Vi havde en stor 4. juli . I dag offentliggør vi en udskrift af talen af Andrey Novikov fra Qualys. Han vil fortælle dig, hvilke trin du skal gennemgå for at opbygge en arbejdsgang til håndtering af sårbarhed. Spoiler: vi når kun halvvejs før scanning.
Trin #1: Bestem modenhedsniveauet for dine sårbarhedshåndteringsprocesser
Allerede i begyndelsen skal du forstå, hvilket stadie din organisation er på med hensyn til modenhed af dens sårbarhedshåndteringsprocesser. Først efter dette vil du være i stand til at forstå, hvor du skal flytte, og hvilke skridt der skal tages. Inden de går i gang med scanninger og andre aktiviteter, skal organisationer udføre noget internt arbejde for at forstå, hvordan dine nuværende processer er struktureret ud fra et IT- og informationssikkerhedsperspektiv.
Prøv at besvare grundlæggende spørgsmål:
- Har du processer til inventar og aktivklassificering;
- Hvor regelmæssigt bliver IT-infrastrukturen scannet og er hele infrastrukturen dækket, ser du hele billedet;
- Overvåges dine it-ressourcer?
- Er der implementeret nogle KPI'er i dine processer, og hvordan forstår du, at de bliver opfyldt;
- Er alle disse processer dokumenterede?
Trin #2: Sikre fuld infrastrukturdækning
Du kan ikke beskytte det, du ikke ved om. Hvis du ikke har et komplet billede af, hvad din it-infrastruktur er lavet af, vil du ikke være i stand til at beskytte den. Moderne infrastruktur er kompleks og under konstant forandring kvantitativt og kvalitativt.
Nu er it-infrastrukturen ikke kun baseret på en stak klassiske teknologier (arbejdsstationer, servere, virtuelle maskiner), men også på relativt nye - containere, mikrotjenester. Informationssikkerhedstjenesten løber væk fra sidstnævnte på alle mulige måder, da det er meget vanskeligt for den at arbejde med dem ved hjælp af eksisterende værktøjssæt, som hovedsageligt består af scannere. Problemet er, at enhver scanner ikke kan dække hele infrastrukturen. For at en scanner kan nå en hvilken som helst node i infrastrukturen, skal flere faktorer være sammenfaldende. Aktivet skal være inden for organisationens perimeter på scanningstidspunktet. Scanneren skal have netværksadgang til aktiver og deres konti for at kunne indsamle fuldstændige oplysninger.
Ifølge vores statistik, når det kommer til mellemstore eller store organisationer, er cirka 15-20 % af infrastrukturen ikke fanget af scanneren af den ene eller anden grund: aktivet er flyttet ud over perimeteren eller dukker aldrig op på kontoret. For eksempel en bærbar computer af en medarbejder, der arbejder eksternt, men stadig har adgang til virksomhedens netværk, eller aktivet er placeret i eksterne cloud-tjenester som Amazon. Og scanneren vil højst sandsynligt ikke vide noget om disse aktiver, da de er uden for dens synlighedszone.
For at dække hele infrastrukturen skal du bruge ikke kun scannere, men et helt sæt sensorer, inklusive passiv trafiklytteteknologi til at detektere nye enheder i din infrastruktur, agentdataindsamlingsmetode til at modtage information - giver dig mulighed for at modtage data online uden behovet for scanning uden at fremhæve legitimationsoplysninger.
Trin #3: Kategoriser aktiver
Ikke alle aktiver er skabt lige. Det er din opgave at afgøre, hvilke aktiver der er vigtige, og hvilke der ikke er. Intet værktøj, som en scanner, vil gøre dette for dig. Ideelt set arbejder informationssikkerhed, it og forretning sammen om at analysere infrastrukturen for at identificere forretningskritiske systemer. For dem bestemmer de acceptable målinger for tilgængelighed, integritet, fortrolighed, RTO/RPO osv.
Dette vil hjælpe dig med at prioritere din sårbarhedshåndteringsproces. Når dine specialister modtager data om sårbarheder, vil det ikke være et ark med tusindvis af sårbarheder på tværs af hele infrastrukturen, men detaljerede oplysninger, der tager hensyn til systemernes kritikalitet.
Trin #4: Udfør en infrastrukturvurdering
Og først på fjerde trin kommer vi til at vurdere infrastrukturen ud fra et sårbarhedssynspunkt. På dette tidspunkt anbefaler vi, at du ikke kun er opmærksom på softwaresårbarheder, men også på konfigurationsfejl, som også kan være en sårbarhed. Her anbefaler vi agentmetoden til indsamling af information. Scannere kan og bør bruges til at vurdere perimetersikkerhed. Hvis du bruger cloud-udbyderes ressourcer, så skal du også indsamle oplysninger om aktiver og konfigurationer derfra. Vær særlig opmærksom på at analysere sårbarheder i infrastrukturer ved hjælp af Docker-containere.
Trin #5: Opsæt rapportering
Dette er et af de vigtige elementer i sårbarhedshåndteringsprocessen.
Det første punkt: ingen vil arbejde med rapporter på flere sider med en tilfældig liste over sårbarheder og beskrivelser af, hvordan man fjerner dem. Først og fremmest skal du kommunikere med kolleger og finde ud af, hvad der skal stå i rapporten, og hvordan det er mere bekvemt for dem at modtage data. For eksempel behøver nogle administratorer ikke en detaljeret beskrivelse af sårbarheden og har kun brug for information om patchen og et link til den. En anden specialist bekymrer sig kun om sårbarheder, der findes i netværksinfrastrukturen.
Andet punkt: med rapportering mener jeg ikke kun papirrapporter. Dette er et forældet format til at indhente information og en statisk historie. En person modtager en rapport og kan på ingen måde påvirke, hvordan dataene præsenteres i denne rapport. For at få rapporten i den ønskede form, skal it-specialisten kontakte informationssikkerhedsspecialisten og bede ham om at genopbygge rapporten. Som tiden går, dukker nye sårbarheder op. I stedet for at skubbe rapporter fra afdeling til afdeling, burde specialister i begge discipliner kunne overvåge dataene online og se det samme billede. Derfor bruger vi i vores platform dynamiske rapporter i form af brugerdefinerbare dashboards.
Trin #6: Prioriter
Her kan du gøre følgende:
1. Oprettelse af et lager med gyldne billeder af systemer. Arbejd med gyldne billeder, tjek dem for sårbarheder og korrekt konfiguration løbende. Dette kan gøres ved hjælp af agenter, der automatisk rapporterer fremkomsten af et nyt aktiv og giver information om dets sårbarheder.
2. Fokuser på de aktiver, der er kritiske for virksomheden. Der er ikke en eneste organisation i verden, der kan fjerne sårbarheder på én gang. Processen med at fjerne sårbarheder er lang og endda trættende.
3. Indsnævring af angrebsfladen. Rens din infrastruktur for unødvendig software og tjenester, luk unødvendige porte. Vi havde for nylig en sag med et firma, hvor omkring 40 tusinde sårbarheder relateret til den gamle version af Mozilla-browseren blev fundet på 100 tusinde enheder. Som det viste sig senere, blev Mozilla introduceret i det gyldne billede for mange år siden, ingen bruger det, men det er kilden til et stort antal sårbarheder. Da browseren blev fjernet fra computere (det var endda på nogle servere), forsvandt disse titusindvis af sårbarheder.
4. Rangér sårbarheder baseret på trusselsintelligens. Overvej ikke kun det kritiske ved sårbarheden, men også tilstedeværelsen af en offentlig udnyttelse, malware, patch eller ekstern adgang til systemet med sårbarheden. Vurder virkningen af denne sårbarhed på kritiske forretningssystemer: kan det føre til datatab, lammelsesangreb osv.
Trin #7: Aftal KPI'er
Scan ikke for scanningens skyld. Hvis der ikke sker noget med de fundne sårbarheder, bliver denne scanning til en ubrugelig operation. For at forhindre, at arbejdet med sårbarheder bliver en formalitet, skal du tænke over, hvordan du vil evaluere resultaterne. Informationssikkerhed og IT skal være enige om, hvordan arbejdet med at fjerne sårbarheder struktureres, hvor ofte der skal scannes, installeres patches mv.
På sliden ser du eksempler på mulige KPI'er. Der er også en udvidet liste, som vi anbefaler til vores kunder. Hvis du er interesseret, så kontakt mig, jeg deler denne information med dig.
Trin #8: Automatiser
Tilbage til scanning igen. Hos Qualys mener vi, at scanning er det mest uvigtige, der kan ske i sårbarhedshåndteringsprocessen i dag, og at det først og fremmest skal automatiseres så meget som muligt, så det udføres uden deltagelse af en informationssikkerhedsspecialist. I dag er der mange værktøjer, der giver dig mulighed for at gøre dette. Det er nok, at de har en åben API og det nødvendige antal stik.
Det eksempel, jeg kan lide at give, er DevOps. Hvis du implementerer en sårbarhedsscanner der, kan du simpelthen glemme DevOps. Med gamle teknologier, som er en klassisk scanner, får du simpelthen ikke adgang til disse processer. Udviklere vil ikke vente på, at du scanner og giver dem en ubelejlig rapport på flere sider. Udviklere forventer, at oplysninger om sårbarheder vil komme ind i deres kodesamlingssystemer i form af fejlinformation. Sikkerhed skal være problemfrit indbygget i disse processer, og det skal bare være en funktion, der automatisk kaldes af det system, som dine udviklere bruger.
Trin #9: Fokuser på det væsentlige
Fokuser på det, der bringer reel værdi til din virksomhed. Scanninger kan være automatiske, rapporter kan også sendes automatisk.
Fokuser på at forbedre processer for at gøre dem mere fleksible og bekvemme for alle involverede. Fokuser på at sikre, at sikkerheden er indbygget i alle kontrakter med dine modparter, som fx udvikler webapplikationer til dig.
Hvis du har brug for mere detaljeret information om, hvordan du opbygger en sårbarhedshåndteringsproces i din virksomhed, så kontakt mig og mine kollegaer. Jeg hjælper gerne.
Kilde: www.habr.com