مقدمه

ارزیابی آسیب پذیری یک فرآیند و روش ارزیابی است که سازمان‌ها را قادر می‌سازد تا سیستم‌ها را از نظر ضعف‌های احتمالی و نقاط آسیب پذیر، بررسی کنند. ارزیابی آسیب پذیری برای یک سازمان مزایای بسیاری دارد؛ انجام ارزیابی آسیب پذیری مشخص می‌کند که آیا سازمان در معرض خطر آسیب پذیری‌های شناخته شده قرار دارد یا نه، همچنین متخصصان این حوزه پس از انجام ارزیابی، سطحی از شدت را به آن آسیب پذیری‌ها اختصاص می‌دهند و سپس توصیه می‌کنند که آیا نیاز است تهدید اصلاح شود یا نه. انجام این ارزیابی در شناسایی سیستم‌هایی که همچنان دارای تنظیمات پیش فرض هستند، شامل گذرواژه‌های پیش فرض نیز می‌شود، کمک می‌کند. همچنین انجام این تست، آسیب پذیری شبکه در برابر حملات تزریق کد، مانند تزریق دستورات اس‌کیوال (SQL Injection) و حملاتی که توسط تزریق اسکریپت از طریق وبگاه (cross-site scripting (XSS) attacks) صورت می‌گیرد، نیز ارزیابی می‌کند.

انواع ارزیابی آسیب پذیری

رایج ترین انواع ارزیابی آسیب پذیری که سازمان ها به کار می گیرند عبارتند از:

Network-based scan- اسکن مبتنی بر شبکه، سیستم‌های آسیب پذیر را در شبکه‌های سازمان، سیمی و بی‌سیم، که می‌توانند برای انجام حملات امنیتی علیه شبکه‌های سازمان مورد استفاده قرار گیرند، شناسایی می‌کند.

Host-based scan- اسکن مبتنی بر میزبان، آسیب پذیری‌های احتمالی را در میزبان‌هایی که به شبکه سازمان متصل هستند، مانند سرورهای حیاتی و ایستگاه‌های کاری، شناسایی می‌کند. این ارزیابی آسیب پذیری، همچنین وسعت دید بیشتری را بر روی تنظیمات پیکربندی و تاریخچه وصله‌های (patch) سیستم، ارائه می‌دهد.

Wireless scan- اسکن شبکه وایرلس، معمولا اتصالات Wi-Fi یک سازمان را برای جستجوی نقاط دسترسی سرکش (Rogue Access Point)، ارزیابی کرده و تأیید می‌کند که آیا شبکه به صورت ایمن پیکربندی شده است یا خیر.

Application scan- اسکن برنامه‌های کاربردی، وب‌سایت‌های سازمان را برای به منظور جستجوی آسیب پذیری‌های نرم‌افزاری شناخته شده، و پیکربندی‌های ضعیف در برنامه‌های کاربردی وب یا شبکه، ارزیابی می‌کند.

Database scan- اسکن پایگاه داده نقاط ضعف را در پایگاه داده، پیکربندی نادرست، پایگاه داده‌های سرکش (rogue databases) و یا محیط های توسعه ناامن، را شناسایی می‌کند تا از سازمان‌ها در برابر حملات مخرب احتمالی محافظت کند.

مراحل ارزیابی آسیب پذیری

سازمان‌هایی که تحت ارزیابی آسیب پذیری قرار می‌گیرند یک فرآیند چهار مرحله‌ای را انجام می‌دهند.

با این حال، یادآوری این نکته مهم است که ارزیابی آسیب‌پذیری یک فعالیت یکباره نیست که سازمان‌ها پس از تکمیل، آن را کنار بگذارند، بلکه باید به طور منظم تکرار شود و با همکاری بین تیم‌های توسعه نرم‌افزار و عملیات فناوری اطلاعات و امنیت با یکدیگر – فرآیندی به نام DevSecOps – عملیاتی شود.

شناسایی آسیب پذیری

اولین قدم ایجاد یک لیست جامع از آسیب پذیری ها، در برنامه‌ها، سرورها و سیستم‌های یک سازمان است. این کار به وسیله اسکن آنها با استفاده از ابزارهای ارزیابی آسیب پذیری اینترنتی خاص یا با آزمایش دستی آنها انجام می‌شود. تحلیلگران آسیب‌پذیری همچنین می‌توانند از پایگاه‌های داده آسیب پذیری (vulnerability database)، اطلاعیه‌های فروشندگان، اطلاعات هوشمندی تهدید (threat intelligence feeds) و سیستم‌های مدیریت دارایی (asset management systems)، برای شناسایی نقاط ضعف احتمالی استفاده کنند.

اولین مرحله از فرآیند ارزیابی آسیب پذیری، به سازمان‌ها کمک می‌کند تا جزئیات کامل را درک کنند. این شامل مواردی مانند ریسک‌پذیری و سطح تحمل، تجزیه و تحلیل تاثیر کسب‌وکار (business impact analysis)، شیوه‌ها و سیاست‌های کاهش، اقدامات خنثی کننده برای دستگاه‌ها و سرویس‌ها و رسیدگی به ریسک باقی مانده (residual risk)، است.

تجزیه و تحلیل آسیب پذیری

مرحله دوم با هدف کشف منبع و علت اولیه آسیب پذیری های شناسایی شده در مرحله اول است. مرحله تجزیه و تحلیل، اجزای سیستم مسبب هر آسیب پذیری و همچنین علت اصلی آن را شناسایی می‌کند.

اصلاح (عیب زدائی)

مرحله بعدی در فرآیند ارزیابی آسیب‌پذیری، بستن هرگونه شکاف امنیتی است. این معمولاً یک تلاش مشترک بین تیم DevSecOps است که مؤثرترین راه را برای کاهش یا اصلاح هر آسیب‌پذیری کشف شده، تعیین می‌کنند. فرآیند اصلاح شامل معرفی اقدامات، رویه‌ها یا ابزارهای جدید امنیت سایبری، به‌روزرسانی تنظیمات و تغییرات عملیاتی، و توسعه یا پیاده‌سازی وصله‌ها برای آسیب‌پذیری‌های شناسایی‌شده است.

گزارش ارزیابی آسیب‌پذیری

با تکمیل فرآیند، ایجاد گزارش ارزیابی آسیب‌پذیری نیز برای سازمان‌ها بسیار اهمیت دارد، که باید شامل توصیه‌هایی در مورد نحوه اصلاح و کاهش آسیب‌پذیری‌ها، تکنیک‌های کاهش ریسک باشد.

این گزارش باید شامل نام آسیب پذیری‌ها، تاریخ کشف آنها، و رتبه آنها بر اساس پایگاه داده آسیب پذیری‌ها (Common Vulnerabilities and Exposures یا CVE) باشد. CVE در واقع شناسنامه منحصر به فردیست که به آسیب پذیری امنیتی شناسایی شده تخصیص داده می‌شود، به عبارتی برای هر آسیب پذیری امنیتی در حوزه فاوا و صنعتی، یک شناسنامه تهیه می‌شود، که تمام جزئیات و شرح آسیب پذیری و اصلاحیه‎‌های مربوط به آن در آن اشاره شده است. شرکت غیردولتی MITRE مسئولیت ثبت و درج و تکمیل اطلاعات هر آسیب پذیری را برعهده دارد. همچنین این گزارش باید حاوی شرح مفصلی از آسیب‌پذیری‌ها، سیستم‌های تحت تأثیر و فرآیندهای مورد نیاز برای تصحیح آسیب‌پذیری‌ها باشد.

ابزارهای ارزیابی آسیب پذیری

سازمان ها می‌توانند آسیب پذیری های جدید و شناخته شده را به کمک ابزارهای ارزیابی آسیب پذیری کشف کنند. آنها باید اسکن‌های معمول و خودکار را بر روی سیستم‌های فناوری اطلاعات حیاتی سازمان برنامه‌ریزی و پیاده‌سازی کرده و اطمینان حاصل کنند که نتایج اسکن‌ها به عملیات ارزیابی آسیب‌پذیری در حال پیشرفت سازمان، اضافه می‌شود.

یکی از محبوب‌ترین ابزارها برای ارزیابی آسیب‌پذیری، اسکنر برنامه‌های تحت وب است. این ابزارها الگوهای حمله آسیب پذیری های شناخته شده را اسکن، آزمایش و شبیه‌سازی می‌کنند.

از اسکنرهای پروتکل (Protocol scanners) نیز می‌توان برای ارزیابی آسیب پذیری‌ها استفاده کرد که به طور خاص برای جستجوی سرویس‌های آسیب پذیر شبکه، پورت‌های باز و پروتکل‌های امنیت سایبری طراحی شده‌ است. یکی دیگر از ابزارهای ارزیابی آسیب‌پذیری، اسکنر شبکه است که برای کشف علائم هشدار دهنده آسیب‌پذیری‌ها، مانند آدرس‌های پروتکل اینترنت (IP) ناامن و فعالیت بسته‌های جعلی یا مشکوک، مفید است. علاوه بر این، سازمان‌ها باید در پلتفرم ارزیابی آسیب‌پذیری از افزونه‌هایی مانند اسکن پورت‌های رایج و محبوب، فایروال‌ها و سیستم‌های مدیریت محتوا (CMS)، مانند دروپال، جوملا و وردپرس، نیز استفاده کنند.

جمع‌بندی

ارزیابی آسیب پذیری یکی از مولفه‌های مهم مدیریت آسیب پذیری و چرخه عمر مدیریت ریسک فناوری اطلاعات است که به محافظت از سیستم‌ها و داده ها در برابر دسترسی غیر مجاز و نقض داده‌ها کمک می‌کند.