← Tutorials06 / 9

Navrhněte způsob řízení technických zranitelností pro SŠ včetně praktického příkladu

4 min readPrůvodce školní kyberbezpečností

Proces řízení technických zranitelností (identifikace, hodnocení CVSS, remediace, verifikace) doplněný o konkrétní příklad.

Řízení technických zranitelností (vulnerability management) je opakující se proces, ne jednorázová akce. V dokumentu musíte popsat celý cyklus, nejen jednu jeho část, a na závěr doložit praktickým příkladem, jak zranitelnost odhalíte, vyhodnotíte a opravíte.

1. Úvod — co je zranitelnost

Zranitelnost je slabina v systému (software, konfigurace, proces), kterou může útočník zneužít. Často má své evidenční číslo CVE (Common Vulnerabilities and Exposures) a hodnocení závažnosti CVSS (Common Vulnerability Scoring System) v rozsahu 0,0 – 10,0.

2. Proces řízení zranitelností

Popište cyklus v pěti krocích:

  1. Identifikace: skenery (OpenVAS, Nessus, Rapid7), monitoring dodavatelských oznámení (Microsoft Patch Tuesday), RSS CVE feedy, přihlášení k odběru ICS-CERT / NÚKIB varování.
  2. Hodnocení: přiřadit zranitelnostem CVSS skóre, zohlednit prostředí (zda je zranitelný systém vystavený internetu, zda obsahuje osobní údaje) a stanovit prioritu.
  3. Remediace: aplikace patche, konfigurační změna, kompenzační opatření (firewall pravidlo) nebo vědomé přijetí rizika s podpisem odpovědné osoby.
  4. Verifikace: opětovné skenování, penetrační test, kontrola logů.
  5. Reporting: přehled opravených zranitelností, čas od nalezení k opravě (Mean Time To Remediate), evidence pro audit.

3. Role a odpovědnosti

Správce IT provádí sken a patch. Bezpečnostní ředitel (nebo zástupce ředitele pro provoz) rozhoduje o prioritách a akceptaci zbytkového rizika. Externí servisní firma řeší zranitelnosti v proprietárních systémech (např. školní docházkové systémy).

4. Nástroje

Pro střední školu postačí open-source nástroje:

  • OpenVAS / GVM: síťový scanner.
  • Microsoft Update for Business nebo WSUS: distribuce patchů na Windows.
  • Ansible: orchestrace patchů v Linuxu.
  • NÚKIB varování: bezplatný odběr bezpečnostních upozornění pro ČR.

5. Periodicita

Sken vnějšího perimetru jednou měsíčně, sken vnitřní sítě jednou za čtvrtletí, patch kritických zranitelností do 7 dní, vysokých do 30 dní, středních do 90 dní, nízkých při plánované údržbě.

6. Praktický příklad

Povinná sekce práce. Vyberte konkrétní zranitelnost a projděte cyklus:

Příklad: CVE-2024-xxxxx ve Microsoft Exchange Serveru. OpenVAS sken 5. 5. 2024 nahlásil zranitelnost se CVSS 9,8. Systém je Exchange Server 2019 na serveru SRV-MAIL-01. Zranitelnost umožňuje vzdálené spuštění kódu bez autentizace. Riziko vyhodnoceno jako kritické. Oprava: nasazení security update KB5036909 dne 8. 5. 2024. Verifikace: druhý sken 10. 5. 2024, zranitelnost neukazuje. Čas od nalezení k opravě: 3 dny. Záznam uložen do log souboru a do provozní dokumentace.

7. Normy

ISO 27001 (A.12.6 — management technických zranitelností), NIST SP 800-40 (patch management). V Česku se zmiňuje zákon 181/2014 Sb. a vyhláška 82/2018 Sb.