كان لدينا الرابع من يوليو الكبير . ننشر اليوم نسخة من خطاب أندريه نوفيكوف من كواليس. سيخبرك بالخطوات التي يتعين عليك اتباعها لإنشاء سير عمل لإدارة الثغرات الأمنية. المفسد: سوف نصل فقط إلى نقطة المنتصف قبل المسح.
الخطوة رقم 1: تحديد مستوى نضج عمليات إدارة الثغرات الأمنية لديك
في البداية، عليك أن تفهم المرحلة التي وصلت إليها مؤسستك من حيث نضج عمليات إدارة الثغرات الأمنية. فقط بعد ذلك ستتمكن من فهم مكان التحرك وما هي الخطوات التي يجب اتخاذها. قبل الشروع في عمليات الفحص والأنشطة الأخرى، تحتاج المؤسسات إلى القيام ببعض الأعمال الداخلية لفهم كيفية تنظيم عملياتك الحالية من منظور تكنولوجيا المعلومات وأمن المعلومات.
حاول الإجابة على الأسئلة الأساسية:
- هل لديك عمليات الجرد وتصنيف الأصول؟
- ما مدى انتظام فحص البنية التحتية لتكنولوجيا المعلومات وتغطية البنية التحتية بأكملها، هل ترى الصورة بأكملها؛
- هل تتم مراقبة موارد تكنولوجيا المعلومات لديك؟
- هل تم تطبيق أي مؤشرات أداء رئيسية في عملياتك وكيف تفهم أنه تم الوفاء بها؟
- هل كل هذه العمليات موثقة؟
الخطوة رقم 2: ضمان التغطية الكاملة للبنية التحتية
لا يمكنك حماية ما لا تعرفه. إذا لم تكن لديك صورة كاملة عما تتكون منه البنية التحتية لتكنولوجيا المعلومات لديك، فلن تتمكن من حمايتها. البنية التحتية الحديثة معقدة وتتغير باستمرار من حيث الكم والنوع.
الآن تعتمد البنية التحتية لتكنولوجيا المعلومات ليس فقط على مجموعة من التقنيات الكلاسيكية (محطات العمل والخوادم والأجهزة الافتراضية)، ولكن أيضًا على تقنيات جديدة نسبيًا - الحاويات والخدمات الصغيرة. إن خدمة أمن المعلومات تهرب من الأخير بكل الطرق، لأنه من الصعب للغاية العمل معهم باستخدام مجموعات الأدوات الموجودة، والتي تتكون بشكل أساسي من الماسحات الضوئية. المشكلة هي أن أي ماسح ضوئي لا يمكنه تغطية البنية التحتية بأكملها. لكي يتمكن الماسح الضوئي من الوصول إلى أي عقدة في البنية التحتية، يجب أن تتزامن عدة عوامل. يجب أن يكون الأصل ضمن محيط المؤسسة وقت المسح. يجب أن يتمتع الماسح الضوئي بإمكانية الوصول إلى الشبكة إلى الأصول وحساباتها من أجل جمع المعلومات الكاملة.
وفقًا لإحصائياتنا، عندما يتعلق الأمر بالمؤسسات المتوسطة أو الكبيرة، لا يتم التقاط ما يقرب من 15 إلى 20% من البنية التحتية بواسطة الماسح الضوئي لسبب أو لآخر: فقد تجاوز الأصل المحيط أو لم يظهر أبدًا في المكتب على الإطلاق. على سبيل المثال، جهاز كمبيوتر محمول لموظف يعمل عن بعد ولكن لا يزال بإمكانه الوصول إلى شبكة الشركة، أو أن الأصل موجود في خدمات سحابية خارجية مثل Amazon. والماسح الضوئي، على الأرجح، لن يعرف شيئا عن هذه الأصول، لأنها خارج منطقة الرؤية الخاصة به.
لتغطية البنية التحتية بأكملها، لا تحتاج إلى استخدام الماسحات الضوئية فحسب، بل تحتاج إلى استخدام مجموعة كاملة من أجهزة الاستشعار، بما في ذلك تقنيات الاستماع السلبي لحركة المرور لاكتشاف الأجهزة الجديدة في البنية التحتية الخاصة بك، وطريقة جمع بيانات الوكيل لتلقي المعلومات - تسمح لك بتلقي البيانات عبر الإنترنت، دون الحاجة إلى المسح، دون تسليط الضوء على بيانات الاعتماد.
الخطوة رقم 3: تصنيف الأصول
لا يتم إنشاء جميع الأصول على قدم المساواة. إن مهمتك هي تحديد الأصول المهمة وأيها ليست كذلك. لن تتمكن أي أداة، مثل الماسح الضوئي، من القيام بذلك نيابةً عنك. من الناحية المثالية، يعمل أمن المعلومات وتكنولوجيا المعلومات والأعمال معًا لتحليل البنية التحتية لتحديد الأنظمة المهمة للأعمال. بالنسبة لهم، يحددون المقاييس المقبولة للتوافر والنزاهة والسرية وRTO/RPO وما إلى ذلك.
سيساعدك هذا على تحديد أولويات عملية إدارة الثغرات الأمنية لديك. عندما يتلقى المتخصصون لديك بيانات حول نقاط الضعف، لن تكون عبارة عن ورقة تحتوي على آلاف نقاط الضعف عبر البنية التحتية بأكملها، ولكنها معلومات دقيقة تأخذ في الاعتبار مدى أهمية الأنظمة.
الخطوة رقم 4: إجراء تقييم البنية التحتية
وفي الخطوة الرابعة فقط نصل إلى تقييم البنية التحتية من وجهة نظر نقاط الضعف. في هذه المرحلة، نوصي بالاهتمام ليس فقط بنقاط الضعف في البرامج، ولكن أيضًا بأخطاء التكوين، والتي يمكن أن تكون أيضًا ثغرة أمنية. نوصي هنا بطريقة الوكيل لجمع المعلومات. يمكن، بل وينبغي، استخدام الماسحات الضوئية لتقييم أمن المحيط. إذا كنت تستخدم موارد موفري الخدمات السحابية، فستحتاج أيضًا إلى جمع معلومات حول الأصول والتكوينات من هناك. انتبه بشكل خاص لتحليل نقاط الضعف في البنى التحتية باستخدام حاويات Docker.
الخطوة رقم 5: إعداد التقارير
يعد هذا أحد العناصر المهمة في عملية إدارة الثغرات الأمنية.
النقطة الأولى: لن يعمل أحد مع تقارير متعددة الصفحات تحتوي على قائمة عشوائية من نقاط الضعف وأوصاف لكيفية القضاء عليها. بادئ ذي بدء، تحتاج إلى التواصل مع الزملاء ومعرفة ما يجب أن يكون في التقرير وكيف يكون أكثر ملاءمة لهم لتلقي البيانات. على سبيل المثال، لا يحتاج بعض المسؤولين إلى وصف تفصيلي للثغرة الأمنية ويحتاجون فقط إلى معلومات حول التصحيح ورابط إليه. متخصص آخر يهتم فقط بالثغرات الموجودة في البنية التحتية للشبكة.
النقطة الثانية: لا أقصد بالتقارير التقارير الورقية فقط. هذا تنسيق قديم للحصول على المعلومات وقصة ثابتة. يتلقى الشخص تقريرًا ولا يمكنه التأثير بأي شكل من الأشكال على كيفية عرض البيانات في هذا التقرير. للحصول على التقرير بالشكل المطلوب، يجب على متخصص تكنولوجيا المعلومات الاتصال بأخصائي أمن المعلومات ومطالبته بإعادة بناء التقرير. ومع مرور الوقت، تظهر نقاط ضعف جديدة. بدلاً من دفع التقارير من قسم إلى قسم، يجب أن يكون المتخصصون في كلا التخصصين قادرين على مراقبة البيانات عبر الإنترنت ورؤية نفس الصورة. لذلك، نستخدم في نظامنا الأساسي تقارير ديناميكية في شكل لوحات معلومات قابلة للتخصيص.
الخطوة رقم 6: تحديد الأولويات
هنا يمكنك القيام بما يلي:
1. إنشاء مستودع بالصور الذهبية للأنظمة. العمل مع الصور الذهبية والتحقق من نقاط الضعف والتكوين الصحيح بشكل مستمر. يمكن القيام بذلك بمساعدة الوكلاء الذين سيقومون تلقائيًا بالإبلاغ عن ظهور أصل جديد وتوفير معلومات حول نقاط الضعف الخاصة به.
2. ركز على تلك الأصول التي تعتبر بالغة الأهمية للأعمال. لا توجد منظمة واحدة في العالم يمكنها القضاء على نقاط الضعف دفعة واحدة. إن عملية القضاء على نقاط الضعف طويلة ومملة.
3. تضييق سطح الهجوم. قم بتنظيف البنية التحتية الخاصة بك من البرامج والخدمات غير الضرورية، وأغلق المنافذ غير الضرورية. لقد واجهنا مؤخرًا حالة مع إحدى الشركات حيث تم العثور على حوالي 40 ألف نقطة ضعف تتعلق بالإصدار القديم من متصفح Mozilla على 100 ألف جهاز. وكما تبين لاحقا، فقد دخلت موزيلا إلى الصورة الذهبية منذ سنوات عديدة، ولا يستخدمها أحد، ولكنها مصدر لعدد كبير من نقاط الضعف. عندما تمت إزالة المتصفح من أجهزة الكمبيوتر (حتى أنه كان على بعض الخوادم)، اختفت عشرات الآلاف من نقاط الضعف هذه.
4. تصنيف نقاط الضعف بناءً على معلومات التهديد. لا تأخذ في الاعتبار مدى خطورة الثغرة الأمنية فحسب، بل أيضًا وجود استغلال عام أو برامج ضارة أو تصحيح أو وصول خارجي إلى النظام الذي يحتوي على الثغرة الأمنية. تقييم تأثير هذه الثغرة الأمنية على أنظمة الأعمال الهامة: هل يمكن أن تؤدي إلى فقدان البيانات، أو رفض الخدمة، وما إلى ذلك.
الخطوة رقم 7: الاتفاق على مؤشرات الأداء الرئيسية
لا تقم بالمسح من أجل المسح. إذا لم يحدث شيء للثغرات الأمنية التي تم العثور عليها، فإن هذا الفحص يتحول إلى عملية عديمة الفائدة. لمنع تحول التعامل مع الثغرات الأمنية إلى إجراء شكلي، فكر في كيفية تقييم نتائجه. يجب أن يتفق أمن المعلومات وتكنولوجيا المعلومات على كيفية تنظيم العمل للقضاء على نقاط الضعف، وعدد مرات إجراء عمليات الفحص، وسيتم تثبيت التصحيحات، وما إلى ذلك.
ترى على الشريحة أمثلة لمؤشرات الأداء الرئيسية المحتملة. هناك أيضًا قائمة موسعة نوصي بها لعملائنا. إذا كنت مهتما، يرجى الاتصال بي، وسوف أشارك هذه المعلومات معك.
الخطوة رقم 8: الأتمتة
العودة إلى المسح مرة أخرى. في Qualys، نعتقد أن الفحص هو الشيء الأكثر أهمية الذي يمكن أن يحدث في عملية إدارة الثغرات الأمنية اليوم، وأنه قبل كل شيء يجب أن يكون آليًا قدر الإمكان بحيث يتم إجراؤه دون مشاركة متخصص في أمن المعلومات. يوجد اليوم العديد من الأدوات التي تتيح لك القيام بذلك. يكفي أن يكون لديهم واجهة برمجة تطبيقات مفتوحة والعدد المطلوب من الموصلات.
المثال الذي أحب تقديمه هو DevOps. إذا قمت بتطبيق أداة فحص الثغرات هناك، فيمكنك ببساطة نسيان DevOps. مع التقنيات القديمة، وهو الماسح الضوئي الكلاسيكي، لن يسمح لك ببساطة بالمشاركة في هذه العمليات. لن ينتظر المطورون قيامك بالمسح الضوئي ومنحهم تقريرًا غير مريح متعدد الصفحات. يتوقع المطورون أن المعلومات المتعلقة بالثغرات الأمنية ستدخل إلى أنظمة تجميع التعليمات البرمجية الخاصة بهم في شكل معلومات خطأ. يجب دمج الأمان بسلاسة في هذه العمليات، ويجب أن يكون مجرد ميزة يتم استدعاؤها تلقائيًا بواسطة النظام الذي يستخدمه المطورون لديك.
الخطوة رقم 9: التركيز على الأساسيات
ركز على ما يجلب قيمة حقيقية لشركتك. يمكن أن تكون عمليات الفحص تلقائية، ويمكن أيضًا إرسال التقارير تلقائيًا.
ركز على تحسين العمليات لجعلها أكثر مرونة وملاءمة لجميع المشاركين. ركز على ضمان تضمين الأمان في جميع العقود المبرمة مع نظرائك، الذين، على سبيل المثال، يقومون بتطوير تطبيقات الويب لك.
إذا كنت بحاجة إلى معلومات أكثر تفصيلاً حول كيفية بناء عملية إدارة الثغرات الأمنية في شركتك، فيرجى الاتصال بي وبزملائي. ساكون سعيدا لتقديم المساعدة.
المصدر: www.habr.com