Uztailaren 4 handia izan genuen . Gaur Qualys-eko Andrey Novikov-en hitzaldiaren transkripzioa argitaratzen dugu. Ahuleziak kudeatzeko lan-fluxu bat eraikitzeko zein urrats egin behar dituzun esango dizu. Spoiler: eskaneatu baino lehen erdira iritsiko gara.
1. urratsa: zehaztu zure ahultasunak kudeatzeko prozesuen heldutasun maila
Hasieran, zure erakundea zein fasetan dagoen ulertu behar duzu ahultasunak kudeatzeko prozesuen heldutasunari dagokionez. Honen ondoren bakarrik ulertu ahal izango duzu nora mugitu eta zein urrats eman behar diren. Miaketa eta bestelako jarduerei ekin aurretik, erakundeek barne-lan bat egin behar dute zure egungo prozesuak IT eta informazioaren segurtasunaren ikuspegitik nola egituratzen diren ulertzeko.
Saiatu oinarrizko galderei erantzuten:
- Inbentarioa eta aktiboen sailkapena egiteko prozesurik baduzu;
- Zenbat aldiz eskaneatzen den IT azpiegitura eta azpiegitura osoa estaltzen den, ikusten al duzu argazki osoa;
- Zure baliabide informatikoak kontrolatzen al dira?
- Zure prozesuetan KPIrik inplementatzen al da eta nola ulertzen duzu betetzen ari direla;
- Prozesu hauek guztiak dokumentatuta al daude?
2. urratsa: Ziurtatu Azpiegituren Estaldura osoa
Ezin duzu babestu ezagutzen ez duzuna. Zure IT azpiegitura zertaz osatuta dagoen irudi osoa ez baduzu, ezin izango duzu babestu. Azpiegitura modernoak konplexuak dira eta etengabe aldatzen dira kuantitatiboki eta kualitatiboki.
Orain IT azpiegitura teknologia klasikoen pila batean oinarritzen da (lanpostuak, zerbitzariak, makina birtualak), baizik eta berri samarretan ere - edukiontziak, mikrozerbitzuak. Informazioaren segurtasun-zerbitzua azken horietatik ihes egiten ari da ahalik eta modu guztietan, oso zaila baita haiekin lan egitea lehendik dauden tresna-multzoak erabiliz, gehienbat eskanerrez osatuta daudenak. Arazoa da edozein eskaner ezin duela azpiegitura osoa estali. Eskaner bat azpiegiturako edozein nodora iristeko, hainbat faktorek bat egin behar dute. Aktiboak erakundearen perimetroaren barruan egon behar du eskaneatzen den unean. Eskanerrak sareko sarbidea izan behar du aktiboetarako eta haien kontuetarako, informazio osoa biltzeko.
Gure estatistiken arabera, erakunde ertain edo handiei dagokienez, gutxi gorabehera, azpiegituren % 15-20 ez du eskanerrak harrapatzen arrazoi bategatik edo besteagatik: aktiboa perimetrotik haratago joan da edo ez da inoiz bulegoan agertzen. Adibidez, urrunetik lan egiten duen baina oraindik sare korporatiborako sarbidea duen langile baten ordenagailu eramangarri bat edo aktiboa Amazon bezalako kanpoko hodeiko zerbitzuetan dago. Eta eskanerrak, ziurrenik, ez du ezer jakingo aktibo horiei buruz, bere ikusgarritasun-eremutik kanpo baitaude.
Azpiegitura osoa estaltzeko, eskanerrak ez ezik, sentsore multzo osoa ere erabili behar duzu, trafiko pasiboa entzuteko teknologiak barne zure azpiegituran gailu berriak detektatzeko, agenteen datuak biltzeko metodoa informazioa jasotzeko - datuak linean jasotzeko aukera ematen du, gabe. eskaneatzeko beharra, kredentzialak nabarmendu gabe.
3. urratsa: sailkatu aktiboak
Aktibo guztiak ez dira berdinak sortzen. Zure lana da zein aktibo diren garrantzitsuak eta zein ez zehaztea. Inongo tresnak, eskaner batek bezalakoak, ez dizu hau egingo. Egokiena, informazioaren segurtasuna, IT eta negozioak elkarrekin lan egitea azpiegitura aztertzeko, negoziorako sistema kritikoak identifikatzeko. Haientzat, eskuragarritasuna, osotasuna, konfidentzialtasuna, RTO/RPO, etab. neurri onargarriak zehazten dituzte.
Horrek zure ahultasunak kudeatzeko prozesua lehenesten lagunduko dizu. Zure espezialistek ahultasunei buruzko datuak jasotzen dituztenean, ez da azpiegitura osoan zehar milaka ahultasun dituen orri bat izango, informazio zehatza baizik eta sistemen kritikotasuna kontuan hartuta.
4. urratsa: Azpiegituren ebaluazioa egin
Eta laugarren urratsean bakarrik iristen gara azpiegiturak ahultasunen ikuspuntutik ebaluatzera. Fase honetan, softwarearen ahultasunei ez ezik, konfigurazio akatsei ere arreta jartzea gomendatzen dugu, ahultasun bat ere izan daitekeelarik. Hemen informazioa biltzeko agente metodoa gomendatzen dugu. Eskanerrak perimetroko segurtasuna ebaluatzeko erabil daitezke eta erabili behar dira. Hodeiko hornitzaileen baliabideak erabiltzen badituzu, aktiboei eta konfigurazioei buruzko informazioa ere bildu behar duzu hortik. Arreta berezia jarri Docker edukiontziak erabiliz azpiegituretako ahuleziak aztertzeari.
5. urratsa: konfiguratu txostenak
Hau da ahultasuna kudeatzeko prozesuaren elementu garrantzitsuetako bat.
Lehenengo puntua: inork ez du lan egingo orrialde anitzeko txostenekin ahultasunen zerrenda ausazko batekin eta horiek ezabatzeko deskribapenekin. Lehenik eta behin, lankideekin komunikatu behar duzu eta jakin ezazu zer egon behar den txostenean eta nola komeni zaien datuak jasotzea. Adibidez, administratzaile batzuek ez dute ahultasunaren deskribapen zehatzik behar eta adabakiari buruzko informazioa eta esteka bat baino ez dute behar. Beste espezialista batek sareko azpiegituran aurkitutako ahultasunei buruz soilik arduratzen da.
Bigarren puntua: erreportajearekin ez dut paperezko txostenak soilik esan nahi. Informazioa eta istorio estatiko bat lortzeko formatu zaharkitua da. Pertsona batek txosten bat jasotzen du eta ezin du inola ere eragin txosten honetan datuak nola aurkeztuko diren. Txostena nahi den moduan jasotzeko, informatika espezialistak informazioaren segurtasuneko espezialistarekin harremanetan jarri behar du eta txostena berreraiki dezan eskatu. Denborak aurrera egin ahala, ahultasun berriak agertzen dira. Txostenak sail batetik bestera eraman beharrean, bi diziplinatako espezialistek datuak sarean kontrolatu eta argazki bera ikusi ahal izan beharko lukete. Hori dela eta, gure plataforman txosten dinamikoak erabiltzen ditugu panel pertsonalizatuetan.
6. urratsa: Lehenetsi
Hemen honako hau egin dezakezu:
1. Sistemen urrezko irudiekin biltegi bat sortzea. Lan egin urrezko irudiekin, egiaztatu ahuleziak dauden eta konfigurazio zuzena etengabe. Hau aktibo berri baten agerpena automatikoki jakinaraziko duten eta haren ahultasunei buruzko informazioa emango duten agenteen laguntzarekin egin daiteke.
2. Negoziorako funtsezkoak diren aktibo horietan zentratu. Ez dago munduan ahultasunak kolpe bakarrean ezaba ditzakeen erakunde bakar bat. Ahuleziak kentzeko prozesua luzea eta lapurtera ere bada.
3. Eraso-azalera estutzea. Garbitu zure azpiegitura behar ez diren software eta zerbitzuetatik, itxi behar ez diren atakak. Duela gutxi enpresa batekin kasu bat izan dugu, non 40 mila ahultasun inguru aurkitu dira Mozilla arakatzailearen bertsio zaharrarekin lotutako 100 mila gailutan. Geroago agertu zenez, Mozilla duela urte asko sartu zen urrezko irudian, inork ez du erabiltzen, baina ahultasun ugariren iturria da. Arakatzailea ordenagailuetatik kendu zenean (zerbitzari batzuetan ere bazegoen), hamarnaka milaka ahultasun horiek desagertu ziren.
4. Sailkatu ahuleziak mehatxuen adimenean oinarrituta. Kontuan izan ahultasunaren kritikotasuna ez ezik, ahultasuna duen sistemarako ustiapen publiko, malware, adabaki edo kanpoko sarbidearen presentzia ere. Ebaluatu ahultasun honek negozio-sistema kritikoetan duen eragina: ekar dezake datu-galera, zerbitzua ukatzea, etab.
7. urratsa: KPIak adostu
Ez eskaneatu eskaneatzeagatik. Aurkitutako ahultasunekin ezer gertatzen ez bada, eskaneatu hau alferrikako eragiketa bihurtzen da. Ahultasunekin lan egitea formaltasun bat bihur ez dadin, pentsatu nola ebaluatuko dituzun emaitzak. Informazioaren segurtasunak eta informatikak adostu behar dute nola egituratuko den ahuleziak kentzeko lana, zenbat aldiz egingo diren azterketak, adabakiak instalatuko diren, etab.
Diapositiban KPI posibleen adibideak ikusten dituzu. Gure bezeroei gomendatzen diegun zerrenda zabal bat ere badago. Interesa baduzu, jarri nirekin harremanetan, informazio hau zurekin partekatuko dut.
8. urratsa: automatizatu
Berriro eskaneatzera. Qualys-en uste dugu eskaneatzea dela gaur egun ahuleziak kudeatzeko prozesuan gerta daitekeen garrantzitsuena, eta lehenik eta behin, ahalik eta gehien automatizatu behar dela, informazioaren segurtasuneko espezialistaren parte-hartzerik gabe egin dadin. Gaur egun, tresna asko daude hori egiteko aukera ematen dutenak. Nahikoa da API irekia eta beharrezko konektore kopurua izatea.
Ematea gustatzen zaidan adibidea DevOps da. Han ahultasun-eskaner bat ezartzen baduzu, DevOps-a ahaztu dezakezu. Teknologia zaharrekin, hau da, eskaner klasikoa denez, ez zaizu prozesu hauetan sartuko. Garatzaileek ez dute zuk eskaneatu eta orri anitzeko txosten deseroso bat eman arte itxarongo. Garatzaileek espero dute ahultasunei buruzko informazioa beren kodea muntatzeko sistemak akatsen informazio moduan sartuko duela. Segurtasuna ezin hobeto sartu behar da prozesu horietan, eta zure garatzaileek erabiltzen duten sistemak automatikoki deitzen duen funtzio bat izan beharko luke.
9. urratsa: Funtsezkoetan zentratu
Zure enpresari benetako balioa ematen dionean zentratu. Eskaneak automatikoak izan daitezke, txostenak automatikoki ere bidali daitezke.
Prozesuak hobetzera bideratu malguagoak eta erosoagoak izan daitezen parte hartzen duten guztientzat. Zentratu segurtasuna zure kontratu guztiekin, adibidez, web-aplikazioak garatzen dituzten kontratu guztietan sartuta dagoela ziurtatzera.
Zure enpresan ahuleziak kudeatzeko prozesu bat eraikitzeko informazio zehatzagoa behar baduzu, jarri harremanetan nirekin eta nire lankideekin. Pozik lagunduko dut.
Iturria: www.habr.com