Zarządzanie podatnościami WordPress

Home » Blog

Jednym z procesów jaki realizujemy w usłudze Opieka WordPress jest zarządzanie podatnościami (Vulnerability management). Podatność (vulnerability) to słabość lub luka w systemie IT, oprogramowaniu, infrastrukturze jak może być wykorzystana przez atakującego w celu uzyskania nieautoryzowanego dostępu, zakłócenia działania lub innych niepożądanych działań. Ekosystem WordPress z uwagi na popularność jest częstym celem ataków cyberprzestępców.

Proces ten polega na identyfikowaniu, ocenie, łagodzeniu i raportowania luk w zabezpieczeniach w oprogramowaniu. Celem tego procesu jest minimalizowanie ryzyka związanego z potencjalnymi zagrożeniami bezpieczeństwa, które mogą być wykorzystane przez atakujących. Zarządzanie podatnościami obejmuje kilka kluczowych etapów:

  1. Identyfikacja: Wykrywanie podatności w serwisie internetowym WordPress (wtyczki, motyw, jądro systemu). W przypadku naszych usług ten proces jest zautomatyzowany. Wykorzystujemy m.in. specjalistyczne oprogramowanie, odpytywanie list podatności CVE itp.
  2. Ocena: Analiza i ocena znalezionych podatności pod kątem ich potencjalnego wpływu na organizację. Obejmuje to klasyfikację ryzyka, które niesie każda z wykrytych podatności.
  3. Priorytetyzacja: Określanie, które podatności wymagają natychmiastowego działania, na podstawie ich poziomu ryzyka i potencjalnych konsekwencji.
  4. Łagodzenie: Wdrażanie środków naprawczych lub działań zabezpieczających w celu zredukowania ryzyka związanego z wykrytą podatnością. Może to obejmować aktualizacje oprogramowania, zmiany konfiguracji systemów, czy wprowadzenie dodatkowych zabezpieczeń.
  5. Monitorowanie i raportowanie: Stałe monitorowanie strony internetowej w celu wykrywania nowych podatności oraz raportowanie wyników działań związanych z zarządzaniem podatnościami w raporcie.
numer cve

Proces zarządzania podatnościami jest kluczowym elementem strategii bezpieczeństwa IT każdej organizacji, ponieważ pomaga w proaktywnym zapobieganiu potencjalnym incydentom bezpieczeństwa. Proces ten jest wymagany w wielu standardach, ustawach, dobrych praktykach związanych z bezpieczeństwem (w tym w NIS2).

W przypadku objęcia serwisu pakietem Opieka WordPress – Pakiet Rozszerzony, poza odpytywaniem oficjalnych list podatności CVE, w procesie nasi administratorzy otrzymują informacje o niektórych podatnościach jakie jeszcze nie zostały ujawnionych. W ogólnych statystykach, różne badania wskazują, że średni czas ujawnienia podatności od momentu ich odkrycia (ang. time-to-disclosure, TTD) może wynosić od kilku tygodni do kilku miesięcy. Na przykład, raport “2021 Vulnerability Intelligence Report” wskazywał, że średni czas ujawnienia wynosi około 180 dni! Szybkie ujawnienie podatności, zanim zostaną one załatane, może narazić systemy na ataki, dlatego standardem w branży jest dawanie producentom czasu na wydanie poprawek przed publicznym ujawnieniem.

Opieka WordPress