4 ліпеня мы праводзілі вялікі . Сёння мы публікуем расшыфроўку выступу Андрэя Новікава з Qualys. Ён раскажа, якія этапы трэба прайсці, каб выбудаваць працоўны працэс кіравання ўразлівасцямі. Спойлер: да сканавання мы дабяромся толькі да сярэдзіны шляху.
Крок № 1: Вызначыце ўзровень сталасці працэсаў кіравання ўразлівасцямі
У самым пачатку трэба зразумець, на якой прыступцы знаходзіцца ваша арганізацыя з пункта гледжання сталасці працэсаў кіравання ўразлівасцямі. Толькі пасля гэтага вы зможаце зразумець, куды вам рухацца і якія крокі неабходна зрабіць. Перш чым пускацца ў сканавання і іншыя мерапрыемствы, арганізацыям трэба правесці ўнутраную працу і зразумець, як уладкованыя вашы бягучыя працэсы з пункта гледжання ІТ і з пункта гледжання інфармацыйнай бяспекі.
Паспрабуйце адказаць на базавыя пытанні:
- ці ёсць у вас працэсы па інвентарызацыі і класіфікацыі актываў;
- наколькі рэгулярна скануецца ІТ-інфраструктура і ці ўся інфраструктура ахоплена, ці ўсю карцінку вы бачыце;
- маніторыцца ці вашы ІТ-рэсурсы;
- ці ўкаранёны ў вашыя працэсы нейкія KPI і як вы разумееце, што яны выконваюцца;
- ці дакументаваны ўсе гэтыя працэсы.
Крок № 2: Забяспечце поўнае пакрыццё інфраструктуры
Вы не можаце абараніць тое, пра што вы не ведаеце. Калі ў вас няма поўнай карціны таго, з чаго складаецца ваша ІТ-інфраструктура, вы не зможаце яе бараніць. Сучасная інфраструктура складаная і ўвесь час змяняецца колькасна і якасна.
Зараз ІТ-інфраструктура грунтуецца не толькі на стэку класічных тэхналогій (працоўныя станцыі, серверы, віртуальныя машыны), але і на адносна новых - кантэйнерах, мікрасэрвісах. Служба інфармацыйнай бяспекі ўсяляк уцякае ад апошніх, паколькі ёй вельмі складана працаваць з імі з дапамогай існуючых набораў інструментаў, якія складаюцца пераважна са сканараў. Праблема ў тым, што любы сканер не можа пакрыць усю інфраструктуру. Каб сканер дастукаўся да любога вузла ў інфраструктуры, трэба, каб супала адразу некалькі фактараў. Актыў павінен быць усярэдзіне перыметра арганізацыі на момант сканавання. У сканара павінны быць сеткавыя доступы да актываў, іх уліковых запісаў, каб сабраць поўную інфармацыю.
Па нашай статыстыцы, калі гаворка ідзе аб сярэдніх або буйных арганізацыях, прыкладна 15-20% інфраструктуры не захопліваецца сканарам па тых ці іншых прычынах: актыў выехаў за межы перыметра ці ўвогуле ніколі не з'яўляецца ў офісе. Напрыклад, наўтбук супрацоўніка, які працуе выдалена, але пры гэтым мае доступ у карпаратыўную сетку, ці ж актыў знаходзіцца ў вонкавых хмарных сэрвісах тыпу Amazon. І сканер, хутчэй за ўсё, нічога не будзе ведаць пра гэтыя актывы, бо яны па-за зонай яго бачнасці.
Каб пакрыць усю інфраструктуру, трэба выкарыстоўваць не толькі сканары, а цэлы набор сэнсараў, уключаючы тэхналогіі пасіўнага праслухоўвання трафіку для выяўлення новых прылад у вашай інфраструктуры, агенцкі метад збору дадзеных, каб атрымліваць інфармацыю, - дазваляе атрымліваць дадзеныя анлайн, без неабходнасці сканавання, без вылучэння уліковых дадзеных.
Крок № 3: Выканайце катэгарызацыю актываў
Не ўсе актывы аднолькава карысныя. Вызначыць, якія актывы важныя, а якія не, - ваша задача. Ніводная прылада, той жа сканер, не зробіць гэта за вас. У ідэале ИБ, ІТ і бізнэс разам аналізуюць інфраструктуру, каб вылучыць бізнэс-крытычныя сістэмы. Для іх яны вызначаюць дапушчальныя метрыкі па даступнасці, цэласнасці, канфідэнцыйнасці, RTO/RPO і інш.
Гэта дапаможа вызначыць прыярытэты ў працэсе кіравання ўразлівасцямі. Калі вашы адмыслоўцы будуць атрымліваць дадзеныя аб уразлівасцях, гэта будзе не прасціна з тысячамі ўразлівасцяў па ўсёй інфраструктуры, а грануляваная інфармацыя з улікам крытычнасці сістэм.
Крок № 4: Правядзіце ацэнку інфраструктуры
І вось толькі на чацвёртым кроку мы прыходзім да адзнакі інфраструктуры з пункта гледжання ўразлівасцяў. Рэкамендуемы вам на гэтым этапе надаваць увагу не толькі ўразлівасцям у ПА, але і памылкам у канфігурацыях, якія таксама могуць быць уразлівасцю. Тут мы раім агенцкі метад збору інфармацыі. Сканары можна і трэба выкарыстоўваць для адзнакі бяспекі перыметра. Калі вы выкарыстоўваеце рэсурсы хмарных правайдэраў, то адтуль таксама трэба збіраць інфармацыю па актывах і канфігурацыям. Асобную ўвагу надасце аналізу ўразлівасцяў у інфраструктурах з выкарыстаннем Docker-кантэйнераў.
Крок № 5: Наладзьце справаздачнасць
Гэта адзін з важных элементаў усярэдзіне працэсу кіравання ўразлівасцямі.
Першы момант: ніхто не будзе працаваць са шматстаронкавымі справаздачамі з бязладным спісам уразлівасцяў і апісаннем па іх ухіленні. Трэба ў першую чаргу размаўляць з калегамі і высвятляць, што павінна быць у справаздачы і як ім зручней атрымліваць дадзеныя. Напрыклад, нейкаму адміністратару не трэба падрабязнае апісанне ўразлівасці і патрэбна толькі інфармацыя аб патчы і спасылка на яго. Іншаму адмыслоўцу важныя толькі ўразлівасці, знойдзеныя ў сеткавай інфраструктуры.
Другі момант: пад справаздачнасцю я разумею не толькі папяровыя справаздачы. Гэта састарэлы фармат атрымання інфармацыі і статычная гісторыя. Чалавек атрымлівае справаздачу і ніяк не можа паўплываць на тое, як у гэтай справаздачы будуць прадстаўлены дадзеныя. Каб атрымаць справаздачу ў патрэбным выглядзе, ІТ-адмысловец павінен звязацца са адмыслоўцам па ИБ і папрасіць яго перабудаваць справаздачу. Час ідзе, з'яўляюцца новыя ўразлівасці. Замест таго, каб перакідаць справаздачы з аддзела ў аддзел, спецыялісты абодвух напрамкаў павінны мець магчымасць назіраць за дадзенымі анлайн і бачыць адну і тую ж карціну. Таму ў сваёй платформе мы выкарыстоўваем дынамічныя справаздачы ў выглядзе наладжвальных дашбордаў.
Крок № 6: Прыярытэзуе
Тут можна рабіць наступнае:
1. Стварэнне рэпазітара з залатымі выявамі сістэм. Працуйце з залатымі выявамі, правярайце іх на ўразлівасці і карэктнасць канфігурацыі на сталай аснове. Зрабіць гэта можна з дапамогай агентаў, якія аўтаматычна будуць паведамляць аб з'яўленні новага актыву і прадастаўляць інфармацыю аб яго ўразлівасцях.
2. Сфакусуйце ўвагу на тых актывах, якія крытычныя для бізнэсу. Няма ніводнай арганізацыі ў свеце, якая можа ліквідаваць уразлівасці за адзін прыём. Працэс ухілення ўразлівасцяў доўгі і нават моташны.
3. Звужэнне паверхні нападаў. Вычышчайце сваю інфраструктуру ад непатрэбнага ПЗ, сэрвісаў, закрывайце непатрэбныя парты. У нас быў нядаўна злучай з адной кампаніяй, у якой на 40 тысячах прылад было знойдзена каля 100 тысяч уразлівасцяў, злучаных са старой версіяй браўзэра Mozilla. Як потым высветлілася, Mozilla была ўкаранёна ў залатую выяву шмат гадоў назад, ёю ніхто не карыстаецца, але яна крыніца вялікай колькасці ўразлівасцяў. Калі выдалілі браўзэр з кампутараў (ён нават стаяў на нейкіх серверах), гэтыя дзясяткі тысяч уразлівасцяў зніклі.
4. Ранжыруйце ўразлівасці на базе дадзеных выведкі (threat intelligence). Улічвайце не толькі крытычнасць уразлівасці, але і наяўнасць публічнага эксплойта, malware, патча, вонкавага доступу да сістэмы з уразлівасцю. Ацэньвайце ўплыў гэтай уразлівасці на крытычныя бізнэс-сістэмы: ці можа яна прывесці да страты дадзеных, адмове ў абслугоўванні і інш.
Крок № 7: Узгадніце KPI
Не скануйце для таго, каб сканаваць. Калі са знойдзенымі ўразлівасцямі нічога не адбываецца, тое гэтае сканаванне ператвараецца ў бескарысную аперацыю. Каб праца з уразлівасцямі не ператварылася ў фармальнасць, прадумайце, як вы будзеце ацэньваць яе вынікі. ИБ і ІТ павінны дамовіцца, якім чынам будзе пабудавана праца па ўхіленні ўразлівасцяў, як часта будуць праводзіцца сканаванні, усталёўка патчаў і г.д.
На слайдзе вы бачыце прыклады магчымых KPI. Ёсць і пашыраны спіс, які мы рэкамендуем сваім кліентам. Калі будзе цікава, звяртайцеся, я гэтай інфармацыяй з вамі падзялюся.
Крок № 8: Аўтаматызуйце
Зноў вярнуся да сканавання. Мы ў Qualys лічым, што сканаванне - гэта самае не важнае, што можа быць сёння падчас кіраванні ўразлівасцямі, і што ў першую чаргу трэба яго максімальна аўтаматызаваць, каб ён выконваўся без удзелу адмыслоўца па ИБ. Сёння існуе шмат прылад, якія дазваляюць гэта зрабіць. Досыць, каб у іх быў адчынены API і неабходная колькасць канектараў.
Прыклад, які я люблю прыводзіць, - гэта DevOps. Калі вы будзеце ўкараняць туды сканер уразлівасці, то можна проста забыцца пра DevOps. Са старымі тэхналогіямі, якім з'яўляецца класічны сканер, вас проста не пусцяць у гэтыя працэсы. Распрацоўнікі не будуць чакаць, пакуль вы праскануеце і аддасце ім шматстаронкавую нязручную справаздачу. Распрацоўнікі чакаюць, што інфармацыя аб уразлівасцях будзе пападаць у выглядзе інфармацыі аб багах у іх сістэмы зборкі кода. Бяспека павінна быць бясшвоўна ўбудавана ў гэтыя працэсы, і яна павінна быць усяго толькі функцыяй, якая аўтаматычна выклікаецца сістэмай, якая выкарыстоўваецца вашымі распрацоўшчыкамі.
Крок № 9: Факусуйцеся на галоўным
Факусуйцеся на тым, што прыносіць рэальную карысць вашай кампаніі. Сканіравання могуць быць аўтаматычнымі, справаздачы могуць рассылацца таксама аўтаматычна.
Факусуйцеся на паляпшэнні працэсаў, каб яны былі больш гнуткімі і зручнымі для ўсіх удзельнікаў. Факусуйцеся на тым, каб бяспека была ўкаранёна ва ўсе кантракты з вашымі контрагентамі, якія, напрыклад, распрацоўваюць для вас вэб-прыкладанні.
Калі патрэбна больш падрабязная інфармацыя аб тым, як пабудаваць у кампаніі працэс кіравання ўразлівасцямі, звяртайцеся да мяне і маім калегам. Буду рады дапамагчы.
Крыніца: habr.com