Ni havis grandan 4-an de julio . Hodiaŭ ni publikigas transskribon de la parolado de Andrej Novikov el Qualys. Li diros al vi, kiajn paŝojn vi devas iri por konstrui laborfluon pri vundebleco. Spoiler: ni nur atingos la duonan punkton antaŭ skanado.
Paŝo #1: Determini la maturecnivelon de viaj vundeblaj administradprocezoj
Je la komenco, vi devas kompreni, en kiu stadio troviĝas via organizo laŭ matureco de ĝiaj procezoj pri vundebleco. Nur post tio vi povos kompreni kien moviĝi kaj kiaj paŝoj devas esti prenitaj. Antaŭ ol komenci skanadon kaj aliajn agadojn, organizoj devas fari iun internan laboron por kompreni kiel viaj nunaj procezoj estas strukturitaj de IT kaj informsekureca perspektivo.
Provu respondi bazajn demandojn:
- Ĉu vi havas procezojn por inventaro kaj klasifiko de valoraĵoj;
- Kiel regule estas la IT-infrastrukturo skanita kaj la tuta infrastrukturo kovrita, ĉu vi vidas la tutan bildon;
- Ĉu viaj IT-resursoj estas kontrolataj?
- Ĉu iuj KPIoj estas efektivigitaj en viaj procezoj kaj kiel vi komprenas, ke ili estas plenumitaj;
- Ĉu ĉiuj ĉi tiuj procezoj estas dokumentitaj?
Paŝo #2: Certigu Plenan Infrastrukturan Kovradon
Vi ne povas protekti tion, pri kio vi ne scias. Se vi ne havas kompletan bildon pri kio estas farita via IT-infrastrukturo, vi ne povos protekti ĝin. Moderna infrastrukturo estas kompleksa kaj konstante ŝanĝanta kvante kaj kvalite.
Nun la IT-infrastrukturo baziĝas ne nur sur stako de klasikaj teknologioj (laborstacioj, serviloj, virtualaj maŝinoj), sed ankaŭ sur relative novaj - ujoj, mikroservoj. La informsekureca servo forkuras de ĉi-lastaj en ĉiuj eblaj manieroj, ĉar estas tre malfacile por ĝi labori kun ili uzante ekzistantajn ilaron, kiuj konsistas ĉefe el skaniloj. La problemo estas, ke iu ajn skanilo ne povas kovri la tutan infrastrukturon. Por ke skanilo atingu ajnan nodon en la infrastrukturo, pluraj faktoroj devas koincidi. La valoraĵo devas esti ene de la perimetro de la organizo dum la skanado. La skanilo devas havi retan aliron al aktivoj kaj iliaj kontoj por kolekti kompletajn informojn.
Laŭ niaj statistikoj, se temas pri mezaj aŭ grandaj organizaĵoj, proksimume 15–20% de la infrastrukturo ne estas kaptita de la skanilo pro unu kialo aŭ alia: la valoraĵo moviĝis preter la perimetro aŭ neniam aperas en la oficejo. Ekzemple, tekkomputilo de dungito, kiu laboras malproksime sed ankoraŭ havas aliron al la kompania reto, aŭ la valoraĵo situas en eksteraj nubaj servoj kiel Amazon. Kaj la skanilo, plej verŝajne, ne scios ion pri ĉi tiuj aktivoj, ĉar ili estas ekster ĝia videbleco.
Por kovri la tutan infrastrukturon, vi devas uzi ne nur skaniloj, sed tutan aron da sensiloj, inkluzive de pasiva trafika aŭskultado teknologioj por detekti novajn aparatojn en via infrastrukturo, agenta datumkolekta metodo por ricevi informojn - permesas ricevi datumojn interrete, sen la bezono de skanado, sen reliefigi akreditaĵojn.
Paŝo #3: Kategoriigi Aktivaĵojn
Ne ĉiuj valoraĵoj estas kreitaj egalaj. Estas via tasko determini, kiuj aktivoj estas gravaj kaj kiuj ne. Neniu ilo, kiel skanilo, faros tion por vi. Ideale, informa sekureco, IT kaj komerco laboras kune por analizi la infrastrukturon por identigi komercajn kritikajn sistemojn. Por ili, ili determinas akcepteblajn metrikojn por havebleco, integreco, konfidenco, RTO/RPO, ktp.
Ĉi tio helpos vin prioritatigi vian vundeblecon administradprocezon. Kiam viaj specialistoj ricevos datumojn pri vundeblecoj, ĝi ne estos folio kun miloj da vundeblecoj tra la tuta infrastrukturo, sed granulara informo konsiderante la kritikon de la sistemoj.
Paŝo #4: Faru Infrastrukturan Taksadon
Kaj nur ĉe la kvara paŝo ni venas al taksado de la infrastrukturo el la vidpunkto de vundeblecoj. En ĉi tiu etapo, ni rekomendas, ke vi atentu ne nur al programaraj vundeblecoj, sed ankaŭ al agordaj eraroj, kiuj ankaŭ povas esti vundebleco. Ĉi tie ni rekomendas la agentan metodon por kolekti informojn. Skaniloj povas kaj devas esti uzitaj por taksi perimetran sekurecon. Se vi uzas la rimedojn de nubaj provizantoj, tiam vi ankaŭ devas kolekti informojn pri valoraĵoj kaj agordoj de tie. Atentu specialan analizon de vundeblecoj en infrastrukturoj uzante Docker-ujojn.
Paŝo #5: Agordu raportadon
Ĉi tio estas unu el la gravaj elementoj en la procezo de administrado de vundebleco.
La unua punkto: neniu laboros kun plurpaĝaj raportoj kun hazarda listo de vundeblecoj kaj priskriboj pri kiel forigi ilin. Antaŭ ĉio, vi devas komuniki kun kolegoj kaj ekscii, kio devus esti en la raporto kaj kiel estas pli oportune por ili ricevi datumojn. Ekzemple, iu administranto ne bezonas detalan priskribon de la vundebleco kaj nur bezonas informojn pri la flikaĵo kaj ligon al ĝi. Alia specialisto zorgas nur pri vundeblecoj trovitaj en la reto-infrastrukturo.
Dua punkto: per raportado mi celas ne nur paperajn raportojn. Ĉi tio estas malmoderna formato por akiri informojn kaj senmovan rakonton. Homo ricevas raporton kaj neniel ne povas influi kiel la datumoj estos prezentitaj en ĉi tiu raporto. Por ricevi la raporton en la dezirata formo, la IT-specialisto devas kontakti la specialiston pri informa sekureco kaj peti lin rekonstrui la raporton. Dum la tempo pasas, novaj vundeblecoj aperas. Anstataŭ puŝi raportojn de fako al fako, specialistoj en ambaŭ fakoj devus povi monitori la datumojn interrete kaj vidi la saman bildon. Tial, en nia platformo ni uzas dinamikajn raportojn en formo de agordeblaj paneloj.
Paŝo #6: Prioritatigi
Ĉi tie vi povas fari la jenon:
1. Krei deponejon kun oraj bildoj de sistemoj. Laboru kun oraj bildoj, kontrolu ilin por vundeblecoj kaj korektu agordon daŭrante. Ĉi tio povas esti farita kun la helpo de agentoj, kiuj aŭtomate raportos la aperon de nova valoraĵo kaj provizos informojn pri ĝiaj vundeblecoj.
2. Fokuso sur tiuj aktivoj kiuj estas kritikaj al la komerco. Ne estas ununura organizo en la mondo, kiu povas forigi vundeblecojn unufoje. La procezo forigi vundeblecojn estas longa kaj eĉ teda.
3. Malvastigo de la ataksurfaco. Purigu vian infrastrukturon de nenecesaj programoj kaj servoj, fermu nenecesajn havenojn. Ni lastatempe havis kazon kun unu kompanio, en kiu ĉirkaŭ 40 mil vundeblecoj rilataj al la malnova versio de la retumilo Mozilla estis trovitaj sur 100 mil aparatoj. Kiel ĝi rezultis poste, Mozilla estis enkondukita en la ora bildo antaŭ multaj jaroj, neniu uzas ĝin, sed ĝi estas la fonto de granda nombro da vundeblecoj. Kiam la retumilo estis forigita de komputiloj (ĝi estis eĉ ĉe iuj serviloj), tiuj dekoj da miloj da vundeblecoj malaperis.
4. Rangi vundeblecojn bazitajn sur minaca inteligenteco. Konsideru ne nur la kritikecon de la vundebleco, sed ankaŭ la ĉeeston de publika ekspluato, malware, flikaĵo aŭ ekstera aliro al la sistemo kun la vundebleco. Taksi la efikon de ĉi tiu vundebleco sur kritikaj komercaj sistemoj: ĉu ĝi povas konduki al datumperdo, neo de servo, ktp.
Paŝo #7: Konsentu pri KPIoj
Ne skanu pro skanado. Se nenio okazas al la trovitaj vundeblecoj, tiam ĉi tiu skanado fariĝas senutila operacio. Por eviti ke labori kun vundeblecoj fariĝu formalaĵo, pensu pri kiel vi taksos ĝiajn rezultojn. Informa sekureco kaj IT devas konsenti pri kiel la laboro por forigi vundeblecojn estos strukturita, kiom ofte skanadoj estos faritaj, diakiloj estos instalitaj, ktp.
Sur la glito vi vidas ekzemplojn de eblaj KPIoj. Estas ankaŭ etendita listo, kiun ni rekomendas al niaj klientoj. Se vi interesiĝas, bonvolu kontakti min, mi dividos ĉi tiun informon kun vi.
Paŝo #8: Aŭtomatigi
Reen al skanado denove. Ĉe Qualys, ni kredas, ke skanado estas la plej negrava afero, kiu povas okazi en la procezo de administrado de vundeblecoj hodiaŭ, kaj ke antaŭ ĉio ĝi devas esti aŭtomatigita kiel eble plej multe por ke ĝi estu farita sen partopreno de specialisto pri informa sekureco. Hodiaŭ ekzistas multaj iloj, kiuj permesas vin fari ĉi tion. Sufiĉas, ke ili havas malfermitan API kaj la bezonatan nombron da konektiloj.
La ekzemplo, kiun mi ŝatas doni, estas DevOps. Se vi efektivigas vundeblecon skanilon tie, vi povas simple forgesi pri DevOps. Kun malnovaj teknologioj, kiu estas klasika skanilo, vi simple ne estos permesita en ĉi tiujn procezojn. Programistoj ne atendos ke vi skanos kaj donos al ili plurpaĝan, maloportunan raporton. Programistoj atendas, ke informoj pri vundeblecoj eniros siajn kodajn asemblajn sistemojn en formo de cim-informoj. Sekureco devus esti perfekte enkonstruita en ĉi tiujn procezojn, kaj ĝi devus esti nur funkcio, kiu estas aŭtomate vokita de la sistemo uzata de viaj programistoj.
Paŝo #9: Fokuso sur la Esencaĵoj
Fokusu pri tio, kio alportas realan valoron al via kompanio. Skanadoj povas esti aŭtomataj, raportoj ankaŭ povas esti senditaj aŭtomate.
Fokuso pri plibonigo de procezoj por fari ilin pli flekseblaj kaj oportunaj por ĉiuj implikitaj. Fokusu certigi, ke sekureco estas enkonstruita en ĉiuj kontraktoj kun viaj kontraŭpartoj, kiuj, ekzemple, disvolvas TTT-aplikaĵojn por vi.
Se vi bezonas pli detalajn informojn pri kiel konstrui vundeblecon administradprocezon en via kompanio, bonvolu kontakti min kaj miajn kolegojn. Mi volonte helpos.
fonto: www.habr.com