Avemu avutu un grande 4 di lugliu . Oghje avemu publicatu una trascrizione di u discorsu di Andrey Novikov da Qualys. Vi diciarà quali passi avete bisognu à passà per custruisce un flussu di travagliu di gestione di vulnerabilità. Spoiler: ghjunghjemu solu à a mità di strada prima di scanning.
Passu #1: Determina u livellu di maturità di i vostri prucessi di gestione di vulnerabilità
À u principiu, avete bisognu di capiscenu in quale tappa hè a vostra urganizazione in termini di maturità di i so prucessi di gestione di vulnerabilità. Solu dopu à questu puderà capisce induve si move è ciò chì i passi deve esse fattu. Prima di imbarcà in scans è altre attività, l'urganisazioni anu bisognu di fà un travagliu internu per capisce cumu i vostri prucessi attuali sò strutturati da una perspettiva di sicurezza di l'informatica è di l'infurmazioni.
Pruvate à risponde à e dumande basi:
- Avete prucessi per l'inventariu è a classificazione di l'assi;
- Quantu hè regularmente l'infrastruttura IT scansed è hè tutta l'infrastruttura coperta, vi vede tutta a stampa;
- Sò i vostri risorse IT monitorate?
- Sò alcuni KPI implementati in i vostri prucessi è cumu si capisce chì sò stati scontri;
- Sò tutti sti prucessi documentati?
Passu #2: Assicurà a Copertura di l'Infrastruttura Completa
Ùn pudete micca prutezzione di ciò chì ùn cunnosci micca. Se ùn avete micca una stampa cumpleta di ciò chì a vostra infrastruttura IT hè fatta, ùn puderete micca prutegge. L'infrastruttura muderna hè cumplessa è cambia constantemente quantitativamente è qualitativamente.
Avà l'infrastruttura IT hè basatu micca solu nantu à una pila di tecnulugii classici (stazioni di travagliu, servitori, macchine virtuali), ma ancu nantu à quelli relativamente novi - cuntenituri, microservizi. U serviziu di securità di l'infurmazioni scappa da l'ultime in ogni modu pussibule, postu chì hè assai difficiuli per travaglià cun elli utilizendu setti di strumenti esistenti, chì sò principarmenti di scanners. U prublema hè chì ogni scanner ùn pò micca copre tutta l'infrastruttura. Per chì un scanner ghjunghje à qualsiasi nodu in l'infrastruttura, parechji fatturi devenu coincide. L'attivu deve esse in u perimetru di l'urganizazione à u mumentu di a scansione. U scanner deve avè accessu à a rete à l'assi è i so cunti per cullà infurmazioni cumplette.
Sicondu e nostre statistiche, quandu si tratta di l'urganisazione media o grande, circa 15-20% di l'infrastruttura ùn hè micca catturata da u scanner per una ragione o l'altru: l'attivu si trasfirìu fora di u perimetru o ùn si vede mai in l'uffiziu. Per esempiu, un laptop di un impiigatu chì travaglia remotamente, ma hà ancu accessu à a reta corporativa, o l'assetu hè situatu in servizii cloud esterni cum'è Amazon. È u scanner, assai prubabilmente, ùn sapi micca nunda di questi assi, postu chì sò fora di a so zona di visibilità.
Per copre tutta l'infrastruttura, avete bisognu di utilizà micca solu scanners, ma un inseme sanu di sensori, cumprese tecnulugii d'ascoltu di trafficu passiu per detectà novi dispositi in a vostra infrastruttura, u metudu di cullizzioni di dati agenti per riceve infurmazioni - permette di riceve dati in linea, senza a necessità di scanning, senza evidenziazione di credenziali.
Passu #3: categurizà l'assi
Ùn sò micca tutti l'assi sò creati uguali. Hè u vostru travagliu per determinà quali assi sò impurtanti è quali ùn sò micca. Nisun strumentu, cum'è un scanner, farà questu per voi. Ideale, a sicurità di l'infurmazioni, l'IT è l'affari travaglianu inseme per analizà l'infrastruttura per identificà i sistemi critichi per l'affari. Per elli, determinanu metriche accettabili per a dispunibilità, l'integrità, a cunfidenziale, RTO / RPO, etc.
Questu vi aiuterà à priorità u vostru prucessu di gestione di vulnerabilità. Quandu i vostri specialisti ricevenu dati nantu à e vulnerabilità, ùn serà micca un fogliu cù millaie di vulnerabili in tutta l'infrastruttura, ma infurmazione granulare in cunsiderà a criticità di i sistemi.
Passu #4: Cunduce una valutazione di l'infrastruttura
È solu à u quartu passu ghjunghjemu à valutà l'infrastruttura da u puntu di vista di e vulnerabilità. À questu stadiu, ricumandemu chì fate attenzione micca solu à e vulnerabilità di u software, ma ancu à l'errore di cunfigurazione, chì pò ancu esse una vulnerabilità. Quì ricumandemu u metudu di l'agente di cullà l'infurmazioni. Scanners ponu è deve esse usatu per valutà a sicurità perimetru. Se aduprate e risorse di i fornituri di nuvola, allora avete ancu bisognu di cullà infurmazioni nantu à l'assi è e cunfigurazioni da quì. Prestate una attenzione speciale à l'analisi di vulnerabilità in infrastrutture chì utilizanu cuntenituri Docker.
Passu #5: Configurate u rapportu
Questu hè unu di l'elementi impurtanti in u prucessu di gestione di vulnerabilità.
U primu puntu: nimu hà da travaglià cù rapporti multi-pagina cù una lista aleatoria di vulnerabili è descrizzioni di cumu eliminà. Prima di tuttu, avete bisognu di cumunicà cù i culleghi è scopre ciò chì deve esse in u rapportu è cumu hè più convenientu per elli à riceve dati. Per esempiu, un amministratore ùn hà micca bisognu di una descrizzione dettagliata di a vulnerabilità è solu bisognu d'infurmazioni nantu à u patch è un ligame à questu. Un altru specialista si preoccupa solu di e vulnerabilità truvate in l'infrastruttura di a rete.
Secondu puntu: per rapportu ùn vogliu dì micca solu rapporti di carta. Questu hè un formatu anticu per ottene infurmazioni è una storia statica. Una persona riceve un rapportu è ùn pò micca influenzà in ogni modu cumu i dati seranu presentati in questu rapportu. Per uttene u rapportu in a forma desiderata, u specialista in l'informatica deve cuntattà u specialista di sicurezza di l'infurmazioni è dumandà à ricustruisce u rapportu. Cume u tempu passa, novi vulnerabili appariscenu. Invece di spinghje i rapporti da u dipartimentu à u dipartimentu, i specialisti in e duie discipline anu da pudè monitorà e dati in linea è vede a stessa stampa. Dunque, in a nostra piattaforma usemu rapporti dinamichi in forma di dashboards persunalizabili.
Passu #6: Priorità
Quì pudete fà i seguenti:
1. Crià un repository cù imagine d'oru di sistemi. U travagliu cù l'imaghjini d'oru, verificate per e vulnerabilità è a cunfigurazione curretta in una basa cuntinua. Questu pò esse fattu cù l'aiutu di l'agenti chì informaranu automaticamente l'emergenza di un novu attivu è furnisce infurmazioni nantu à e so vulnerabilità.
2. Focus nantu à quelli assi chì sò critichi per l'affari. Ùn ci hè micca una sola urganizazione in u mondu chì pò eliminà i vulnerabili in una volta. U prucessu di eliminà e vulnerabilità hè longu è ancu tedious.
3. Narrowing a superficia di attaccu. Pulite a vostra infrastruttura di software è servizii inutili, chjude i porti inutili. Recentemente avemu avutu un casu cù una cumpagnia in quale circa 40 mila vulnerabilità ligati à a vechja versione di u navigatore Mozilla sò stati truvati in 100 mila dispositi. Cum'è turnò dopu, Mozilla hè statu introduttu in l'imaghjini d'oru parechji anni fà, nimu ùn l'utiliza, ma hè a fonte di un gran numaru di vulnerabilità. Quandu u navigatore hè statu eliminatu da l'urdinatori (era ancu in certi servitori), sti decine di millaie di vulnerabili sparivanu.
4. Classifica vulnerabilità basatu annantu à l'intelligenza di minaccia. Cunsiderate micca solu a criticità di a vulnerabilità, ma ancu a presenza di un sfruttamentu publicu, malware, patch, o accessu esternu à u sistema cù a vulnerabilità. Evaluate l'impattu di sta vulnerabilità nantu à i sistemi di cummerciale critichi: pò purtà à a perdita di dati, a denegazione di serviziu, etc.
Passu #7: Accordu nantu à i KPI
Ùn scansate micca per scansà. Se nunda ùn succede à i vulnerabili truvati, allora sta scanning si trasforma in una operazione inutile. Per impediscenu di travaglià cù e vulnerabilità da diventà una formalità, pensate cumu evaluate i so risultati. A sicurità di l'infurmazioni è l'IT deve esse d'accordu nantu à cumu u travagliu per eliminà e vulnerabilità serà strutturatu, quante volte seranu realizati scans, patch seranu installati, etc.
In u slide vede esempi di pussibuli KPIs. Ci hè ancu una lista allargata chì ricumandemu à i nostri clienti. Sè site interessatu, per piacè cuntattatemi, sparteraghju sta infurmazione cun voi.
Passu #8: Automatizà
Torna à scanning di novu. À Qualys, credemu chì l'scanning hè a cosa più pocu impurtante chì pò accade in u prucessu di gestione di vulnerabilità oghje, è chì prima di tuttu deve esse automatizatu quant'è pussibule per esse realizatu senza a participazione di un specialista di sicurezza di l'infurmazioni. Oghje ci sò parechje strumenti chì permettenu di fà questu. Hè abbastanza chì anu una API aperta è u numeru necessariu di connettori.
L'esempiu chì mi piace à dà hè DevOps. Se implementate un scanner di vulnerabilità quì, pudete solu scurdà di DevOps. Cù vechji tecnulugii, chì hè un scanner classicu, simpricimenti ùn serà micca permessu di sti prucessi. I sviluppatori ùn aspittàranu micca per scansà è dà li un rapportu multi-pagina, inconveniente. I sviluppatori aspettanu chì l'infurmazioni nantu à e vulnerabilità entreranu in i so sistemi di assemblea di codice in forma di informazioni di bug. A sicurità deve esse integrata senza saldatura in questi prucessi, è deve esse solu una funzione chì hè chjamata automaticamente da u sistema utilizatu da i vostri sviluppatori.
Passu #9: Focus nantu à l'essenziali
Focus nantu à ciò chì porta un veru valore à a vostra cumpagnia. I scans ponu esse automaticamente, i rapporti ponu ancu esse mandati automaticamente.
Focus nantu à migliurà i prucessi per rende più flessibili è convenienti per tutti quelli implicati. Focus nantu à assicurà chì a sicurità hè integrata in tutti i cuntratti cù i vostri contrapartiti, chì, per esempiu, sviluppanu applicazioni web per voi.
Sè avete bisognu di infurmazioni più dettagliate nantu à cumu custruisce un prucessu di gestione di vulnerabilità in a vostra cumpagnia, per piacè cuntattatemi è i mo culleghi. Seraghju cuntentu di aiutà.
Source: www.habr.com