ጁላይ 4 ታላቅ ነበርን። . ዛሬ ከኳሊስ የአንድሬ ኖቪኮቭ ንግግር ግልባጭ እያተምን ነው። የተጋላጭነት አስተዳደር የስራ ሂደትን ለመገንባት ምን እርምጃዎችን ማለፍ እንዳለቦት ይነግርዎታል። ስፒለር፡ ከመቃኘታችን በፊት በግማሽ መንገድ ብቻ እንደርሳለን።
ደረጃ #1፡ የተጋላጭነት አስተዳደር ሂደቶችዎን የብስለት ደረጃ ይወስኑ
ገና መጀመሪያ ላይ፣ ድርጅትዎ ከተጋላጭነት አስተዳደር ሂደቶች ብስለት አንፃር ምን ደረጃ ላይ እንዳለ መረዳት አለቦት። ከዚህ በኋላ ብቻ የት እንደሚንቀሳቀሱ እና ምን እርምጃዎች መወሰድ እንዳለባቸው መረዳት ይችላሉ. ስካን እና ሌሎች ተግባራትን ከመጀመራቸው በፊት፣ድርጅቶች አሁን ያሉዎት ሂደቶች እንዴት ከአይቲ እና ከመረጃ ደህንነት አንፃር እንደተዋቀሩ ለመረዳት አንዳንድ የውስጥ ስራዎችን መስራት አለባቸው።
መሰረታዊ ጥያቄዎችን ለመመለስ ሞክር፡-
- ለክምችት እና ለንብረት ምደባ ሂደቶች አሉዎት;
- የአይቲ መሠረተ ልማት ምን ያህል በየጊዜው ይቃኛል እና አጠቃላይ መሠረተ ልማት የተሸፈነ ነው, ሙሉውን ምስል ይመለከታሉ;
- የአይቲ ግብዓቶችህ ቁጥጥር ይደረግባቸዋል?
- በሂደቶችዎ ውስጥ ማንኛውም KPIዎች ተፈጻሚ ናቸው እና እንዴት እየተሟሉ መሆናቸውን እንዴት ተረዱ?
- እነዚህ ሁሉ ሂደቶች የተመዘገቡ ናቸው?
ደረጃ #2፡ ሙሉ የመሠረተ ልማት ሽፋን ያረጋግጡ
የማታውቀውን ነገር መጠበቅ አትችልም። የአይቲ መሠረተ ልማትህ ከምን እንደተሠራ የተሟላ ሥዕል ከሌለህ ልትጠብቀው አትችልም። ዘመናዊ መሠረተ ልማት ውስብስብ እና በየጊዜው በመጠን እና በጥራት ይለዋወጣል.
አሁን የ IT መሠረተ ልማት የተመሰረተው በጥንታዊ ቴክኖሎጂዎች (የስራ ጣቢያዎች, አገልጋዮች, ምናባዊ ማሽኖች) ላይ ብቻ ሳይሆን በአንፃራዊነት አዲስ በሆኑ - ኮንቴይነሮች, ማይክሮ ሰርቪስ ላይ ነው. በዋነኛነት ስካነሮችን ያቀፈውን የመሳሪያ ስብስቦችን በመጠቀም ከእነሱ ጋር አብሮ ለመስራት በጣም አስቸጋሪ ስለሆነ የመረጃ ደህንነት አገልግሎቱ በሁሉም መንገድ ከኋለኛው እየሸሸ ነው። ችግሩ ማንኛውም ስካነር ሙሉውን መሠረተ ልማት መሸፈን አለመቻሉ ነው። ስካነር በመሠረተ ልማት ውስጥ የትኛውም መስቀለኛ መንገድ ላይ ለመድረስ ብዙ ምክንያቶች መገጣጠም አለባቸው። ቅኝት በሚደረግበት ጊዜ ንብረቱ በድርጅቱ ዙሪያ መሆን አለበት። የተሟላ መረጃ ለመሰብሰብ ስካነሩ ወደ ንብረቶች እና መለያዎቻቸው የአውታረ መረብ መዳረሻ ሊኖረው ይገባል።
እንደ አኃዛዊ መረጃዎቻችን፣ ወደ መካከለኛ ወይም ትላልቅ ድርጅቶች በሚመጣበት ጊዜ ከ15-20% የሚሆነው የመሠረተ ልማት አውታሮች በአንድም ሆነ በሌላ ምክንያት በስካነር አልተያዙም: ንብረቱ ከፔሪሜትር አልፏል ወይም በጭራሽ በቢሮ ውስጥ አይታይም. ለምሳሌ የሰራተኛ ላፕቶፕ በርቀት የሚሰራ ግን አሁንም የኮርፖሬት ኔትወርክን ማግኘት ይችላል ወይም ንብረቱ የሚገኘው እንደ አማዞን ባሉ ውጫዊ የደመና አገልግሎቶች ውስጥ ነው። እና ስካነሩ፣ ምናልባትም፣ ስለእነዚህ ንብረቶች ምንም የሚያውቀው ነገር ላይሆን ይችላል፣ ምክንያቱም እነሱ ከታይነት ዞኑ ውጭ ስለሆኑ።
መላውን መሠረተ ልማት ለመሸፈን ስካነሮችን ብቻ ሳይሆን አጠቃላይ ዳሳሾችን መጠቀም ያስፈልግዎታል ፣ ይህም በመሠረተ ልማትዎ ውስጥ አዳዲስ መሳሪያዎችን ለመለየት ተገብሮ ትራፊክ ማዳመጥ ቴክኖሎጂዎችን ፣ መረጃን ለመቀበል ወኪል መረጃ የመሰብሰቢያ ዘዴ - በመስመር ላይ ያለ ውሂብ እንዲቀበሉ ያስችልዎታል። የመቃኘት አስፈላጊነት, ምስክርነቶችን ሳያሳዩ.
ደረጃ #3፡ ንብረቶችን መድብ
ሁሉም ንብረቶች እኩል አይደሉም። የትኞቹ ንብረቶች አስፈላጊ እንደሆኑ እና የትኞቹ ያልሆኑ እንደሆኑ መወሰን የእርስዎ ስራ ነው። እንደ ስካነር ያለ ምንም መሳሪያ ይህን አያደርግልዎትም። በሐሳብ ደረጃ፣ የኢንፎርሜሽን ደህንነት፣ IT እና የንግድ ሥራ ተባብረው የንግድ-ወሳኝ ሥርዓቶችን ለመለየት መሠረተ ልማትን ለመተንተን ይሰራሉ። ለእነሱ፣ ለተገኝነት፣ ታማኝነት፣ ሚስጥራዊነት፣ RTO/RPO፣ ወዘተ ተቀባይነት ያላቸውን መለኪያዎች ይወስናሉ።
ይህ የእርስዎን የተጋላጭነት አስተዳደር ሂደት ቅድሚያ እንዲሰጡ ይረዳዎታል። የእርስዎ ስፔሻሊስቶች ስለ የተጋላጭነት መረጃ ሲቀበሉ፣ በመላው መሠረተ ልማት ውስጥ በሺዎች የሚቆጠሩ ተጋላጭነቶች ያሉት ሉህ አይሆንም፣ ነገር ግን የስርዓቶቹን ወሳኝነት ከግምት ውስጥ በማስገባት አጠቃላይ መረጃ ነው።
ደረጃ #4፡ የመሠረተ ልማት ምዘና ማካሄድ
እና በአራተኛው ደረጃ ላይ ብቻ መሠረተ ልማትን ከተጋላጭነት አንጻር ለመገምገም እንመጣለን. በዚህ ደረጃ, ለሶፍትዌር ተጋላጭነት ብቻ ሳይሆን ለውቅረት ስህተቶችም ትኩረት እንዲሰጡ እንመክራለን, ይህ ደግሞ ተጋላጭነት ሊሆን ይችላል. እዚህ መረጃን የመሰብሰብ ወኪል ዘዴን እንመክራለን. ስካነሮች የፔሪሜትር ደህንነትን ለመገምገም ጥቅም ላይ መዋል ይችላሉ እና ጥቅም ላይ መዋል አለባቸው። የደመና አቅራቢዎችን ሀብቶች ከተጠቀሙ ፣ ከዚያ በንብረቶች እና ውቅሮች ላይ መረጃን ከዚያ መሰብሰብ ያስፈልግዎታል። የዶከር ኮንቴይነሮችን በመጠቀም በመሠረተ ልማት አውታሮች ውስጥ ያሉ ድክመቶችን ለመተንተን ልዩ ትኩረት ይስጡ.
ደረጃ #5፡ ሪፖርት ማድረግን ያዋቅሩ
ይህ በተጋላጭነት አስተዳደር ሂደት ውስጥ ካሉት አስፈላጊ ነገሮች አንዱ ነው።
የመጀመሪያው ነጥብ ማንም ሰው ባለብዙ ገጽ ሪፖርቶችን በዘፈቀደ የተጋላጭነት ዝርዝር እና እንዴት ማስወገድ እንደሚቻል መግለጫዎች አይሰራም። በመጀመሪያ ደረጃ ከሥራ ባልደረቦች ጋር መገናኘት እና በሪፖርቱ ውስጥ ምን መሆን እንዳለበት እና መረጃን ለመቀበል ለእነሱ የበለጠ አመቺ መሆኑን ማወቅ ያስፈልግዎታል. ለምሳሌ፣ አንዳንድ አስተዳዳሪ ስለተጋላጭነቱ ዝርዝር መግለጫ አይፈልግም እና ስለ patch መረጃ እና ከእሱ ጋር ያለው አገናኝ ብቻ ይፈልጋል። ሌላ ስፔሻሊስት በኔትወርኩ መሠረተ ልማት ውስጥ የሚገኙትን ድክመቶች ብቻ ያስባል.
ሁለተኛ ነጥብ፡- ሪፖርት በማድረግ ማለቴ የወረቀት ዘገባዎችን ብቻ አይደለም። ይህ መረጃ እና የማይንቀሳቀስ ታሪክ ለማግኘት ጊዜው ያለፈበት ቅርጸት ነው። አንድ ሰው ሪፖርት ይቀበላል እና መረጃው በዚህ ሪፖርት ውስጥ እንዴት እንደሚቀርብ በምንም መልኩ ተጽዕኖ ሊያሳድር አይችልም። ሪፖርቱን በተፈለገው ቅጽ ለማግኘት የአይቲ ባለሙያው የመረጃ ደህንነት ባለሙያውን ማነጋገር እና ሪፖርቱን እንደገና እንዲገነባ መጠየቅ አለበት. ጊዜ እያለፈ ሲሄድ አዳዲስ ተጋላጭነቶች ይታያሉ። ከክፍል ወደ ክፍል ሪፖርቶችን ከመግፋት ይልቅ በሁለቱም የትምህርት ዓይነቶች ውስጥ ያሉ ስፔሻሊስቶች መረጃውን በመስመር ላይ መከታተል እና ተመሳሳይ ምስል ማየት አለባቸው. ስለዚህ, በእኛ መድረክ ውስጥ ተለዋዋጭ ሪፖርቶችን በሚበጁ ዳሽቦርዶች መልክ እንጠቀማለን.
ደረጃ #6፡ ቅድሚያ ይስጡ
እዚህ የሚከተሉትን ማድረግ ይችላሉ:
1. የስርዓቶች ወርቃማ ምስሎች ያለው ማከማቻ መፍጠር. ከወርቃማ ምስሎች ጋር ይስሩ, ለተጋላጭነት ያረጋግጡ እና ቀጣይነት ባለው መልኩ ትክክለኛ ውቅር. ይህ በኤጀንቶች እርዳታ አዲስ ንብረት መከሰቱን በቀጥታ ሪፖርት በሚያደርጉ እና ስለ ተጋላጭነቱ መረጃ በሚሰጡ ወኪሎች እርዳታ ሊከናወን ይችላል።
2. ለንግድ ስራው ወሳኝ በሆኑት ንብረቶች ላይ አተኩር. ተጋላጭነትን በአንድ ጊዜ ማስወገድ የሚችል አንድ ድርጅት በዓለም ላይ የለም። ተጋላጭነትን የማስወገድ ሂደት ረጅም እና አልፎ ተርፎም አድካሚ ነው።
3. የጥቃቱን ገጽታ ማጥበብ. የእርስዎን መሠረተ ልማት ከማያስፈልጉ ሶፍትዌሮች እና አገልግሎቶች ያጽዱ፣ አላስፈላጊ ወደቦችን ይዝጉ። በቅርቡ ከአንድ ኩባንያ ጋር አንድ ጉዳይ አጋጥሞናል, ይህም ከቀድሞው የሞዚላ አሳሽ ጋር የተያያዙ 40 ሺህ ድክመቶች በ 100 ሺህ መሳሪያዎች ላይ ተገኝተዋል. በኋላ ላይ እንደታየው ሞዚላ ከብዙ አመታት በፊት ወደ ወርቃማው ምስል ገብቷል, ማንም አይጠቀምበትም, ግን ብዙ ቁጥር ያላቸው ተጋላጭነቶች ምንጭ ነው. አሳሹ ከኮምፒውተሮች ሲወገድ (በአንዳንድ አገልጋዮች ላይም ቢሆን) እነዚህ በአስር ሺዎች የሚቆጠሩ ተጋላጭነቶች ጠፍተዋል።
4. በስጋት ብልህነት ላይ የተመሰረቱ ተጋላጭነቶችን ደረጃ ይስጡ። የተጋላጭነትን ወሳኝነት ብቻ ሳይሆን የህዝብ ብዝበዛ፣ማልዌር፣ፓtch ወይም ውጫዊ ተጋላጭነት ያለው የስርዓቱን ተደራሽነት ጭምር ግምት ውስጥ ያስገቡ። የዚህ ተጋላጭነት ወሳኝ በሆኑ የንግድ ስርዓቶች ላይ ያለውን ተጽእኖ ይገምግሙ፡ ወደ ዳታ መጥፋት፣ አገልግሎት መከልከል፣ ወዘተ ሊያስከትል ይችላል።
ደረጃ #7፡ በKPIs ይስማሙ
ለመቃኘት ሲባል አይቃኙ። በተገኙት ድክመቶች ላይ ምንም ነገር ካልተከሰተ, ይህ ቅኝት ወደ የማይጠቅም ክዋኔ ይቀየራል. ከተጋላጭነት ጋር አብሮ መሥራት መደበኛነት እንዳይሆን, ውጤቶቹን እንዴት እንደሚገመግሙ ያስቡ. የኢንፎርሜሽን ደህንነት እና የአይቲ ተጋላጭነትን ለማስወገድ ስራው እንዴት እንደሚዋቀር፣ ምን ያህል ጊዜ ፍተሻ እንደሚካሄድ፣ ፕላስተሮች እንደሚጫኑ፣ ወዘተ ላይ መስማማት አለባቸው።
በስላይድ ላይ KPI ሊሆኑ የሚችሉ ምሳሌዎችን ታያለህ። ለደንበኞቻችን የምንመክረው የተራዘመ ዝርዝርም አለ. ፍላጎት ካሎት፣ እባክዎን አግኙኝ፣ ይህን መረጃ ለእርስዎ አጋራለሁ።
ደረጃ #8፡ ራስ-ሰር
እንደገና ወደ ቅኝት ተመለስ። በ Qualys, ስካን ዛሬ በተጋላጭነት አስተዳደር ሂደት ውስጥ ሊከሰት ከሚችለው እጅግ በጣም አስፈላጊ ያልሆነ ነገር ነው ብለን እናምናለን, እና በመጀመሪያ ደረጃ በተቻለ መጠን በተቻለ መጠን በራስ-ሰር እንዲሰራ እና ያለ የመረጃ ደህንነት ባለሙያ ተሳትፎ እንዲደረግ ያስፈልጋል. ዛሬ ይህንን ለማድረግ የሚያስችሉዎ ብዙ መሳሪያዎች አሉ. ክፍት ኤፒአይ እና የሚፈለጉት ማገናኛዎች መኖራቸው በቂ ነው።
እኔ መስጠት የምወደው ምሳሌ DevOps ነው። እዚያ የተጋላጭነት ስካነርን ተግባራዊ ካደረጉ፣ ስለ DevOps በቀላሉ መርሳት ይችላሉ። ክላሲክ ስካነር በሆነው የድሮ ቴክኖሎጂዎች በቀላሉ ወደ እነዚህ ሂደቶች አይፈቀድልዎም። ገንቢዎች እስኪቃኙ እና ባለብዙ ገጽ የማይመች ሪፖርት እስኪሰጧቸው አይጠብቁም። ገንቢዎች ስለ የተጋላጭነት መረጃ ወደ ኮድ መሰብሰቢያ ስርዓታቸው በትልች መረጃ መልክ እንደሚገቡ ይጠብቃሉ። ደህንነት በእነዚህ ሂደቶች ውስጥ ያለምንም እንከን መገንባት አለበት፣ እና በእርስዎ ገንቢዎች በሚጠቀሙት ስርዓት በራስ-ሰር የሚጠራ ባህሪ ብቻ መሆን አለበት።
ደረጃ #9፡ በአስፈላጊ ነገሮች ላይ አተኩር
ለኩባንያዎ እውነተኛ እሴት በሚያመጣው ላይ ያተኩሩ። ቅኝቶች አውቶማቲክ ሊሆኑ ይችላሉ, ሪፖርቶች እንዲሁ በራስ-ሰር ሊላኩ ይችላሉ.
ሂደቶችን በማሻሻል ላይ ያተኩሩ እና የበለጠ ተለዋዋጭ እና ለተሳተፉ ሰዎች ሁሉ ምቹ እንዲሆኑ ያድርጉ። ደህንነት በሁሉም ኮንትራቶች ውስጥ መገንባቱን በማረጋገጥ ላይ ያተኩሩ፣ ለምሳሌ ለእርስዎ የድር መተግበሪያዎችን ከሚገነቡት ባልደረቦችዎ ጋር።
በድርጅትዎ ውስጥ የተጋላጭነት አስተዳደር ሂደትን እንዴት መገንባት እንደሚችሉ የበለጠ ዝርዝር መረጃ ከፈለጉ እባክዎን እኔን እና ባልደረቦቼን ያነጋግሩ። በማገዝ ደስ ይለኛል።
ምንጭ: hab.com