Cawsom 4ydd mawr o Orffennaf . Heddiw rydym yn cyhoeddi trawsgrifiad o araith Andrey Novikov o Qualys. Bydd yn dweud wrthych pa gamau y mae angen i chi eu cymryd i adeiladu llif gwaith rheoli bregusrwydd. Spoiler: byddwn ond yn cyrraedd y pwynt hanner ffordd cyn sganio.
Cam #1: Darganfyddwch lefel aeddfedrwydd eich prosesau rheoli bregusrwydd
Ar y cychwyn cyntaf, mae angen i chi ddeall ar ba gam y mae eich sefydliad o ran aeddfedrwydd ei brosesau rheoli bregusrwydd. Dim ond ar Γ΄l hyn y byddwch chi'n gallu deall ble i symud a pha gamau sydd angen eu cymryd. Cyn cychwyn ar sganiau a gweithgareddau eraill, mae angen i sefydliadau wneud rhywfaint o waith mewnol i ddeall sut mae eich prosesau presennol wedi'u strwythuro o safbwynt TG a diogelwch gwybodaeth.
Ceisiwch ateb cwestiynau sylfaenol:
- A oes gennych brosesau ar gyfer rhestr eiddo a dosbarthu asedau;
- Pa mor rheolaidd y caiff y seilwaith TG ei sganio ac a gwmpesir yr holl seilwaith, a welwch y darlun cyfan;
- A yw eich adnoddau TG yn cael eu monitro?
- A weithredir unrhyw DPA yn eich prosesau a sut ydych chi'n deall eu bod yn cael eu bodloni;
- A yw'r holl brosesau hyn wedi'u dogfennu?
Cam #2: Sicrhau Cwmpas Isadeiledd Llawn
Ni allwch amddiffyn yr hyn nad ydych yn gwybod amdano. Os nad oes gennych ddarlun cyflawn o'r hyn y mae eich seilwaith TG wedi'i wneud ohono, ni fyddwch yn gallu ei ddiogelu. Mae seilwaith modern yn gymhleth ac yn newid yn feintiol ac yn ansoddol yn gyson.
Nawr mae'r seilwaith TG yn seiliedig nid yn unig ar bentwr o dechnolegau clasurol (gweithfannau, gweinyddwyr, peiriannau rhithwir), ond hefyd ar rai cymharol newydd - cynwysyddion, microwasanaethau. Mae'r gwasanaeth diogelwch gwybodaeth yn rhedeg i ffwrdd o'r olaf ym mhob ffordd bosibl, gan ei bod yn anodd iawn iddo weithio gyda nhw gan ddefnyddio setiau offer presennol, sy'n cynnwys sganwyr yn bennaf. Y broblem yw na all unrhyw sganiwr orchuddio'r seilwaith cyfan. Er mwyn i sganiwr gyrraedd unrhyw nod yn y seilwaith, rhaid i sawl ffactor gyd-fynd. Rhaid i'r ased fod o fewn perimedr y sefydliad ar adeg y sganio. Rhaid i'r sganiwr gael mynediad rhwydwaith i asedau a'u cyfrifon er mwyn casglu gwybodaeth gyflawn.
Yn Γ΄l ein hystadegau, pan ddaw i sefydliadau canolig neu fawr, nid yw tua 15-20% o'r seilwaith yn cael ei ddal gan y sganiwr am ryw reswm neu'i gilydd: mae'r ased wedi symud y tu hwnt i'r perimedr neu nid yw byth yn ymddangos yn y swyddfa o gwbl. Er enghraifft, gliniadur gweithiwr sy'n gweithio o bell ond sy'n dal i fod Γ’ mynediad i'r rhwydwaith corfforaethol, neu mae'r ased wedi'i leoli mewn gwasanaethau cwmwl allanol fel Amazon. Ac ni fydd y sganiwr, yn fwyaf tebygol, yn gwybod dim am yr asedau hyn, gan eu bod y tu allan i'w barth gwelededd.
I gwmpasu'r seilwaith cyfan, mae angen i chi ddefnyddio nid yn unig sganwyr, ond set gyfan o synwyryddion, gan gynnwys technolegau gwrando traffig goddefol i ganfod dyfeisiau newydd yn eich seilwaith, dull casglu data asiant i dderbyn gwybodaeth - yn caniatΓ‘u ichi dderbyn data ar-lein, heb yr angen am sganio, heb amlygu rhinweddau.
Cam #3: Categoreiddio Asedau
Nid yw pob ased yn cael ei greu yn gyfartal. Eich gwaith chi yw penderfynu pa asedau sy'n bwysig a pha rai sydd ddim. Ni fydd unrhyw offeryn, fel sganiwr, yn gwneud hyn i chi. Yn ddelfrydol, mae diogelwch gwybodaeth, TG a busnes yn cydweithio i ddadansoddi'r seilwaith i nodi systemau sy'n hanfodol i fusnes. Ar eu cyfer, maent yn pennu metrigau derbyniol ar gyfer argaeledd, uniondeb, cyfrinachedd, RTO / RPO, ac ati.
Bydd hyn yn eich helpu i flaenoriaethu eich proses rheoli bregusrwydd. Pan fydd eich arbenigwyr yn derbyn data ar wendidau, nid taflen gyda miloedd o wendidau ar draws y seilwaith cyfan fydd hi, ond gwybodaeth gronynnog gan ystyried pa mor hanfodol yw'r systemau.
Cam #4: Cynnal Asesiad Seilwaith
A dim ond ar y pedwerydd cam y down i asesu'r seilwaith o safbwynt gwendidau. Ar y cam hwn, rydym yn argymell eich bod yn talu sylw nid yn unig i wendidau meddalwedd, ond hefyd i wallau cyfluniad, a all hefyd fod yn agored i niwed. Yma rydym yn argymell y dull asiant o gasglu gwybodaeth. Gellir a dylid defnyddio sganwyr i asesu diogelwch perimedr. Os ydych chi'n defnyddio adnoddau darparwyr cwmwl, yna mae angen i chi hefyd gasglu gwybodaeth am asedau a chyfluniadau oddi yno. Rhowch sylw arbennig i ddadansoddi gwendidau mewn seilwaith gan ddefnyddio cynwysyddion Docker.
Cam #5: Sefydlu adrodd
Dyma un o'r elfennau pwysig yn y broses rheoli bregusrwydd.
Y pwynt cyntaf: ni fydd neb yn gweithio gydag adroddiadau aml-dudalen gyda rhestr ar hap o wendidau a disgrifiadau o sut i'w dileu. Yn gyntaf oll, mae angen i chi gyfathrebu Γ’ chydweithwyr a darganfod beth ddylai fod yn yr adroddiad a sut mae'n fwy cyfleus iddynt dderbyn data. Er enghraifft, nid oes angen disgrifiad manwl ar rai gweinyddwyr o'r bregusrwydd a dim ond gwybodaeth am y clwt a dolen iddo sydd ei angen. Mae arbenigwr arall yn poeni dim ond am wendidau a geir yn seilwaith y rhwydwaith.
Yr ail bwynt: wrth adrodd yr wyf yn golygu nid yn unig adroddiadau papur. Mae hwn yn fformat hen ffasiwn ar gyfer cael gwybodaeth a stori statig. Mae person yn derbyn adroddiad ac ni all ddylanwadu mewn unrhyw ffordd ar sut y caiff y data ei gyflwyno yn yr adroddiad hwn. I gael yr adroddiad yn y ffurf a ddymunir, rhaid i'r arbenigwr TG gysylltu Γ’'r arbenigwr diogelwch gwybodaeth a gofyn iddo ailadeiladu'r adroddiad. Wrth i amser fynd yn ei flaen, mae gwendidau newydd yn ymddangos. Yn lle gwthio adroddiadau o adran i adran, dylai arbenigwyr yn y ddwy ddisgyblaeth allu monitroβr data ar-lein a gweld yr un darlun. Felly, yn ein platfform rydym yn defnyddio adroddiadau deinamig ar ffurf dangosfyrddau y gellir eu haddasu.
Cam #6: Blaenoriaethu
Yma gallwch chi wneud y canlynol:
1. Creu ystorfa gyda delweddau euraidd o systemau. Gweithiwch gyda delweddau euraidd, gwiriwch nhw am wendidau a chyfluniad cywir yn barhaus. Gellir gwneud hyn gyda chymorth asiantau a fydd yn adrodd yn awtomatig ar ymddangosiad ased newydd ac yn darparu gwybodaeth am ei wendidau.
2. Canolbwyntiwch ar yr asedau hynny sy'n hanfodol i'r busnes. Nid oes un sefydliad yn y byd a all ddileu gwendidau ar yr un pryd. Mae'r broses o ddileu gwendidau yn hir a hyd yn oed yn ddiflas.
3. Culhau'r wyneb ymosodiad. Glanhewch eich seilwaith o feddalwedd a gwasanaethau diangen, caewch borthladdoedd diangen. Yn ddiweddar cawsom achos gydag un cwmni lle canfuwyd tua 40 mil o wendidau yn ymwneud Γ’ hen fersiwn porwr Mozilla ar 100 mil o ddyfeisiau. Fel y digwyddodd yn ddiweddarach, cyflwynwyd Mozilla i'r ddelwedd euraidd flynyddoedd lawer yn Γ΄l, nid oes neb yn ei ddefnyddio, ond mae'n ffynhonnell nifer fawr o wendidau. Pan dynnwyd y porwr oddi ar gyfrifiaduron (roedd hyd yn oed ar rai gweinyddwyr), diflannodd y degau o filoedd hyn o wendidau.
4. Rhestru gwendidau yn seiliedig ar wybodaeth am fygythiadau. Ystyriwch nid yn unig pa mor ddifrifol yw'r bregusrwydd, ond hefyd presenoldeb ecsbloetio cyhoeddus, malware, clwt, neu fynediad allanol i'r system gyda'r bregusrwydd. Aseswch effaith y bregusrwydd hwn ar systemau busnes hanfodol: a all arwain at golli data, gwrthod gwasanaeth, ac ati.
Cam #7: Cytuno ar DPA
Peidiwch Γ’ sganio er mwyn sganio. Os na fydd unrhyw beth yn digwydd i'r gwendidau a ganfuwyd, yna mae'r sganio hwn yn troi'n weithrediad diwerth. Er mwyn atal gweithio gyda gwendidau rhag dod yn ffurfioldeb, meddyliwch sut y byddwch yn gwerthuso ei ganlyniadau. Rhaid i ddiogelwch gwybodaeth a TG gytuno ar sut y bydd y gwaith i ddileu gwendidau yn cael ei strwythuro, pa mor aml y bydd sganiau'n cael eu cynnal, bydd clytiau'n cael eu gosod, ac ati.
Ar y sleid fe welwch enghreifftiau o DPAau posibl. Mae yna hefyd restr estynedig yr ydym yn ei hargymell i'n cleientiaid. Os oes gennych ddiddordeb, cysylltwch Γ’ mi, byddaf yn rhannu'r wybodaeth hon gyda chi.
Cam #8: Awtomeiddio
Yn Γ΄l i sganio eto. Yn Qualys, credwn mai sganio ywβr peth mwyaf dibwys a all ddigwydd yn y broses rheoli bregusrwydd heddiw, ac yn gyntaf oll mae angen ei awtomeiddio cymaint Γ’ phosibl fel ei fod yn cael ei berfformio heb gyfranogiad arbenigwr diogelwch gwybodaeth. Heddiw mae yna lawer o offer sy'n eich galluogi i wneud hyn. Mae'n ddigon bod ganddyn nhw API agored a'r nifer gofynnol o gysylltwyr.
Yr enghraifft yr wyf yn hoffi ei rhoi yw DevOps. Os ydych chi'n gweithredu sganiwr bregusrwydd yno, gallwch chi anghofio am DevOps. Gyda hen dechnolegau, sy'n sganiwr clasurol, ni fyddwch yn cael mynediad i'r prosesau hyn. Ni fydd datblygwyr yn aros i chi sganio a rhoi adroddiad aml-dudalen, anghyfleus iddynt. Mae datblygwyr yn disgwyl y bydd gwybodaeth am wendidau yn mynd i mewn i'w systemau cydosod cod ar ffurf gwybodaeth nam. Dylai diogelwch gael ei gynnwys yn ddi-dor yn y prosesau hyn, a dylai fod yn nodwedd a elwir yn awtomatig gan y system a ddefnyddir gan eich datblygwyr.
Cam #9: Canolbwyntiwch ar yr Hanfodion
Canolbwyntiwch ar yr hyn sy'n dod Γ’ gwerth gwirioneddol i'ch cwmni. Gall sganiau fod yn awtomatig, gellir anfon adroddiadau yn awtomatig hefyd.
Canolbwyntio ar wella prosesau i'w gwneud yn fwy hyblyg a chyfleus i bawb dan sylw. Canolbwyntiwch ar sicrhau bod diogelwch wedi'i gynnwys ym mhob contract gyda'ch gwrthbartΓ―on, sydd, er enghraifft, yn datblygu cymwysiadau gwe ar eich cyfer chi.
Os oes angen gwybodaeth fanylach arnoch ar sut i adeiladu proses rheoli bregusrwydd yn eich cwmni, cysylltwch Γ’ mi a'm cydweithwyr. Byddaf yn falch o helpu.
Ffynhonnell: hab.com