranitelnosti nebo nezpřístupňuje zařízení z internetu, čímž eliminuje riziko úspěšného hackerského útoku.

     

    Role a odpovědnosti

    Všichni v odvětví fyzické bezpečnosti nesou odpovědnost za kybernetickou bezpečnost a odhalování zranitelností.

     

    Dodavatelé softwaru mohou ve spolupráci s interními týmy nebo externími zdroji posoudit vaše rizika a odhalit zranitelnosti pomocí skenovacích nástrojů nebo různých databází, jako je CVE a Národní databáze zranitelností (NVD). S vyhodnocením rizika vám může pomoci také systém CVSS (Common Vulnerability Scoring System), který umožňuje přesně vyhodnotit riziko kybernetické bezpečnosti na stupnici od "nízké 0,1-3,9" po "kritické 9,0-10,0".

     

    Snahy o zmírnění rizik v rámci celé organizace vyžadují odhalení a zodpovědné zveřejnění záplat, aby byla zajištěna robustní strategie kybernetického bezpečnostního rizika. Pochopení tohoto přístupu vám také může pomoci identifikovat a lépe reagovat na zranitelnost v budoucnu.

     

    Chcete-li se dozvědět více, stáhněte si kopii bílé knihy společnosti Hikvision o správě zranitelnosti

    Kontakt
    Hik-Partner Pro close
    Hik-Partner Pro
    Hik-Partner Pro
    Scan and download the app
    Download
    Hik-Partner Pro
    Hik-Partner Pro

    Get a better browsing experience

    You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.