4. července jsme strávili velký . Dnes zveřejňujeme přepis projevu Andrey Novikov z Qualys. Řekne vám, jaké kroky musíte projít, abyste vytvořili pracovní postup pro správu zranitelnosti. Upozornění na spoiler: ke skenování se dostaneme teprve v polovině.
Krok č. 1: Určete úroveň vyspělosti procesů správy zranitelnosti
Na úplném začátku musíte pochopit, kde se vaše organizace nachází z hlediska vyspělosti procesů řízení zranitelnosti. Jen tak budete schopni pochopit, kam směřujete a jaké kroky musíte podniknout. Než se pustíte do skenování a dalších činností, musí organizace provést nějakou interní práci a pochopit, jak jsou vaše současné procesy uspořádány z hlediska IT a bezpečnosti informací.
Zkuste si odpovědět na základní otázky:
- máte procesy pro inventarizaci a klasifikaci majetku;
- jak pravidelně je skenována IT infrastruktura a zda je pokryta celá infrastruktura, zda vidíte celý obrázek;
- Jsou vaše IT zdroje monitorovány?
- zda jsou ve vašich procesech implementovány nějaké KPI a jak chápete, že jsou implementovány;
- Jsou všechny tyto procesy zdokumentovány?
Krok č. 2: Získejte plné pokrytí infrastruktury
Nemůžete chránit to, o čem nevíte. Pokud nemáte úplný obrázek o tom, z čeho se skládá vaše IT infrastruktura, nebudete ji schopni zabezpečit. Moderní infrastruktura je složitá a neustále se mění kvantitativně i kvalitativně.
IT infrastruktura je nyní založena nejen na hromadě klasických technologií (pracovní stanice, servery, virtuální stroje), ale také na relativně nových – kontejnerech, mikroslužbách. Služba informační bezpečnosti od posledně jmenovaných všemi možnými způsoby utíká, protože je pro ni velmi obtížné s nimi pracovat pomocí stávajících sad nástrojů, které se skládají převážně ze skenerů. Problém je v tom, že žádný skener nedokáže pokrýt celou infrastrukturu. Aby skener dosáhl jakéhokoli uzlu v infrastruktuře, musí se shodovat několik faktorů najednou. Dílo musí být v době kontroly uvnitř obvodu organizace. Skener musí mít síťový přístup k aktivům, jejich účtům, aby mohl shromáždit úplné informace.
Podle našich statistik, pokud jde o střední nebo velké organizace, přibližně 15–20 % infrastruktury není skenerem zachyceno z toho či onoho důvodu: aktivum opustilo perimetr nebo se v kanceláři vůbec neobjevilo. Například notebook zaměstnance, který pracuje na dálku, ale zároveň má přístup do firemní sítě, nebo se majetek nachází v externích cloudových službách, jako je Amazon. A skener se s největší pravděpodobností o těchto aktivech nic nedozví, protože jsou mimo jeho dohled.
Chcete-li pokrýt celou infrastrukturu, musíte použít nejen skenery, ale celou sadu senzorů, včetně technologií pasivního naslouchání provozu k detekci nových zařízení ve vaší infrastruktuře, metoda sběru dat založená na agentech pro příjem informací – umožňuje přijímat data online, bez nutnosti skenování, bez izolace přihlašovacích údajů.
Krok č. 3: Kategorizace aktiv
Ne všechna aktiva jsou stejně užitečná. Je na vás, abyste určili, která aktiva jsou důležitá a která ne. Žádný nástroj, stejný skener to za vás neudělá. V ideálním případě analyzují zabezpečení informací, IT a podnikání společně infrastrukturu a zvýrazní kritické obchodní systémy. Pro ně definují přijatelné metriky pro dostupnost, integritu, důvěrnost, RTO / RPO atd.
To pomůže upřednostnit proces správy zranitelnosti. Když vaši specialisté obdrží data o zranitelnostech, nebude to list s tisíci zranitelností v celé infrastruktuře, ale podrobné informace zohledňující kritičnost systémů.
Krok č. 4: Proveďte posouzení infrastruktury
A teprve ve čtvrtém kroku se dostáváme k posouzení infrastruktury z hlediska zranitelnosti. V této fázi doporučujeme věnovat pozornost nejen zranitelnostem v softwaru, ale také chybám v konfiguracích, které také mohou být zranitelností. Zde doporučujeme metodu shromažďování informací založenou na agentech. Skenery mohou a měly by být použity k posouzení zabezpečení perimetru. Pokud využíváte zdroje poskytovatelů cloudu, musíte odtud také shromažďovat informace o aktivech a konfiguracích. Věnujte zvláštní pozornost analýze zranitelnosti v infrastrukturách využívajících kontejnery Docker.
Krok č. 5: Nastavte přehledy
To je jeden z důležitých prvků v procesu řízení zranitelnosti.
První bod: nikdo nebude pracovat s vícestránkovými zprávami s neuspořádaným seznamem zranitelností a popisy, jak je opravit. V první řadě je potřeba komunikovat s kolegy a zjistit, co má v reportu být a jak je pro ně pohodlnější data přijímat. Některý administrátor například nepotřebuje podrobný popis zranitelnosti a stačí mu informace o opravě a odkaz na ni. Pro jiného specialistu jsou důležité pouze zranitelnosti nalezené v síťové infrastruktuře.
Druhý bod: hlášením nemám na mysli pouze papírové hlášení. Toto je zastaralý formát pro získávání informací a statické historie. Osoba obdrží zprávu a nemůže žádným způsobem ovlivnit, jak budou data v této zprávě prezentována. Aby se zpráva dostala do správné podoby, musí IT specialista kontaktovat specialistu na informační bezpečnost a požádat ho, aby zprávu znovu sestavil. Postupem času se objevují nové zranitelnosti. Místo šíření zpráv z oddělení na oddělení by oba týmy měly mít možnost sledovat data online a vidět stejný obrázek. Proto v naší platformě používáme dynamické sestavy ve formě přizpůsobitelných dashboardů.
Krok #6: Stanovte si priority
Zde můžete provést následující:
1. Vytvoření úložiště se zlatými obrazy systému. Pracujte se zlatými obrázky, kontrolujte je na zranitelnosti a průběžně opravujte konfiguraci. To lze provést pomocí agentů, kteří budou automaticky hlásit výskyt nového aktiva a poskytovat informace o jeho zranitelnostech.
2. Zaměřte se na aktiva, která jsou pro podnikání zásadní. Na světě neexistuje jediná organizace, která by dokázala opravit zranitelnosti najednou. Proces odstraňování zranitelných míst je dlouhý a dokonce nudný.
3. Zúžení útočné plochy. Vyčistěte svou infrastrukturu od nepotřebného softwaru, služeb, zavřete nepotřebné porty. Nedávno jsme měli případ se společností, která měla na 40 100 zařízeních nalezených asi XNUMX XNUMX zranitelností souvisejících se starou verzí prohlížeče Mozilla. Jak se později ukázalo, Mozilla byla před mnoha lety vložena do zlatého obrazu, nikdo ji nepoužívá, ale je zdrojem velkého množství zranitelností. Když byl prohlížeč odstraněn z počítačů (na některých serverech dokonce stál), tyto desítky tisíc zranitelností zmizely.
4. Seřaďte zranitelná místa ve zpravodajské databázi (informace o hrozbách). Zvažte nejen závažnost zranitelnosti, ale také přítomnost veřejného exploitu, malwaru, opravy, externího přístupu k systému se zranitelností. Posuďte dopad této zranitelnosti na kritické podnikové systémy: zda může vést ke ztrátě dat, odmítnutí služby atd.
Krok č. 7: Srovnejte KPI
Neskenujte kvůli skenování. Pokud se s nalezenými zranitelnostmi nic nestane, pak se toto skenování změní v zbytečnou operaci. Aby se práce se zranitelností nestala formalitou, zvažte, jak budete její výsledky vyhodnocovat. Informační bezpečnost a IT se musí dohodnout na tom, jak bude práce na odstranění zranitelností postavena, jak často se budou provádět skenování, záplaty atd.
Na snímku vidíte příklady možných KPI. K dispozici je také rozšířený seznam, který doporučujeme našim klientům. V případě zájmu mě prosím kontaktujte, podělím se s vámi o tyto informace.
Krok č. 8: Automatizujte
Znovu zpět ke skenování. Ve společnosti Qualys věříme, že skenování je to nejméně důležité, co se dnes v procesu správy zranitelností může stát, a že v první řadě by mělo být co nejvíce automatizováno, aby bylo možné provádět jej bez účasti informací bezpečnostní specialista. Dnes existuje mnoho nástrojů, které vám to umožňují. Stačí, aby měly otevřené API a potřebný počet konektorů.
Příklad, který bych rád uvedl, je DevOps. Pokud tam implementujete skener zranitelnosti, tak na DevOps můžete jednoduše zapomenout. Se starou technologií, kterou je klasický skener, vás do těchto procesů prostě nepustí. Vývojáři nebudou čekat, až naskenujete a dáte jim vícestránkovou, trapnou zprávu. Vývojáři očekávají, že se informace o zranitelnostech dostanou ve formě informací o chybách do jejich systémů pro tvorbu kódu. Zabezpečení by mělo být bezproblémově zabudováno do těchto procesů a mělo by jít pouze o funkci, která je automaticky vyvolána systémem, který vaši vývojáři používají.
Krok č. 9: Zaměřte se na to podstatné
Zaměřte se na to, co vaší společnosti přináší skutečnou hodnotu. Skenování může být automatické, zprávy lze také odesílat automaticky.
Zaměřte se na zlepšování procesů tak, aby byly flexibilnější a pohodlnější pro všechny účastníky. Zaměřte se na to, aby zabezpečení bylo zabudováno do všech smluv s vašimi protistranami, které pro vás například vyvíjejí webové aplikace.
Pokud potřebujete podrobnější informace o tom, jak vybudovat proces řízení zranitelnosti ve společnosti, kontaktujte mě a mé kolegy. Rád pomohu.
Zdroj: www.habr.com