Veebihaavatavus

Lisa lingid
Allikas: Vikipeedia

Veebihaavatavused on arvutisüsteemi vead, mis nõrgendavad seadme/süsteemi üldist turvalisust. Haavatavused võivad olla kas riistvara enda või riistvaral töötava tarkvara nõrkused. Ohustaja, näiteks ründaja, saab turvaauke ära kasutada arvutisüsteemis privileegide piiride ületamiseks (st volitamata toimingute tegemiseks). Haavatavuse ärakasutamiseks peab ründajal olema vähemalt üks rakendatav tööriist või tehnika, mis suudab süsteemi nõrkusega ühenduse luua.

Terminoloogia: haavatavus / nõrkus[muuda | muuda lähteteksti]

Inglise keelse termini vulnerability vastena kasutatakse eesti keeles nii mõistet haavatavus kui mõistet nõrkus.

Eesti Keele Instituudi terminiandmebaasi Esterm eelisterminiks on haavatavus.[1]

Andmekaitse ja infoturbe leksikon (AKIT) pakub vasteks nõrkus, turvanõrkus; turvaauk.[2]

Riigi Infosüsteemide Amet (RIA) kasutab mõisteid nõrkus ja haavatavus oma materjalides sünonüümidena.

Oma olemuselt on haavatavus vara, süsteemi või protsessi kavandi, teostuse või käituse nõrk koht, mille kaudu riskiallikas võib tekitada tagajärjega sündmuse; aga ka turvameetme puudulikkus või puudumine.[3]

Eestis kehtiva määruse “Võrgu- ja infosüsteemide riskianalüüsi nõuded ning turvameetmete kirjeldus” kohaselt on “nõrkus käesoleva määruse tähenduses süsteemide või süsteemidega seotud ressursside turvalisuse puudus, mis muudab süsteemid või süsteemidega seotud ressursid ohule vastuvõtlikuks.”[4]

Haavatavuse määratlused ISO standardites[muuda | muuda lähteteksti]

Riskihalduse sõnavara määratlev ISO Guide 73: haavatavusel on olemuslikud omadused, millest tuleneb avatus riskiallikale, mis võib viia tagajärjega sündmuseni.

ISO/IEC 27000 jt: vara või meetme nõrk koht, mida saab ära kasutada üks või mitu ohtu.[5]

ISO/IEC 29147: toote või teenuse käitumine, mis rikub eeldatavat või otsest turvapoliitikat.[6]

ISO/IEC 15408: hindamisobjekti nõrk koht, mida saab mõnes keskkonnas kasutada funktsionaalsete turvanõuete rikkumiseks.[7]

Haavatavusi klassifitseeritakse vastavalt varaklassile, millega need on seotud: riistvara, tarkvara, võrgu, personali, füüsilise asukoha ja organisatsiooni juhtimisega seotud haavatavused.[8]

Haavatavuste hindamine[muuda | muuda lähteteksti]

Haavatavuste hindamine tegeleb organisatsiooni veebisüsteemide olemasolevate haavatavuste tuvastamisega. Ekspertide meeskond skaneerib tavaliselt kogu ettevõtte Internetiga seotud infrastruktuuri ja veebisüsteeme, kasutades selleks mitmeid tööriistu ja tehnikaid.

Veebihaavatavused esinevad mitmel kujul ja vormis. Leidub ka turvaauke, mis ei ole seotud tarkvaraga: riistvara, asukoha, personali haavatavused on näited haavatavusest, mis ei ole tarkvara turvanõrkused.

Haavatavuste loendid[muuda | muuda lähteteksti]

Erinevad organisatsioonid avaldavad teadaolevatest haavatavustest loendeid. Näiteks haldab MITRE Corporation mittetäielikku nimekirja avalikult avaldatud haavatavustest süsteemis, mida nimetatakse Common Vulnerabilities and Exposures. USA riiklik standardi- ja tehnoloogiainstituut (NIST), annab igale CVE haavatavusele riskiskoori.

Ka RIA avaldab oma blogis regulaarseid teateid uutest haavatavustest ja nõuandeid nendest hoidumiseks.

Haavatavuste haldamine[muuda | muuda lähteteksti]

Arvutisüsteemides leiduda võivate haavatavuste haldamine on tsükliline tegevus, mis juhtumiti erineb, kuid sisaldab muuhulgas järgmisi üldlevinud protsesse: ülevaate saamine kõigist varadest, varade seadmine tähtsuse järjekorda, täielik haavatavuste hindamine või täielik skaneerimine, tulemuste aruanne, haavatavuste kõrvaldamine, parandatud turvaaukude kontrollimine — eelnimetatud tegevuste kordamine.[9]

Ainus viis vähendada võimalust, et haavatavust kasutatakse süsteemi vastu, on pidev valvsus, sealhulgas hoolikas süsteemi hooldamine (nt tarkvaraparanduste paigaldamine), parimate tavade järgimine kasutuses (nt tulemüüride ja juurdepääsukontrollide kasutamine) ja auditeerimine (nii arenduse ajal kui kogu kasutuselevõtu elutsükli jooksul).

Viited[muuda | muuda lähteteksti]

  1. "Esterm märksõna haavatavus". Eesti Keele Instituut, Terminite andmebaas. Originaali arhiivikoopia seisuga 11. jaanuar 2023. Vaadatud 10. jaanuaril 2023.
  2. "AKIT märksõna vulnerability". AKIT. Vaadatud 10. jaanuaril 2023.
  3. "AKIT märksõna vulnerability". AKIT. Vaadatud 10. jaanuaril 2023.
  4. "Võrgu- ja infosüsteemide riskianalüüsi nõuded ning turvameetmete kirjeldus". Riigi Teataja. Vaadatud 10. jaanuaril 2023.
  5. "Standards for information security management systems (ISMS) and their requirements". International Organization for Standardization. Originaali arhiivikoopia seisuga 2. detsember 2020. Vaadatud 10. jaanuaril 2023.
  6. "Information technology — Security techniques — Vulnerability disclosure". International Organization for Standardization. Vaadatud 10. jaanuaril 2023.
  7. "Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 1: Introduction and general model". International Organization for Standardization. Vaadatud 10. jaanuaril 2023.
  8. "ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008". International Organization for Standardization. Vaadatud 11. jaanuaril 2023.
  9. "Vulnerability Management Life Cycle". www.cdc.gov. 20. jaanuar 2021. Vaadatud 11. jaanuaril 2023.

Välislingid[muuda | muuda lähteteksti]

Pärit leheküljelt "https://et.wikipedia.org/w/index.php?title=Veebihaavatavus&oldid=6513554"