Wir hatten einen großen 4. Juli . Heute veröffentlichen wir eine Abschrift der Rede von Andrey Novikov von Qualys. Er erklärt Ihnen, welche Schritte Sie durchlaufen müssen, um einen Workflow für das Schwachstellenmanagement aufzubauen. Spoiler: Wir werden erst die Hälfte vor dem Scannen erreichen.
Schritt #1: Bestimmen Sie den Reifegrad Ihrer Schwachstellenmanagementprozesse
Ganz am Anfang müssen Sie verstehen, in welchem Stadium sich Ihr Unternehmen in Bezug auf den Reifegrad seiner Schwachstellenmanagementprozesse befindet. Erst danach können Sie verstehen, wo Sie umziehen müssen und welche Schritte unternommen werden müssen. Bevor mit Scans und anderen Aktivitäten begonnen wird, müssen Unternehmen einige interne Arbeiten durchführen, um zu verstehen, wie Ihre aktuellen Prozesse aus Sicht der IT- und Informationssicherheit strukturiert sind.
Versuchen Sie, grundlegende Fragen zu beantworten:
- Verfügen Sie über Prozesse zur Bestands- und Anlagenklassifizierung?
- Wie regelmäßig wird die IT-Infrastruktur gescannt und ist die gesamte Infrastruktur abgedeckt? Sehen Sie das Gesamtbild?
- Werden Ihre IT-Ressourcen überwacht?
- Sind in Ihren Prozessen KPIs implementiert und woher wissen Sie, dass diese eingehalten werden?
- Sind alle diese Prozesse dokumentiert?
Schritt #2: Stellen Sie eine vollständige Infrastrukturabdeckung sicher
Sie können nicht schützen, was Sie nicht wissen. Wenn Sie kein vollständiges Bild davon haben, woraus Ihre IT-Infrastruktur besteht, können Sie sie nicht schützen. Moderne Infrastruktur ist komplex und verändert sich ständig quantitativ und qualitativ.
Mittlerweile basiert die IT-Infrastruktur nicht nur auf einem Stapel klassischer Technologien (Workstations, Server, virtuelle Maschinen), sondern auch auf relativ neuen – Containern, Microservices. Der Informationssicherheitsdienst rennt letzteren auf jede erdenkliche Weise davon, da es für ihn mit den vorhandenen Toolsets, die hauptsächlich aus Scannern bestehen, sehr schwierig ist, mit ihnen zu arbeiten. Das Problem besteht darin, dass kein Scanner die gesamte Infrastruktur abdecken kann. Damit ein Scanner jeden Knoten in der Infrastruktur erreichen kann, müssen mehrere Faktoren zusammentreffen. Der Vermögenswert muss sich zum Zeitpunkt des Scans innerhalb des Umkreises der Organisation befinden. Um vollständige Informationen zu erfassen, muss der Scanner über Netzwerkzugriff auf Vermögenswerte und deren Konten verfügen.
Laut unserer Statistik werden bei mittleren oder großen Organisationen etwa 15–20 % der Infrastruktur aus dem einen oder anderen Grund nicht vom Scanner erfasst: Das Asset hat sich außerhalb des Umkreises bewegt oder taucht überhaupt nicht im Büro auf. Zum Beispiel ein Laptop eines Mitarbeiters, der remote arbeitet, aber dennoch Zugriff auf das Unternehmensnetzwerk hat, oder das Asset befindet sich in externen Cloud-Diensten wie Amazon. Und der Scanner wird höchstwahrscheinlich nichts über diese Assets wissen, da sie sich außerhalb seines Sichtbarkeitsbereichs befinden.
Um die gesamte Infrastruktur abzudecken, müssen Sie nicht nur Scanner, sondern eine ganze Reihe von Sensoren verwenden, einschließlich passiver Verkehrsüberwachungstechnologien zur Erkennung neuer Geräte in Ihrer Infrastruktur und einer Agenten-Datenerfassungsmethode zum Empfangen von Informationen – ermöglicht Ihnen den Online-Empfang von Daten ohne die Notwendigkeit des Scannens, ohne Anmeldeinformationen hervorzuheben.
Schritt #3: Assets kategorisieren
Nicht alle Vermögenswerte sind gleich. Es ist Ihre Aufgabe, zu bestimmen, welche Vermögenswerte wichtig sind und welche nicht. Kein Werkzeug wie ein Scanner kann dies für Sie erledigen. Im Idealfall arbeiten Informationssicherheit, IT und Business zusammen, um die Infrastruktur zu analysieren und geschäftskritische Systeme zu identifizieren. Für sie legen sie akzeptable Kennzahlen für Verfügbarkeit, Integrität, Vertraulichkeit, RTO/RPO usw. fest.
Dies wird Ihnen helfen, Ihren Schwachstellenmanagementprozess zu priorisieren. Wenn Ihre Spezialisten Daten zu Schwachstellen erhalten, handelt es sich nicht um ein Blatt mit Tausenden von Schwachstellen in der gesamten Infrastruktur, sondern um granulare Informationen, die die Kritikalität der Systeme berücksichtigen.
Schritt #4: Führen Sie eine Infrastrukturbewertung durch
Und erst im vierten Schritt kommen wir zur Bewertung der Infrastruktur unter dem Gesichtspunkt der Schwachstellen. In dieser Phase empfehlen wir Ihnen, nicht nur auf Software-Schwachstellen zu achten, sondern auch auf Konfigurationsfehler, die ebenfalls eine Schwachstelle darstellen können. Hier empfehlen wir die Agentenmethode der Informationsbeschaffung. Zur Beurteilung der Perimetersicherheit können und sollten Scanner eingesetzt werden. Wenn Sie die Ressourcen von Cloud-Anbietern nutzen, müssen Sie von dort auch Informationen zu Assets und Konfigurationen sammeln. Achten Sie besonders auf die Analyse von Schwachstellen in Infrastrukturen mithilfe von Docker-Containern.
Schritt #5: Richten Sie die Berichterstellung ein
Dies ist eines der wichtigen Elemente im Schwachstellenmanagementprozess.
Der erste Punkt: Niemand wird mit mehrseitigen Berichten mit einer zufälligen Liste von Schwachstellen und Beschreibungen zu deren Beseitigung arbeiten. Zunächst müssen Sie mit Kollegen kommunizieren und herausfinden, was im Bericht enthalten sein sollte und wie es für sie bequemer ist, Daten zu erhalten. Manche Administratoren benötigen beispielsweise keine detaillierte Beschreibung der Schwachstelle, sondern lediglich Informationen zum Patch und einen Link dazu. Ein anderer Spezialist kümmert sich nur um Schwachstellen in der Netzwerkinfrastruktur.
Zweiter Punkt: Mit Berichterstattung meine ich nicht nur Papierberichte. Dies ist ein veraltetes Format zum Erhalten von Informationen und einer statischen Geschichte. Eine Person erhält einen Bericht und hat keinerlei Einfluss darauf, wie die Daten in diesem Bericht dargestellt werden. Um den Bericht in der gewünschten Form zu erhalten, muss der IT-Spezialist den Informationssicherheitsspezialisten kontaktieren und ihn bitten, den Bericht neu zu erstellen. Mit der Zeit tauchen neue Schwachstellen auf. Anstatt Berichte von Abteilung zu Abteilung weiterzuleiten, sollten Spezialisten beider Disziplinen in der Lage sein, die Daten online zu überwachen und das gleiche Bild zu sehen. Daher nutzen wir in unserer Plattform dynamische Berichte in Form von anpassbaren Dashboards.
Schritt #6: Priorisieren
Hier können Sie Folgendes tun:
1. Erstellen eines Repositorys mit goldenen Systembildern. Arbeiten Sie mit Golden Images, überprüfen Sie diese laufend auf Schwachstellen und korrigieren Sie die Konfiguration. Dies kann mit Hilfe von Agenten erfolgen, die automatisch das Auftauchen eines neuen Assets melden und Informationen über seine Schwachstellen bereitstellen.
2. Konzentrieren Sie sich auf die Vermögenswerte, die für das Unternehmen von entscheidender Bedeutung sind. Es gibt keine einzige Organisation auf der Welt, die Schwachstellen auf einmal beseitigen kann. Der Prozess der Beseitigung von Schwachstellen ist langwierig und sogar mühsam.
3. Die Angriffsfläche verengen. Bereinigen Sie Ihre Infrastruktur von unnötiger Software und Diensten, schließen Sie unnötige Ports. Wir hatten kürzlich einen Fall mit einem Unternehmen, bei dem auf 40 Geräten etwa 100 Schwachstellen im Zusammenhang mit der alten Version des Mozilla-Browsers gefunden wurden. Wie sich später herausstellte, wurde Mozilla vor vielen Jahren in das goldene Image eingeführt, niemand nutzt es, aber es ist die Quelle einer Vielzahl von Schwachstellen. Als der Browser von Computern entfernt wurde (sogar auf einigen Servern), verschwanden diese Zehntausende Schwachstellen.
4. Ordnen Sie Schwachstellen basierend auf Bedrohungsinformationen. Berücksichtigen Sie nicht nur die Kritikalität der Schwachstelle, sondern auch das Vorhandensein eines öffentlichen Exploits, einer Malware, eines Patches oder eines externen Zugriffs auf das System mit der Schwachstelle. Bewerten Sie die Auswirkungen dieser Schwachstelle auf kritische Geschäftssysteme: Kann sie zu Datenverlust, Denial-of-Service usw. führen?
Schritt #7: KPIs vereinbaren
Scannen Sie nicht um des Scannens willen. Wenn mit den gefundenen Schwachstellen nichts passiert, wird dieser Scan zu einem nutzlosen Vorgang. Um zu verhindern, dass die Arbeit mit Schwachstellen zur Formsache wird, überlegen Sie, wie Sie die Ergebnisse bewerten. Informationssicherheit und IT müssen sich darauf einigen, wie die Arbeit zur Beseitigung von Schwachstellen strukturiert wird, wie oft Scans durchgeführt, Patches installiert werden usw.
Auf der Folie sehen Sie Beispiele für mögliche KPIs. Es gibt auch eine erweiterte Liste, die wir unseren Kunden empfehlen. Wenn Sie Interesse haben, kontaktieren Sie mich bitte, ich werde diese Informationen mit Ihnen teilen.
Schritt #8: Automatisieren
Zurück zum Scannen. Wir bei Qualys glauben, dass das Scannen das Unwichtigste ist, was heute im Schwachstellenmanagementprozess passieren kann, und dass es zunächst so weit wie möglich automatisiert werden muss, damit es ohne die Beteiligung eines Informationssicherheitsspezialisten durchgeführt werden kann. Heutzutage gibt es viele Tools, die Ihnen dies ermöglichen. Es reicht aus, dass sie über eine offene API und die erforderliche Anzahl an Konnektoren verfügen.
Das Beispiel, das ich gerne nenne, ist DevOps. Wenn Sie dort einen Schwachstellenscanner implementieren, können Sie DevOps einfach vergessen. Mit alten Technologien, also einem klassischen Scanner, wird man in diese Prozesse einfach nicht hineingelassen. Entwickler warten nicht darauf, dass Sie scannen und ihnen einen mehrseitigen, umständlichen Bericht zukommen lassen. Entwickler erwarten, dass Informationen über Schwachstellen in Form von Fehlerinformationen in ihre Code-Assembly-Systeme gelangen. Sicherheit sollte nahtlos in diese Prozesse integriert sein und lediglich eine Funktion sein, die automatisch von dem von Ihren Entwicklern verwendeten System aufgerufen wird.
Schritt #9: Konzentrieren Sie sich auf das Wesentliche
Konzentrieren Sie sich auf das, was Ihrem Unternehmen echten Mehrwert bringt. Scans können automatisch erfolgen, Berichte können auch automatisch versendet werden.
Konzentrieren Sie sich auf die Verbesserung der Prozesse, um sie für alle Beteiligten flexibler und komfortabler zu gestalten. Konzentrieren Sie sich darauf, sicherzustellen, dass Sicherheit in alle Verträge mit Ihren Gegenparteien integriert ist, die beispielsweise Webanwendungen für Sie entwickeln.
Wenn Sie detailliertere Informationen zum Aufbau eines Schwachstellenmanagementprozesses in Ihrem Unternehmen benötigen, kontaktieren Sie mich und meine Kollegen. Ich helfe Ihnen gerne weiter.
Source: habr.com