Είχαμε μια μεγάλη 4η Ιουλίου . Σήμερα δημοσιεύουμε μια μεταγραφή της ομιλίας του Andrey Novikov από την Qualys. Θα σας πει ποια βήματα πρέπει να ακολουθήσετε για να δημιουργήσετε μια ροή εργασιών διαχείρισης ευπάθειας. Spoiler: θα φτάσουμε μόνο στα μισά του δρόμου πριν από τη σάρωση.
Βήμα #1: Προσδιορίστε το επίπεδο ωριμότητας των διαδικασιών διαχείρισης ευπάθειας
Στην αρχή, πρέπει να καταλάβετε σε ποιο στάδιο βρίσκεται ο οργανισμός σας όσον αφορά την ωριμότητα των διαδικασιών διαχείρισης ευπάθειας. Μόνο μετά από αυτό θα μπορείτε να καταλάβετε πού να μετακινηθείτε και ποια βήματα πρέπει να κάνετε. Πριν ξεκινήσουν τις σαρώσεις και άλλες δραστηριότητες, οι οργανισμοί πρέπει να κάνουν κάποια εσωτερική εργασία για να κατανοήσουν πώς είναι δομημένες οι τρέχουσες διαδικασίες σας από την άποψη της ασφάλειας πληροφορικής και πληροφοριών.
Προσπαθήστε να απαντήσετε σε βασικές ερωτήσεις:
- Έχετε διαδικασίες για την ταξινόμηση αποθεμάτων και περιουσιακών στοιχείων;
- Πόσο τακτικά σαρώνεται η υποδομή πληροφορικής και καλύπτεται ολόκληρη η υποδομή, βλέπετε την όλη εικόνα;
- Παρακολουθούνται οι πόροι πληροφορικής σας;
- Εφαρμόζονται κάποιοι KPI στις διαδικασίες σας και πώς καταλαβαίνετε ότι πληρούνται;
- Όλες αυτές οι διαδικασίες είναι τεκμηριωμένες;
Βήμα #2: Εξασφάλιση πλήρους κάλυψης υποδομής
Δεν μπορείς να προστατέψεις αυτό που δεν ξέρεις. Εάν δεν έχετε πλήρη εικόνα για το από τι αποτελείται η υποδομή πληροφορικής σας, δεν θα μπορείτε να την προστατεύσετε. Οι σύγχρονες υποδομές είναι πολύπλοκες και αλλάζουν συνεχώς ποσοτικά και ποιοτικά.
Τώρα η υποδομή πληροφορικής βασίζεται όχι μόνο σε μια στοίβα κλασικών τεχνολογιών (σταθμοί εργασίας, διακομιστές, εικονικές μηχανές), αλλά και σε σχετικά νέες - κοντέινερ, μικροϋπηρεσίες. Η υπηρεσία ασφάλειας πληροφοριών ξεφεύγει από τα τελευταία με κάθε δυνατό τρόπο, καθώς είναι πολύ δύσκολο να συνεργαστεί μαζί τους χρησιμοποιώντας υπάρχοντα σύνολα εργαλείων, τα οποία αποτελούνται κυρίως από σαρωτές. Το πρόβλημα είναι ότι οποιοσδήποτε σαρωτής δεν μπορεί να καλύψει ολόκληρη την υποδομή. Προκειμένου ένας σαρωτής να φτάσει σε οποιονδήποτε κόμβο στην υποδομή, πρέπει να συμπίπτουν αρκετοί παράγοντες. Το στοιχείο πρέπει να βρίσκεται εντός της περιμέτρου του οργανισμού κατά τη στιγμή της σάρωσης. Ο σαρωτής πρέπει να έχει πρόσβαση στο δίκτυο στα στοιχεία και τους λογαριασμούς τους προκειμένου να συλλέγει πλήρεις πληροφορίες.
Σύμφωνα με τα στατιστικά μας, όταν πρόκειται για μεσαίους ή μεγάλους οργανισμούς, περίπου το 15–20% της υποδομής δεν καταγράφεται από τον σαρωτή για τον έναν ή τον άλλο λόγο: το στοιχείο έχει μετακινηθεί πέρα από την περίμετρο ή δεν εμφανίζεται ποτέ καθόλου στο γραφείο. Για παράδειγμα, ένας φορητός υπολογιστής ενός υπαλλήλου που εργάζεται εξ αποστάσεως αλλά εξακολουθεί να έχει πρόσβαση στο εταιρικό δίκτυο ή το στοιχείο βρίσκεται σε εξωτερικές υπηρεσίες cloud, όπως το Amazon. Και ο σαρωτής, πιθανότατα, δεν θα γνωρίζει τίποτα για αυτά τα στοιχεία, καθώς βρίσκονται εκτός της ζώνης ορατότητάς του.
Για να καλύψετε ολόκληρη την υποδομή, πρέπει να χρησιμοποιήσετε όχι μόνο σαρωτές, αλλά ένα ολόκληρο σύνολο αισθητήρων, συμπεριλαμβανομένων τεχνολογιών παθητικής ακρόασης κυκλοφορίας για την ανίχνευση νέων συσκευών στην υποδομή σας, μέθοδο συλλογής δεδομένων πράκτορα για λήψη πληροφοριών - σας επιτρέπει να λαμβάνετε δεδομένα online, χωρίς την ανάγκη για σάρωση, χωρίς επισήμανση διαπιστευτηρίων.
Βήμα #3: Κατηγοριοποίηση περιουσιακών στοιχείων
Δεν δημιουργούνται όλα τα περιουσιακά στοιχεία ίσα. Είναι δική σας δουλειά να καθορίσετε ποια περιουσιακά στοιχεία είναι σημαντικά και ποια όχι. Κανένα εργαλείο, όπως ένας σαρωτής, δεν θα το κάνει αυτό για εσάς. Στην ιδανική περίπτωση, η ασφάλεια των πληροφοριών, η πληροφορική και οι επιχειρήσεις συνεργάζονται για να αναλύσουν την υποδομή για να εντοπίσουν συστήματα ζωτικής σημασίας για τις επιχειρήσεις. Για αυτούς, καθορίζουν αποδεκτές μετρήσεις για διαθεσιμότητα, ακεραιότητα, εμπιστευτικότητα, RTO/RPO κ.λπ.
Αυτό θα σας βοηθήσει να δώσετε προτεραιότητα στη διαδικασία διαχείρισης ευπάθειας. Όταν οι ειδικοί σας λαμβάνουν δεδομένα για τρωτά σημεία, δεν θα είναι ένα φύλλο με χιλιάδες ευπάθειες σε ολόκληρη την υποδομή, αλλά αναλυτικές πληροφορίες που θα λαμβάνουν υπόψη την κρισιμότητα των συστημάτων.
Βήμα #4: Διεξαγωγή αξιολόγησης υποδομής
Και μόνο στο τέταρτο βήμα φτάνουμε στην αξιολόγηση της υποδομής από την άποψη των τρωτών σημείων. Σε αυτό το στάδιο, συνιστούμε να δώσετε προσοχή όχι μόνο σε ευπάθειες λογισμικού, αλλά και σε σφάλματα διαμόρφωσης, τα οποία μπορεί επίσης να αποτελούν ευπάθεια. Εδώ προτείνουμε τη μέθοδο συλλογής πληροφοριών με πράκτορα. Οι σαρωτές μπορούν και πρέπει να χρησιμοποιηθούν για την αξιολόγηση της περιμετρικής ασφάλειας. Εάν χρησιμοποιείτε τους πόρους των παρόχων cloud, τότε θα πρέπει επίσης να συλλέξετε πληροφορίες για στοιχεία και διαμορφώσεις από εκεί. Δώστε ιδιαίτερη προσοχή στην ανάλυση των τρωτών σημείων σε υποδομές που χρησιμοποιούν κοντέινερ Docker.
Βήμα #5: Ρύθμιση αναφοράς
Αυτό είναι ένα από τα σημαντικά στοιχεία της διαδικασίας διαχείρισης ευπάθειας.
Το πρώτο σημείο: κανείς δεν θα εργαστεί με αναφορές πολλών σελίδων με μια τυχαία λίστα τρωτών σημείων και περιγραφές για τον τρόπο εξάλειψής τους. Πρώτα απ 'όλα, πρέπει να επικοινωνήσετε με τους συναδέλφους και να μάθετε τι πρέπει να υπάρχει στην αναφορά και πώς είναι πιο βολικό για αυτούς να λαμβάνουν δεδομένα. Για παράδειγμα, κάποιος διαχειριστής δεν χρειάζεται λεπτομερή περιγραφή της ευπάθειας και χρειάζεται μόνο πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα και έναν σύνδεσμο προς αυτήν. Ένας άλλος ειδικός ενδιαφέρεται μόνο για τα τρωτά σημεία που εντοπίζονται στην υποδομή του δικτύου.
Δεύτερο σημείο: με την αναφορά δεν εννοώ μόνο τις έντυπες εκθέσεις. Αυτή είναι μια ξεπερασμένη μορφή για τη λήψη πληροφοριών και μια στατική ιστορία. Ένα άτομο λαμβάνει μια αναφορά και δεν μπορεί με κανέναν τρόπο να επηρεάσει τον τρόπο με τον οποίο θα παρουσιαστούν τα δεδομένα σε αυτήν την αναφορά. Για να λάβετε την αναφορά στην επιθυμητή μορφή, ο ειδικός πληροφορικής πρέπει να επικοινωνήσει με τον ειδικό ασφάλειας πληροφοριών και να του ζητήσει να δημιουργήσει εκ νέου την αναφορά. Όσο περνά ο καιρός, εμφανίζονται νέα τρωτά σημεία. Αντί να προωθούν αναφορές από τμήμα σε τμήμα, οι ειδικοί και στους δύο κλάδους θα πρέπει να μπορούν να παρακολουθούν τα δεδομένα στο διαδίκτυο και να βλέπουν την ίδια εικόνα. Επομένως, στην πλατφόρμα μας χρησιμοποιούμε δυναμικές αναφορές με τη μορφή προσαρμόσιμων πινάκων εργαλείων.
Βήμα #6: Δώστε προτεραιότητα
Εδώ μπορείτε να κάνετε τα εξής:
1. Δημιουργία αποθετηρίου με χρυσές εικόνες συστημάτων. Εργαστείτε με χρυσές εικόνες, ελέγξτε τις για τρωτά σημεία και διορθώστε τις παραμέτρους σε συνεχή βάση. Αυτό μπορεί να γίνει με τη βοήθεια πρακτόρων που θα αναφέρουν αυτόματα την εμφάνιση ενός νέου περιουσιακού στοιχείου και θα παρέχουν πληροφορίες σχετικά με τα τρωτά του σημεία.
2. Εστιάστε σε εκείνα τα περιουσιακά στοιχεία που είναι κρίσιμα για την επιχείρηση. Δεν υπάρχει ούτε ένας οργανισμός στον κόσμο που να μπορεί να εξαλείψει τα τρωτά σημεία με μία κίνηση. Η διαδικασία εξάλειψης των τρωτών σημείων είναι μακρά και ακόμη και κουραστική.
3. Στένοντας την επιφάνεια επίθεσης. Καθαρίστε την υποδομή σας από περιττό λογισμικό και υπηρεσίες, κλείστε τις περιττές θύρες. Πρόσφατα είχαμε μια περίπτωση με μια εταιρεία στην οποία βρέθηκαν περίπου 40 χιλιάδες ευπάθειες που σχετίζονται με την παλιά έκδοση του προγράμματος περιήγησης Mozilla σε 100 χιλιάδες συσκευές. Όπως αποδείχθηκε αργότερα, το Mozilla εισήχθη στη χρυσή εικόνα πριν από πολλά χρόνια, κανείς δεν το χρησιμοποιεί, αλλά είναι η πηγή ενός μεγάλου αριθμού τρωτών σημείων. Όταν το πρόγραμμα περιήγησης αφαιρέθηκε από τους υπολογιστές (ήταν ακόμη και σε ορισμένους διακομιστές), αυτές οι δεκάδες χιλιάδες ευπάθειες εξαφανίστηκαν.
4. Κατάταξη τρωτών σημείων με βάση τη νοημοσύνη απειλών. Λάβετε υπόψη όχι μόνο την κρισιμότητα της ευπάθειας, αλλά και την παρουσία μιας δημόσιας εκμετάλλευσης, κακόβουλου λογισμικού, ενημέρωσης κώδικα ή εξωτερικής πρόσβασης στο σύστημα με την ευπάθεια. Αξιολογήστε τον αντίκτυπο αυτής της ευπάθειας στα κρίσιμα επιχειρηματικά συστήματα: μπορεί να οδηγήσει σε απώλεια δεδομένων, άρνηση παροχής υπηρεσιών κ.λπ.
Βήμα #7: Συμφωνήστε για τους KPI
Μην κάνετε σάρωση για χάρη της σάρωσης. Εάν δεν συμβεί τίποτα με τα τρωτά σημεία που βρέθηκαν, τότε αυτή η σάρωση μετατρέπεται σε άχρηστη λειτουργία. Για να μην γίνει τυπική η εργασία με τρωτά σημεία, σκεφτείτε πώς θα αξιολογήσετε τα αποτελέσματά της. Η ασφάλεια των πληροφοριών και η πληροφορική πρέπει να συμφωνήσουν για το πώς θα δομηθεί η εργασία για την εξάλειψη των τρωτών σημείων, πόσο συχνά θα πραγματοποιούνται σαρώσεις, θα εγκατασταθούν ενημερώσεις κώδικα κ.λπ.
Στη διαφάνεια βλέπετε παραδείγματα πιθανών KPI. Υπάρχει επίσης μια εκτεταμένη λίστα που προτείνουμε στους πελάτες μας. Εάν ενδιαφέρεστε, επικοινωνήστε μαζί μου, θα μοιραστώ αυτές τις πληροφορίες μαζί σας.
Βήμα #8: Αυτοματοποίηση
Επιστροφή στη σάρωση ξανά. Στην Qualys, πιστεύουμε ότι η σάρωση είναι το πιο ασήμαντο πράγμα που μπορεί να συμβεί στη διαδικασία διαχείρισης ευπάθειας σήμερα και ότι πρώτα απ 'όλα πρέπει να αυτοματοποιηθεί όσο το δυνατόν περισσότερο, ώστε να εκτελείται χωρίς τη συμμετοχή ειδικού ασφάλειας πληροφοριών. Σήμερα υπάρχουν πολλά εργαλεία που σας επιτρέπουν να το κάνετε αυτό. Αρκεί να έχουν ανοιχτό API και τον απαιτούμενο αριθμό συνδέσεων.
Το παράδειγμα που μου αρέσει να δώσω είναι το DevOps. Εάν εφαρμόσετε έναν σαρωτή ευπάθειας εκεί, μπορείτε απλά να ξεχάσετε τα DevOps. Με τις παλιές τεχνολογίες, που είναι ένας κλασικός σαρωτής, απλά δεν θα σας επιτραπεί σε αυτές τις διαδικασίες. Οι προγραμματιστές δεν θα περιμένουν να σαρώσετε και να τους δώσετε μια άβολη αναφορά πολλών σελίδων. Οι προγραμματιστές αναμένουν ότι οι πληροφορίες σχετικά με τα τρωτά σημεία θα εισέλθουν στα συστήματα συναρμολόγησης κώδικα με τη μορφή πληροφοριών σφαλμάτων. Η ασφάλεια θα πρέπει να ενσωματώνεται απρόσκοπτα σε αυτές τις διαδικασίες και θα πρέπει απλώς να είναι μια δυνατότητα που καλείται αυτόματα από το σύστημα που χρησιμοποιείται από τους προγραμματιστές σας.
Βήμα #9: Εστιάστε στα Βασικά
Εστιάστε σε αυτό που φέρνει πραγματική αξία στην εταιρεία σας. Οι σαρώσεις μπορούν να είναι αυτόματες, οι αναφορές μπορούν επίσης να αποστέλλονται αυτόματα.
Εστιάστε στη βελτίωση των διαδικασιών για να τις κάνετε πιο ευέλικτες και βολικές για όλους τους εμπλεκόμενους. Εστιάστε στη διασφάλιση ότι η ασφάλεια είναι ενσωματωμένη σε όλες τις συμβάσεις με τους αντισυμβαλλομένους σας, οι οποίοι, για παράδειγμα, αναπτύσσουν εφαρμογές Ιστού για εσάς.
Εάν χρειάζεστε πιο λεπτομερείς πληροφορίες σχετικά με τον τρόπο δημιουργίας μιας διαδικασίας διαχείρισης ευπάθειας στην εταιρεία σας, επικοινωνήστε μαζί μου και τους συναδέλφους μου. Θα χαρώ να βοηθήσω.
Πηγή: www.habr.com