ช่องโหว่ (คอมพิวเตอร์)

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา

ในการรักษาความปลอดภัยคอมพิวเตอร์เป็นช่องโหว่เป็นจุดอ่อนที่สามารถใช้ประโยชน์โดยนักแสดงภัยคุกคามเช่นโจมตีขอบเขตสิทธิ์ข้าม (เช่นดำเนินการไม่ได้รับอนุญาต) ภายในระบบคอมพิวเตอร์ ในการใช้ประโยชน์จากช่องโหว่ ผู้โจมตีต้องมีเครื่องมือหรือเทคนิคที่เกี่ยวข้องอย่างน้อยหนึ่งอย่างที่สามารถเชื่อมต่อกับจุดอ่อนของระบบ ในกรอบนี้ช่องโหว่ยังเป็นที่รู้จักกันทำร้ายผิว

การจัดการช่องโหว่คือแนวปฏิบัติที่เป็นวัฏจักรที่แตกต่างกันไปตามทฤษฎี แต่มีกระบวนการทั่วไปซึ่งรวมถึง: ค้นพบสินทรัพย์ทั้งหมด จัดลำดับความสำคัญของสินทรัพย์ ประเมินหรือดำเนินการสแกนช่องโหว่ทั้งหมด รายงานผลลัพธ์ แก้ไขช่องโหว่ ตรวจสอบการแก้ไข - ทำซ้ำ แนวทางปฏิบัตินี้โดยทั่วไปหมายถึงช่องโหว่ของซอฟต์แวร์ในระบบคอมพิวเตอร์[1]การจัดการช่องโหว่แบบ Agile หมายถึงการป้องกันการโจมตีโดยระบุช่องโหว่ทั้งหมดโดยเร็วที่สุด[2]

ความเสี่ยงด้านความปลอดภัยมักถูกจัดประเภทเป็นช่องโหว่อย่างไม่ถูกต้อง การใช้ช่องโหว่ที่มีความหมายของความเสี่ยงเหมือนกันอาจทำให้เกิดความสับสนได้ ความเสี่ยงคือศักยภาพของผลกระทบที่มีนัยสำคัญซึ่งเกิดจากการใช้ประโยชน์จากช่องโหว่ จากนั้นมีช่องโหว่ที่ไม่มีความเสี่ยง เช่น เมื่อสินทรัพย์ที่ได้รับผลกระทบไม่มีค่า ช่องโหว่ที่มีอย่างน้อยหนึ่งอินสแตนซ์ที่เป็นที่รู้จักของการทำงานและการโจมตีที่ดำเนินการอย่างเต็มที่ถูกจัดประเภทเป็นช่องโหว่ที่สามารถใช้ประโยชน์ได้ซึ่งเป็นช่องโหว่ที่มีช่องโหว่อยู่ หน้าต่างของช่องโหว่นี้เป็นเวลาเมื่อหลุมรักษาความปลอดภัยได้รับการแนะนำหรือประจักษ์ในซอฟต์แวร์ที่นำไปใช้เพื่อการเข้าถึงจะถูกลบออกแก้ไขการรักษาความปลอดภัยเป็นใช้ได้ / การใช้งานหรือโจมตีถูกปิดใช้งานได้เห็นการโจมตี zero-day

ข้อบกพร่องด้านความปลอดภัย ( ข้อบกพร่องด้านความปลอดภัย ) เป็นแนวคิดที่แคบกว่า มีช่องโหว่ที่ไม่เกี่ยวข้องกับซอฟต์แวร์: ฮาร์ดแวร์ , ไซต์ ช่องโหว่ของบุคลากรเป็นตัวอย่างของช่องโหว่ที่ไม่ใช่ข้อบกพร่องด้านความปลอดภัยของซอฟต์แวร์

โครงสร้างในภาษาโปรแกรมที่ยากต่อการใช้งานอย่างถูกต้องสามารถแสดงช่องโหว่จำนวนมากได้

คำจำกัดความ

ISO 27005กำหนดช่องโหว่ดังนี้: [3]

จุดอ่อนของสินทรัพย์หรือกลุ่มของสินทรัพย์ที่สามารถใช้ประโยชน์จากภัยคุกคามตั้งแต่หนึ่งอย่างขึ้นไป โดยที่สินทรัพย์คือสิ่งที่มีค่าต่อองค์กร การดำเนินธุรกิจ และความต่อเนื่องของสินทรัพย์ รวมถึงแหล่งข้อมูลที่สนับสนุนภารกิจขององค์กร[4]

ช่องโหว่IETF RFC 4949 เป็น: [5]

ข้อบกพร่องหรือจุดอ่อนในการออกแบบระบบ การใช้งาน หรือการดำเนินงานและการจัดการของระบบ ที่อาจนำไปใช้เพื่อละเมิดนโยบายความปลอดภัยของระบบ

คณะกรรมการเกี่ยวกับระบบรักษาความปลอดภัยแห่งชาติ ของสหรัฐอเมริกากำหนดช่องโหว่ในการเรียนการสอน CNSS เลขที่ 4009 ลงวันที่ 26 เมษายน 2010 แห่งชาติประกันข้อมูลคำศัพท์ : [6]

ช่องโหว่—จุดอ่อนในระบบข้อมูล กระบวนการรักษาความปลอดภัยของระบบ การควบคุมภายใน หรือการใช้งานที่แหล่งภัยคุกคามสามารถใช้ประโยชน์ได้

สิ่งพิมพ์NISTจำนวนมากกำหนดช่องโหว่ในบริบทของไอทีในสิ่งพิมพ์ต่างๆ: FISMApedia [7]ระยะ[8]ให้รายการ ระหว่างพวกเขา SP 800-30, [9]ให้กว้างกว่า:

ข้อบกพร่องหรือจุดอ่อนในกระบวนการรักษาความปลอดภัยของระบบ การออกแบบ การนำไปใช้ หรือการควบคุมภายในที่สามารถนำมาใช้ได้ (โดยไม่ได้ตั้งใจหรือตั้งใจเอาเปรียบ) และส่งผลให้เกิดการละเมิดความปลอดภัยหรือการละเมิดนโยบายความปลอดภัยของระบบ

ENISAกำหนดช่องโหว่ใน[10]เป็น:

การมีอยู่ของจุดอ่อน การออกแบบ หรือข้อผิดพลาดในการใช้งานที่อาจนำไปสู่เหตุการณ์ที่ไม่คาดคิดและไม่พึงปรารถนา [G.11] ซึ่งส่งผลต่อความปลอดภัยของระบบคอมพิวเตอร์ เครือข่าย แอปพลิเคชัน หรือโปรโตคอลที่เกี่ยวข้อง (ITSEC)

Open Groupกำหนดช่องโหว่ใน[11] as

น่าจะเป็นที่ความสามารถในการคุกคามเกินความสามารถในการต่อต้านภัยคุกคาม

การวิเคราะห์ปัจจัยความเสี่ยงด้านข้อมูล (FAIR) กำหนดช่องโหว่ดังนี้: [12]

ความน่าจะเป็นที่สินทรัพย์จะไม่สามารถต้านทานการกระทำของตัวแทนภัยคุกคามได้

ตามช่องโหว่ของ FAIR เกี่ยวข้องกับความแรงของการควบคุม กล่าวคือ ความแรงของการควบคุมเมื่อเปรียบเทียบกับการวัดกำลังมาตรฐานและความสามารถในการคุกคามเช่น ระดับกำลังที่น่าจะเป็นที่ตัวแทนภัยคุกคามสามารถใช้กับสินทรัพย์ได้

ISACAกำหนดช่องโหว่ในกรอบความเสี่ยงเป็น:

จุดอ่อนในการออกแบบ การนำไปปฏิบัติ การปฏิบัติงาน หรือการควบคุมภายใน

ความปลอดภัยของข้อมูลและคอมพิวเตอร์: พจนานุกรมแนวคิดและข้อกำหนดมาตรฐาน ผู้เขียน Dennis Longley และ Michael Shain, Stockton Press, ISBN  0-935859-17-9กำหนดช่องโหว่ดังนี้:

1) ในการรักษาความปลอดภัยคอมพิวเตอร์ จุดอ่อนในกระบวนการรักษาความปลอดภัยของระบบอัตโนมัติ การควบคุมดูแลระบบ การควบคุมอินเทอร์เน็ต ฯลฯ ที่อาจถูกโจมตีโดยภัยคุกคามเพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือขัดขวางการประมวลผลที่สำคัญ 2) ในการรักษาความปลอดภัยคอมพิวเตอร์ จุดอ่อนในการจัดวางทางกายภาพ องค์กร ขั้นตอน บุคลากร การจัดการ การบริหาร ฮาร์ดแวร์หรือซอฟต์แวร์ที่อาจนำไปใช้เพื่อก่อให้เกิดอันตรายต่อระบบหรือกิจกรรมของ ADP 3) ในการรักษาความปลอดภัยคอมพิวเตอร์ จุดอ่อนหรือข้อบกพร่องใดๆ ที่มีอยู่ในระบบ การโจมตีหรือเหตุการณ์ที่เป็นอันตรายหรือโอกาสที่ตัวแทนภัยคุกคามสามารถโจมตีได้

Matt Bishop และ Dave Bailey [13]ให้คำจำกัดความของช่องโหว่ของคอมพิวเตอร์ดังต่อไปนี้:

ระบบคอมพิวเตอร์ประกอบด้วยสถานะที่อธิบายการกำหนดค่าปัจจุบันของเอนทิตีที่ประกอบขึ้นเป็นระบบคอมพิวเตอร์ ระบบจะคำนวณโดยใช้การเปลี่ยนสถานะที่เปลี่ยนสถานะของระบบ ทุกสถานะที่สามารถเข้าถึงได้จากสถานะเริ่มต้นที่กำหนดโดยใช้ชุดของการเปลี่ยนสถานะจะจัดอยู่ในประเภทที่ได้รับอนุญาตหรือไม่ได้รับอนุญาต ตามที่กำหนดโดยนโยบายความปลอดภัย ในบทความนี้ คำจำกัดความของคลาสและทรานซิชันเหล่านี้ถือเป็นสัจธรรม รัฐที่มีช่องโหว่คือรัฐที่ได้รับอนุญาตซึ่งสามารถเข้าถึงสถานะที่ไม่ได้รับอนุญาตได้โดยใช้การเปลี่ยนสถานะที่ได้รับอนุญาต รัฐประนีประนอมคือรัฐที่เข้าถึงได้ การโจมตีคือลำดับของการเปลี่ยนสถานะที่ได้รับอนุญาตซึ่งจบลงด้วยสถานะที่ถูกบุกรุก ตามคำจำกัดความ การโจมตีเริ่มต้นในสถานะที่เปราะบางความเปราะบางเป็นลักษณะเฉพาะของรัฐที่เปราะบางซึ่งแยกความแตกต่างออกจากสถานะที่ไม่เสี่ยงทั้งหมด หากเป็นลักษณะทั่วไป ความเปราะบางอาจบ่งบอกถึงสถานะที่เปราะบางหลายอย่าง ถ้าเจาะจงก็อาจจะบอกลักษณะได้เพียงข้อเดียว...

ศูนย์ฝึกอบรมและการศึกษาประกันข้อมูลแห่งชาติกำหนดช่องโหว่ : [14] [15]

จุดอ่อนในกระบวนการรักษาความปลอดภัยของระบบอัตโนมัติ การควบคุมดูแลระบบ การควบคุมภายใน และอื่นๆ ที่อาจถูกโจมตีโดยภัยคุกคามเพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือขัดขวางการประมวลผลที่สำคัญ 2. จุดอ่อนในกระบวนการรักษาความปลอดภัยของระบบ การออกแบบฮาร์ดแวร์ การควบคุมภายใน ฯลฯ ซึ่งสามารถนำไปใช้เพื่อเข้าถึงข้อมูลลับหรือข้อมูลที่ละเอียดอ่อนได้โดยไม่ได้รับอนุญาต 3. จุดอ่อนในรูปแบบทางกายภาพ องค์กร ขั้นตอน บุคลากร การจัดการ การบริหาร ฮาร์ดแวร์ หรือซอฟต์แวร์ ที่อาจนำไปใช้ให้เกิดอันตรายต่อระบบหรือกิจกรรมของ ADP การมีอยู่ของช่องโหว่นั้นไม่ได้ก่อให้เกิดอันตรายในตัวเอง ช่องโหว่เป็นเพียงเงื่อนไขหรือชุดเงื่อนไขที่อาจทำให้ระบบ ADP หรือกิจกรรมได้รับอันตรายจากการโจมตี 4.การยืนยันที่เกี่ยวข้องกับเอนทิตีของสภาพแวดล้อมภายในเป็นหลัก (สินทรัพย์) เรากล่าวว่าสินทรัพย์ (หรือประเภทของสินทรัพย์) มีความเสี่ยง (ในทางใดทางหนึ่ง อาจเกี่ยวข้องกับตัวแทนหรือการรวบรวมตัวแทน) เราเขียน: V(i,e) โดยที่: e อาจเป็นเซตว่าง 5. ความอ่อนไหวต่อภัยคุกคามต่างๆ 6. ชุดคุณสมบัติของนิติบุคคลภายในเฉพาะที่รวมกันกับชุดคุณสมบัติของนิติบุคคลภายนอกที่เฉพาะเจาะจง แสดงถึงความเสี่ยง 7. ลักษณะของระบบที่ทำให้เกิดการเสื่อมสภาพที่ชัดเจน (ไม่สามารถปฏิบัติภารกิจที่กำหนดได้) อันเป็นผลมาจากการได้รับผลกระทบจากสภาพแวดล้อมที่ไม่เป็นธรรมชาติ (ที่มนุษย์สร้างขึ้น) ในระดับหนึ่งe อาจเป็นเซตว่าง 5. ความอ่อนไหวต่อภัยคุกคามต่างๆ 6. ชุดคุณสมบัติของนิติบุคคลภายในเฉพาะที่รวมกันกับชุดคุณสมบัติของนิติบุคคลภายนอกที่เฉพาะเจาะจง แสดงถึงความเสี่ยง 7. ลักษณะของระบบที่ทำให้เกิดการเสื่อมสภาพที่ชัดเจน (ไม่สามารถปฏิบัติภารกิจที่กำหนดได้) อันเป็นผลมาจากการได้รับผลกระทบจากสภาพแวดล้อมที่ไม่เป็นธรรมชาติ (ที่มนุษย์สร้างขึ้น) ในระดับหนึ่งe อาจเป็นเซตว่าง 5. ความอ่อนไหวต่อภัยคุกคามต่างๆ 6. ชุดคุณสมบัติของนิติบุคคลภายในเฉพาะที่รวมกันกับชุดคุณสมบัติของนิติบุคคลภายนอกที่เฉพาะเจาะจง แสดงถึงความเสี่ยง 7. ลักษณะของระบบที่ทำให้เกิดการเสื่อมสภาพที่ชัดเจน (ไม่สามารถปฏิบัติภารกิจที่กำหนดได้) อันเป็นผลมาจากการได้รับผลกระทบจากสภาพแวดล้อมที่ไม่เป็นธรรมชาติ (ที่มนุษย์สร้างขึ้น) ในระดับหนึ่งลักษณะของระบบที่ทำให้มันเสื่อมโทรม (ไม่สามารถปฏิบัติภารกิจที่กำหนดได้) อันเป็นผลมาจากการได้รับผลกระทบจากสภาพแวดล้อมที่ไม่เป็นธรรมชาติ (ที่มนุษย์สร้างขึ้น) ในระดับหนึ่งลักษณะของระบบที่ทำให้มันเสื่อมโทรม (ไม่สามารถปฏิบัติภารกิจที่กำหนดได้) อันเป็นผลมาจากการได้รับผลกระทบจากสภาพแวดล้อมที่ไม่เป็นธรรมชาติ (ที่มนุษย์สร้างขึ้น) ในระดับหนึ่ง

แบบจำลองช่องโหว่และปัจจัยเสี่ยง

ทรัพยากร (ทั้งทางกายภาพหรือเชิงตรรกะ) อาจมีช่องโหว่อย่างน้อยหนึ่งจุดที่สามารถใช้ประโยชน์ได้โดยผู้คุกคาม ผลที่ได้อาจจะประนีประนอมความลับ , ความสมบูรณ์หรือความพร้อมของทรัพยากร (ไม่จำเป็นต้องมีความเสี่ยงอย่างใดอย่างหนึ่ง) ที่อยู่ในองค์กรและ / หรือบุคคลอื่น ๆ ที่เกี่ยวข้อง (ลูกค้าซัพพลายเออร์) ที่เรียกว่าซีไอเอสามเป็นรากฐานที่สำคัญของการรักษาความปลอดภัยข้อมูล

การโจมตีสามารถเปิดใช้งานได้เมื่อพยายามเปลี่ยนแปลงทรัพยากรระบบหรือส่งผลกระทบต่อการดำเนินงาน กระทบต่อความสมบูรณ์หรือความพร้อมใช้งาน " การโจมตีแบบพาสซีฟ " พยายามที่จะเรียนรู้หรือใช้ประโยชน์จากข้อมูลจากระบบแต่ไม่กระทบต่อทรัพยากรของระบบ ซึ่งส่งผลต่อการรักษาความลับ [5]

OWASP: ความสัมพันธ์ระหว่างตัวแทนภัยคุกคามและผลกระทบทางธุรกิจ

OWASP (ดูรูป) แสดงให้เห็นปรากฏการณ์เดียวกันในแง่ที่แตกต่างกันเล็กน้อย: ตัวแทนภัยคุกคามผ่านเวกเตอร์การโจมตีหาประโยชน์จากจุดอ่อน (ช่องโหว่) ของระบบและการควบคุมความปลอดภัยที่เกี่ยวข้อง ทำให้เกิดผลกระทบทางเทคนิคต่อทรัพยากรไอที (สินทรัพย์) ที่เชื่อมต่อกับ ผลกระทบทางธุรกิจ

ภาพรวมแสดงถึงปัจจัยเสี่ยงของสถานการณ์ความเสี่ยง [16]

ระบบการจัดการความปลอดภัยของข้อมูล

ชุดของนโยบายที่เกี่ยวข้องกับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ได้รับการพัฒนาเพื่อจัดการตามหลักการบริหารความเสี่ยงมาตรการรับมือเพื่อให้แน่ใจว่ามีการกำหนดกลยุทธ์ด้านความปลอดภัยตามกฎและข้อบังคับที่บังคับใช้กับองค์กรที่กำหนด ตอบโต้เหล่านี้เรียกว่าการควบคุมการรักษาความปลอดภัยแต่เมื่อนำไปใช้กับการส่งข้อมูลที่พวกเขาจะเรียกว่าบริการรักษาความปลอดภัย [17]

การจำแนกประเภท

ช่องโหว่ถูกจำแนกตามประเภทสินทรัพย์ที่เกี่ยวข้องกับ: [3]

  • ฮาร์ดแวร์
    • ความไวต่อความชื้นหรือฝุ่นละออง
    • ความไวต่อการจัดเก็บที่ไม่มีการป้องกัน
    • การสึกหรอตามอายุที่ทำให้เกิดความล้มเหลว
    • ความร้อนสูงเกินไป
  • ซอฟต์แวร์
  • เครือข่าย
  • บุคลากร
  • ไซต์ทางกายภาพ
    • พื้นที่ที่เกิดภัยธรรมชาติ (เช่น น้ำท่วม แผ่นดินไหว)
    • การหยุดชะงักของแหล่งพลังงาน
  • องค์กร
    • ขาดการตรวจสอบเป็นประจำ
    • ขาดแผนความต่อเนื่อง
    • ขาดความปลอดภัย

สาเหตุ

  • ซับซ้อน: ขนาดใหญ่, ระบบที่ซับซ้อนเพิ่มขึ้นน่าจะเป็นของข้อบกพร่องและไม่ได้ตั้งใจจุดเชื่อมต่อ [18]
  • ความคุ้นเคย: การใช้รหัส ซอฟต์แวร์ ระบบปฏิบัติการ และ/หรือฮาร์ดแวร์ที่เป็นที่รู้จักทั่วไป ช่วยเพิ่มโอกาสที่ผู้โจมตีจะมีหรือสามารถค้นหาความรู้และเครื่องมือเพื่อใช้ประโยชน์จากข้อบกพร่อง (19)
  • การเชื่อมต่อ: การเชื่อมต่อทางกายภาพ สิทธิพิเศษ พอร์ต โปรโตคอล และบริการและเวลาที่เข้าถึงได้จะเพิ่มช่องโหว่ (12)
  • ข้อบกพร่องในการจัดการรหัสผ่าน: ผู้ใช้คอมพิวเตอร์ใช้รหัสผ่านที่ไม่รัดกุมซึ่งสามารถค้นพบได้โดยใช้กำลังเดรัจฉาน [20] ผู้ใช้คอมพิวเตอร์เก็บรหัสผ่านบนคอมพิวเตอร์ที่โปรแกรมสามารถเข้าถึงได้ ผู้ใช้ใช้รหัสผ่านซ้ำระหว่างหลายโปรแกรมและเว็บไซต์ [18]
  • ข้อบกพร่องในการออกแบบระบบปฏิบัติการขั้นพื้นฐาน: ผู้ออกแบบระบบปฏิบัติการเลือกที่จะบังคับใช้นโยบายที่ไม่เหมาะสมในการจัดการผู้ใช้/โปรแกรม ตัวอย่างเช่น ระบบปฏิบัติการที่มีนโยบายเช่นการอนุญาตเริ่มต้นจะอนุญาตให้ทุกโปรแกรมและผู้ใช้ทุกคนเข้าถึงคอมพิวเตอร์ทั้งหมดได้อย่างเต็มที่ [18]ข้อบกพร่องของระบบปฏิบัติการนี้ทำให้ไวรัสและมัลแวร์สามารถรันคำสั่งในนามของผู้ดูแลระบบได้ [21]
  • การท่องเว็บไซต์ทางอินเทอร์เน็ต: เว็บไซต์อินเทอร์เน็ตบางแห่งอาจมีสปายแวร์หรือแอดแวร์ที่เป็นอันตรายซึ่งสามารถติดตั้งได้โดยอัตโนมัติในระบบคอมพิวเตอร์ หลังจากเยี่ยมชมเว็บไซต์เหล่านั้น ระบบคอมพิวเตอร์จะติดไวรัสและข้อมูลส่วนบุคคลจะถูกรวบรวมและส่งต่อไปยังบุคคลภายนอก [22]
  • ข้อบกพร่องของซอฟต์แวร์ : โปรแกรมเมอร์ทิ้งจุดบกพร่องที่สามารถใช้ประโยชน์ได้ในโปรแกรมซอฟต์แวร์ ข้อบกพร่องของซอฟต์แวร์อาจทำให้ผู้โจมตีใช้แอปพลิเคชันในทางที่ผิด [18]
  • Unchecked user input : โปรแกรมจะถือว่าการป้อนข้อมูลของผู้ใช้ทั้งหมดนั้นปลอดภัย โปรแกรมที่ไม่ตรวจสอบอินพุตของผู้ใช้อาจอนุญาตให้เรียกใช้คำสั่งหรือคำสั่ง SQL โดยตรงโดยไม่ได้ตั้งใจ (เรียกว่าBuffer overflows , SQL injectionหรืออินพุตที่ไม่ผ่านการตรวจสอบอื่นๆ) [18]
  • ไม่เรียนรู้จากความผิดพลาดในอดีต: [23] [24]ตัวอย่างเช่น ช่องโหว่ส่วนใหญ่ที่พบในซอฟต์แวร์โปรโตคอลIPv4ถูกค้นพบในการใช้งานIPv6ใหม่ [25]

การวิจัยพบว่าจุดที่เปราะบางที่สุดในระบบข้อมูลส่วนใหญ่คือผู้ใช้ที่เป็นมนุษย์ ผู้ปฏิบัติงาน นักออกแบบ หรือมนุษย์อื่นๆ[26]ดังนั้น มนุษย์จึงควรได้รับการพิจารณาในบทบาทต่างๆ ของพวกเขาในฐานะสินทรัพย์ ภัยคุกคาม แหล่งข้อมูล วิศวกรรมสังคมเป็นปัญหาด้านความปลอดภัยที่เพิ่มขึ้น

ผลที่ตามมา

ผลกระทบของการละเมิดความปลอดภัยอาจสูงมาก[27]กฎหมายส่วนใหญ่มองว่าความล้มเหลวของผู้จัดการไอทีในการจัดการกับช่องโหว่ของระบบไอทีและแอปพลิเคชันหากพวกเขารู้ว่าเป็นการประพฤติมิชอบ ผู้จัดการฝ่ายไอทีมีความรับผิดชอบในการจัดการความเสี่ยงด้านไอที [28] กฎหมายความเป็นส่วนตัวบังคับให้ผู้จัดการดำเนินการเพื่อลดผลกระทบหรือความเป็นไปได้ของความเสี่ยงด้านความปลอดภัยนั้นการตรวจสอบความปลอดภัยของเทคโนโลยีสารสนเทศเป็นวิธีที่จะให้บุคคลอิสระอื่น ๆ รับรองว่าสภาพแวดล้อมไอทีได้รับการจัดการอย่างเหมาะสมและลดความรับผิดชอบ อย่างน้อยก็แสดงให้เห็นโดยสุจริตการทดสอบการเจาะเป็นรูปแบบการตรวจสอบจุดอ่อนและมาตรการรับมือที่องค์กรนำไปใช้: หมวกขาวแฮ็กเกอร์พยายามโจมตีสินทรัพย์เทคโนโลยีสารสนเทศขององค์กร เพื่อค้นหาว่าการประนีประนอมการรักษาความปลอดภัยไอทีนั้นง่ายหรือยากเพียงใด [29]วิธีที่เหมาะสมในการจัดการความเสี่ยงด้านไอทีอย่างมืออาชีพคือการนำระบบการจัดการความปลอดภัยของข้อมูลมาใช้ เช่นISO/IEC 27002หรือRisk ITและปฏิบัติตามตามกลยุทธ์ด้านความปลอดภัยที่กำหนดโดยผู้บริหารระดับสูง [17]

แนวคิดหลักประการหนึ่งของการรักษาความปลอดภัยของข้อมูลคือหลักการป้องกันในเชิงลึกกล่าวคือ การจัดตั้งระบบป้องกันหลายชั้นที่สามารถ: [27]

  • ป้องกันการเอารัดเอาเปรียบ
  • ตรวจจับและสกัดกั้นการโจมตี
  • หาตัวผู้คุกคามและดำเนินคดีกับพวกเขา

ระบบตรวจจับการบุกรุกเป็นตัวอย่างของชั้นเรียนของระบบที่ใช้ในการตรวจจับการโจมตี

การรักษาความปลอดภัยทางกายภาพคือชุดของมาตรการในการปกป้องทรัพย์สินทางข้อมูลทางกายภาพ: หากใครก็ตามสามารถเข้าถึงสินทรัพย์ข้อมูลทางกายภาพได้ เป็นที่ยอมรับกันโดยทั่วไปว่าผู้โจมตีสามารถเข้าถึงข้อมูลใด ๆ ในนั้นหรือทำให้ทรัพยากรไม่พร้อมใช้งานสำหรับผู้ใช้ที่ถูกกฎหมาย

เกณฑ์บางชุดที่คอมพิวเตอร์ ระบบปฏิบัติการ และแอปพลิเคชันต้องปฏิบัติตามเพื่อให้เป็นไปตามระดับความปลอดภัยที่ดีได้รับการพัฒนาขึ้น: ITSECและเกณฑ์ทั่วไปเป็นตัวอย่างสองประการ

การเปิดเผยช่องโหว่

การเปิดเผยข้อมูลร่วมกัน (บางคนเรียกว่า ' การเปิดเผยอย่างรับผิดชอบ ' แต่ถือเป็นคำที่มีอคติโดยผู้อื่น) ของช่องโหว่เป็นหัวข้อที่ถกเถียงกันอย่างมาก ตามที่รายงานโดย The Tech Herald ในเดือนสิงหาคม 2010 " Google , Microsoft , TippingPointและRapid7ได้ออกแนวทางปฏิบัติและแถลงการณ์ที่ระบุว่าพวกเขาจะจัดการกับการเปิดเผยข้อมูลอย่างไรในอนาคต" [30]อีกวิธีหนึ่งโดยทั่วไปคือการเปิดเผยอย่างเต็มรูปแบบเมื่อมีการเผยแพร่รายละเอียดทั้งหมดของช่องโหว่ บางครั้งมีเจตนาที่จะกดดันผู้เขียนซอฟต์แวร์ให้เผยแพร่การแก้ไขได้เร็วขึ้น ในเดือนมกราคม 2014 เมื่อ Google เปิดเผยช่องโหว่ของ Microsoft ก่อนที่ Microsoft จะออกแพตช์เพื่อแก้ไข ตัวแทนของ Microsoft เรียกร้องให้มีแนวทางปฏิบัติร่วมกันระหว่างบริษัทซอฟต์แวร์ในการเปิดเผยการเปิดเผยข้อมูล [31]

รายการช่องโหว่

ใส่คอร์ปอเรชั่นรักษารายการที่ไม่สมบูรณ์ของช่องโหว่การเปิดเผยต่อสาธารณชนในระบบที่เรียกว่าช่องโหว่ที่พบบ่อยและการแสดงผล ข้อมูลนี้จะถูกใช้ร่วมกันได้ทันทีกับสถาบันมาตรฐานและเทคโนโลยี (NIST) ซึ่งช่องโหว่แต่ละคนจะได้รับคะแนนความเสี่ยงโดยใช้ร่วมกันช่องโหว่ระบบการให้คะแนน (CVSS) สามัญแพลตฟอร์มการแจงนับ (CPE) โครงการและร่วมกันอ่อนตัวแจงนับ

OWASP เก็บรักษารายการของคลาสช่องโหว่โดยมีวัตถุประสงค์เพื่อให้ความรู้แก่นักออกแบบระบบและโปรแกรมเมอร์ ดังนั้นจึงลดโอกาสที่ช่องโหว่จะถูกเขียนลงในซอฟต์แวร์โดยไม่ได้ตั้งใจ (32)

วันที่เปิดเผยช่องโหว่

เวลาในการเปิดเผยช่องโหว่นั้นกำหนดไว้แตกต่างกันในชุมชนความปลอดภัยและอุตสาหกรรม โดยทั่วไปเรียกว่า "การเปิดเผยข้อมูลความปลอดภัยแบบสาธารณะโดยบุคคลบางฝ่าย" โดยปกติ ข้อมูลช่องโหว่จะถูกกล่าวถึงในรายชื่อผู้รับจดหมายหรือเผยแพร่บนเว็บไซต์การรักษาความปลอดภัย และส่งผลให้เกิดคำแนะนำด้านความปลอดภัยในภายหลัง

เวลาของการเปิดเผยข้อมูลเป็นวันแรกช่องโหว่ความปลอดภัยมีการอธิบายไว้ในช่องทางที่เปิดเผยข้อมูลเกี่ยวกับช่องโหว่ที่มีการตอบสนองความต้องการต่อไปนี้:

  • ข้อมูลสามารถเปิดเผยต่อสาธารณะได้อย่างอิสระ
  • ข้อมูลช่องโหว่นี้เผยแพร่โดยช่อง/แหล่งที่มาที่เชื่อถือได้และเป็นอิสระ
  • ช่องโหว่ดังกล่าวได้รับการวิเคราะห์โดยผู้เชี่ยวชาญเพื่อให้ข้อมูลการจัดอันดับความเสี่ยงรวมอยู่ในการเปิดเผย
การระบุและลบช่องโหว่

มีเครื่องมือซอฟต์แวร์มากมายที่สามารถช่วยในการค้นพบ (และบางครั้งก็ลบ) ช่องโหว่ในระบบคอมพิวเตอร์ แม้ว่าเครื่องมือเหล่านี้จะช่วยให้ผู้ตรวจสอบเห็นภาพรวมที่ดีของช่องโหว่ที่อาจเกิดขึ้นได้ แต่ก็ไม่สามารถแทนที่วิจารณญาณของมนุษย์ได้ การใช้สแกนเนอร์เพียงอย่างเดียวจะทำให้เกิดผลบวกที่ผิดพลาดและมุมมองที่จำกัดของปัญหาที่มีอยู่ในระบบ

พบช่องโหว่ในทุกระบบปฏิบัติการหลัก[33]รวมถึงWindows , macOS , UnixและLinuxรูปแบบต่างๆ, OpenVMSและอื่นๆ วิธีเดียวที่จะลดโอกาสที่ช่องโหว่จะถูกใช้กับระบบคือผ่านความระมัดระวังอย่างต่อเนื่อง รวมถึงการบำรุงรักษาระบบอย่างระมัดระวัง (เช่น การใช้แพตช์ซอฟต์แวร์) แนวทางปฏิบัติที่ดีที่สุดในการปรับใช้ (เช่น การใช้ไฟร์วอลล์และการควบคุมการเข้าถึง ) และการตรวจสอบ (ทั้งในระหว่าง การพัฒนาและตลอดวงจรการใช้งาน)

สถานที่ที่มีช่องโหว่

ช่องโหว่มีความเกี่ยวข้องและสามารถปรากฏใน:

  • สภาพแวดล้อมทางกายภาพของระบบ
  • บุคลากร (เช่น พนักงาน ผู้บริหาร)
  • ขั้นตอนการบริหารและนโยบายความปลอดภัย
  • การดำเนินธุรกิจและการส่งมอบบริการ
  • ฮาร์ดแวร์รวมถึงอุปกรณ์ต่อพ่วง[34] [35]
  • ซอฟต์แวร์ (เช่น ในสถานที่หรือในระบบคลาวด์)
  • การเชื่อมต่อ (เช่น อุปกรณ์สื่อสารและสิ่งอำนวยความสะดวก)

เห็นได้ชัดว่าวิธีการทางเทคนิคที่บริสุทธิ์ไม่สามารถปกป้องทรัพย์สินทางกายภาพได้เสมอไป: ควรมีขั้นตอนการบริหารเพื่อให้เจ้าหน้าที่บำรุงรักษาเข้าไปในสถานที่และผู้ที่มีความรู้เพียงพอเกี่ยวกับขั้นตอนและมีแรงจูงใจให้ปฏิบัติตามด้วยความระมัดระวังอย่างเหมาะสม อย่างไรก็ตาม การป้องกันทางเทคนิคไม่ได้หยุดการโจมตีด้านวิศวกรรมสังคม (ความปลอดภัย)เสมอไป

ตัวอย่างของช่องโหว่:

  • ผู้โจมตีพบและใช้จุดอ่อนของบัฟเฟอร์ล้นเพื่อติดตั้งมัลแวร์เพื่อกรองข้อมูลที่ละเอียดอ่อน
  • ผู้โจมตีเกลี้ยกล่อมให้ผู้ใช้เปิดข้อความอีเมลที่มีมัลแวร์แนบ
  • น้ำท่วมทำลายระบบคอมพิวเตอร์ที่ติดตั้งที่ชั้นล่าง

ช่องโหว่ของซอฟต์แวร์

ข้อบกพร่องของซอฟต์แวร์ประเภททั่วไปที่นำไปสู่ช่องโหว่ ได้แก่:

แนวทางการเข้ารหัสบางชุดได้รับการพัฒนาและมีการใช้เครื่องวิเคราะห์รหัสคงที่จำนวนมากเพื่อตรวจสอบว่ารหัสเป็นไปตามแนวทางปฏิบัติหรือไม่

ดูเพิ่มเติม

อ้างอิง

  1. ^ "วงจรการจัดการช่องโหว่ | NPCR | CDC" . www.cdc.gov . 2019-03-12 . สืบค้นเมื่อ2020-07-04 .
  2. ^ ติง อารอน ยี่; เดอเชซุส, จานลูก้า ลิมง; แยนเซ่น, มาริจน์ (2019). "แฮ็คจริยธรรมสำหรับการส่งเสริมการจัดการความเสี่ยง IOT: ดูครั้งแรกในโปรแกรมโปรดปรานข้อผิดพลาดและการเปิดเผยข้อมูลที่รับผิดชอบ" การประชุมวิชาการระหว่างประเทศที่แปดในการสื่อสารโทรคมนาคมและการสำรวจระยะไกล - ICTRS '19 ไอซีที '19. Rhodes, กรีซ: ACM Press: 49–55 arXiv : 1909.11166 . ดอย : 10.1145/3357767.3357774 . ISBN 978-1-4503-7669-3. S2CID  202676146 .
  3. ^ a b ISO/IEC, "เทคโนโลยีสารสนเทศ -- เทคนิคความปลอดภัย-การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล" ISO/IEC FIDIS 27005:2008
  4. สถาบันมาตรฐานอังกฤษ เทคโนโลยีสารสนเทศ -- เทคนิคความปลอดภัย -- การจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและการสื่อสาร -- ส่วนที่ 1: แนวคิดและแบบจำลองสำหรับการจัดการความปลอดภัยของเทคโนโลยีสารสนเทศและการสื่อสาร BS ISO/IEC 13335-1-2004
  5. ^ a b Internet Engineering Task Force RFC 4949 อภิธานศัพท์ความปลอดภัยทางอินเทอร์เน็ต เวอร์ชัน 2
  6. ^ "คำสั่ง CNSS เลขที่ 4009" (PDF) . 26 เมษายน 2553 เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2013-06-28
  7. ^ "FISMApedia" . fistapedia.org .
  8. ^ "ระยะ: ช่องโหว่" . fistapedia.org .
  9. ^ NIST SP 800-30 คู่มือการบริหารความเสี่ยงสำหรับระบบเทคโนโลยีสารสนเทศ
  10. ^ "อภิธานศัพท์" . europa.eu .
  11. ^ อนุกรมวิธานความเสี่ยงทางเทคนิคมาตรฐาน ISBN 1-931624-77-1หมายเลขเอกสาร: C081 เผยแพร่โดย The Open Group, มกราคม 2009 
  12. a b "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, พฤศจิกายน 2549 เก็บถาวร 2014-11-18 ที่Wayback Machine ;
  13. แมตต์ บิชอป และ เดฟ เบลีย์. การวิเคราะห์เชิงวิพากษ์ของอนุกรมวิธานความเปราะบาง รายงานทางเทคนิค CSE-96-11, Department of Computer Science at the University of California at Davis, กันยายน 1996
  14. ^ ชู, คอรีย์ (1996). คู่มือข้อกำหนดของ INFOSEC เวอร์ชัน 2.0 ซีดีรอม (มหาวิทยาลัยแห่งรัฐไอดาโฮและองค์กรความปลอดภัยระบบสารสนเทศ)
  15. ^ อภิธานศัพท์ NIATEC
  16. ^ ISACA THE RISK IT FRAMEWORK (ต้องลงทะเบียน) เก็บถาวร 5 กรกฎาคม 2010 ที่ Wayback Machine
  17. อรรถเป็น ไรท์ โจ; Harmening, จิม (2009). "15" ใน Vacca จอห์น (บรรณาธิการ). คอมพิวเตอร์และความปลอดภัยของข้อมูลคู่มือ สิ่งพิมพ์ของมอร์แกน คอฟมานน์ Elsevier Inc. พี. 257. ISBN 978-0-12-374354-1.
  18. ^ Kakareka, Almantas (2009) "23" ใน Vacca จอห์น (บรรณาธิการ). คอมพิวเตอร์และความปลอดภัยของข้อมูลคู่มือ สิ่งพิมพ์ของมอร์แกน คอฟมานน์ Elsevier Inc. พี. 393. ISBN 978-0-12-374354-1.
  19. ^ Krsul อีวาน (15 เมษายน 1997) "รายงานเทคนิค CSD-TR-97-026" ห้องปฏิบัติการ COAST ภาควิชาวิทยาการคอมพิวเตอร์ มหาวิทยาลัย Purdue CiteSeerX 10.1.1.26.5435 .  Cite journal requires |journal= (help)
  20. ^ เพาลีคาร์เรน (16 มกราคม 2017) "แค่ยอมแพ้: 123456 ยังคงเป็นรหัสผ่านที่ได้รับความนิยมมากที่สุดในโลก" . ทะเบียน. สืบค้นเมื่อ2017-01-17 .
  21. ^ "หกความคิดที่โง่ที่สุดในการรักษาความปลอดภัยคอมพิวเตอร์" . ranum.com
  22. ^ "สมาคมรักษาความปลอดภัยเว็บแอปพลิเคชัน / สถิติความปลอดภัยของแอปพลิเคชันเว็บ" . webappsec.org
  23. รอสส์ แอนเดอร์สัน. ทำไม Cryptosystems ถึงล้มเหลว รายงานทางเทคนิค, University Computer Laboratory, Cambridge, มกราคม 1994
  24. ^ นีล Schlager เมื่อเทคโนโลยีล้มเหลว: ภัยพิบัติทางเทคโนโลยีที่สำคัญ อุบัติเหตุ และความล้มเหลวของศตวรรษที่ยี่สิบ เกล รีเสิร์ช อิงค์, 1994.
  25. ^ การแฮ็ก: ศิลปะแห่งการเอารัดเอาเปรียบ Second Edition
  26. ^ Kiountouzis, อีเอ; Kokolakis, SA (31 พฤษภาคม 2539) ความปลอดภัยของระบบสารสนเทศ : เผชิญหน้ากับสังคมสารสนเทศแห่งศตวรรษที่ 21 . ลอนดอน: Chapman & Hall , Ltd. ISBN  0-412-78120-4.
  27. ^ a b Rasmussen, Jeremy (12 กุมภาพันธ์ 2018) "วิธีปฏิบัติที่ดีที่สุดสำหรับ Cybersecurity: Stay ไซเบอร์สมาร์ท" การตัดสินใจเทค สืบค้นเมื่อ18 กันยายน 2020 .
  28. ^ "ช่องโหว่คืออะไร - ฐานความรู้ - ICTEA" . www.ictea.com . สืบค้นเมื่อ2021-04-03 .
  29. ^ Bavisi แซนเจย์ (2009) "22". ใน Vacca จอห์น (บรรณาธิการ). คอมพิวเตอร์และความปลอดภัยของข้อมูลคู่มือ สิ่งพิมพ์ของมอร์แกน คอฟมานน์ Elsevier Inc. พี. 375. ISBN 978-0-12-374354-1.
  30. ^ "ยุคใหม่ของการเปิดเผยช่องโหว่ - สนทนาสั้นๆ กับ HD Moore" . เทคเฮรัลด์ . ที่เก็บไว้จากเดิมใน 2010/08/26 สืบค้นเมื่อ2010-08-24 .
  31. ^ เบตซ์, คริส (11 ม.ค. 2558). "โทรสำหรับการเปิดเผยช่องโหว่ที่ดีกว่าการประสานงาน - MSRC - เว็บไซต์บ้าน - TechNet บล็อก" บล็อก. technet.com สืบค้นเมื่อ12 มกราคม 2558 .
  32. ^ "หมวดหมู่:ช่องโหว่" . owasp.org .
  33. ^ เดวิด ฮาร์ลีย์ (10 มีนาคม 2558). "ช่องโหว่ของระบบปฏิบัติการ การใช้ประโยชน์และความไม่ปลอดภัย" . สืบค้นเมื่อ15 มกราคม 2019 .
  34. ^ แล็ปท็อปส่วนใหญ่เสี่ยงต่อการถูกโจมตีผ่านอุปกรณ์ต่อพ่วง http://www.sciencedaily.com/releases/2019/02/190225192119.htmที่มา: University of Cambridge]
  35. ^ การ ใช้ประโยชน์จากเครื่องพิมพ์เครือข่าย สถาบัน IT-Security, Ruhr University Bochum
  36. ^ [1] เก็บถาวร 21 ตุลาคม 2550 ที่เครื่อง Wayback
  37. ^ "Jesse Ruderman » เงื่อนไขการแข่งขันในกล่องโต้ตอบความปลอดภัย" . squarefree.com .
  38. ^ "บล็อกของ lcamtuf" . lcamtuf.blogspot.comครับ 16 สิงหาคม 2553
  39. ^ "เตือนเมื่อยล้า" . Freedom-to-tinker.com .

ลิงค์ภายนอก