Zarządzanie podatnościami
Baza wiedzy
Zarządzanie podatnościami – czym jest i dlaczego jest tak ważne?
Bezpieczeństwo organizacji

Zarządzanie podatnościami – czym jest i dlaczego jest tak ważne?

Dowiedz się, czym jest zarządzanie podatnościami, jakie są jego etapy oraz dlaczego skuteczna identyfikacja i naprawa luk w systemach IT ma kluczowe znaczenie dla bezpieczeństwa organizacji.

www.sisoft.pl/baza-wiedzy/zarzadzanie-podatnosciami-w-cyberbezpieczenstwie
Łukasz Kokoszka
28.12.2022
5
min czytania

Spis treści

    Dlaczego zarządzanie podatnościami powinno być fundamentem każdej strategii cyberbezpieczeństwa?

    Etapy podatności to: wykrycie, priorytetyzacja, ocena, raportowanie, naprawa, weryfikacja. Na czym polegają?

    Definicją podatności są słabości, które występują w oprogramowaniu, sieciach, czy systemach. Zagrażają one bezpieczeństwu samej infrastruktury lub tworzą łatwy dostęp do organizacji. Poprzez te luki cyberprzestępcy mogą wyłudzać dane oraz pieniądze, kompromitując nawet cały system. Tak naprawdę żadne oprogramowanie nie jest wolne od wad, a kolejne wykryte podatności są usuwane wraz z aktualizacjami. Dlatego organizacja powinna kompleksowo inwestować w zarządzanie ryzykiem oraz realizować holistyczną strategią cyberbezpieczeństwa!

    Zarządzanie podatnościami – czym jest?

    Warto mieć świadomość, że podatności wykrywane są na bardzo dużą skalę. Każdego dnia do bazy trafia około 50 nowych podatności, zatem każdego roku tego typu wad i luk w bezpieczeństwie działania systemów wykrywanych jest kilka tysięcy. Informacje o nich są klasyfikowane według specjalnego systemu – Common Vulnerability Scoring System – CVSS (stworzony przez NIST) oraz trafiają do ogólnodostępnej bazy. Im większe ryzyko tworzy dana podatność, tym więcej otrzymuje punktów w tym standardzie. Niestety – ryzyko to kumuluje się – im więcej podatności współistnieje w danej infrastrukturze, tym jest jest ona słabsza.

    Samo zarządzanie podatnościami (vulnerability management) polega na cyklicznej praktyce identyfikowania, klasyfikowania, naprawiania podatności oraz weryfikacji rezultatów tych działań. Do tego dochodzi minimalizowanie skutków występowania luk, jeśli dojdzie do ich wykorzystania przez hackerów. Taki audyt powinien być realizowany regularnie – nie chodzi o to, by były to działania ad-hoc. Dobre zarządzanie podatnościami wymaga odpowiednich kroków. Ale o tym więcej za chwilę!

    Rodzaje podatności oraz ich ocena

    NIST (National Institute of Standards and Technology), czyli Narodowy Instytut Norm i Techniki, to amerykańska agencja federalna, która zdefiniowała trzy główne rodzaje podatności. Są to:

    • podatności, które powstają na poziomie samego oprogramowania, w procesie jego tworzenia
    • podatności, które powstają w wyniku niewłaściwej konfiguracji oprogramowania przez użytkownika
    • niewłaściwe korzystanie z funkcji systemu przez użytkownika, które prowadzi do naruszania jego bezpieczeństwa

    Każda nowa podatność jest dużym zagrożeniem dla organizacji. Dotyczy to także tych znanych, ale jeszcze nie załatanych podatności. Organizacje powinny pamiętać, że brak świadomości istniejącego ryzyka z tego tytułu powoduje tylko większy chaos i destabilizację w przypadku ataku! Bezpieczeństwo całego systemu w tym przypadku jest niestety iluzją.

    Zadaniem CVSS jest nadawanie wag poszczególnym lukom na podstawie ich cech. Wszystko zależy od kilku czynników, takich jak integralność, poufność, czy dostępność – zarówno oryginalnego systemu jak i możliwości wykorzystania jego podatności. Dzięki temu wynik w tym standardzie informuje o poziomie niskim, średnim, wysokim lub krytycznym jej wypływie. Umożliwia to organizacjom ocenę występujących zagrożeń oraz dalszą prioretyzację w procesie zarządzania podatnościami.

    Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji

    Zainteresował Cię ten temat? Sprawdź naszą usługę testów penetracyjnych.

    Bezpłatna konsultacja

    Proces zarządzania podatnościami

    Najważniejsze kroki w dbaniu o cyberbezpieczeństwo organizacji są na szczęście dość proste. Istotne w zarządzaniu podatnościami etapy to: wykrycie, priorytetyzacja, ocena, raportowanie, naprawa, weryfikacja. Na czym polegają?

    1. Wykrycie podatności – cały proces zarządzania podatnościami zaczyna się od ich wykrycia. Zespoły, które się tym zajmują podejść do tego mogą wielotorowo. Z jednej strony istotne jest skanowanie oprogramowania w celu znalezienia luk. Służą temu dedykowane narzędzia. Z drugiej strony istotne są bazy i miejsca, w których publikowane są informacje o podatnościach – zwłaszcza tych najnowszych, dopiero wykrytych!
    2. Ustalenie priorytetów – istotne po wykryciu podatności jest ustalenie ich priorytetów. Wynika to z poziomu ich krytyczności oraz znaczeniu komponentu, w którym dana wada występuje.
    3. Ocena – jest to moment oceny zagrożeń, które mogą wygenerować dane podatności oraz ustalenie sposobu zarządzania nimi. Najczęściej dopiero po dokładnym przeskanowaniu wszystkich urządzeń można zidentyfikować skalę problemu, z którym będzie musiał poradzić sobie zespół do spraw cyberbezpieczeństwa!
    4. Raport – w wyniku wykonanych wcześniej akcji, w organizacji powinien powstać odpowiedni raport, w którym zdefiniowane są odpowiednie informacje. Powinny obejmować one analizę jakościową oraz ilościową wykrytych podatności oraz trafić do odpowiednich interesariuszy, którzy będą rozwiązywać dane problemy.
    5. Naprawa – w tym etapie naprawia się wykryte podatności, zgodnie z ich priorytetami. W wyniku tych działań można je usunąć zupełnie, zmniejszyć ryzyko ich wpływu na systemy, lub jeśli nie ma sposobu lub jest to zbyt kosztowne – podatność akceptuje się, przynajmniej do czasu oficjalnej aktualizacji przez producenta oprogramowania.
    6. Weryfikacja – na samym końcu cyklu zarządzania podatnościami weryfikuje się dotychczasowe działania, rezultaty naprawionych luk w systemach, a także planuje kolejne przeglądy. Podstawą jest cykliczność tego procesu i nieustanne dbanie o zmniejszenie ryzyka w organizacji.

    Dlaczego warto inwestować w zarządzanie podatnościami?

    Z punktu widzenia organizacji i całego systemu bezpieczeństwa, w sytuacji idealnej skanowanie wszystkich dostępnych urządzeń, weryfikacja oprogramowania i systemów powinna być wyczerpująca. Powinniśmy móc ocenić i zarządzać każdą, nawet najmniejszą podatność, a także wydarzenie z nią związaną!

    Monitorowanie i analizowanie tego ryzyka pozwoli długofalowo zminimalizować organizacji liczbę ataków, a także zbudować sprawny system odpowiedzi na takie incydenty. Działania te są również ważne z punktu widzenia normy ISO 27001, która standaryzuje Systemy Zarządzania Bezpieczeństwem Informacji oraz uwzględnia zarządzanie podatnościami technicznymi. Dla organizacji aspirującej do najwyższych standardów zarządzania bezpieczeństwem powinna być to podstawowa inwestycja!

    Najczęściej zadawane pytania

    Czym jest zarządzanie podatnościami?

    Zarządzanie podatnościami to proces identyfikowania, klasyfikowania, naprawiania i monitorowania luk w zabezpieczeniach systemów informatycznych.

    Jakie są etapy zarządzania podatnościami?

    Etapy to: wykrycie, priorytetyzacja, ocena, raportowanie, naprawa oraz weryfikacja podatności.

    Dlaczego zarządzanie podatnościami jest ważne?

    Skuteczne zarządzanie podatnościami pozwala ograniczyć ryzyko cyberataków i chronić zasoby organizacji przed utratą danych lub przestojem w działaniu.

    Co to jest CVSS i jak się go używa?

    CVSS (Common Vulnerability Scoring System) to system oceny podatności opracowany przez NIST, który klasyfikuje luki według poziomu zagrożenia – od niskiego do krytycznego.

    Jakie są rodzaje podatności według NIST?

    NIST wyróżnia podatności związane z kodem oprogramowania, błędną konfiguracją oraz niewłaściwym użyciem systemów przez użytkowników.

    Czy zarządzanie podatnościami jest wymagane przez normę ISO 27001?

    Tak, norma ISO 27001 uwzględnia zarządzanie podatnościami jako element Systemu Zarządzania Bezpieczeństwem Informacji.

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Normy cyberbezpieczeństwa

    Cyber Resilience Act: jak wdrożyć secure-by-design przed 2026

    Cyber Resilience Act – nowe unijne zasady secure‑by‑design dla produktów cyfrowych. Co muszą wiedzieć zarządy przed 2026 rokiem, jak przygotować firmę i uniknąć kar.
    Grzegorz Surdyka
    7/28/2025
    5
    min czytania
    Bezpieczeństwo organizacji

    Cyberodporność - kluczowa waluta biznesu w 2025 roku

    Cyberbezpieczeństwo w 2025 to wyzwanie dla całej organizacji. Sprawdź, jak wdrożyć ISO 27001 i przygotować się na atak zgodnie z NIS2 i DORA.
    Grzegorz Surdyka
    7/21/2025
    5
    min czytania
    Jak przygotować firmę do audytu ISO/IEC 27001
    Normy cyberbezpieczeństwa

    Nie panikuj, przygotuj się: Jak przygotować firmę do audytu ISO/IEC 27001 i nie zwariować po drodze

    Przygotowanie firmy do audytu ISO/IEC 27001 nie musi być koszmarem. Zobacz, jak HR-owiec bez doświadczenia w IT poprowadził certyfikację, unikając chaosu i budując realne bezpieczeństwo informacji.
    Grzegorz Surdyka
    7/14/2025
    5
    min czytania
    Zobacz więcej