4 جولای بزرگی داشتیم . امروز متن سخنرانی آندری نوویکوف از کوالیز را منتشر می کنیم. او به شما می گوید که برای ایجاد یک گردش کار مدیریت آسیب پذیری باید چه مراحلی را طی کنید. اسپویلر: ما فقط به نیمه راه قبل از اسکن می رسیم.
مرحله 1: سطح بلوغ فرآیندهای مدیریت آسیب پذیری خود را تعیین کنید
در همان ابتدا، باید درک کنید که سازمان شما از نظر بلوغ فرآیندهای مدیریت آسیب پذیری خود در چه مرحله ای قرار دارد. فقط پس از این می توانید بفهمید که کجا حرکت کنید و چه مراحلی باید انجام شود. قبل از شروع اسکن و سایر فعالیتها، سازمانها باید کارهای داخلی انجام دهند تا بفهمند فرآیندهای فعلی شما از منظر فناوری اطلاعات و امنیت اطلاعات چگونه ساختار یافتهاند.
سعی کنید به سوالات اساسی پاسخ دهید:
- آیا فرآیندهایی برای طبقه بندی موجودی و دارایی دارید؟
- زیرساخت فناوری اطلاعات چقدر مرتب اسکن می شود و آیا کل زیرساخت تحت پوشش است، آیا تصویر کامل را می بینید؟
- آیا منابع IT شما نظارت می شود؟
- آیا هر KPI در فرآیندهای شما پیاده سازی شده است و چگونه می دانید که آنها برآورده می شوند.
- آیا همه این فرآیندها مستند هستند؟
مرحله 2: از پوشش کامل زیرساخت اطمینان حاصل کنید
شما نمی توانید از چیزی که در مورد آن نمی دانید محافظت کنید. اگر تصویر کاملی از ساختار زیرساخت فناوری اطلاعات خود نداشته باشید، نمیتوانید از آن محافظت کنید. زیرساخت های مدرن پیچیده و دائماً از نظر کمی و کیفی در حال تغییر هستند.
اکنون زیرساخت فناوری اطلاعات نه تنها بر روی پشته ای از فناوری های کلاسیک (ایستگاه های کاری، سرورها، ماشین های مجازی) بلکه بر روی موارد نسبتاً جدید - کانتینرها، میکروسرویس ها نیز مبتنی است. سرویس امنیت اطلاعات به هر طریق ممکن از این دومی فرار می کند ، زیرا کار با آنها با استفاده از مجموعه ابزارهای موجود که عمدتاً از اسکنرها تشکیل شده است برای آن بسیار دشوار است. مشکل این است که هر اسکنر نمی تواند کل زیرساخت را پوشش دهد. برای اینکه یک اسکنر به هر گره ای در زیرساخت برسد، چندین عامل باید منطبق باشند. دارایی باید در زمان اسکن در محدوده سازمان باشد. برای جمع آوری اطلاعات کامل، اسکنر باید به دارایی ها و حساب های آنها دسترسی شبکه داشته باشد.
طبق آمار ما، وقتی صحبت از سازمانهای متوسط یا بزرگ میشود، تقریباً 15 تا 20 درصد از زیرساختها به دلایلی توسط اسکنر ضبط نمیشوند: دارایی از محدوده خارج شده یا اصلاً در دفتر ظاهر نمیشود. به عنوان مثال، لپ تاپ کارمندی که از راه دور کار می کند اما همچنان به شبکه شرکتی دسترسی دارد، یا دارایی در سرویس های ابری خارجی مانند آمازون قرار دارد. و اسکنر، به احتمال زیاد، چیزی در مورد این دارایی ها نمی داند، زیرا آنها خارج از منطقه دید آن هستند.
برای پوشش کل زیرساخت، شما باید نه تنها از اسکنرها، بلکه از مجموعه کاملی از حسگرها، از جمله فناوریهای شنود ترافیک غیرفعال برای شناسایی دستگاههای جدید در زیرساخت خود، روش جمعآوری دادههای عامل برای دریافت اطلاعات استفاده کنید - به شما امکان میدهد دادهها را به صورت آنلاین و بدون دریافت اطلاعات دریافت کنید. نیاز به اسکن، بدون برجسته کردن اعتبار.
مرحله سوم: دارایی ها را دسته بندی کنید
همه دارایی ها یکسان ایجاد نمی شوند. این وظیفه شماست که تعیین کنید کدام دارایی مهم است و کدام یک مهم نیست. هیچ ابزاری، مانند یک اسکنر، این کار را برای شما انجام نمی دهد. در حالت ایده آل، امنیت اطلاعات، فناوری اطلاعات و کسب و کار با یکدیگر برای تجزیه و تحلیل زیرساخت ها برای شناسایی سیستم های حیاتی تجاری کار می کنند. برای آنها، آنها معیارهای قابل قبولی را برای در دسترس بودن، یکپارچگی، محرمانه بودن، RTO/RPO و غیره تعیین می کنند.
این به شما کمک می کند فرآیند مدیریت آسیب پذیری خود را اولویت بندی کنید. هنگامی که متخصصان شما دادههایی را در مورد آسیبپذیریها دریافت میکنند، این یک برگه با هزاران آسیبپذیری در کل زیرساخت نیست، بلکه اطلاعاتی جزئی با در نظر گرفتن بحرانی بودن سیستمها خواهد بود.
مرحله چهارم: ارزیابی زیرساخت را انجام دهید
و تنها در مرحله چهارم به ارزیابی زیرساخت ها از نقطه نظر آسیب پذیری می رسیم. در این مرحله توصیه می کنیم نه تنها به آسیب پذیری های نرم افزار، بلکه به خطاهای پیکربندی نیز توجه کنید که می تواند آسیب پذیری نیز باشد. در اینجا ما روش عامل جمع آوری اطلاعات را توصیه می کنیم. اسکنرها می توانند و باید برای ارزیابی امنیت محیط استفاده شوند. اگر از منابع ارائه دهندگان ابر استفاده می کنید، باید اطلاعات مربوط به دارایی ها و پیکربندی ها را نیز از آنجا جمع آوری کنید. توجه ویژه ای به تجزیه و تحلیل آسیب پذیری ها در زیرساخت ها با استفاده از کانتینرهای داکر داشته باشید.
مرحله پنجم: تنظیم گزارش
این یکی از عناصر مهم در فرآیند مدیریت آسیب پذیری است.
نکته اول: هیچکس با گزارشهای چند صفحهای با فهرست تصادفی آسیبپذیریها و شرح نحوه حذف آنها کار نمیکند. اول از همه، باید با همکاران ارتباط برقرار کنید و دریابید که چه چیزی باید در گزارش وجود داشته باشد و چگونه دریافت داده ها برای آنها راحت تر است. به عنوان مثال، برخی از مدیران نیازی به توضیح دقیق در مورد آسیب پذیری ندارند و فقط به اطلاعات مربوط به وصله و پیوند به آن نیاز دارند. متخصص دیگر فقط به آسیب پذیری های موجود در زیرساخت شبکه اهمیت می دهد.
نکته دوم: منظور من از گزارش فقط گزارش های کاغذی نیست. این یک قالب قدیمی برای به دست آوردن اطلاعات و یک داستان ثابت است. یک شخص گزارشی را دریافت می کند و به هیچ وجه نمی تواند بر نحوه ارائه داده ها در این گزارش تأثیر بگذارد. برای دریافت گزارش در فرم مورد نظر، متخصص IT باید با متخصص امنیت اطلاعات تماس گرفته و از او بخواهد که گزارش را بازسازی کند. با گذشت زمان، آسیب پذیری های جدیدی ظاهر می شوند. به جای فشار دادن گزارش ها از یک بخش به بخش دیگر، متخصصان در هر دو رشته باید بتوانند داده ها را به صورت آنلاین نظارت کنند و تصویر یکسان را ببینند. بنابراین، در پلتفرم خود از گزارش های پویا در قالب داشبوردهای قابل تنظیم استفاده می کنیم.
مرحله ششم: اولویت بندی کنید
در اینجا می توانید کارهای زیر را انجام دهید:
1. ایجاد یک مخزن با تصاویر طلایی از سیستم ها. با تصاویر طلایی کار کنید، آنها را از نظر آسیب پذیری بررسی کنید و پیکربندی را به طور مداوم اصلاح کنید. این را می توان با کمک عواملی انجام داد که به طور خودکار ظهور یک دارایی جدید را گزارش می کنند و اطلاعاتی در مورد آسیب پذیری های آن ارائه می دهند.
2. روی دارایی هایی تمرکز کنید که برای کسب و کار حیاتی هستند. هیچ سازمانی در دنیا وجود ندارد که بتواند آسیبپذیریها را یکجا از بین ببرد. روند حذف آسیب پذیری ها طولانی و حتی خسته کننده است.
3. باریک کردن سطح حمله. زیرساخت خود را از نرم افزارها و خدمات غیر ضروری پاک کنید، پورت های غیر ضروری را ببندید. اخیراً با یک شرکت موردی داشتیم که در آن حدود 40 هزار آسیب پذیری مربوط به نسخه قدیمی مرورگر موزیلا در 100 هزار دستگاه پیدا شد. همانطور که بعدا مشخص شد، موزیلا سال ها پیش به تصویر طلایی معرفی شد، هیچ کس از آن استفاده نمی کند، اما منبع تعداد زیادی آسیب پذیری است. هنگامی که مرورگر از رایانه ها حذف شد (حتی در برخی از سرورها وجود داشت)، این ده ها هزار آسیب پذیری ناپدید شدند.
4. رتبه بندی آسیب پذیری ها بر اساس اطلاعات تهدید. نه تنها بحرانی بودن آسیب پذیری، بلکه وجود یک سوء استفاده عمومی، بدافزار، وصله یا دسترسی خارجی به سیستم دارای آسیب پذیری را در نظر بگیرید. تأثیر این آسیبپذیری را بر روی سیستمهای تجاری مهم ارزیابی کنید: آیا میتواند منجر به از دست دادن داده، انکار سرویس و غیره شود.
مرحله هفتم: روی KPI ها توافق کنید
به خاطر اسکن کردن، اسکن نکنید. اگر هیچ اتفاقی برای آسیب پذیری های یافت شده نیفتد، این اسکن به یک عملیات بی فایده تبدیل می شود. برای جلوگیری از رسمی شدن کار با آسیب پذیری ها، به این فکر کنید که چگونه نتایج آن را ارزیابی خواهید کرد. امنیت اطلاعات و فناوری اطلاعات باید در مورد نحوه ساختاربندی کار برای از بین بردن آسیبپذیریها، تعداد دفعات انجام اسکن، نصب وصلهها و غیره به توافق برسند.
در اسلاید نمونه هایی از KPIهای ممکن را مشاهده می کنید. همچنین یک لیست گسترده وجود دارد که ما به مشتریان خود توصیه می کنیم. اگر علاقه مند هستید، لطفا با من تماس بگیرید، من این اطلاعات را با شما به اشتراک خواهم گذاشت.
مرحله هشتم: خودکار کردن
دوباره به اسکن برگشت. در Qualys، ما بر این باوریم که اسکن امروزه بیاهمیتترین چیزی است که میتواند در فرآیند مدیریت آسیبپذیری اتفاق بیفتد و قبل از هر چیز باید تا حد امکان خودکار شود تا بدون مشارکت متخصص امنیت اطلاعات انجام شود. امروزه ابزارهای زیادی وجود دارد که به شما این امکان را می دهد. کافی است یک API باز و تعداد لازم کانکتور داشته باشند.
مثالی که دوست دارم بزنم DevOps است. اگر یک اسکنر آسیب پذیری را در آنجا پیاده سازی کنید، می توانید به سادگی DevOps را فراموش کنید. با فناوری های قدیمی، که یک اسکنر کلاسیک است، به سادگی اجازه ورود به این فرآیندها را نخواهید داشت. توسعهدهندگان منتظر نمیمانند تا شما را اسکن کنید و گزارشی چند صفحهای و ناخوشایند به آنها بدهید. توسعه دهندگان انتظار دارند که اطلاعات مربوط به آسیب پذیری ها به صورت اطلاعات باگ وارد سیستم های اسمبلی کد آنها شود. امنیت باید به طور یکپارچه در این فرآیندها تعبیه شود و فقط باید یک ویژگی باشد که به طور خودکار توسط سیستم مورد استفاده توسعه دهندگان شما فراخوانی شود.
مرحله نهم: روی موارد ضروری تمرکز کنید
بر آنچه برای شرکت شما ارزش واقعی می آورد تمرکز کنید. اسکن ها می توانند خودکار باشند، گزارش ها نیز می توانند به صورت خودکار ارسال شوند.
روی بهبود فرآیندها تمرکز کنید تا آنها را برای همه افراد درگیر انعطاف پذیرتر و راحت تر کنید. روی اطمینان از اینکه امنیت در همه قراردادها با طرفهای مقابل شما گنجانده شده است، تمرکز کنید، آنها، برای مثال، برنامههای کاربردی وب را برای شما توسعه میدهند.
اگر به اطلاعات دقیق تری در مورد نحوه ایجاد فرآیند مدیریت آسیب پذیری در شرکت خود نیاز دارید، لطفا با من و همکارانم تماس بگیرید. خوشحال میشم کمک کنم
منبع: www.habr.com