Reglamentinis terminas
5 d.
Kalendorinės dienos nuo naujinio paskelbimo iki spragos pašalinimo
Tikslus PETA 191.10 tekstas
„Sąsają su internetu turinčių Valdymo sistemos įrenginių kritinio ir aukšto lygio kibernetinio saugumo spragos (kaip jos suprantamos pagal bendros pažeidžiamumo vertinimo sistemos (angl. Common Vulnerability Scoring System, CVSS) metodiką) turi būti nuolat stebimos ir šalinamos nedelsiant, bet ne vėliau kaip per 5 kalendorines dienas nuo naujinio, skirto spragai pašalinti, paskelbimo."
Kuriose spragose taikoma — CVSS lygiai
CVSS (Common Vulnerability Scoring System) yra tarptautinis CVE pavojingumo vertinimo standartas. Skalė 0,0–10,0 padalinama į keturis lygius:
| CVSS skoras | Lygis | 5 dienų taisyklė taikoma? |
|---|---|---|
| 9,0–10,0 | Kritinis | Taip — privaloma per 5 d. |
| 7,0–8,9 | Aukštas | Taip — privaloma per 5 d. |
| 4,0–6,9 | Vidutinis | Ne — taikoma 191.8.3 (iki kito audito) |
| 0,1–3,9 | Žemas | Ne — taikoma 191.8.3 (iki kito audito) |
Be CVSS lygio, antra sąlyga — įrenginys turi turėti sąsają su internetu. Pavyzdžiai:
- Taikoma: inverteris su WAN prieiga į gamintojo cloud, GSM/LTE modemas komunikacijai su ESO, viešai pasiekiama ugniasienė, web UI prieinamas iš interneto
- Netaikoma: off-line (atjungta nuo interneto) valdymo sistema, įrenginiai už ugniasienės be tiesioginės interneto prieigos, vietinis monitoringo gateway (stebėsenos tarpinis įrenginys) be cloud (debesijos) sąsajos
Nuo kada skaičiuojamas terminas
Termino atskaitos taškas — patch'o (naujinio) paskelbimo data, ne CVE (pažeidžiamumo) paskelbimo ar aptikimo data. Tai svarbu, nes:
- CVE gali būti paskelbtas iš anksto, kol gamintojas dar rengia patch'ą — terminas neprasideda
- Patch'ą paskelbus — pradedamos skaičiuoti 5 kalendorinės dienos (ne darbo, kalendorinės)
- Termino baigtinis taškas — patch'as įdiegtas produkcinėje (veikiančioje) aplinkoje, ne tik pranešimas apie ketinimą
Praktinis 5 dienų ciklas
Diena 0 — patch'o (naujinio) paskelbimas
Gamintojas paskelbia naujinį. Pranešimą gauna atsakingas asmuo per CVE feed (pažeidžiamumų stebėjimo srautą — NIST NVD, gamintojo bulletin'us / pranešimus) arba CVE monitoring įrankį.
Diena 1 — vertinimas
Patikrinama, ar spraga taikoma jūsų valdymo sistemos versijai, ar įrenginys turi interneto sąsają, ar CVSS ≥ 7,0 (kritinis ar aukštas pavojingumas).
Diena 2-3 — testavimas
Patch'as (naujinys) testuojamas testavimo aplinkoje (jei turima) arba, esant didelei rizikai, testas trumpinamas. Užfiksuojami galimi šalutiniai poveikiai.
Diena 4 — diegimas
Atliekamas change management (pakeitimų valdymo) procesas — patch'as diegiamas veikiančioje sistemoje suplanuotu laiku, su rollback (atstatymo) planu.
Diena 5 — verifikacija (patikrinimas)
Patikrinama, kad patch'as veikia, sistema funkcionuoja normaliai. Žurnale fiksuojama, kad terminas išlaikytas.
Po — dokumentavimas
Pildomas spragų valdymo registras, kitam auditui pateikiamas kaip 191.10 atitikties įrodymas.
Ką daryti, jei per 5 dienas patch'as (naujinys) neįmanomas
Kai gamintojas neišleidžia patch'o, jis nesuderinamas su Jūsų konfigūracija arba diegimo testavimas užtruko ilgiau, PETA leidžia tris alternatyvius sprendimus per tą patį 5 dienų langą:
- Izoliuoti įrenginį nuo interneto — jei sąsają su internetu pašalinsime, 191.10 reikalavimas neaktualus, įsijungia 191.8.3 (iki kito audito)
- Išjungti įrenginį — fiziškai arba programiškai, kol patch'as bus prieinamas
- Įdiegti virtual patch / WAF taisyklę — virtualus pataisymas tinklo lygmenyje per WAF (web application firewall — interneto programų ugniasienę), kai spragą galima blokuoti per IDS / IPS / WAF signature (atpažįstamą atakos pavyzdį)
Reikšminga: tradicinės kompensacinės priemonės (compensating controls — žr. atskirą straipsnį) per šį 5 dienų langą nepriimamos kaip nuolatinis sprendimas. Jos tinka tik kaip pereinamasis žingsnis, jei izoliacija nuo interneto įvykdyta — tada kompensacinių priemonių logika tampa aktuali pagal 191.8.3.
Ką privalu turėti audituojamoje organizacijoje
- CVE feed monitoring (pažeidžiamumų srauto stebėjimas) — automatinis arba reguliarus rankinis patikrinimas (NIST NVD RSS, gamintojo bulletin'ai / pranešimai, OEM gamintojo portalas)
- Įrangos inventorius su gamintoju, modeliu, firmware (vidinės programinės įrangos) versija — kad CVE notifikacija būtų greitai susieta su konkrečiu įrenginiu
- Atnaujinimų politika — dokumentuotas aprašymas: diegimo procedūra, change management (pakeitimų valdymas), rollback (atstatymo) planas
- Atsakingas asmuo pagal PETA 191.6 — kuris konkrečiai stebi CVE feed ir inicijuoja patch'avimą (naujinių diegimą)
- Patch'avimo (naujinių diegimo) žurnalas — datos, CVE numeriai, taikytas sprendimas (patch'as / izoliacija / išjungimas)
Sąryšis su kitais PETA reikalavimais
5 dienų taisyklė nestovi atskirai — ji susijusi su kitais valdymo sistemos saugumo reikalavimais:
- 191.7 — auditas prieš deklaraciją: identifikuojama, ar yra atviros kritinės / aukšto lygio CVE
- 191.8.3 — periodinis spragų valdymas tarp auditų (vidutinis ir žemas lygis arba kritinis/aukštas be interneto sąsajos)
- 192.2 — ugniasienė su DPI / IDS / IPS (giliosios paketų analizės / įsibrovimų aptikimo / blokavimo) funkcijomis (gali padėti virtual patch'inti — laikinai blokuoti pažeidžiamumą)
- 193.2.1 — atnaujinimų valdymas grėsmės šalies tiekėjams: tik būtini atnaujinimai, su saugumo analize
Praktinis siūlymas operatoriams
Užuot reagavus į kiekvieną CVE 5 dienų lange, naudinga turėti suplanuotą procesą, kuris automatizuotų bent dalį žingsnių:
- Įdiegti CVE feed monitoring (pažeidžiamumų stebėjimo) įrankį (pvz., Vulners, Tenable, atvirojo kodo CVE Search) su filtru pagal jūsų įrangos sąrašą
- Sutarti su gamintoju ar priežiūros teikėju dėl SLA (paslaugos lygio sutarties), kurioje jis įsipareigoja informuoti apie kritinius CVE per 24 val.
- Turėti testavimo aplinką su klonuotais (kopijuotais) valdymo sistemos komponentais (jei galimybė)
- Iš anksto suderintas change management (pakeitimų valdymo) procesas, kuris ne stabdomas per 5 d.