Ons het 'n groot 4de Julie gehad . Vandag publiseer ons 'n transkripsie van die toespraak van Andrey Novikov van Qualys. Hy sal jou vertel watter stappe jy moet deurgaan om 'n werkvloei vir kwesbaarheidsbestuur te bou. Bederf: ons sal eers die halfpad bereik voor ons skandering.
Stap #1: Bepaal die volwassenheidsvlak van jou kwesbaarheidsbestuursprosesse
Heel aan die begin moet jy verstaan in watter stadium jou organisasie is in terme van volwassenheid van sy kwesbaarheidsbestuursprosesse. Eers hierna sal jy kan verstaan waarheen om te beweeg en watter stappe geneem moet word. Voordat hulle met skanderings en ander aktiwiteite begin, moet organisasies interne werk doen om te verstaan hoe jou huidige prosesse vanuit 'n IT- en inligtingsekuriteitsperspektief gestruktureer is.
Probeer om basiese vrae te beantwoord:
- Het jy prosesse vir voorraad en bateklassifikasie;
- Hoe gereeld word die IT-infrastruktuur geskandeer en word die hele infrastruktuur gedek, sien jy die geheelbeeld;
- Word jou IT-hulpbronne gemonitor?
- Is enige KPI's in jou prosesse geïmplementeer en hoe verstaan jy dat daar aan hulle voldoen word;
- Is al hierdie prosesse gedokumenteer?
Stap #2: Verseker volledige infrastruktuurdekking
Jy kan nie beskerm wat jy nie van weet nie. As jy nie 'n volledige prentjie het van waaruit jou IT-infrastruktuur gemaak is nie, sal jy dit nie kan beskerm nie. Moderne infrastruktuur is kompleks en verander voortdurend kwantitatief en kwalitatief.
Nou is die IT-infrastruktuur nie net op 'n stapel klassieke tegnologieë (werkstasies, bedieners, virtuele masjiene) gebaseer nie, maar ook op relatief nuwes - houers, mikrodienste. Die inligtingsekuriteitsdiens hardloop op elke moontlike manier van laasgenoemde weg, aangesien dit baie moeilik is om met hulle te werk deur bestaande gereedskapstelle, wat hoofsaaklik uit skandeerders bestaan, te gebruik. Die probleem is dat enige skandeerder nie die hele infrastruktuur kan dek nie. Vir 'n skandeerder om enige nodus in die infrastruktuur te bereik, moet verskeie faktore saamval. Die bate moet binne die organisasie se omtrek wees ten tyde van skandering. Die skandeerder moet netwerktoegang tot bates en hul rekeninge hê om volledige inligting in te samel.
Volgens ons statistieke, wanneer dit by medium of groot organisasies kom, word ongeveer 15–20% van die infrastruktuur om die een of ander rede nie deur die skandeerder vasgelê nie: die bate het buite die omtrek beweeg of verskyn glad nie in die kantoor nie. Byvoorbeeld, 'n skootrekenaar van 'n werknemer wat op afstand werk, maar steeds toegang tot die korporatiewe netwerk het, of die bate is geleë in eksterne wolkdienste soos Amazon. En die skandeerder sal waarskynlik niks van hierdie bates weet nie, aangesien dit buite sy sigbaarheidsone is.
Om die hele infrastruktuur te dek, moet jy nie net skandeerders gebruik nie, maar 'n hele stel sensors, insluitend passiewe verkeersluistertegnologieë om nuwe toestelle in jou infrastruktuur op te spoor, agentdata-insamelingsmetode om inligting te ontvang - laat jou toe om data aanlyn te ontvang, sonder die behoefte aan skandering, sonder om geloofsbriewe uit te lig.
Stap #3: Kategoriseer bates
Nie alle bates word gelyk geskep nie. Dit is jou taak om te bepaal watter bates belangrik is en watter nie. Geen instrument, soos 'n skandeerder, sal dit vir jou doen nie. Ideaal gesproke werk inligtingsekuriteit, IT en besigheid saam om die infrastruktuur te ontleed om besigheidskritiese stelsels te identifiseer. Vir hulle bepaal hulle aanvaarbare maatstawwe vir beskikbaarheid, integriteit, vertroulikheid, RTO/RPO, ens.
Dit sal jou help om jou kwesbaarheidsbestuursproses te prioritiseer. Wanneer jou spesialiste data oor kwesbaarhede ontvang, sal dit nie 'n blad wees met duisende kwesbaarhede oor die hele infrastruktuur nie, maar fyn inligting wat die kritiekheid van die stelsels in ag neem.
Stap #4: Voer 'n infrastruktuur-evaluering uit
En eers by die vierde stap kom ons by die beoordeling van die infrastruktuur vanuit die oogpunt van kwesbaarhede. Op hierdie stadium beveel ons aan dat u nie net aandag gee aan sagtewarekwesbaarhede nie, maar ook aan konfigurasiefoute, wat ook 'n kwesbaarheid kan wees. Hier beveel ons die agentmetode aan om inligting in te samel. Skandeerders kan en moet gebruik word om omtreksekuriteit te assesseer. As jy die hulpbronne van wolkverskaffers gebruik, moet jy ook inligting oor bates en konfigurasies van daar af insamel. Gee spesiale aandag aan die ontleding van kwesbaarhede in infrastruktuur met behulp van Docker-houers.
Stap #5: Stel verslaggewing op
Dit is een van die belangrike elemente binne die kwesbaarheidsbestuursproses.
Die eerste punt: niemand sal met multi-bladsy verslae werk met 'n ewekansige lys van kwesbaarhede en beskrywings van hoe om dit uit te skakel nie. Eerstens moet jy met kollegas kommunikeer en uitvind wat in die verslag moet wees en hoe dit vir hulle geriefliker is om data te ontvang. Sommige administrateurs het byvoorbeeld nie 'n gedetailleerde beskrywing van die kwesbaarheid nodig nie en benodig slegs inligting oor die pleister en 'n skakel daarna. Nog 'n spesialis gee net om oor kwesbaarhede wat in die netwerkinfrastruktuur gevind word.
Tweede punt: met verslaggewing bedoel ek nie net papierverslae nie. Dit is 'n verouderde formaat vir die verkryging van inligting en 'n statiese storie. 'n Persoon ontvang 'n verslag en kan geensins beïnvloed hoe die data in hierdie verslag aangebied sal word nie. Om die verslag in die verlangde vorm te kry, moet die IT-spesialis die inligtingsekuriteitspesialis kontak en hom vra om die verslag te herbou. Soos die tyd aanstap, verskyn nuwe kwesbaarhede. In plaas daarvan om verslae van departement tot departement te stoot, behoort spesialiste in beide dissiplines die data aanlyn te kan monitor en dieselfde prentjie te sien. Daarom gebruik ons in ons platform dinamiese verslae in die vorm van aanpasbare dashboards.
Stap #6: Prioritiseer
Hier kan jy die volgende doen:
1. Skep 'n bewaarplek met goue beelde van stelsels. Werk met goue beelde, kontroleer hulle vir kwesbaarhede en korrekte konfigurasie op 'n deurlopende basis. Dit kan gedoen word met behulp van agente wat outomaties die ontstaan van 'n nuwe bate sal rapporteer en inligting verskaf oor die kwesbaarhede daarvan.
2. Fokus op daardie bates wat van kritieke belang is vir die besigheid. Daar is nie 'n enkele organisasie in die wêreld wat kwesbaarhede in een keer kan uitskakel nie. Die proses om kwesbaarhede uit te skakel is lank en selfs vervelig.
3. Vernouing van die aanvalsoppervlak. Maak jou infrastruktuur skoon van onnodige sagteware en dienste, maak onnodige poorte toe. Ons het onlangs 'n saak met een maatskappy gehad waarin ongeveer 40 duisend kwesbaarhede wat verband hou met die ou weergawe van die Mozilla-blaaier op 100 duisend toestelle gevind is. Soos dit later geblyk het, is Mozilla baie jare gelede in die goue beeld bekendgestel, niemand gebruik dit nie, maar dit is die bron van 'n groot aantal kwesbaarhede. Toe die blaaier van rekenaars verwyder is (dit was selfs op sommige bedieners), het hierdie tienduisende kwesbaarhede verdwyn.
4. Rangskik kwesbaarhede gebaseer op bedreigingsintelligensie. Oorweeg nie net die kritiekheid van die kwesbaarheid nie, maar ook die teenwoordigheid van 'n publieke uitbuiting, wanware, pleister of eksterne toegang tot die stelsel met die kwesbaarheid. Evalueer die impak van hierdie kwesbaarheid op kritieke besigheidstelsels: kan dit lei tot dataverlies, diensweiering, ens.
Stap #7: Stem saam oor KPI's
Moenie skandeer ter wille van skandering nie. As niks gebeur met die kwesbaarhede wat gevind is nie, verander hierdie skandering in 'n nuttelose operasie. Om te verhoed dat werk met kwesbaarhede 'n formaliteit word, dink aan hoe jy die resultate daarvan sal evalueer. Inligtingsekuriteit en IT moet saamstem oor hoe die werk om kwesbaarhede uit te skakel gestruktureer sal word, hoe gereeld skanderings uitgevoer sal word, pleisters geïnstalleer sal word, ens.
Op die skyfie sien jy voorbeelde van moontlike KPI's. Daar is ook 'n uitgebreide lys wat ons by ons kliënte aanbeveel. As jy belangstel, kontak my asseblief, ek sal hierdie inligting met jou deel.
Stap #8: Outomatiseer
Terug na skandering weer. By Qualys glo ons dat skandering die onbelangrikste ding is wat vandag in die kwesbaarheidsbestuursproses kan gebeur, en dat dit eerstens soveel as moontlik geoutomatiseer moet word sodat dit sonder die deelname van 'n inligtingsekuriteitspesialis uitgevoer word. Vandag is daar baie instrumente wat jou toelaat om dit te doen. Dit is genoeg dat hulle 'n oop API en die vereiste aantal verbindings het.
Die voorbeeld wat ek graag gee is DevOps. As jy 'n kwesbaarheidskandeerder daar implementeer, kan jy eenvoudig van DevOps vergeet. Met ou tegnologieë, wat 'n klassieke skandeerder is, sal jy eenvoudig nie in hierdie prosesse toegelaat word nie. Ontwikkelaars sal nie wag vir jou om te skandeer en vir hulle 'n meervoudige, ongerieflike verslag te gee nie. Ontwikkelaars verwag dat inligting oor kwesbaarhede hul kodesamestellingstelsels in die vorm van foutinligting sal binnegaan. Sekuriteit moet naatloos in hierdie prosesse ingebou word, en dit moet net 'n kenmerk wees wat outomaties aangeroep word deur die stelsel wat deur jou ontwikkelaars gebruik word.
Stap #9: Fokus op die noodsaaklikhede
Fokus op wat werklike waarde vir jou maatskappy bring. Skanderings kan outomaties wees, verslae kan ook outomaties gestuur word.
Fokus op die verbetering van prosesse om dit meer buigsaam en gerieflik te maak vir almal wat betrokke is. Fokus daarop om te verseker dat sekuriteit ingebou is in alle kontrakte met jou teenpartye, wat byvoorbeeld webtoepassings vir jou ontwikkel.
As jy meer gedetailleerde inligting benodig oor hoe om 'n kwesbaarheidsbestuursproses in jou maatskappy te bou, kontak my en my kollegas asseblief. Ek sal bly wees om te help.
Bron: will.com