Böyük 4 iyul keçirdik . Bu gün biz Qualys-dən Andrey Novikovun çıxışının stenoqramını dərc edirik. O, sizə zəifliyin idarə edilməsi üzrə iş axını qurmaq üçün hansı addımlardan keçməli olduğunuzu söyləyəcək. Spoiler: skan etməzdən əvvəl yalnız yarıya çatacağıq.
Addım №1: Zəifliyin idarə edilməsi prosesinizin yetkinlik səviyyəsini müəyyənləşdirin
Başlanğıcda, zəifliyin idarə edilməsi proseslərinin yetkinliyi baxımından təşkilatınızın hansı mərhələdə olduğunu başa düşməlisiniz. Yalnız bundan sonra hara köçmək lazım olduğunu və hansı addımların atılması lazım olduğunu anlaya biləcəksiniz. Skanlara və digər fəaliyyətlərə başlamazdan əvvəl təşkilatlar cari proseslərinizin İT və informasiya təhlükəsizliyi baxımından necə qurulduğunu anlamaq üçün bəzi daxili işlər görməlidirlər.
Əsas suallara cavab verməyə çalışın:
- Sizdə inventar və aktivlərin təsnifatı üçün proseslər varmı?
- İT infrastrukturu nə qədər müntəzəm olaraq skan edilir və bütün infrastrukturu əhatə edir, siz bütün mənzərəni görürsünüzmü;
- İT resurslarınıza nəzarət edilirmi?
- Proseslərinizdə hər hansı KPI tətbiq olunurmu və onların yerinə yetirildiyini necə başa düşürsünüz;
- Bütün bu proseslər sənədləşdirilibmi?
Addım №2: Tam İnfrastruktur Əhatəsini Təmin Edin
Siz bilmədiklərinizi qoruya bilməzsiniz. Əgər İT infrastrukturunuzun nədən ibarət olduğuna dair tam təsəvvürünüz yoxdursa, onu qoruya bilməyəcəksiniz. Müasir infrastruktur mürəkkəbdir və daim kəmiyyət və keyfiyyətcə dəyişir.
İndi İT infrastrukturu təkcə klassik texnologiyalar (iş stansiyaları, serverlər, virtual maşınlar) yığınına deyil, həm də nisbətən yenilərə - konteynerlərə, mikroservislərə əsaslanır. İnformasiya təhlükəsizliyi xidməti hər cür şəkildə sonuncudan qaçır, çünki əsasən skanerlərdən ibarət mövcud alət dəstlərindən istifadə etməklə onlarla işləmək çox çətindir. Problem ondadır ki, istənilən skaner bütün infrastrukturu əhatə edə bilməz. Skanerin infrastrukturun istənilən qovşağına çatması üçün bir neçə amil üst-üstə düşməlidir. Skanlama zamanı aktiv təşkilatın perimetri daxilində olmalıdır. Tam məlumat toplamaq üçün skanerin aktivlərə və onların hesablarına şəbəkə girişi olmalıdır.
Statistik məlumatlarımıza görə, orta və ya böyük təşkilatlara gəldikdə, infrastrukturun təxminən 15-20%-i bu və ya digər səbəbdən skaner tərəfindən tutulmur: aktiv perimetrdən kənara çıxıb və ya ümumiyyətlə ofisdə görünmür. Məsələn, uzaqdan işləyən, lakin hələ də korporativ şəbəkəyə çıxışı olan bir işçinin noutbuku və ya aktiv Amazon kimi xarici bulud xidmətlərində yerləşir. Və skaner, çox güman ki, bu aktivlər haqqında heç nə bilməyəcək, çünki onlar görünmə diapazonundan kənardadırlar.
Bütün infrastrukturu əhatə etmək üçün yalnız skanerlərdən deyil, infrastrukturunuzda yeni cihazları aşkar etmək üçün passiv trafik dinləmə texnologiyaları da daxil olmaqla, bütün sensorlar dəstindən, məlumat almaq üçün agent məlumatlarının toplanması metodundan istifadə etməlisiniz - məlumatı onlayn qəbul etməyə imkan verir. etimadnamələri vurğulamadan tarama ehtiyacı.
Addım №3: Aktivləri kateqoriyalara ayırın
Bütün aktivlər bərabər yaradılmır. Hansı aktivlərin vacib və hansının olmadığını müəyyən etmək sizin işinizdir. Skaner kimi heç bir alət sizin üçün bunu etməyəcək. İdeal olaraq, informasiya təhlükəsizliyi, İT və biznes biznes üçün kritik sistemləri müəyyən etmək üçün infrastrukturu təhlil etmək üçün birlikdə işləyir. Onlar üçün əlçatanlıq, bütövlük, məxfilik, RTO/RPO və s. üçün məqbul ölçüləri müəyyən edirlər.
Bu, zəifliyin idarə edilməsi prosesinizi prioritetləşdirməyə kömək edəcək. Mütəxəssisləriniz zəifliklər haqqında məlumat aldıqda, bu, bütün infrastruktur üzrə minlərlə zəifliyin olduğu vərəq deyil, sistemlərin kritikliyini nəzərə alan detallı məlumat olacaq.
Addım №4: İnfrastruktur Qiymətləndirməsini aparın
Və yalnız dördüncü mərhələdə biz infrastrukturun zəiflik baxımından qiymətləndirilməsinə gəlirik. Bu mərhələdə yalnız proqram təminatının zəifliklərinə deyil, həmçinin konfiqurasiya xətalarına da diqqət yetirməyi tövsiyə edirik ki, bu da zəiflik ola bilər. Burada məlumat toplamaq üçün agent metodunu tövsiyə edirik. Skanerlər perimetr təhlükəsizliyini qiymətləndirmək üçün istifadə edilə bilər və istifadə edilməlidir. Əgər siz bulud provayderlərinin resurslarından istifadə edirsinizsə, o zaman siz də oradan aktivlər və konfiqurasiyalar haqqında məlumat toplamalısınız. Docker konteynerlərindən istifadə edərək infrastrukturlardakı zəifliklərin təhlilinə xüsusi diqqət yetirin.
Addım №5: Hesabatı qurun
Bu, zəifliyin idarə edilməsi prosesinin vacib elementlərindən biridir.
Birinci nöqtə: heç kim zəifliklərin təsadüfi siyahısı və onların aradan qaldırılmasının təsviri olan çox səhifəli hesabatlarla işləməyəcək. Hər şeydən əvvəl, həmkarlarınızla ünsiyyət qurmalı və hesabatda nələrin olması lazım olduğunu və məlumat almaq üçün necə daha əlverişli olduğunu öyrənməlisiniz. Məsələn, bəzi administratorun zəifliyin ətraflı təsvirinə ehtiyacı yoxdur və yalnız yamaq haqqında məlumat və ona keçid lazımdır. Başqa bir mütəxəssis yalnız şəbəkə infrastrukturunda aşkar edilmiş boşluqlarla maraqlanır.
İkinci məqam: hesabat dedikdə təkcə kağız hesabatları nəzərdə tutmuram. Bu məlumat və statik hekayə əldə etmək üçün köhnəlmiş formatdır. Şəxs hesabat alır və məlumatların bu hesabatda necə təqdim olunacağına heç bir şəkildə təsir göstərə bilməz. Hesabatı istədiyiniz formada əldə etmək üçün İT mütəxəssisi informasiya təhlükəsizliyi üzrə mütəxəssislə əlaqə saxlamalı və ondan hesabatı yenidən qurmağı xahiş etməlidir. Zaman keçdikcə yeni zəifliklər meydana çıxır. Hesabatları şöbədən şöbəyə köçürmək əvəzinə, hər iki fənn üzrə mütəxəssislər məlumatları onlayn olaraq izləyə və eyni mənzərəni görə bilməlidirlər. Buna görə də, platformamızda fərdiləşdirilə bilən tablolar şəklində dinamik hesabatlardan istifadə edirik.
Addım №6: Prioritet verin
Burada aşağıdakıları edə bilərsiniz:
1. Sistemlərin qızıl şəkilləri ilə anbarın yaradılması. Qızıl şəkillərlə işləyin, onları zəifliklərə görə yoxlayın və davamlı olaraq düzgün konfiqurasiya edin. Bu, yeni aktivin meydana çıxması barədə avtomatik məlumat verəcək və onun zəif tərəfləri haqqında məlumat verəcək agentlərin köməyi ilə edilə bilər.
2. Biznes üçün vacib olan aktivlərə diqqət yetirin. Dünyada zəiflikləri bir anda aradan qaldıra biləcək bir təşkilat yoxdur. Zəifliklərin aradan qaldırılması prosesi uzun və hətta yorucudur.
3. Hücum səthinin daralması. İnfrastrukturunuzu lazımsız proqram və xidmətlərdən təmizləyin, lazımsız portları bağlayın. Bu yaxınlarda bir şirkətlə 40 min cihazda Mozilla brauzerinin köhnə versiyası ilə bağlı təxminən 100 min zəifliyin aşkar edildiyi bir işimiz var. Sonradan məlum oldu ki, Mozilla qızıl təsvirə illər əvvəl daxil edilib, heç kim ondan istifadə etmir, lakin bu, çoxlu sayda boşluqların mənbəyidir. Brauzer kompüterlərdən çıxarıldıqda (hətta bəzi serverlərdə belə idi), bu on minlərlə zəiflik yox oldu.
4. Təhlükə kəşfiyyatı əsasında zəiflikləri sıralayın. Yalnız zəifliyin kritikliyini deyil, həm də ictimai istismarın, zərərli proqram təminatının, yamağın və ya zəifliklə sistemə xarici girişin mövcudluğunu da nəzərə alın. Bu zəifliyin kritik biznes sistemlərinə təsirini qiymətləndirin: məlumat itkisinə, xidmətdən imtinaya və s.
Addım №7: KPI-lar haqqında razılaşın
Skan etmək üçün skan etməyin. Aşkar edilmiş boşluqlara heç nə olmazsa, bu skanlama faydasız əməliyyata çevrilir. Zəifliklərlə işləməyin formallığa çevrilməsinin qarşısını almaq üçün onun nəticələrini necə qiymətləndirəcəyinizi düşünün. İnformasiya təhlükəsizliyi və İT zəifliklərin aradan qaldırılması işinin necə strukturlaşdırılacağı, skanların nə qədər tez-tez aparılacağı, yamaqların quraşdırılması və s.
Slaydda mümkün KPI nümunələrini görürsünüz. Müştərilərimizə tövsiyə etdiyimiz geniş siyahı da var. Əgər maraqlanırsınızsa, mənimlə əlaqə saxlayın, bu məlumatı sizinlə paylaşacam.
Addım №8: Avtomatlaşdırın
Yenidən skan etməyə qayıdın. Qualys-də biz hesab edirik ki, skanlama bu gün zəifliyin idarə edilməsi prosesində baş verə biləcək ən əhəmiyyətsiz şeydir və ilk növbədə onun informasiya təhlükəsizliyi üzrə mütəxəssisin iştirakı olmadan həyata keçirilməsi üçün mümkün qədər avtomatlaşdırılmalıdır. Bu gün bunu etməyə imkan verən bir çox vasitə var. Onların açıq API və lazımi sayda bağlayıcı olması kifayətdir.
Vermək istədiyim nümunə DevOps-dur. Orada zəiflik skaneri tətbiq etsəniz, sadəcə DevOps-u unuda bilərsiniz. Klassik skaner olan köhnə texnologiyalarla, sadəcə olaraq, bu proseslərə icazə verilməyəcək. Tərtibatçılar skan etməyinizi və onlara çox səhifəli, əlverişsiz hesabat vermənizi gözləməyəcəklər. Tərtibatçılar boşluqlar haqqında məlumatın onların kod yığma sistemlərinə səhv məlumatı şəklində daxil olacağını gözləyirlər. Təhlükəsizlik bu proseslərə qüsursuz şəkildə daxil edilməlidir və bu, sadəcə olaraq tərtibatçılarınız tərəfindən istifadə edilən sistem tərəfindən avtomatik olaraq çağırılan bir xüsusiyyət olmalıdır.
Addım #9: Əsaslara diqqət yetirin
Şirkətinizə real dəyər gətirən şeylərə diqqət yetirin. Skanlar avtomatik ola bilər, hesabatlar da avtomatik olaraq göndərilə bilər.
İştirak edən hər kəs üçün onları daha çevik və rahat etmək üçün prosesləri təkmilləşdirməyə diqqət yetirin. Təhlükəsizliyin, məsələn, sizin üçün veb proqramlar hazırlayan qarşı tərəflərinizlə olan bütün müqavilələrə daxil edilməsinə diqqət yetirin.
Əgər şirkətinizdə zəifliyin idarə edilməsi prosesini necə qurmaq barədə daha ətraflı məlumata ehtiyacınız varsa, mənimlə və həmkarlarımla əlaqə saxlayın. Kömək etməkdən məmnun olaram.
Mənbə: www.habr.com