Vam tenir un gran 4 de juliol . Avui publiquem una transcripció del discurs d'Andrey Novikov de Qualys. Us indicarà quins passos heu de seguir per crear un flux de treball de gestió de vulnerabilitats. Spoiler: només arribarem a la meitat abans d'escanejar.
Pas 1: determineu el nivell de maduresa dels vostres processos de gestió de vulnerabilitats
Al principi, heu d'entendre en quina fase es troba la vostra organització en termes de maduresa dels seus processos de gestió de vulnerabilitats. Només després d'això podreu entendre cap a on moureu i quins passos cal fer. Abans d'embarcar-se en exploracions i altres activitats, les organitzacions han de fer una mica de treball intern per entendre com s'estructuren els vostres processos actuals des d'una perspectiva de TI i seguretat de la informació.
Intenta respondre preguntes bàsiques:
- Disposeu de processos d'inventari i classificació d'actius;
- Amb quina periodicitat s'escaneja la infraestructura informàtica i es cobreix tota la infraestructura, veus tota la imatge?
- Els vostres recursos informàtics estan supervisats?
- Hi ha algun KPI implementat en els vostres processos i com enteneu que s'estan complint?
- Tots aquests processos estan documentats?
Pas 2: Assegureu-vos la cobertura total de la infraestructura
No pots protegir allò que no coneixes. Si no teniu una imatge completa de què està feta la vostra infraestructura informàtica, no podreu protegir-la. La infraestructura moderna és complexa i canvia constantment quantitativament i qualitativament.
Ara la infraestructura informàtica es basa no només en una pila de tecnologies clàssiques (estacions de treball, servidors, màquines virtuals), sinó també en altres de relativament noves: contenidors, microserveis. El servei de seguretat de la informació s'escapa d'aquests últims de totes les maneres possibles, ja que és molt difícil treballar-hi amb els conjunts d'eines existents, que consisteixen principalment en escàners. El problema és que cap escàner no pot cobrir tota la infraestructura. Perquè un escàner arribi a qualsevol node de la infraestructura, han de coincidir diversos factors. L'actiu ha d'estar dins del perímetre de l'organització en el moment de l'escaneig. L'escàner ha de tenir accés a la xarxa als actius i als seus comptes per recollir informació completa.
Segons les nostres estadístiques, quan es tracta d'organitzacions mitjanes o grans, aproximadament el 15-20% de la infraestructura no és capturada per l'escàner per una raó o una altra: l'actiu s'ha mogut més enllà del perímetre o no apareix mai a l'oficina. Per exemple, un ordinador portàtil d'un empleat que treballa de forma remota però encara té accés a la xarxa corporativa, o l'actiu es troba en serveis externs al núvol com Amazon. I l'escàner, molt probablement, no sabrà res d'aquests actius, ja que es troben fora de la seva zona de visibilitat.
Per cobrir tota la infraestructura, cal utilitzar no només escàners, sinó tot un conjunt de sensors, incloses tecnologies d'escolta de trànsit passiu per detectar nous dispositius a la vostra infraestructura, mètode de recollida de dades d'agent per rebre informació: us permet rebre dades en línia, sense la necessitat d'escanejar, sense destacar les credencials.
Pas 3: categoritzar els actius
No tots els actius es creen iguals. És la vostra feina determinar quins actius són importants i quins no. Cap eina, com un escàner, ho farà per vosaltres. L'ideal és que la seguretat de la informació, la informàtica i el negoci treballin junts per analitzar la infraestructura per identificar sistemes crítics per a l'empresa. Per a ells, determinen mètriques acceptables de disponibilitat, integritat, confidencialitat, RTO/RPO, etc.
Això us ajudarà a prioritzar el vostre procés de gestió de vulnerabilitats. Quan els vostres especialistes rebin dades sobre vulnerabilitats, no serà un full amb milers de vulnerabilitats a tota la infraestructura, sinó informació granular tenint en compte la criticitat dels sistemes.
Pas 4: realitzeu una avaluació de la infraestructura
I només en el quart pas arribem a valorar la infraestructura des del punt de vista de les vulnerabilitats. En aquesta fase, us recomanem que presteu atenció no només a les vulnerabilitats del programari, sinó també als errors de configuració, que també poden ser una vulnerabilitat. Aquí us recomanem el mètode d'agent per recopilar informació. Els escàners poden i s'han d'utilitzar per avaluar la seguretat del perímetre. Si utilitzeu els recursos dels proveïdors de núvol, també haureu de recopilar informació sobre els actius i les configuracions des d'allà. Presteu especial atenció a l'anàlisi de vulnerabilitats en infraestructures mitjançant contenidors Docker.
Pas 5: configureu els informes
Aquest és un dels elements importants dins del procés de gestió de vulnerabilitats.
El primer punt: ningú treballarà amb informes de diverses pàgines amb una llista aleatòria de vulnerabilitats i descripcions de com eliminar-les. En primer lloc, cal que us comuniqueu amb els companys i esbrineu què hauria d'haver a l'informe i com els és més convenient rebre dades. Per exemple, algun administrador no necessita una descripció detallada de la vulnerabilitat i només necessita informació sobre el pedaç i un enllaç a aquest. Un altre especialista només es preocupa per les vulnerabilitats que es troben a la infraestructura de xarxa.
Segon punt: per informar no vull dir només informes en paper. Aquest és un format obsolet per obtenir informació i una història estàtica. Una persona rep un informe i no pot influir de cap manera com es presentaran les dades en aquest informe. Per obtenir l'informe en la forma desitjada, l'especialista informàtic s'ha de posar en contacte amb l'especialista en seguretat de la informació i demanar-li que reconstrueixi l'informe. A mesura que passa el temps, apareixen noves vulnerabilitats. En lloc d'enviar els informes d'un departament a un altre, els especialistes d'ambdues disciplines haurien de poder controlar les dades en línia i veure la mateixa imatge. Per tant, a la nostra plataforma fem servir informes dinàmics en forma de taulers personalitzables.
Pas 6: prioritzar
Aquí podeu fer el següent:
1. Creació d'un repositori amb imatges daurades dels sistemes. Treballeu amb imatges daurades, comproveu-les si hi ha vulnerabilitats i la configuració correcta de forma continuada. Això es pot fer amb l'ajuda d'agents que informaran automàticament de l'aparició d'un nou actiu i proporcionaran informació sobre les seves vulnerabilitats.
2. Centra't en aquells actius que són crítics per al negoci. No hi ha una sola organització al món que pugui eliminar les vulnerabilitats d'una vegada. El procés d'eliminació de vulnerabilitats és llarg i fins i tot tediós.
3. Reducció de la superfície d'atac. Netegeu la vostra infraestructura de programari i serveis innecessaris, tanqueu ports innecessaris. Recentment hem tingut un cas amb una empresa en què es van trobar unes 40 mil vulnerabilitats en 100 mil dispositius relacionats amb la versió antiga del navegador Mozilla. Com va resultar més tard, Mozilla es va introduir a la imatge daurada fa molts anys, ningú l'utilitza, però és la font d'un gran nombre de vulnerabilitats. Quan es va eliminar el navegador dels ordinadors (fins i tot era en alguns servidors), aquestes desenes de milers de vulnerabilitats van desaparèixer.
4. Classifica les vulnerabilitats en funció de la intel·ligència d'amenaces. Tingueu en compte no només la criticitat de la vulnerabilitat, sinó també la presència d'un exploit públic, programari maliciós, pegat o accés extern al sistema amb la vulnerabilitat. Avalueu l'impacte d'aquesta vulnerabilitat en els sistemes empresarials crítics: pot provocar pèrdua de dades, denegació de servei, etc.
Pas 7: Acordeu els KPI
No escanegeu pel bé d'escanejar. Si no passa res amb les vulnerabilitats trobades, aquesta exploració es converteix en una operació inútil. Per evitar que treballar amb vulnerabilitats es converteixi en una formalitat, penseu en com n'avaluareu els resultats. La seguretat de la informació i la informàtica han de posar-se d'acord sobre com s'estructurarà el treball per eliminar les vulnerabilitats, amb quina freqüència es realitzaran les exploracions, s'instal·laran pedaços, etc.
A la diapositiva veieu exemples de possibles KPI. També hi ha una llista ampliada que recomanem als nostres clients. Si esteu interessats, poseu-vos en contacte amb mi, compartiré aquesta informació amb vosaltres.
Pas #8: Automatitzar
Torneu a escanejar de nou. A Qualys creiem que l'escaneig és el més poc important que pot passar avui dia en el procés de gestió de vulnerabilitats, i que abans de res cal automatitzar-lo al màxim perquè es realitzi sense la participació d'un especialista en seguretat de la informació. Avui dia hi ha moltes eines que us permeten fer-ho. N'hi ha prou que tinguin una API oberta i el nombre necessari de connectors.
L'exemple que m'agrada posar és DevOps. Si implementeu un escàner de vulnerabilitats allà, simplement us podeu oblidar de DevOps. Amb tecnologies antigues, que és un escàner clàssic, simplement no se us permetrà entrar en aquests processos. Els desenvolupadors no esperaran que escanegeu i els proporcioneu un informe incòmode de diverses pàgines. Els desenvolupadors esperen que la informació sobre vulnerabilitats ingressi als seus sistemes de muntatge de codi en forma d'informació d'errors. La seguretat s'hauria d'integrar perfectament en aquests processos i només hauria de ser una característica que el sistema utilitzat pels vostres desenvolupadors crida automàticament.
Pas 9: centreu-vos en els elements essencials
Centra't en allò que aporta valor real a la teva empresa. Els escanejos poden ser automàtics, els informes també es poden enviar automàticament.
Centreu-vos a millorar els processos per fer-los més flexibles i convenients per a tots els implicats. Centreu-vos a assegurar-vos que la seguretat està integrada en tots els contractes amb les vostres contraparts, que, per exemple, desenvolupen aplicacions web per a vosaltres.
Si necessiteu informació més detallada sobre com crear un procés de gestió de vulnerabilitats a la vostra empresa, poseu-vos en contacte amb mi i els meus companys. Estaré encantat d'ajudar.
Font: www.habr.com