Imali smo veliki 4. jul . Danas objavljujemo transkript govora Andreja Novikova iz Qualysa. On će vam reći kroz koje korake trebate proći da biste izgradili radni tok upravljanja ranjivostima. Spojler: doći ćemo samo do polovine prije skeniranja.
Korak #1: Odredite nivo zrelosti vaših procesa upravljanja ranjivostima
Na samom početku morate razumjeti u kojoj se fazi nalazi vaša organizacija u smislu zrelosti njenih procesa upravljanja ranjivostima. Tek nakon toga moći ćete razumjeti kuda se kretati i koje korake treba poduzeti. Prije nego što se upuste u skeniranje i druge aktivnosti, organizacije moraju obaviti neki interni posao kako bi razumjeli kako su vaši trenutni procesi strukturirani iz perspektive IT-a i sigurnosti informacija.
Pokušajte odgovoriti na osnovna pitanja:
- Da li imate procese za popis i klasifikaciju imovine;
- Koliko se redovno skenira IT infrastruktura i je li pokrivena cjelokupna infrastruktura, vidite li cijelu sliku;
- Da li se prate vaši IT resursi?
- Da li su KPI implementirani u vaše procese i kako razumete da se oni ispunjavaju;
- Da li su svi ovi procesi dokumentovani?
Korak #2: Osigurajte potpunu pokrivenost infrastrukture
Ne možete zaštititi ono o čemu ne znate. Ako nemate potpunu sliku od čega se sastoji vaša IT infrastruktura, nećete je moći zaštititi. Moderna infrastruktura je složena i stalno se kvantitativno i kvalitativno mijenja.
Sada se IT infrastruktura zasniva ne samo na nizu klasičnih tehnologija (radne stanice, serveri, virtuelne mašine), već i na relativno novim – kontejnerima, mikroservisima. Služba za sigurnost informacija na sve načine bježi od ovih potonjih, jer joj je vrlo teško raditi s njima koristeći postojeće setove alata, koji se uglavnom sastoje od skenera. Problem je što nijedan skener ne može pokriti cijelu infrastrukturu. Da bi skener mogao doći do bilo kojeg čvora u infrastrukturi, mora se poklopiti nekoliko faktora. Imovina mora biti unutar perimetra organizacije u vrijeme skeniranja. Skener mora imati pristup mreži sredstvima i njihovim računima kako bi prikupio potpune informacije.
Prema našim statistikama, kada je riječ o srednjim ili velikim organizacijama, otprilike 15-20% infrastrukture nije zahvaćeno skenerom iz ovog ili onog razloga: sredstvo se pomaknulo izvan perimetra ili se uopće ne pojavljuje u kancelariji. Na primjer, laptop zaposlenika koji radi na daljinu, ali i dalje ima pristup korporativnoj mreži, ili se imovina nalazi u eksternim cloud servisima kao što je Amazon. A skener, najvjerovatnije, neće znati ništa o ovim sredstvima, jer su izvan njegovog raspona vidljivosti.
Da biste pokrili cjelokupnu infrastrukturu, trebate koristiti ne samo skenere, već i cijeli set senzora, uključujući tehnologije pasivnog osluškivanja prometa za otkrivanje novih uređaja u vašoj infrastrukturi, metod prikupljanja podataka agenta za primanje informacija – omogućava vam da primate podatke na mreži, bez potreba za skeniranjem, bez isticanja akreditiva.
Korak #3: Kategorizirajte imovinu
Nisu sva sredstva stvorena jednaka. Vaš je posao da odredite koja su sredstva važna, a koja nisu. Nijedan alat, poput skenera, neće to učiniti umjesto vas. U idealnom slučaju, informaciona sigurnost, IT i poslovanje rade zajedno kako bi analizirali infrastrukturu kako bi identifikovali sisteme od ključne važnosti za poslovanje. Za njih određuju prihvatljive metrike za dostupnost, integritet, povjerljivost, RTO/RPO, itd.
Ovo će vam pomoći da odredite prioritet svog procesa upravljanja ranjivostima. Kada vaši stručnjaci dobiju podatke o ranjivostima, to neće biti list sa hiljadama ranjivosti u cijeloj infrastrukturi, već granularne informacije uzimajući u obzir kritičnost sistema.
Korak #4: Izvršite procjenu infrastrukture
I tek u četvrtom koraku dolazimo do procjene infrastrukture sa stanovišta ranjivosti. U ovoj fazi preporučujemo da obratite pažnju ne samo na softverske ranjivosti, već i na greške u konfiguraciji, koje takođe mogu biti ranjivost. Ovdje preporučujemo agentski metod prikupljanja informacija. Skeneri se mogu i trebaju koristiti za procjenu sigurnosti perimetra. Ako koristite resurse provajdera u oblaku, tada također morate prikupljati informacije o sredstvima i konfiguracijama odatle. Obratite posebnu pažnju na analizu ranjivosti u infrastrukturi koristeći Docker kontejnere.
Korak #5: Postavite izvještavanje
Ovo je jedan od važnih elemenata u procesu upravljanja ranjivostima.
Prva tačka: niko neće raditi sa izveštajima na više stranica sa nasumičnom listom ranjivosti i opisima kako da ih eliminiše. Prije svega, trebate komunicirati s kolegama i saznati šta bi trebalo biti u izvještaju i kako im je zgodnije da primaju podatke. Na primjer, nekom administratoru nije potreban detaljan opis ranjivosti i trebaju samo informacije o zakrpi i link do nje. Drugi stručnjak brine samo o ranjivostima koje se nalaze u mrežnoj infrastrukturi.
Druga stvar: pod izvještavanjem ne mislim samo na papirnate izvještaje. Ovo je zastarjeli format za dobivanje informacija i statična priča. Osoba prima izvještaj i ne može ni na koji način uticati na to kako će podaci biti predstavljeni u ovom izvještaju. Da bi izvještaj dobio u željenom obliku, IT stručnjak mora kontaktirati stručnjaka za sigurnost informacija i zamoliti ga da ponovo napravi izvještaj. Kako vrijeme prolazi, pojavljuju se nove ranjivosti. Umjesto guranja izvještaja od odjela do odjela, stručnjaci u obje discipline bi trebali biti u mogućnosti da prate podatke na mreži i vide istu sliku. Stoga u našoj platformi koristimo dinamičke izvještaje u obliku prilagodljivih nadzornih ploča.
Korak #6: Odredite prioritete
Ovdje možete učiniti sljedeće:
1. Kreiranje repozitorija sa zlatnim slikama sistema. Radite sa zlatnim slikama, provjeravajte ih na ranjivosti i ispravljajte konfiguraciju na stalnoj osnovi. To se može učiniti uz pomoć agenata koji će automatski prijaviti pojavu novog sredstva i pružiti informacije o njegovim ranjivostima.
2. Fokusirajte se na ona sredstva koja su kritična za poslovanje. Ne postoji nijedna organizacija na svijetu koja može eliminirati ranjivosti u jednom potezu. Proces eliminacije ranjivosti je dug, pa čak i zamoran.
3. Sužavanje površine napada. Očistite svoju infrastrukturu od nepotrebnog softvera i usluga, zatvorite nepotrebne portove. Nedavno smo imali slučaj sa jednom kompanijom u kojoj je na 40 hiljada uređaja pronađeno oko 100 hiljada ranjivosti u vezi sa starom verzijom pretraživača Mozilla. Kako se kasnije ispostavilo, Mozilla je uvedena u zlatnu sliku prije mnogo godina, niko je ne koristi, ali je izvor velikog broja ranjivosti. Kada je pretraživač uklonjen sa računara (čak je bio i na nekim serverima), ove desetine hiljada ranjivosti su nestale.
4. Rangirajte ranjivosti na osnovu obavještajnih podataka o prijetnjama. Uzmite u obzir ne samo kritičnost ranjivosti, već i prisustvo javnog eksploatacije, zlonamjernog softvera, zakrpe ili eksternog pristupa sistemu sa ranjivosti. Procijenite uticaj ove ranjivosti na kritične poslovne sisteme: može li dovesti do gubitka podataka, uskraćivanja usluge itd.
Korak #7: Dogovorite se o KPI-ovima
Nemojte skenirati radi skeniranja. Ako se ništa ne dogodi pronađenim ranjivostima, onda se ovo skeniranje pretvara u beskorisnu operaciju. Kako biste spriječili da rad s ranjivostima postane formalnost, razmislite o tome kako ćete ocijeniti njegove rezultate. Informaciona sigurnost i IT moraju se dogovoriti o tome kako će se struktuirati rad na uklanjanju ranjivosti, koliko često će se vršiti skeniranja, instalirati zakrpe itd.
Na slajdu vidite primjere mogućih KPI-ja. Postoji i proširena lista koju preporučujemo našim klijentima. Ako ste zainteresovani, slobodno me kontaktirajte, podijelit ću ove informacije sa vama.
Korak #8: Automatizirajte
Ponovo se vratite na skeniranje. U Qualysu vjerujemo da je skeniranje najnevažnija stvar koja se danas može dogoditi u procesu upravljanja ranjivostima, te da prije svega treba biti što više automatizirana kako bi se obavljala bez sudjelovanja stručnjaka za informacijsku sigurnost. Danas postoji mnogo alata koji vam to omogućavaju. Dovoljno je da imaju otvoren API i potreban broj konektora.
Primjer koji volim dati je DevOps. Ako tamo implementirate skener ranjivosti, možete jednostavno zaboraviti na DevOps. Sa starim tehnologijama, što je klasični skener, jednostavno nećete biti pušteni u ove procese. Programeri neće čekati da skenirate i date im neprikladan izvještaj na više stranica. Programeri očekuju da će informacije o ranjivosti ući u njihove sisteme sastavljanja koda u obliku informacija o greškama. Sigurnost bi trebala biti neprimjetno ugrađena u ove procese i trebala bi biti samo funkcija koju automatski poziva sistem koji koriste vaši programeri.
Korak #9: Fokusirajte se na osnovne stvari
Fokusirajte se na ono što vašoj kompaniji donosi stvarnu vrijednost. Skeniranja mogu biti automatska, izvještaji se također mogu slati automatski.
Fokusirajte se na poboljšanje procesa kako biste ih učinili fleksibilnijim i praktičnijim za sve uključene. Fokusirajte se na to da sigurnost bude ugrađena u sve ugovore sa vašim partnerima, koji, na primjer, razvijaju web aplikacije za vas.
Ako su vam potrebne detaljnije informacije o tome kako izgraditi proces upravljanja ranjivostima u vašoj kompaniji, kontaktirajte mene i moje kolege. Biće mi drago da pomognem.
izvor: www.habr.com