AUTOMATIZÁLT SEBEZHETŐSÉGDETEKTÁLÓ RENDSZER (ASR)
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (továbbiakban: NBSZ NKI) a 271/2018. kormányrendelet 24. § alapján új térítésmentes szolgáltatást alakított ki a 2013. évi L. törvény és a 271/2018. kormányrendelet alá tartozó szervezetek számára.
Az Automatizált Sebezhetőségdetektáló Rendszer (továbbiakban: ASR) célja azonosítani a nyilvántartásába rögzített internetről elérhető szolgáltatások sérülékenységeit, valamint monitorozni ezen weboldalak elérhetőségeit.
A monitorozott weboldalak lassulásáról vagy leállásáról az ASR az érintett szervezet által kijelölt kapcsolattartókat e-mail üzenetben, illetve szöveges üzenetben (SMS) értesíti.
Az ASR rendszeresen, tervezetten havonta ellenőrzi a jogosultság nélkül elérhető (black-box) szolgáltatások sérülékenységeit, amelyekről összefoglaló tájékoztatót készít. A tájékoztatóban szereplő sérülékenységi leírások jelenleg angol nyelvűek, azonban besorolásokat tartalmaznak.
A tájékoztató a szervezet által kijelölt kapcsolattartók részére kerül megküldésre, a benne feltárt sérülékenységek javításának elvégzése az érintett szervezet felelőssége.
MI AZ AZ ASR?
Az ASR az Automatizált Sebezhetőségdetektáló Rendszer rövidítése. Az elnevezés arra utal, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (a továbbiakban: NKI) üzemeltet egy olyan automatikusan működő rendszert, amely sérülékenységek feltárásával foglalkozik. Az ASR működésének célja az, hogy az NKI a jogszabályokban meghatározott szervezetek részére e szolgáltatás segítségével képet adjon a szervezet informatikai rendszereinek kiber kitettségi helyzetéről.
MIT CSINÁL AZ ASR?
Az ASR működése két alapvető funkciót takar. Egyrészről folyamatos időben vizsgálja a szervezet weboldalainak üzemkészségét, másrészről rendszeres időközönként tájékoztatást ad a szervezet által használt vagy üzemeltetett informatikai szolgáltatások támadhatóságról a nyílt internet irányából.
MIRE JÓ AZ ASR?
Az ASR folyamatos idejű felügyelete megmutatja, hogy történt-e a szervezet weboldalainak elérésében valami negatív változás (lassabb elérés, esetleg elérhetetlenség), illetve előre meghatározott idejű rendszerességgel egy automatizmus segítségével un. black-box típusú sérülékenységvizsgálatot hajt végre. Megjegyzendő, hogy az automata eszközök miatt ez a vizsgálat nem tekinthető teljes értékű sérülékenységvizsgálatnak, a vizsgálati eredmények nem fedik le az összes vizsgálati formát és a hozzájuk tartozó metódusokat.
MIT ÉRDEMES AZ ASR FELÜGYELETE ALÁ VONNI?
Az ASR folyamatos idejű felügyelete megmutatja, hogy történt-e a szervezet weboldalainak elérésében valami negatív változás (lassabb elérés, esetleg elérhetetlenség), illetve előre meghatározott idejű rendszerességgel egy automatizmus segítségével un. black-box típusú sérülékenységvizsgálatot hajt végre. Megjegyzendő, hogy az automata eszközök miatt ez a vizsgálat nem tekinthető teljesértékű sérülékenységvizsgálatnak, a vizsgálati eredmények nem fedik le az összes vizsgálati formát és a hozzájuk tartozó metódusokat.
MENNYIBE KERÜL EZ A SZOLGÁLTATÁS?
jelenlegi jogi környezetben a szolgáltatás igénybevételére jogosult – elsősorban az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv) és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet (a továbbiakban: Rendelet) alá tartozó – szervezetek számára díjmentes, minden más szervezet számára nem elérhető.
HOGYAN TÁJÉKOZTAT AZ ASR?
Az ASR a figyelt weboldalak esetén fellépő üzemzavarokról SMS üzenetben, az elvégzett sérülékenységvizsgálat eredményéről pedig e-mail formájában tájékoztat.
Az üzenetek kézbesítése érdekében szükséges beállítani az értesítendők személy(ek) listáját, amely az adategyeztető dokumentumban csoportba szervezetten tehető meg. Az 1. értesítési csoport megadása kötelező, ebben kell szerepeltetni azokat a rendszerelemeket, amelyekről értesítést szeretnénk kapni. Az, hogy ki kapja meg az értesítést, a kapcsolattartók felületén beállítható.
Lehetőség van – de nem kötelező – további két (a 2. és a 3. számú) értesítési csoport definiálására is, ezzel akár kialakítható az értesítési láncolat hierarchiája. Az értesítések szeparálását úgy kell meghatározni, hogy egy rendszerelem csak egy értesítési csoport eleme lehet.
A szervezet részére lehetőség van továbbá arra is, hogy a sérülékenységvizsgálat végrehajtásának időpontját behatárolja, ezzel biztosítva azt, hogy a vizsgálat ne olyan időszakban történjen, amikor a szervezet számára kiemelkedően fontos a szolgáltatás fenntartása. A dokumentumban megadható a teljes hónap, a hónap első vagy második fele, a hónap tetszőleges hete, vagy négy egymást követő napból álló intervallum is.
MIT KELL TENNI AZ ASR RIASZTÁSAINÁL?
Szolgáltatáscsökkenéssel vagy -leállással kapcsolatos üzenetek esetén fel kell keresni a weboldal üzemeltetőjét, tájékoztatni kell az észlelt hibáról, és érdeklődni a kialakult helyzet okáról. Saját üzemeltetésű weboldal esetén értesíteni kell a rendszergazdát, aki meg tudja tenni a megfelelő lépéseket.
MIT KELL TENNI AZ ASR ÁLTAL FELDERÍTETT HIBÁKKAL?
A vizsgálati tájékoztatóban többnyire angol nyelvű megállapítások találhatók, ez az alkalmazott szoftverek képességei miatt alakult így ki. A dokumentum megállapításai általában a nyírt internet felől kihasználható sérülékenységeket taglalja azok súlyossága szerint osztályozva. A tájékoztató – hasonlóan a tűzoltóeszközök ellenőrzéséhez – mindig az aktuális helyzetnek megfelelő veszélyeztetettséget mutatja, az általa feltárt hibák kijavításáról a szervezetnek kell mielőbb intézkednie. Egyrészt azért, mert ez mindig az érintett szervezet felelőssége és kötelessége, másrészt a sérülékenység által jelentett kockázat az idő múlásával egyre nagyobb lesz.
MEDDIG TART A FELÜGYELET?
A felügyelet gyakorlatilag a rendszerelem élethosszáig tartó felügyeletet jelent. Ha egy szervezet az ASR felügyelete alá vont egy rendszerelemet, akkor az annak érdembeli változásáig (pl. megváltozott domain néven elérhető weblap, szervezetbeli struktúraváltozatás) folyamatos a monitorozás.