Не само сканиране или как да изградите процес за управление на уязвимости в 9 стъпки

Имахме голям 4 юли семинар за управление на уязвимости. Днес публикуваме стенограма на речта на Андрей Новиков от Qualys. Той ще ви каже през какви стъпки трябва да преминете, за да изградите работен поток за управление на уязвимостите. Спойлер: ще стигнем само половината преди сканиране.

Стъпка #1: Определете нивото на зрялост на вашите процеси за управление на уязвимости

В самото начало трябва да разберете на какъв етап е вашата организация по отношение на зрелостта на нейните процеси за управление на уязвимости. Само след това ще можете да разберете къде да се движите и какви стъпки трябва да предприемете. Преди да започнат сканиране и други дейности, организациите трябва да извършат вътрешна работа, за да разберат как са структурирани вашите текущи процеси от гледна точка на ИТ и информационната сигурност.

Опитайте се да отговорите на основни въпроси:

• Имате ли процеси за инвентаризация и класификация на активите; 
• Колко редовно се сканира ИТ инфраструктурата и покрива ли се цялата инфраструктура, виждате ли цялата картина;
• Вашите ИТ ресурси наблюдават ли се?
• Внедрени ли са някакви KPI във вашите процеси и как разбирате, че те са изпълнени;
• Всички тези процеси документирани ли са?

Стъпка #2: Осигурете пълно покритие на инфраструктурата

Не можете да защитите това, за което не знаете. Ако нямате пълна картина от какво е изградена вашата ИТ инфраструктура, няма да можете да я защитите. Съвременната инфраструктура е сложна и постоянно се променя количествено и качествено.
Сега ИТ инфраструктурата се основава не само на набор от класически технологии (работни станции, сървъри, виртуални машини), но и на сравнително нови - контейнери, микроуслуги. Службата за информационна сигурност бяга от последните по всякакъв възможен начин, тъй като е много трудно да работи с тях, използвайки съществуващите набори от инструменти, които се състоят главно от скенери. Проблемът е, че нито един скенер не може да покрие цялата инфраструктура. За да може един скенер да достигне до който и да е възел в инфраструктурата, трябва да съвпадат няколко фактора. Активът трябва да е в периметъра на организацията по време на сканирането. Скенерът трябва да има мрежов достъп до активи и техните акаунти, за да събере пълна информация.

Според нашата статистика, когато става дума за средни или големи организации, приблизително 15–20% от инфраструктурата не е уловена от скенера по една или друга причина: активът е излязъл извън периметъра или изобщо не се появява в офиса. Например лаптоп на служител, който работи дистанционно, но все пак има достъп до корпоративната мрежа, или активът се намира във външни облачни услуги като Amazon. И скенерът най-вероятно няма да знае нищо за тези активи, тъй като те са извън неговата зона на видимост.

За да покриете цялата инфраструктура, трябва да използвате не само скенери, но и цял набор от сензори, включително пасивни технологии за слушане на трафика за откриване на нови устройства във вашата инфраструктура, метод за събиране на данни от агенти за получаване на информация - позволява ви да получавате данни онлайн, без необходимостта от сканиране, без подчертаване на идентификационни данни.

Стъпка #3: Категоризирайте активите

Не всички активи са създадени еднакви. Ваша работа е да определите кои активи са важни и кои не. Нито един инструмент като скенер няма да направи това вместо вас. В идеалния случай информационната сигурност, ИТ и бизнесът работят заедно, за да анализират инфраструктурата, за да идентифицират критични за бизнеса системи. За тях те определят приемливи показатели за наличност, цялостност, конфиденциалност, RTO/RPO и др.

Това ще ви помогне да приоритизирате процеса на управление на уязвимостите. Когато вашите специалисти получат данни за уязвимостите, това няма да бъде лист с хиляди уязвимости в цялата инфраструктура, а подробна информация, като се вземе предвид критичността на системите.

Стъпка #4: Извършете оценка на инфраструктурата

И едва на четвъртата стъпка стигаме до оценка на инфраструктурата от гледна точка на уязвимостите. На този етап ви препоръчваме да обърнете внимание не само на уязвимостите в софтуера, но и на грешките в конфигурацията, които също могат да бъдат уязвимост. Тук препоръчваме агентния метод за събиране на информация. Скенерите могат и трябва да се използват за оценка на сигурността на периметъра. Ако използвате ресурсите на облачни доставчици, тогава трябва също да събирате информация за активи и конфигурации от там. Обърнете специално внимание на анализа на уязвимостите в инфраструктури, използващи Docker контейнери.

Стъпка #5: Настройте отчитане

Това е един от важните елементи в процеса на управление на уязвимостите.
Първата точка: никой няма да работи с многостранични доклади с произволен списък с уязвимости и описания как да ги елиминирате. На първо място, трябва да общувате с колеги и да разберете какво трябва да има в отчета и как е по-удобно за тях да получават данни. Например някой администратор не се нуждае от подробно описание на уязвимостта и се нуждае само от информация за корекцията и връзка към нея. Друг специалист се интересува само от уязвимостите, открити в мрежовата инфраструктура.

Втора точка: под докладване имам предвид не само отчети на хартия. Това е остарял формат за получаване на информация и статична история. Човек получава отчет и не може по никакъв начин да повлияе как данните ще бъдат представени в този отчет. За да получите отчета в желаната форма, ИТ специалистът трябва да се свърже със специалиста по информационна сигурност и да го помоли да изгради повторно отчета. С течение на времето се появяват нови уязвимости. Вместо да изпращат отчети от отдел на отдел, специалистите и в двете дисциплини трябва да могат да наблюдават данните онлайн и да виждат една и съща картина. Затова в нашата платформа използваме динамични отчети под формата на персонализирани табла за управление.

Стъпка #6: Подредете приоритетите

Тук можете да направите следното:

1. Създаване на хранилище със златни изображения на системи. Работете със златни изображения, проверявайте ги за уязвимости и коригирайте конфигурацията постоянно. Това може да стане с помощта на агенти, които автоматично ще докладват за появата на нов актив и ще предоставят информация за неговите уязвимости.

2. Фокусирайте се върху тези активи, които са критични за бизнеса. Няма нито една организация в света, която да елиминира уязвимостите наведнъж. Процесът на премахване на уязвимостите е дълъг и дори досаден.

3. Стесняване на атакуващата повърхност. Почистете вашата инфраструктура от ненужен софтуер и услуги, затворете ненужните портове. Наскоро имахме случай с една компания, в която на 40 хиляди устройства бяха открити около 100 хиляди уязвимости, свързани със старата версия на браузъра Mozilla. Както се оказа по-късно, Mozilla беше въведена в златния образ преди много години, никой не го използва, но е източникът на голям брой уязвимости. Когато браузърът беше премахнат от компютрите (дори беше на някои сървъри), тези десетки хиляди уязвимости изчезнаха.

4. Класирайте уязвимостите въз основа на информация за заплахи. Вземете предвид не само критичността на уязвимостта, но и наличието на публичен експлойт, зловреден софтуер, корекция или външен достъп до системата с уязвимостта. Оценете въздействието на тази уязвимост върху критичните бизнес системи: може ли да доведе до загуба на данни, отказ на услуга и т.н.

Стъпка #7: Съгласете KPI

Не сканирайте заради самото сканиране. Ако нищо не се случи с откритите уязвимости, това сканиране се превръща в безполезна операция. За да не се превърне работата с уязвимости във формалност, помислете как ще оцените нейните резултати. Информационната сигурност и ИТ трябва да се споразумеят как ще бъде структурирана работата по отстраняване на уязвимостите, колко често ще се извършват сканирания, ще се инсталират пачове и т.н.
На слайда виждате примери за възможни KPI. Има и разширен списък, който препоръчваме на нашите клиенти. Ако проявявате интерес, моля свържете се с мен, ще споделя тази информация с вас.

Стъпка #8: Автоматизирайте

Отново обратно към сканирането. В Qualys вярваме, че сканирането е най-маловажното нещо, което може да се случи в процеса на управление на уязвимостите днес и че преди всичко то трябва да бъде максимално автоматизирано, така че да се извършва без участието на специалист по информационна сигурност. Днес има много инструменти, които ви позволяват да направите това. Достатъчно е да имат отворен API и необходимия брой конектори.

Примерът, който обичам да давам, е DevOps. Ако внедрите там скенер за уязвимости, можете просто да забравите за DevOps. Със старите технологии, което е класически скенер, просто няма да бъдете допуснати до тези процеси. Разработчиците няма да чакат да сканирате и да им дадете многостраничен, неудобен отчет. Разработчиците очакват, че информацията за уязвимостите ще влезе в техните системи за сглобяване на код под формата на информация за грешки. Сигурността трябва да бъде безпроблемно вградена в тези процеси и трябва да бъде просто функция, която се извиква автоматично от системата, използвана от вашите разработчици.

Стъпка #9: Съсредоточете се върху най-важното

Съсредоточете се върху това, което носи истинска стойност за вашата компания. Сканирането може да бъде автоматично, отчетите също могат да се изпращат автоматично.
Съсредоточете се върху подобряването на процесите, за да ги направите по-гъвкави и удобни за всички участници. Съсредоточете се върху гарантирането, че сигурността е вградена във всички договори с вашите контрагенти, които например разработват уеб приложения за вас.

Ако имате нужда от по-подробна информация за това как да изградите процес за управление на уязвимости във вашата компания, моля свържете се с мен и моите колеги. Ще се радвам да помогна.

Източник: www.habr.com