{"id":5270,"date":"2023-08-12T18:47:49","date_gmt":"2023-08-12T16:47:49","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5270"},"modified":"2024-02-10T15:43:34","modified_gmt":"2024-02-10T14:43:34","slug":"povrsina-napada-upravljanje-epizoda-2","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/","title":{"rendered":"POVR\u0160INA NAPADA: Upravljanje (Epizoda 2)"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Upravljanje povr\u0161inom napada vremenom postaje prioritet za poslovne organizacije kao sredstvo da se umanji opasnost od potencijalnih prijetnji. Pored o\u010diglednog porasta napada, najve\u0107a potreba za ovim je uslovljeno ekspanzijom <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161ine napada<\/a> upotrebom novih tehnologija u poslovanju.<\/span><\/p>\n<div id=\"attachment_5272\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5272\" class=\"size-full wp-image-5272\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/attack-surface-e2.jpg\" alt=\"povr\u0161ina napada\" width=\"1024\" height=\"630\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/attack-surface-e2.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/attack-surface-e2-300x185.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/attack-surface-e2-768x473.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/attack-surface-e2-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5272\" class=\"wp-caption-text\"><em>POVR\u0160INA NAPADA: Upravljanje (Epizoda 2); Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#UPRAVLJANJE_POVRSINOM_NAPADA\" >UPRAVLJANJE POVR\u0160INOM NAPADA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#Prednosti_upravljanja_povrsinom_napada\" >Prednosti upravljanja povr\u0161inom napada<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#Tehnike_i_strategije\" >Tehnike i strategije<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#Izazovi\" >Izazovi<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#Nevidljivo_%E2%80%93_Ne_zasticeno\" >Nevidljivo \u2013 Ne za\u0161ti\u0107eno<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#Proces\" >Proces<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/12\/povrsina-napada-upravljanje-epizoda-2\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"UPRAVLJANJE_POVRSINOM_NAPADA\"><\/span><span style=\"font-size: 14pt;\"><strong>UPRAVLJANJE POVR\u0160INOM NAPADA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Puna definicija upravljana povr\u0161inom napada bi obuhvatala otkrivanje, prikupljanje, procjenu, klasifikaciju, odre\u0111ivanje prioriteta, sanaciju i prac\u0301enje svih dostupnih sredstava koje koristi organizacija. Ovaj pristup ima ve\u0107i zna\u010daj od tradicionalnog pristupa upravljanja ranjivostima, jer poma\u017ee u odre\u0111ivanju prioritetnih rizika koji \u0107e napada\u010di najvjerovatnije iskoristiti. Ako se uradi na pravi na\u010din, upravljanje povr\u0161inom napada omogu\u0107ava organizacijama da obrate pa\u017enju ne samo na kriti\u010dne ranjivosti, ve\u0107 i na stvarne potencijalne ta\u010dke napada na sistem organizacije.<\/span><\/p>\n<h2><\/h2>\n<h3><span class=\"ez-toc-section\" id=\"Prednosti_upravljanja_povrsinom_napada\"><\/span><span style=\"font-size: 14pt;\"><strong>Prednosti upravljanja povr\u0161inom napada<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Upravljanje povr\u0161inom napada mo\u017ee pomo\u0107i organizacijama da prona\u0111u skrivene ranjivosti u svojim sistemima, a nakon toga da razviju razli\u010dite mjere za\u0161tite za te ranjivosti. To je jednostavno metodologija koja poma\u017ee bezbjednosnim timovima unutar organizacija da razviju nove strategije, tehnike i na\u010dine kontrole svoji resursa \u0161to za kona\u010dni rezultat ima unapre\u0111enje cjelokupnog bezbjednosnog programa organizacije koji postaje mnogo otporniji na razli\u010dite vrste napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sagledavanje cjelokupne situacije i testiranje resursa organizacije simuliranjem razli\u010ditih vrsta napada, upravljanje povr\u0161inom napada mo\u017ee pomo\u0107i organizacijama da otkriju ranjivosti prije napada\u010da.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upravljanje povr\u0161inom napada mo\u017ee pomo\u0107i organizacijama da tro\u0161e manje novca na <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a>, tako \u0161to \u0107e identifikovati sve slabosti sistema koji koriste i onda optimizovati potrebne resurse koje koriste za za\u0161titu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upravljanje povr\u0161inom napada podsti\u010de bezbjednosne timove da stalno prate resurse organizacije, \u0161to pove\u0107ava vidljivosti resursa i vodi do boljeg razumijevanja kompletne infrastrukture organizacije. Sve to na kraju poma\u017ee bezbjednosnim timovima da br\u017ee otkriju potencijalni napad i da br\u017ee reaguju i za\u0161titite organizaciju.<\/span><\/p>\n<h3><\/h3>\n<h3><span class=\"ez-toc-section\" id=\"Tehnike_i_strategije\"><\/span><span style=\"font-size: 14pt;\"><strong>Tehnike i strategije<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sa druge strane, napada\u010di su veoma skloni adaptaciji \u2013 fleksibilni, prilagodljivi i oportunisti\u010dki nastrojeni. U\u010de iz svojih gre\u0161aka i pobolj\u0161avaju svoje napade. Kada napadaju neku organizaciju, oni tra\u017ee najslabiju ta\u010dku u odbrani da bi dobili pristup, a to mo\u017ee biti digitalni ili fizi\u010dki resurs. Kako bi se suprotstavili ovim adaptivnim napadima, organizacije uvode strategije i tehnike za identifikaciju, raspore\u0111ivanje i obezbje\u0111ivanje ovih potencijalnih prijetnji. Radi lak\u0161e razumijevanja ovih strategija i tehnika, one se mogu prikazati u nekoliko koraka, a to su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Otkrivanje. Ovdje se podrazumijeva sposobnost da se \u201c<em>vidi<\/em>\u201d svaki djeli\u0107 povr\u0161ine izlo\u017eene napadu. Ovo se posebno odnosi na otkrivanje nepoznatih sredstva i neovla\u0161tenog mre\u017enog povezivanje (\u0161to je \u010desto posljedica pogre\u0161ne konfiguracije ure\u0111aja), softvera, korisnika i sli\u010dno.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Procjenjivanje. Identifikacija rizika mora da obuhvati apsolutno sve resurse koji su otkriveni \u2013 korisnike, korisni\u010dke naloge, mre\u017eni pristup, softverske i hardverske ranjivosti, a\u017euriranja koja nisu primijenjena, lo\u0161e konfigurisane ure\u0111aje i sli\u010dno.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kontekst. Ovdje se gleda u kojim ta\u010dkama dolazi do preklapanja raznih rizika kako bi se stvorio profil rizika sredstava u odnosu na perspektivu napada\u010da.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prioriteti. Upravljanje povr\u0161inom napada postavlja prioritetne rizike na osnovu perspektive napada\u010da koriste\u0107i informacije iz svih koraka iznad. Kona\u010dni cilj je ocjena rizika koja u obzir uzima razli\u010dite parametre za odre\u0111ivanje prioritetnih koraka djelovanja. Zbog svega navedenog, ovaj korak pravi osnovnu razliku izme\u0111u upravljanja ranjivostima i povr\u0161inom napada.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sanacija. Konstantno unapre\u0111enje mjera za\u0161tite je uslovljeno prioritetima koji su usvojeni u koraku iznad. To obi\u010dno podrazumijeva sveobuhvatno djelovanje ka za\u0161titi mre\u017ene infrastrukture, a\u017euriranju sredstva koja se koriste, dodatnom unapre\u0111enju svih mjera za\u0161tite i sli\u010dno.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavanje. Ovo je najte\u017ei korak u \u010ditavom procesu, a on obuhvata redovno a\u017euriranje i reviziju svih dostupnih informacija o mogu\u0107im prijetnjama. To zna\u010di, da je potrebno\u00a0 konstantno pratiti aktuelne i identifikovati nove rizike, a sve to treba biti bazirano na prethodno ura\u0111enim koracima sanacije i identifikaciji novih ranjivosti.<\/span><\/li>\n<\/ul>\n<div id=\"attachment_5275\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5275\" class=\"size-full wp-image-5275\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/strategy.webp\" alt=\"Tehnike i strategije\" width=\"1024\" height=\"683\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/strategy.webp 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/strategy-300x200.webp 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/strategy-768x512.webp 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/strategy-18x12.webp 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5275\" class=\"wp-caption-text\"><em>Tehnike i strategije; Source: <a href=\"https:\/\/www.piqsels.com\/en\/public-domain-photo-zfpfk\" target=\"_blank\" rel=\"nofollow noopener\">Piqsels<\/a><\/em><\/p><\/div>\n<h3><span class=\"ez-toc-section\" id=\"Izazovi\"><\/span><span style=\"font-size: 14pt;\"><strong>Izazovi<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ovako napisani, ovi koraci izgledaju jednostavno, me\u0111utim mnoge organizacije se izgube u njihovoj primjeni. \u0160to je organizacija ve\u0107a, to je te\u017ee primjenjivati ove korake, a\u00a0 pogotovo kada je organizacija optere\u0107ena tradicionalnim pra\u0107enjem prijetnji. Najva\u017eniji korak je da se napravi \u201c<em>mapa svijeta<\/em>\u201d \u2013 ta\u010dna mapa svih resursa u upotrebi. Tradicionalne metode detekcije mogu da propuste resurs, nepravilno identifikuju ranjivosti ili onemogu\u0107e brz oporavak. Pored toga tradicionalne metode stvaraju velike koli\u010dine upozorenja sa malo\u00a0 mogu\u0107nosti da pravilno odrede prioriteti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sanacija je tako\u0111e izazov zbog starosti mnogih resursa i nemogu\u0107nosti da se oni nadograde, \u0161to opet zahtjeva da se svaki takav resurs pojedina\u010dno stavi u centar pa\u017enje. Mnoge organizacije nemaju stvarni pregled svih dostupnih resursa koje koriste globalno, \u0161to opet blokira cirkulisanje informacija, \u0161to opet onemogu\u0107ava pravilno usmjeravanje resursa na sanaciju i ozna\u010davanje prioriteta sanacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iz svega navedenog se vidi da da je vidljivost najve\u0107i problem i da postoji puno \u201e<em>nevidljivih<\/em>\u201c podru\u010dja unutar mnogih organizacija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Nevidljivo_%E2%80%93_Ne_zasticeno\"><\/span><span style=\"font-size: 14pt;\"><strong>Nevidljivo \u2013 Ne za\u0161ti\u0107eno<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Istra\u017eivanja napada na organizacije pokazuju da mnoge organizacije klasifikuju kao napade na nepoznate, ne upravljane ili lo\u0161e konfigurisane resurse. To zna\u010di da su organizacije neke resurse izgubile iz vidljivog spektra resursa ili nisu znale da ta sredstva uop\u0161te postoje \u2013 dodata u sistem od stane korisnika bez znanja organizacije. Ovakve situacije i ekspanzija novih resursa koji se stalno dodaju u sisteme organizacija olak\u0161avaju <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> velik stepen uspjeh prilikom napada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Veoma mali broj organizacija uspijeva da evidentira svaki resurs koji se nalazi u povr\u0161ini napada, a kao da to nije ve\u0107 samo po sebi te\u0161ko izvesti, to dosta dugo traje i oduzima puno vremena. Uz to koli\u010dina, raznovrsnost i slo\u017eenost resursa koje koriste organizacije vremenom raste i to veoma \u010desto van objektivnih mogu\u0107nosti bezbjednosnih timova da to prate, upravljaju i efikasno za\u0161tite.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Proces\"><\/span><span style=\"font-size: 14pt;\"><strong>Proces<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kao i kod svih stvari u sajber bezbjednosti, upravljanje povr\u0161inom napada je proces. On podrazumijeva efikasnu implementaciju upravljanja povr\u0161inom napada na sljede\u0107i na\u010din:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Definisanje ciljeva u skladu sa organizacionom politikom.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obezbje\u0111ivanje dovoljno resursa za izvr\u0161avanje procesa upravljanja povr\u0161inom napada.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Periodi\u010dno testiranje i procjenjivanje efikasnosti procesa u svrhu mjerenja efikasnosti, uz otklanjanje otkrivenih smetnji koje ometaju proces.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Integracija procesa upravljanja povr\u0161inom napada u redovnu praksu sajber bezbjednosti, \u0161to zna\u010di da ovaj proces treba da postane normalna rutina u poslovanju organizacije.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Moderne prijetnje su svakim danom sve pametnije, prilagodljivije i pogubnije. Zato u cilju za\u0161tite od zlonamjernih aktera, bezbjednosni tim organizacije mora konstantno razvijati odbranu sa efikasnim praksama i tehnikama. Glavna ideja i cilj upravljanja povr\u0161inom napada je identifikacija ranjivosti organizacije, a zatim zatvaranje ili poja\u010davanje za\u0161tite na mogu\u0107im ulaznim ta\u010dkama. Jednostavno re\u010deno, usvajanje upravljanja povr\u0161inom napada je put ka formiranju stabilne i otporne kulture sajber bezbjednosti u poslovnoj organizaciji.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Upravljanje povr\u0161inom napada vremenom postaje prioritet za poslovne organizacije kao sredstvo da se umanji opasnost od potencijalnih prijetnji. Pored o\u010diglednog porasta napada, najve\u0107a potreba za ovim je uslovljeno ekspanzijom povr\u0161ine napada upotrebom novih tehnologija&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5272,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[503,54,504],"class_list":["post-5270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-info","tag-provrsina-napada","tag-sajber-bezbjednost","tag-upravljanje"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5270"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5270\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5272"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}