Analiza podatności systemów w infrastrukturze teleinformatycznej
Urządzenia w organizacji zostają przeskanowana specjalistycznym oprogramowaniem Nessus Professional, które ma na celu odnalezienie potencjalnych luk w zabezpieczeniach zgodnych ze standardem CVE (Common Vulnerabilities and Exposures) oraz standardem oceniania ważności wykrytego ryzyka CVSS (Common Vulnerability Scoring System) opisanego w 5 stopniowej skali. Skanowanie prowadzone jest z poziomu klasy administracyjnej, aby zapewnić dostęp do wszystkich urządzeń w organizacji.
W wyniku badania podatności luk zabezpieczeń przedstawiony zostaje raport zawierający informację o poziomie zagrożenia CVSS wykrytych podatności dla każdego z urządzeń, dla którego został przekroczony poziom informacyjny. Wszystkie wskazane podatności posiadają przypisany Nessus Plugin ID dzięki któremu można wyszukać szczegółowy opis danej podatności wraz z zaleceniami naprawczymi na stronie https://www.tenable.com/plugins
Wynikiem analizy jest raport zawierający:
- Opis kategorii, w których zidentyfikowane zostały wykryte podatności,
- Informacje referencyjne producentów, ryzyk zgodnych ze standardami CVE, CVSS,
- Opis podatności,
- Opis możliwych skutków wykorzystania podatności,
- Opis metod usunięcia podatności, tzn. informacje o dostępnych aktualizacjach systemu lub metodach obejścia luki, tak aby niemożliwe było jej wykorzystanie przez intruza.