Kami adunay usa ka dako nga ika-4 sa Hulyo . Karon kami nagmantala sa usa ka transcript sa pakigpulong ni Andrey Novikov gikan sa Qualys. Isulti niya kanimo kung unsa nga mga lakang ang kinahanglan nimo nga agian aron makahimo usa ka vulnerability management workflow. Spoiler: makaabot ra ta sa tunga nga punto sa dili pa mag-scan.
Lakang #1: Tinoa ang lebel sa pagkahamtong sa imong mga proseso sa pagdumala sa pagkahuyang
Sa sinugdanan pa lang, kinahanglan nimong masabtan kung unsa nga yugto ang imong organisasyon sa mga termino sa pagkahamtong sa mga proseso sa pagdumala sa pagkahuyang niini. Pagkahuman ra nimo mahibal-an kung asa mobalhin ug kung unsang mga lakang ang kinahanglan buhaton. Sa dili pa magsugod sa mga pag-scan ug uban pang mga kalihokan, ang mga organisasyon kinahanglan nga mobuhat sa pipila ka internal nga trabaho aron masabtan kung giunsa ang imong mga proseso karon nga istruktura gikan sa usa ka IT ug panan-aw sa seguridad sa impormasyon.
Sulayi pagtubag ang mga batakang pangutana:
- Aduna ka bay mga proseso alang sa imbentaryo ug klasipikasyon sa asset;
- Unsa ka regular ang pag-scan sa imprastraktura sa IT ug ang tibuok nga imprastraktura natabonan, nakita ba nimo ang tibuok nga hulagway;
- Gibantayan ba ang imong mga kapanguhaan sa IT?
- Aduna bay mga KPI nga gipatuman sa imong mga proseso ug giunsa nimo pagkasabut nga kini gitagbo;
- Nadokumento ba kining tanan nga mga proseso?
Lakang #2: Siguruha ang Tibuok nga Sakop sa Imprastraktura
Dili nimo mapanalipdan ang wala nimo nahibal-an. Kung wala ka'y ββkompleto nga hulagway kung unsa ang imong imprastraktura sa IT, dili nimo kini mapanalipdan. Ang modernong imprastraktura komplikado ug kanunay nga nagbag-o sa quantitatively ug qualitatively.
Karon ang imprastraktura sa IT gibase dili lamang sa usa ka stack sa mga klasiko nga teknolohiya (mga workstation, server, virtual machine), apan usab sa medyo bag-o - mga sudlanan, microservice. Ang serbisyo sa seguridad sa kasayuran nagpalayo gikan sa naulahi sa tanan nga posible nga paagi, tungod kay lisud kaayo alang niini ang pagtrabaho kauban nila gamit ang mga naa na nga mga set sa himan, nga nag-una sa mga scanner. Ang problema mao nga ang bisan unsang scanner dili makatabon sa tibuuk nga imprastraktura. Aron maabot sa usa ka scanner ang bisan unsang node sa imprastraktura, daghang mga hinungdan ang kinahanglan nga magkatakdo. Ang asset kinahanglang naa sa perimeter sa organisasyon sa panahon sa pag-scan. Ang scanner kinahanglang adunay access sa network sa mga asset ug sa ilang mga account aron makolekta ang kompletong impormasyon.
Sumala sa among estadistika, kung bahin sa medium o dagkong mga organisasyon, gibana-bana nga 15-20% sa imprastraktura ang wala makuha sa scanner sa usa ka hinungdan o lain: ang asset mibalhin lapas sa perimeter o wala gyud makita sa opisina. Pananglitan, ang usa ka laptop sa usa ka empleyado nga nagtrabaho sa layo apan adunay access sa corporate network, o ang asset nahimutang sa external cloud services sama sa Amazon. Ug ang scanner, lagmit, walaβy nahibal-an bahin sa kini nga mga kabtangan, tungod kay naa sila sa gawas sa visibility zone niini.
Aron matabonan ang tibuok nga imprastraktura, kinahanglan nimo nga gamiton dili lamang ang mga scanner, kondili usa ka bug-os nga hugpong sa mga sensor, lakip ang passive nga trapiko sa pagpaminaw sa mga teknolohiya sa pag-ila sa bag-ong mga himan sa imong imprastraktura, ahente sa pamaagi sa pagkolekta sa datos aron makadawat og impormasyon - nagtugot kanimo nga makadawat og data online, nga walay ang panginahanglan alang sa pag-scan, nga walay pag-highlight sa mga kredensyal.
Lakang #3: Pagkategorya sa mga Asset
Dili tanan nga mga kabtangan gihimo nga managsama. Imong trabaho ang pagtino kung unsang mga kabtangan ang hinungdanon ug kung diin ang dili. Walay himan, sama sa usa ka scanner, nga makahimo niini alang kanimo. Sa tinuud, ang kasiguruhan sa kasayuran, IT ug negosyo magtinabangay aron analisahon ang imprastraktura aron mahibal-an ang mga sistema nga kritikal sa negosyo. Alang kanila, ilang gitino ang madawat nga metrics para sa availability, integridad, confidentiality, RTO/RPO, etc.
Makatabang kini kanimo nga unahon ang imong proseso sa pagdumala sa pagkahuyang. Kung ang imong mga espesyalista makadawat mga datos sa mga kahuyangan, dili kini usa ka panid nga adunay libu-libo nga mga kahuyangan sa tibuuk nga imprastraktura, apan ang granular nga kasayuran nga gikonsiderar ang pagka-kritikal sa mga sistema.
Lakang #4: Pagpahigayon ug Infrastructure Assessment
Ug sa ikaupat nga lakang lamang nga kita moabut sa pagtimbang-timbang sa imprastraktura gikan sa punto sa panglantaw sa mga kahuyangan. Niini nga yugto, among girekomendar nga imong hatagan ug pagtagad dili lamang ang mga kahuyangan sa software, kondili usab ang mga sayop sa pag-configure, nga mahimo usab nga usa ka kahuyang. Dinhi among girekomendar ang paagi sa ahente sa pagkolekta sa impormasyon. Ang mga scanner mahimo ug kinahanglan gamiton aron masusi ang seguridad sa perimeter. Kung gigamit nimo ang mga kahinguhaan sa mga cloud providers, kinahanglan nimo usab nga mangolekta og kasayuran sa mga kabtangan ug mga pag-configure gikan didto. Hatagi og espesyal nga pagtagad ang pag-analisar sa mga kahuyangan sa mga imprastraktura gamit ang mga sudlanan sa Docker.
Lakang #5: I-set up ang pagreport
Usa kini sa mga importanteng elemento sulod sa proseso sa pagdumala sa kahuyang.
Ang unang punto: walay usa nga magtrabaho uban sa mga multi-panid nga mga taho nga adunay usa ka random nga listahan sa mga kahuyangan ug mga paghubit kung unsaon kini pagwagtang. Una sa tanan, kinahanglan nimo nga makigsulti sa mga kauban ug mahibal-an kung unsa ang kinahanglan nga naa sa taho ug kung giunsa kini labi ka kombenyente alang kanila nga makadawat mga datos. Pananglitan, ang ubang administrador wala magkinahanglan ug detalyadong paghulagway sa kahuyang ug nagkinahanglan lang ug impormasyon bahin sa patch ug link niini. Ang laing espesyalista nag-atiman lamang sa mga kahuyangan nga makita sa imprastraktura sa network.
Ikaduhang punto: pinaagi sa pagreport ang akong gipasabot dili lang mga report sa papel. Kini usa ka karaan nga pormat alang sa pagkuha sa kasayuran ug usa ka static nga istorya. Ang usa ka tawo makadawat ug taho ug dili sa bisan unsang paagi makaimpluwensya kung giunsa ang datos ipresentar niini nga taho. Aron makuha ang report sa gusto nga porma, ang IT specialist kinahanglang mokontak sa information security specialist ug hangyoon siya sa pagtukod pag-usab sa report. Sa paglabay sa panahon, ang bag-ong mga kahuyangan makita. Imbes nga iduso ang mga taho gikan sa departamento ngadto sa departamento, ang mga espesyalista sa duha ka disiplina kinahanglan nga makahimo sa pag-monitor sa datos online ug makakita sa samang hulagway. Busa, sa among plataporma naggamit kami ug dinamikong mga taho sa porma sa mga napasadyang dashboard.
Lakang #6: I-prioritize
Dinhi mahimo nimo ang mosunod:
1. Paghimo og repository nga adunay bulawan nga mga imahe sa mga sistema. Pagtrabaho uban ang bulawan nga mga imahe, susiha kini alang sa mga kahuyangan ug husto nga pag-configure sa padayon nga sukaranan. Mahimo kini sa tabang sa mga ahente nga awtomatik nga magreport sa pagtunga sa usa ka bag-ong asset ug maghatag kasayuran bahin sa mga kahuyangan niini.
2. Pag-focus sa mga kabtangan nga kritikal sa negosyo. Walay bisan usa ka organisasyon sa kalibutan nga makawagtang sa mga kahuyangan sa usa ka lakaw. Ang proseso sa pagwagtang sa mga kahuyangan dugay ug gani makakapoy.
3. Pagkunhod sa nawong sa pag-atake. Limpyohi ang imong imprastraktura sa wala kinahanglana nga software ug serbisyo, isira ang dili kinahanglan nga mga pantalan. Bag-ohay lang kami adunay usa ka kaso sa usa ka kompanya diin mga 40 ka libo nga mga kahuyangan nga may kalabutan sa daan nga bersyon sa browser sa Mozilla nakit-an sa 100 ka libo nga mga aparato. Ingon sa nahimo sa ulahi, ang Mozilla gipaila sa bulawan nga imahe daghang tuig na ang milabay, walaβy usa nga naggamit niini, apan kini ang gigikanan sa daghang mga kahuyangan. Sa diha nga ang browser gikuha gikan sa mga kompyuter (kini bisan sa pipila ka mga server), kining napulo ka libo nga mga kahuyangan nawala.
4. Ranggo ang mga kahuyangan base sa paniktik sa hulga. Hunahunaa dili lamang ang pagkakritikal sa pagkahuyang, apan ang presensya usab sa usa ka publiko nga pagpahimulos, malware, patch, o eksternal nga pag-access sa sistema nga adunay pagkahuyang. Susiha ang epekto niini nga pagkahuyang sa mga kritikal nga sistema sa negosyo: mahimo ba kini nga hinungdan sa pagkawala sa datos, pagdumili sa serbisyo, ug uban pa.
Lakang #7: Pag-uyon sa mga KPI
Ayaw pag-scan alang sa pag-scan. Kung walay mahitabo sa mga kahuyangan nga nakit-an, nan kini nga pag-scan nahimong usa ka walay pulos nga operasyon. Aron mapugngan ang pagtrabaho uban sa mga kahuyangan nga mahimong pormalidad, hunahunaa kon unsaon nimo pagtimbang-timbang ang mga resulta niini. Ang kasiguruhan sa kasayuran ug IT kinahanglan magkauyon kung giunsa ang trabaho aron mawagtang ang mga kahuyangan ma-istruktura, kung unsa ka sagad ang mga pag-scan himuon, i-install ang mga patch, ug uban pa.
Sa slide makita nimo ang mga pananglitan sa posible nga mga KPI. Adunay usab usa ka taas nga lista nga among girekomenda sa among mga kliyente. Kung interesado ka, palihug kontaka ako, ipaambit ko kini nga kasayuran kanimo.
Lakang #8: I-automate
Balik sa pag-scan pag-usab. Sa Qualys, kami nagtuo nga ang pag-scan mao ang labing dili importante nga butang nga mahimong mahitabo sa proseso sa pagdumala sa kahuyang karon, ug nga una sa tanan kini kinahanglan nga automated kutob sa mahimo aron kini ipahigayon nga walay pag-apil sa usa ka espesyalista sa seguridad sa impormasyon. Karon adunay daghang mga himan nga nagtugot kanimo sa pagbuhat niini. Igo na nga sila adunay bukas nga API ug ang gikinahanglan nga gidaghanon sa mga konektor.
Ang pananglitan nga gusto nakong ihatag mao ang DevOps. Kung nagpatuman ka usa ka vulnerability scanner didto, mahimo nimong kalimtan ang bahin sa DevOps. Sa mga daan nga teknolohiya, nga usa ka klasiko nga scanner, dili ka tugutan sa kini nga mga proseso. Ang mga developers dili maghulat alang kanimo sa pag-scan ug paghatag kanila sa usa ka multi-panid, dili kombenyente nga taho. Gilauman sa mga developer nga ang kasayuran bahin sa mga kahuyangan mosulod sa ilang mga sistema sa pag-assemble sa code sa porma sa kasayuran sa bug. Ang seguridad kinahanglan nga hapsay nga gitukod sa kini nga mga proseso, ug kini kinahanglan nga usa ka bahin nga awtomatiko nga gitawag sa sistema nga gigamit sa imong mga developer.
Lakang #9: Pag-focus sa mga Hinungdanon
Pag-focus sa kung unsa ang nagdala sa tinuud nga kantidad sa imong kompanya. Ang mga pag-scan mahimong awtomatiko, ang mga taho mahimo usab nga awtomatiko nga ipadala.
Pag-focus sa pagpauswag sa mga proseso aron mahimo silang mas flexible ug kombenyente alang sa tanan nga nalambigit. Pag-focus sa pagsiguro nga ang seguridad gitukod sa tanan nga mga kontrata sa imong mga katugbang, kinsa, pananglitan, nagpalambo sa mga aplikasyon sa web alang kanimo.
Kung kinahanglan nimo ang mas detalyado nga kasayuran kung giunsa paghimo ang usa ka proseso sa pagdumala sa pagkahuyang sa imong kompanya, palihug kontaka ako ug ang akong mga kauban. Malipay ko nga motabang.
Source: www.habr.com