Automatizált Sebezhetőségdetektáló Rendszer (ASR)

Az ASR az Automatizált Sebezhetőségdetektáló Rendszer rövidítése. Az elnevezés arra utal, hogy a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet
(a továbbiakban: NKI) üzemeltet egy olyan automatikusan működő rendszert, amely sérülékenységek feltárásával foglalkozik. Az ASR működésének célja az, hogy az NKI a jogszabályokban meghatározott szervezetek részére e szolgáltatás segítségével képet adjon a szervezet informatikai rendszereinek kiberkitettségi helyzetéről.

Az ASR működése két alapvető funkciót takar. Egyrészről folyamatos időben vizsgálja a szervezet weboldalainak üzemkészségét, másrészről rendszeres időközönként tájékoztatást ad a szervezet által használt vagy üzemeltetett informatikai szolgáltatások támadhatóságról a nyílt internet irányából.

Az ASR folyamatos idejű felügyelete megmutatja, hogy történt-e a szervezet weboldalainak elérésében valami negatív változás (lassabb elérés, esetleg elérhetetlenség), illetve előre meghatározott idejű rendszerességgel egy automatizmus segítségével un. black-box típusú sérülékenységvizsgálatot hajt végre. Megjegyzendő, hogy az automata eszközök miatt ez a vizsgálat nem tekinthető teljes értékű sérülékenységvizsgálatnak, a vizsgálati eredmények nem fedik le az összes vizsgálati formát és a hozzájuk tartozó metódusokat.

Az ASR folyamatos idejű felügyelete megmutatja, hogy történt-e a szervezet weboldalainak elérésében valami negatív változás (lassabb elérés, esetleg elérhetetlenség), illetve előre meghatározott idejű rendszerességgel egy automatizmus segítségével un. black-box típusú sérülékenységvizsgálatot hajt végre. Megjegyzendő, hogy az automata eszközök miatt ez a vizsgálat nem tekinthető teljesértékű sérülékenységvizsgálatnak, a vizsgálati eredmények nem fedik le az összes vizsgálati formát és a hozzájuk tartozó metódusokat.

A jelenlegi jogi környezetben a szolgáltatás igénybevételére jogosult – elsősorban az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv) és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet (a továbbiakban: Rendelet) alá tartozó – szervezetek számára díjmentes, minden más szervezet számára nem elérhető.

A rendszerbe való bekerülés feltétele a https://nki.gov.hu/asr weboldalról letölthető adategyeztető dokumentum kitöltése, valamint megküldése az NBSZ Hivatali Kapujára (KRID: 427386978).

Az adategyeztető dokumentum rögzíti mindazon információkat, melyek szükségesek az ASR-be való felvételhez, a végpontok vizsgálatának műszaki konfigurálásához, valamint a vizsgálati riportok, értesítések megfelelő és titkosított eljuttatásához a jogosult kapcsolattartók részére. Kérjük, hogy a dokumentumot az érintett szervezet Hivatali Kapujáról szíveskedjenek az NBSZ részére eljuttatni!

A szervezet központi weboldalának felügyeletéhez csak a nyílt internet irányából történő elérhetőség az alapfeltétel. A sérülékenységvizsgálat végrehajtásához az ASR honlapján felsorolt IP-címek engedélyezése mindenféleképpen elengedhetetlen.
Az ASR tájékoztatás (rendkívüli üzemállapot, sérülékenységvizsgálati tájékoztató) továbbításához szükséges a megfelelő kapcsolattartói azonosítók (mobil telefonszám, e-mail cím) megadása.

Az adategyeztető dokumentum részletesen taglalja a nyilvántartásra kötelezett adatokat, amelyek legfőképpen az adott szervezet eléréséhez, a munkakapcsolat tartásához szükségesek. A szervezeti adatok a kapcsolattartáson kívül a nyilvántartásokban történő azonosítást szolgálják, az ASR működését közvetlenül nem befolyásolják.

A szervezet teljes és rövid megnevezése azért fontos, mert a hivatalos kapcsolatfelvétel vagy -tartás elsődlegesen a Központi Értesítő Rendszer igénybevételével történik, a megadott adatok alapján történik a címzett beazonosítása. Ehhez a szervezetnek rendelkeznie kell a Központi Rendszerben Hivatali Kapuval, ennek hiányában érvényes e-mail címmel.

A központi telefonszám és e-mail cím megadásakor olyan elérhetőséget érdemes feltüntetni, amely bárki részére általánosan, központi jelleggel használatos. A weboldal esetében szintén ez az irányadó, de az URL megadásakor – amennyiben ez a gyakorlatban is megvalósított – előnyben kell részesíteni a https protokollal megadott címet (pl. https://www.mintaoldal.hu).

Előfordulhat, hogy valamely szervezet átmenetileg vagy egyáltalán nem rendelkezik az eddig említett adatok valamelyikével, ekkor célszerű az ideiglenes adatot szerepeltetni, vagy annak hiányában a rovatot üresen hagyni.

Az adategyeztető dokumentumot kitöltő személy adatainak megadása azért fontos, mert az – mint kompetens személy elérhetősége – alapot ad az ASR rendszerébe rögzített azonosítókra vonatkozó utólagos egyeztetésre. Az adategyeztető kitöltésekor történhet elgépelés, helyesnek látszó, de technikai szempontból hibás adat megadása, amely az ASR működését eredménytelenné teheti, ezek az adatfeldolgozás során utólagos korrekciót igényelnek.

Kapcsolattartónak hívunk a témakörben egy adott szervezethez kötődő minden olyan személyt, aki az ASR működésében érintett. Ez vonatkozik ugyanúgy az adatmegadásra, adatrögzítésre, illetve az ASR által szolgáltatott jelzések vagy vizsgálati eredményeket tartalmazó dokumentumok kezelésében résztvevőkre.

A gyakorlatban ez úgy jelenik meg, hogy a kapcsolattartók között szerepeltetni érdemes az összes személyt, aki az aktív kapcsolattartást végzi vagy végezheti, továbbá akik számára az ASR értesítést küldhet, illetve a vizsgálat lefolytatását követően az összeállított tájékoztatót kézbesítheti.

Külön és nyomatékosan felhívjuk a figyelmet, hogy a kapcsolattartásra csak honos szolgáltató által üzemeltetett elektronikus postafiókcímet célszerű megadni, a külföldi, vagy Magyarországon is tevékenykedő, de külföldi székhelyű szolgáltató által üzemeltetett e-mail cím használata – a küldemények szenzitív jellegű tartalomra tekintettel – nem ajánlott az információbiztonsági aggályok fokozott megjelenése miatt.

A felügyelet az adatrögzítéssel veszi kezdetét, ekkor a felügyeleti rendszer megvalósítja az aktív monitorozást. A hálózaton ez az aktivitás annak szokatlansága miatt feltűnhet, de semmiképpen sem jár együtt jelentős terheléssel, amely a szolgáltatás fenntartását akadályozná. Amennyiben az érintett szolgáltatásban lassulás, esetleg tartós idejű elérhetetlenség lépne fel, arról üzenetben értesít.

Az ASR a figyelt weboldalak esetén fellépő üzemzavarokról SMS üzenetben, az elvégzett sérülékenységvizsgálat eredményéről pedig e-mail formájában tájékoztat.
Az üzenetek kézbesítése érdekében szükséges beállítani az értesítendők személy(ek) listáját, amely az adategyeztető dokumentumban csoportba szervezetten tehető meg. Az 1. értesítési csoport megadása kötelező, ebben kell szerepeltetni azokat a rendszerelemeket, amelyekről értesítést szeretnénk kapni. Az, hogy ki kapja meg az értesítést, a kapcsolattartók felületén beállítható.

Lehetőség van – de nem kötelező – további két (a 2. és a 3. számú) értesítési csoport definiálására is, ezzel akár kialakítható az értesítési láncolat hierarchiája. Az értesítések szeparálását úgy kell meghatározni, hogy egy rendszerelem csak egy értesítési csoport eleme lehet.

A szervezet részére lehetőség van továbbá arra is, hogy a sérülékenységvizsgálat végrehajtásának időpontját behatárolja, ezzel biztosítva azt, hogy a vizsgálat ne olyan időszakban történjen, amikor a szervezet számára kiemelkedően fontos a szolgáltatás fenntartása. A dokumentumban megadható a teljes hónap, a hónap első vagy második fele, a hónap tetszőleges hete, vagy négy egymást követő napból álló intervallum is.

Szolgáltatáscsökkenéssel vagy -leállással kapcsolatos üzenetek esetén fel kell keresni a weboldal üzemeltetőjét, tájékoztatni kell az észlelt hibáról, és érdeklődni a kialakult helyzet okáról. Saját üzemeltetésű weboldal esetén értesíteni kell a rendszergazdát, aki meg tudja tenni a megfelelő lépéseket.

A vizsgálati tájékoztatóban többnyire angol nyelvű megállapítások találhatók, ez az alkalmazott szoftverek képességei miatt alakult így ki. A dokumentum megállapításai általában a nyírt internet felől kihasználható sérülékenységeket taglalja azok súlyossága szerint osztályozva. A tájékoztató – hasonlóan a tűzoltóeszközök ellenőrzéséhez – mindig az aktuális helyzetnek megfelelő veszélyeztetettséget mutatja, az általa feltárt hibák kijavításáról a szervezetnek kell mielőbb intézkednie. Egyrészt azért, mert ez mindig az érintett szervezet felelőssége és kötelessége, másrészt a sérülékenység által jelentett kockázat az idő múlásával egyre nagyobb lesz.

A felügyelet gyakorlatilag a rendszerelem élethosszáig tartó felügyeletet jelent. Ha egy szervezet az ASR felügyelete alá vont egy rendszerelemet, akkor az annak érdembeli változásáig (pl. megváltozott domain néven elérhető weblap, szervezetbeli struktúraváltozatás) folyamatos a monitorozás.