Vulnerability Management အေၾကာင္း သိေကာင္းစရာ (Risk မ်ားကို အဆင့္သတ္မွတ္၍္ Attacker ရႈေထာင့္မွ သံုးသပ္ျခင္း)

Vulnerability Management ဆိုသည္မွာ အားနည္းခ်က္မ်ားေပၚတြင္ identifying,classifying, remediating ႏွင့္ mitigating ျပဳလုပ္ၾကျခင္းျဖစ္ပါသည္။ အထူးသျဖင့္ Software ႏွင့္ Firmware မ်ားေပၚတြင္ ရွာေဖြလုပ္ေဆာင္ျခင္းျဖစ္ပါသည္။ Vulnerability Management သည္ Computer Security ႏွင့္ Network Security မ်ားအတြက္ အေရးၾကီးေသာ လုပ္ေဆာင္ခ်က္တစ္ခုျဖစ္ပါသည္။

System မ်ားႏွင့္ Network မ်ားကို Configure ျပဳလုပ္ၾကရာတြင္ မိမိတို႔ အသံုးျပဳထားသည့္ Network ႏွင့္ System မ်ား၏ အားသာခ်က္၊ အားနည္းခ်က္မ်ားကို သိရွိထားရန္လိုအပ္ေပသည္။

အဘယ္ေၾကာင့္ဆိုေသာ္ Attacker အမ်ားစုသည္ Time Investment ႏွင့္ Resource မ်ားကို ျဖစ္ႏိုင္သမွ် အနည္းဆံုးျဖင့္သာ Attack ျပဳလုပ္ရန္ ရည္ရြယ္ေလ့ရွိသည္။ ထို႔အတြက္ Vulnerability မ်ားကို ျပင္ဆင္၊ ထိန္းသိမ္း၊ ကာကြယ္ႏိုင္ရန္ အတြက္ Attacker ရႈေထာင့္မွ ေန၍ စဥ္းစားေတြးေခၚ ႏိုင္ရန္လိုအပ္ပါသည္။

Attacker ရႈေထာင့္မွ စဥ္းစားၾကည့္မည္ဆိုပါက မိမိတို႔အေနႏွင့္ မည္သို႔ေသာ Compromising System မ်ား၊ အက်ိဳးရွိႏိုင္ေသာ အားနည္းခ်က္မ်ား ကိုမည္သို႔အသံုးခ်ၾကမည္နည္း ။ မိမိတို႔ Network အတြင္းတြင္ မည္သည့္အခ်က္အလက္၊ စနစ္မ်ားသည္ အဓိကအေရးၾကီးေသာ ေသာ့ခ်က္မ်ားျဖစ္သနည္း။ ထိုအားနည္းခ်က္မ်ားကို မည္သို႔ ထိန္းခ်ဳပ္မည္နည္း။

Attacker မ်ားအေနႏွင့္ စတင္တိုက္ခိုင္ေတာ့မည္ဆိုပါက အစဦးစြာ အသံုးျပဳထားေသာ System မ်ား နွင့္ Network မ်ား၏ အခ်က္အလက္မ်ားမွတစ္ဆင့္ မည္သည့္ အားနည္းခ်က္မ်ားသည္ ရွိေနသနည္း၊ မည္သို႔ ထိန္းခ်ဳပ္၍ ရႏိုင္မည္နည္း စသည္တို႔ကို အလြယ္တစ္ကူ သိရွိႏိုင္ေသာ၊ အမ်ား သိရွိျပီးသားျဖစ္သည့္ အားနည္းခ်က္မ်ားမွ စတင္ၾကေလ့ရွိသည္။ သို႔ေသာ္လည္း ေနာက္ပိုင္းတြင္ zero-day exploits ကဲ့သို႔ေသာ Attack မ်ားပို၍ အသံုးျပဳလာၾကေသာ္လည္း၊ အမ်ားအားျဖင့္ ယခင္ နည္းေဟာင္းမ်ားကိုသာအဓိက ေရြးခ်ယ္ၾကေပသည္။ အတိအက်အားျဖင့္ ဆိုေသာ္ အမ်ားဆံုးျဖစ္ေပၚေသာ Attack မ်ားႏွင့္ Exploit မ်ားသည္ ရွင္းလင္းစြာသိရွိထားျပီးျဖစ္ေသာ နည္းစနစ္အေဟာင္းမ်ားျဖင့္ တိုက္ခိုက္ခံရျခင္းမ်ားျဖစ္ေပသည္။

မည္သည့္ အားနည္းခ်က္မ်ားသည္ အဓိက တိုက္ခိုက္ခံရႏိုင္ေၾကာင္းကို မည္သို႔ အလြယ္တစ္ကူ သိရွိႏိုင္မည္နည္း။

အဓိက ေသာ့ခ်က္အေနႏွင့္ Threat Intelligence မ်ားကို အသံုးျပဳ၍ system vulnerability မ်ားကို ေလ့လာစမ္းစစ္ႏိုင္ရံုသာမက၊ အားနညး္ခ်က္မ်ားကိုလည္း အဆင့္သတ္မွတ္ခြဲျခား ႏိုင္ေပသည္။ ထိုမွတစ္ဆင့္ Attacker မ်ားသည္ မည္သို႔ ၀င္ေရာက္ႏိုင္ေၾကာင္းကို ၾကိဳတင္ခန္႔မွန္းသိရွိႏိုင္မည္ျဖစ္သည္။

AlienVault Unified Security Management(USM) ကိုအသံုးျပဳ၍ အားနည္းခ်က္မ်ား အဆင့္သတ္မွတ္ျခင္း

AlienVault Unified Security Management(USM) ဆိုသည္မွာ လက္ရွိျဖစ္ေပၚေနေသာ အားနည္းခ်က္မ်ား ကို အခ်ိန္ႏွင့္ တစ္ေျပးညီ သိရွိႏိုင္ေသာ Vulnearability Management Software အမ်ိဳးအစားျဖစ္ပါသည္။

၎တြင္ asset inventory, host-based IDS, network IDS, netflow analysis, file integrity monitoring ႏွင့္ SIEM event correlation မ်ားပါ၀င္သည့္ အတြက္ real-time အခ်က္အလက္မ်ားအားလံုးကို single screen တြင္ အလြယ္တစ္ကူ ၾကည့္ရႈ၊ သိရွိႏိုင္ေသာ Software အမ်ိဳးအစားျဖစ္သည္။

ထို Software တြင္ပါရွိေသာ Alarm စနစ္မွ တစ္ဆင့္ မည္သည့္ malicious IPs သည္ အားနည္းခ်က္မ်ားရွိေနေသာ မည္သည့္ host ႏွင့္ အျပန္အလွန္ဆက္သြယ္မႈရွိေနေၾကာင္းကို အေသးစိတ္အခ်က္အလက္မ်ား၊ အားနည္းခ်က္မ်ား ႏွင့္ ရွာေဖြေတြ႔ရွိေသာ အခ်က္အလက္မ်ားအား တိုက္ရိုက္ Report တင္ေပးႏိုင္သည္အထိ ပါ၀င္ပါသည္။

Built-in Active Vulnerability Scanning and Assessment

AlienVault USM တြင္ အျခားေသာ Function တစ္ခုျဖစ္ေသာ continuous vulnerability monitoring စနစ္လည္းပါ၀င္ပါသည္။ ထို စနစ္သည္ passive vulnerability detection အမ်ိဳးအစားျဖစ္ပါသည္။

ထိုစနစ္တြင္ USM သည္ ၎ရရွိထားေသာ အခ်က္အလက္မ်ားအရ မည္သည့္ vulnerability အမ်ိဳးအစားကို အသံုးျပဳ၍ attacker မွတိုက္ခိုက္ေနေၾကာင္း၊ သို႔မဟုတ္ မည္သို႔ ေသာ traffic မ်ားအသြားအျပန္ရွိေနေၾကာင္းကို Scan ျပဳလုပ္ေပးႏိုင္ပါသည္။ ထိုသို႔ ျပဳလုပ္ေပးႏိုင္ရာတြင္ Unauthenticated Scanning ႏွင့္ Authenticated Scanning စေသာ ၂ မ်ိဳးစလံုးကို လုပ္ေဆာင္ေပးႏိုင္ပါသည္။

ထို ၂ နည္း၏ ကြာျခားခ်က္မွာ Unauthenticated Scanning တြင္ Victim Host OS တြင္ မည္သည့္ အားနည္းခ်က္ကိုအေျခခံ၍ေသာ္လည္းေကာင္း၊ မည္သည့္configuration သို႔မဟုတ္ အားနည္းခ်က္ရွိေသာ Software ကိုအသံုးျပဳ၍ ေသာ္လည္းေကာင္း Remote Attacker ႏွွင့္ Host အၾကား အျပန္အလွန္ Traffic မ်ားကို အေျခခံ scan ျပဳလုပ္ေပးသည္။

Authenticated Scanning အမ်ိဳးအစားတြင္ ထို System အတြင္းရွိ အားနည္းခ်က္မ်ား၊ မွားယြင္းေနေသာ Configuration မ်ားကို ၀င္ေရာက္စုေဆာင္း၊ စံုစမ္းေသာ နည္းျဖင့္ Scan ျပဳလုပ္ေပးသည္။

ဥပမာအားျဖင့္ အသံုးျပဳသူအေနႏွင့္ မိမိ Scan ျပဳလုပ္လိုေသာ compliance-related assets မ်ားေပၚတြင္ passive vulnerability assessment အေနႏွင့္ network traffic နည္းႏိုင္သမွ်ေသာ နည္းျဖင့္ scan ျပဳလုပ္၍ vulnerability မ်ားကိုရွာေဖြႏိုင္သကဲ့သို႔၊ အျခားေသာ schedule scans အေနႏွင့္လဲ network segments မ်ားကို ပံုမွန္ေလ့လာ ဆန္းစစ္ႏိုင္ပါသည္။

Remediation Advice for Every Vulnerability

AlienVault USM သည္ အျခား စနစ္တစ္ခုျဖစ္ေသာ remediation advice မ်ားလည္းလုပ္ေဆာင္ေပးႏိုင္ပါသည္။ ထိုစနစ္တြင္ USM အေနႏွင့္ ရွာေဖြေတြ႔ရွိထားေသာ vulnerability အမ်ိဳးအစားအရ မည္သို႔ေသာ အားနည္းခ်က္မ်ားကို ျဖစ္ေပၚေစႏိုင္ေၾကာင္းကို dynamic incident response template မ်ား၊ 3rd party references မ်ားႏွင့္တစ္ကြ အၾကံျပဳေပးႏိုင္ေသာ စနစ္ျဖစ္ပါသည္။

ထိို႔အျပင္ အျခားေသာ လုပ္ေဆာင္ခ်က္မ်ားအေနႏွင့္ alert mail မ်ားပို႔ေပးျခင္း၊ ticketing system မ်ား setup ျပဳလုပ္ထားပါကလည္း အလိုအေလ်ာက္ ticket ဖြင့္ေပးျခင္း၊ သက္ဆိုင္ရာ ျပင္ပမွ help desk သို႔မဟုတ္ ticketing system မ်ားဆီသို႔ email ပို႔ေပးျခင္းမ်ား ကိုလည္းလုပ္ေဆာင္ေပးႏိုင္ပါသည္။ ထိုစနစ္တြင္ပါရွိေသာ vulnerability မ်ားႏွင့္ပက္သက္သည့္ update အခ်က္အလက္မ်ားကို USM Database တြင္အလိုအေလ်ာက္ up-to-date ျဖစ္ေနေစရန္ AlienVault Labs Security Research Team မွစီစဥ္ေပးထားပါသည္။

Learn more about Vulnerability Management with AlienVault USM

Vulnerability management is never “done” ဆိုသည့္အတိုင္း တိုးတက္မ်ားျပားလာေသာ attack vectors မ်ားႏွင့္ ပိုမိုရႈပ္ေထြးေသာ software စနစ္မ်ားအတြက္ အခ်ိန္အားေလ်ာ္စြာ monitoring ျပဳလုပ္ႏိုင္ရန္လိုအပ္ေပသည္။

အေသးစိတ္အခ်က္အလက္မ်ားကို သက္ဆိုင္ရာ USM စနစ္၏ Website ျဖစ္ေသာ http://www.alienvault.com/ တြင္ထပ္မံေလ့လာႏိုင္ပါသည္။

Reference:

http://en.wikipedia.org/wiki/Vulnerability_management
http://thehackernews.com/2014/06/vulnerability-management-think-like.html
https://www.alienvault.com/solutions/vulnerability-management
https://www.alienvault.com/solutions/threat-management
https://www.alienvault.com/solutions/network-security-monitoring