M 2.35 Teabe hankimine turvaaukude kohta


Algatamise eest vastutavad: IT-juht, IT-turvaosakond
Rakendamise eest vastutavad: IT-turvaosakond, administraator

Tuvastatud ja avalikuks saanud turvaaukude vastu tuleb kasutusele võtta vajalikud organisatsioonilised ja administratiivsed meetmed. Vajadusel tuleb kasutatavasse riist- ja tarkvarasse paigaldada turvalisust mõjutavad paigad ja täiendid (vt M 2.273 Turvalisust mõjutavate paikade ja värskenduste kiire paigaldamine). Kui vastava juhtumi jaoks täiendeid ja paikasid ei ole, tuleb vajadusel rakendada täiendavaid turvariistvara ja turvatarkvara lahendusi. Seetõttu on väga oluline, et süsteemi administraatorid hoiaksid ennast reeglipäraselt kursis uute tuvastatud kitsaskohtadega.
Infot on võimalik saada näiteks järgnevatest allikatest:

  • Programmide ja operatsioonisüsteemide tootjad ja edasimüüjad. Tihti informeerivad nad oma registreeritud kliente nende süsteemide võimalikest turvaaukudest ise ning teevad kättesaadavaks ka süsteemi uued parandatud versioonid või paigad.
  • Computer Emergency Response Teams (CERTs). Arvutialased hädaabimeeskonnad, kes koondavad arvutisüsteemide turvaintsidentide ennetamise ja nendele reageerimise meetmeid. CERTid informeerivad nn Advisories kaudu inimesi hetkel riist- ja tarkvaratoodetes leiduvatest kitsakohtadest ning jagavad soovitusi nende kõrvaldamiseks.
  • CERT-EE (Computer Emergency Response Team of Estonia), Pärnu mnt 139a, Tallinn. Telefon: +372 663 0299 | | cert[at]cert.ee.
  • Tootja- või süsteemispetsiifilised, samuti turvaprobleemidele keskenduvad uudistegrupid või meililistid. Vastavates foorumites toimuvad arutelud erinevates operatsioonisüsteemides ja muudes tarkvaratoodetes ilmsiks tulnud või kahtlustatavate turvaaukude ja vigade kohta. Kõige värskemat informatsiooni pakuvad enamasti ingliskeelsed meililistid nagu näiteks Bugtraq, mille arhiivide jaoks on olemas paljusid avalikke juurdepääsupunkte, nt http://www.securityfocus.com.

Ideaalvariandis peaksid nii administraatorid kui ka IT turvalisuse eest vastutav töötaja kasutama turvaaukude kohta käiva informatsiooni kogumiseks vähemalt kahte infoallikat. Sealjuures on soovitatav, et lisaks tootja poolt edastavale informatsioonile kasutataks ka „sõltumatuid“ infoallikaid. Administraatorid peaksid siiski igal juhul kasutama ka tootjate poolt spetsiaalselt vastava toote kohta väljastatud infot, et olla nt kursis sellega, kas teatud tootele, juhul kui sellel peaks ilmnema turvaauke, üleüldse antakse välja täiendeid ja paikasid. Toodete puhul, millele tootjafirmad turvapaikasid enam ei väljasta, tuleb õigeaegselt kontrollida, kas niisugustes tingimustes saab toodet veel turvaliselt edasi kasutada ning milliseid lisameetmeid läheks tarvis kõnealuste süsteemide jätkuvaks turvalisuse tagamiseks.

Kontrollküsimused:
  • Kas administraator kontakteerub regulaarselt tema poolt hallatavate süsteemide tootjatega? Kas süsteemid on registreeritud?
  • Milliseid informatsiooniallikaid kasutatakse turvaaukude välja selgitamiseks?
  • Kas otsitakse uusi informatsiooniallikaid turvapaikade leidmiseks?
  • Kas on olemas protsess turvaintsidentide lahendamiseks?