Tuvimos un gran 4 de julio. . Hoy publicamos una transcripción del discurso de Andrey Novikov de Qualys. Él le dirá qué pasos debe seguir para crear un flujo de trabajo de gestión de vulnerabilidades. Spoiler: solo llegaremos a la mitad antes de escanear.
Paso #1: Determine el nivel de madurez de sus procesos de gestión de vulnerabilidades
Desde el principio, es necesario comprender en qué etapa se encuentra su organización en términos de madurez de sus procesos de gestión de vulnerabilidades. Sólo después de esto podrá comprender dónde moverse y qué pasos se deben seguir. Antes de embarcarse en análisis y otras actividades, las organizaciones deben realizar un trabajo interno para comprender cómo están estructurados sus procesos actuales desde una perspectiva de seguridad de la información y TI.
Intenta responder preguntas básicas:
- ¿Cuenta con procesos de inventario y clasificación de activos?
- ¿Con qué frecuencia se escanea la infraestructura de TI y se cubre toda la infraestructura? ¿Se ve el panorama completo?
- ¿Se controlan sus recursos de TI?
- ¿Están implementados KPI en sus procesos y cómo entiende que se están cumpliendo?
- ¿Están todos estos procesos documentados?
Paso 2: garantizar una cobertura total de la infraestructura
No puedes proteger lo que no sabes. Si no tiene una idea completa de de qué está hecha su infraestructura de TI, no podrá protegerla. La infraestructura moderna es compleja y cambia constantemente cuantitativa y cualitativamente.
Ahora la infraestructura de TI se basa no solo en una pila de tecnologías clásicas (estaciones de trabajo, servidores, máquinas virtuales), sino también en otras relativamente nuevas: contenedores, microservicios. El servicio de seguridad de la información huye de estos últimos de todas las formas posibles, ya que le resulta muy difícil trabajar con ellos utilizando los conjuntos de herramientas existentes, que consisten principalmente en escáneres. El problema es que ningún escáner no puede cubrir toda la infraestructura. Para que un escáner llegue a cualquier nodo de la infraestructura deben coincidir varios factores. El activo debe estar dentro del perímetro de la organización en el momento del escaneo. El escáner debe tener acceso a la red a los activos y sus cuentas para poder recopilar información completa.
Según nuestras estadísticas, cuando se trata de organizaciones medianas o grandes, aproximadamente entre el 15% y el 20% de la infraestructura no es capturada por el escáner por una razón u otra: el activo se ha movido más allá del perímetro o nunca aparece en la oficina. Por ejemplo, una computadora portátil de un empleado que trabaja de forma remota pero aún tiene acceso a la red corporativa, o el activo está ubicado en servicios externos en la nube como Amazon. Y lo más probable es que el escáner no sepa nada sobre estos activos, ya que están fuera de su rango de visibilidad.
Para cubrir toda la infraestructura, necesita utilizar no solo escáneres, sino también un conjunto completo de sensores, incluidas tecnologías de escucha pasiva del tráfico para detectar nuevos dispositivos en su infraestructura, un método de recopilación de datos de agentes para recibir información que le permite recibir datos en línea, sin la necesidad de escanear, sin resaltar las credenciales.
Paso 3: categorizar los activos
No todos los activos son iguales. Es su trabajo determinar qué activos son importantes y cuáles no. Ninguna herramienta, como un escáner, hará esto por usted. Idealmente, la seguridad de la información, la TI y los negocios trabajan juntos para analizar la infraestructura e identificar los sistemas críticos para el negocio. Para ellos, determinan métricas aceptables de disponibilidad, integridad, confidencialidad, RTO/RPO, etc.
Esto le ayudará a priorizar su proceso de gestión de vulnerabilidades. Cuando sus especialistas reciban datos sobre vulnerabilidades, no será una hoja con miles de vulnerabilidades en toda la infraestructura, sino información granular teniendo en cuenta la criticidad de los sistemas.
Paso 4: realizar una evaluación de la infraestructura
Y sólo en el cuarto paso llegamos a evaluar la infraestructura desde el punto de vista de las vulnerabilidades. En esta etapa, le recomendamos que preste atención no solo a las vulnerabilidades del software, sino también a los errores de configuración, que también pueden ser una vulnerabilidad. Aquí recomendamos el método del agente para recopilar información. Los escáneres pueden y deben utilizarse para evaluar la seguridad del perímetro. Si utiliza los recursos de los proveedores de la nube, también deberá recopilar información sobre los activos y las configuraciones desde allí. Presta especial atención al análisis de vulnerabilidades en infraestructuras que utilizan contenedores Docker.
Paso #5: Configurar informes
Este es uno de los elementos importantes dentro del proceso de gestión de vulnerabilidades.
El primer punto: nadie trabajará con informes de varias páginas con una lista aleatoria de vulnerabilidades y descripciones de cómo eliminarlas. En primer lugar, debe comunicarse con sus colegas y averiguar qué debería estar en el informe y cómo les resulta más conveniente recibir datos. Por ejemplo, algunos administradores no necesitan una descripción detallada de la vulnerabilidad y solo necesitan información sobre el parche y un enlace al mismo. Otro especialista sólo se preocupa por las vulnerabilidades encontradas en la infraestructura de la red.
Segundo punto: cuando hablo de informes no me refiero sólo a informes en papel. Este es un formato obsoleto para obtener información y una historia estática. Una persona recibe un informe y de ninguna manera puede influir en cómo se presentarán los datos en este informe. Para obtener el informe en la forma deseada, el especialista en TI debe comunicarse con el especialista en seguridad de la información y pedirle que reconstruya el informe. A medida que pasa el tiempo, aparecen nuevas vulnerabilidades. En lugar de enviar informes de un departamento a otro, los especialistas de ambas disciplinas deberían poder monitorear los datos en línea y ver la misma imagen. Por ello, en nuestra plataforma utilizamos informes dinámicos en forma de paneles personalizables.
Paso #6: Priorizar
Aquí puedes hacer lo siguiente:
1. Crear un repositorio con imágenes doradas de sistemas. Trabaje con imágenes doradas, verifíquelas en busca de vulnerabilidades y corrija la configuración de forma continua. Esto se puede hacer con la ayuda de agentes que informarán automáticamente la aparición de un nuevo activo y proporcionarán información sobre sus vulnerabilidades.
2. Centrarse en aquellos activos que son críticos para el negocio. No existe una sola organización en el mundo que pueda eliminar las vulnerabilidades de una sola vez. El proceso de eliminación de vulnerabilidades es largo e incluso tedioso.
3. Reducir la superficie de ataque. Limpie su infraestructura de software y servicios innecesarios, cierre puertos innecesarios. Recientemente tuvimos un caso con una empresa en el que se encontraron alrededor de 40 mil vulnerabilidades relacionadas con la versión antigua del navegador Mozilla en 100 mil dispositivos. Como resultó más tarde, Mozilla se introdujo en la imagen dorada hace muchos años, nadie la usa, pero es la fuente de una gran cantidad de vulnerabilidades. Cuando el navegador fue eliminado de las computadoras (incluso en algunos servidores), estas decenas de miles de vulnerabilidades desaparecieron.
4. Clasificar las vulnerabilidades según la inteligencia sobre amenazas. Considere no sólo la criticidad de la vulnerabilidad, sino también la presencia de un exploit público, malware, parche o acceso externo al sistema con la vulnerabilidad. Evaluar el impacto de esta vulnerabilidad en los sistemas empresariales críticos: ¿puede provocar pérdida de datos, denegación de servicio, etc.?
Paso #7: Acuerde los KPI
No escanee por escanear. Si no sucede nada con las vulnerabilidades encontradas, este escaneo se convierte en una operación inútil. Para evitar que trabajar con vulnerabilidades se convierta en una formalidad, piensa en cómo evaluarás sus resultados. La seguridad de la información y las TI deben ponerse de acuerdo sobre cómo se estructurará el trabajo para eliminar vulnerabilidades, con qué frecuencia se realizarán análisis, se instalarán parches, etc.
En la diapositiva verá ejemplos de posibles KPI. También hay una lista ampliada que recomendamos a nuestros clientes. Si estás interesado, por favor contáctame, compartiré esta información contigo.
Paso #8: Automatizar
Volver a escanear nuevamente. En Qualys creemos que el escaneo es lo menos importante que puede suceder en el proceso de gestión de vulnerabilidades hoy en día y que, en primer lugar, es necesario automatizarlo al máximo para que se realice sin la participación de un especialista en seguridad de la información. Hoy en día existen muchas herramientas que te permiten hacer esto. Basta con que tengan una API abierta y la cantidad requerida de conectores.
El ejemplo que me gusta dar es DevOps. Si implementa un escáner de vulnerabilidades allí, simplemente puede olvidarse de DevOps. Con las tecnologías antiguas, como es el caso de un escáner clásico, simplemente no se le permitirá participar en estos procesos. Los desarrolladores no esperarán a que usted escanee y les proporcione un informe inconveniente de varias páginas. Los desarrolladores esperan que la información sobre vulnerabilidades ingrese a sus sistemas de ensamblaje de código en forma de información de errores. La seguridad debe integrarse perfectamente en estos procesos y debe ser simplemente una característica que el sistema utilizado por sus desarrolladores invoca automáticamente.
Paso #9: Concéntrate en lo esencial
Céntrese en lo que aporta valor real a su empresa. Los escaneos pueden ser automáticos y los informes también se pueden enviar automáticamente.
Concéntrese en mejorar los procesos para hacerlos más flexibles y convenientes para todos los involucrados. Concéntrese en garantizar que la seguridad esté integrada en todos los contratos con sus contrapartes, quienes, por ejemplo, desarrollan aplicaciones web para usted.
Si necesita información más detallada sobre cómo construir un proceso de gestión de vulnerabilidades en su empresa, comuníquese conmigo y con mis colegas. Me encantaría ayudar.
Fuente: habr.com