Meillä oli iso 4. heinäkuuta . Tänään julkaisemme Qualysin Andrei Novikovin puheen tekstin. Hän kertoo sinulle, mitä vaiheita sinun on suoritettava haavoittuvuuksien hallinnan työnkulun rakentamiseksi. Spoileri: saavutamme vasta puolivälin ennen skannausta.
Vaihe 1: Määritä haavoittuvuuksien hallintaprosessien kypsyysaste
Heti alussa sinun on ymmärrettävä, missä vaiheessa organisaatiosi on haavoittuvuuksien hallintaprosessien kypsyyden suhteen. Vasta tämän jälkeen pystyt ymmärtämään, minne sinun on siirryttävä ja mihin toimiin on ryhdyttävä. Ennen skannausten ja muiden toimintojen aloittamista organisaatioiden on tehtävä sisäistä työtä ymmärtääkseen, kuinka nykyiset prosessisi on rakennettu IT- ja tietoturvanäkökulmasta.
Yritä vastata peruskysymyksiin:
- Onko sinulla prosesseja varaston ja omaisuuden luokittelua varten;
- Kuinka säännöllisesti IT-infrastruktuuria skannataan ja onko koko infrastruktuuri katettu, näetkö kokonaiskuvan?
- Valvotaanko IT-resurssejasi?
- Onko prosesseissasi käytössä KPI:itä ja miten ymmärrät niiden täyttyvän?
- Onko kaikki nämä prosessit dokumentoitu?
Vaihe 2: Varmista koko infrastruktuurin kattavuus
Et voi suojella sellaista, josta et tiedä. Jos sinulla ei ole täydellistä kuvaa siitä, mistä IT-infrastruktuurisi koostuu, et voi suojata sitä. Nykyaikainen infrastruktuuri on monimutkainen ja muuttuu jatkuvasti määrällisesti ja laadullisesti.
Nyt IT-infrastruktuuri ei perustu pelkästään pinoon klassisia teknologioita (työasemat, palvelimet, virtuaalikoneet), vaan myös suhteellisen uusiin - konteihin, mikropalveluihin. Tietoturvapalvelu pakenee jälkimmäisiä kaikin mahdollisin tavoin, koska sen on erittäin vaikea työskennellä niiden kanssa olemassa olevilla työkalusarjoilla, jotka koostuvat pääasiassa skannereista. Ongelmana on, että mikään skanneri ei voi kattaa koko infrastruktuuria. Jotta skanneri tavoittaisi minkä tahansa infrastruktuurin solmun, useiden tekijöiden on oltava samat. Omaisuuden on oltava organisaation alueella skannaushetkellä. Skannerilla on oltava verkkoyhteys omaisuuteen ja niiden tileihin voidakseen kerätä täydellisiä tietoja.
Tilastomme mukaan keskisuurten tai suurten organisaatioiden osalta noin 15–20 % infrastruktuurista jää jostain syystä kaappaamatta skannerille: omaisuus on siirtynyt kehän ulkopuolelle tai ei näy toimistossa ollenkaan. Esimerkiksi työntekijän kannettava tietokone, joka työskentelee etänä, mutta jolla on silti pääsy yrityksen verkkoon, tai omaisuus sijaitsee ulkoisissa pilvipalveluissa, kuten Amazon. Ja skanneri ei todennäköisesti tiedä mitään näistä varoista, koska ne ovat sen näkyvyysalueen ulkopuolella.
Koko infrastruktuurin kattamiseksi sinun on käytettävä skannerien lisäksi koko joukko antureita, mukaan lukien passiiviset liikenteen kuuntelutekniikat uusien laitteiden havaitsemiseksi infrastruktuurissasi, agenttitietojen keruumenetelmä tiedon vastaanottamiseen - mahdollistaa tietojen vastaanottamisen verkossa ilman skannauksen tarve ilman valtuustietojen korostamista.
Vaihe 3: Luokittele omaisuus
Kaikkia omaisuutta ei luoda tasa-arvoisiksi. Sinun tehtäväsi on määrittää, mitkä omaisuuserät ovat tärkeitä ja mitkä eivät. Mikään työkalu, kuten skanneri, ei tee tätä puolestasi. Ihannetapauksessa tietoturva, IT ja liiketoiminta tekevät yhteistyötä analysoidakseen infrastruktuuria liiketoimintakriittisten järjestelmien tunnistamiseksi. He määrittelevät hyväksyttävät mittarit saatavuudelle, eheydelle, luottamuksellisuudesta, RTO/RPO:lle jne.
Tämä auttaa sinua priorisoimaan haavoittuvuuksien hallintaprosessisi. Kun asiantuntijasi saavat tietoja haavoittuvuuksista, se ei ole taulukko, jossa on tuhansia haavoittuvuuksia koko infrastruktuurissa, vaan osittaista tietoa, joka ottaa huomioon järjestelmien kriittisyyden.
Vaihe 4: Suorita infrastruktuurin arviointi
Ja vasta neljännessä vaiheessa tullaan arvioimaan infrastruktuuria haavoittuvuuksien näkökulmasta. Tässä vaiheessa suosittelemme, että kiinnität huomiota ohjelmiston haavoittuvuuksien lisäksi myös määritysvirheisiin, jotka voivat myös olla haavoittuvuus. Tässä suosittelemme agenttimenetelmää tietojen keräämiseen. Skannereita voidaan ja pitää käyttää kehän turvallisuuden arvioimiseen. Jos käytät pilvipalveluntarjoajien resursseja, sinun on myös kerättävä sieltä tietoja resursseista ja kokoonpanoista. Kiinnitä erityistä huomiota Docker-konttia käyttävien infrastruktuurien haavoittuvuuksien analysointiin.
Vaihe 5: Määritä raportointi
Tämä on yksi tärkeimmistä osista haavoittuvuuden hallintaprosessissa.
Ensimmäinen kohta: kukaan ei työskentele monisivuisten raporttien kanssa, joissa on satunnainen luettelo haavoittuvuuksista ja kuvaukset niiden poistamisesta. Ensinnäkin sinun on kommunikoitava kollegoiden kanssa ja selvitettävä, mitä raportissa pitäisi olla ja kuinka heidän on helpompi vastaanottaa tietoja. Esimerkiksi jotkut järjestelmänvalvojat eivät tarvitse yksityiskohtaista kuvausta haavoittuvuudesta ja tarvitsevat vain tietoja korjaustiedostosta ja linkin siihen. Toinen asiantuntija välittää vain verkkoinfrastruktuurin haavoittuvuuksista.
Toinen kohta: raportilla en tarkoita vain paperiraportteja. Tämä on vanhentunut muoto tiedon ja staattisen tarinan hankkimiseen. Henkilö saa raportin, eikä hän voi millään tavalla vaikuttaa siihen, miten tiedot esitetään tässä raportissa. Saadakseen raportin halutussa muodossa IT-asiantuntijan tulee ottaa yhteyttä tietoturvaasiantuntijaan ja pyytää häntä rakentamaan raportti uudelleen. Ajan myötä uusia haavoittuvuuksia ilmaantuu. Sen sijaan, että työntäisivät raportteja osastolta toiselle, molempien tieteenalojen asiantuntijoiden pitäisi pystyä seuraamaan tietoja verkossa ja näkemään saman kuvan. Tästä syystä käytämme alustassamme dynaamisia raportteja mukautettavien kojetaulujen muodossa.
Vaihe 6: Priorisoi
Täällä voit tehdä seuraavaa:
1. Luodaan arkiston kultaisia kuvia järjestelmistä. Työskentele kultaisten kuvien kanssa, tarkista niiden haavoittuvuudet ja korjaa konfiguraatiot jatkuvasti. Tämä voidaan tehdä agenttien avulla, jotka ilmoittavat automaattisesti uuden omaisuuden ilmaantumisesta ja antavat tietoa sen haavoittuvuuksista.
2. Keskity niihin omaisuuseriin, jotka ovat liiketoiminnan kannalta kriittisiä. Maailmassa ei ole ainuttakaan organisaatiota, joka voisi poistaa haavoittuvuudet yhdellä kertaa. Haavoittuvuuksien poistamisprosessi on pitkä ja jopa työläs.
3. Hyökkäyspinnan kaventaminen. Puhdista infrastruktuurisi tarpeettomista ohjelmistoista ja palveluista, sulje tarpeettomat portit. Meillä oli äskettäin tapaus yhden yrityksen kanssa, jossa noin 40 tuhatta Mozilla-selaimen vanhaan versioon liittyvää haavoittuvuutta löydettiin 100 tuhannesta laitteesta. Kuten myöhemmin kävi ilmi, Mozilla otettiin käyttöön kultaiseen kuvaan monta vuotta sitten, kukaan ei käytä sitä, mutta se on monien haavoittuvuuksien lähde. Kun selain poistettiin tietokoneilta (se oli jopa joillakin palvelimilla), nämä kymmenet tuhannet haavoittuvuudet katosivat.
4. Luokittele haavoittuvuudet uhkatiedon perusteella. Ota huomioon haavoittuvuuden kriittisyyden lisäksi myös julkinen hyväksikäyttö, haittaohjelma, korjaustiedosto tai ulkoinen pääsy haavoittuvuuden sisältävään järjestelmään. Arvioi tämän haavoittuvuuden vaikutus kriittisiin liiketoimintajärjestelmiin: voiko se johtaa tietojen katoamiseen, palvelun epäämiseen jne.
Vaihe 7: Sovi KPI:t
Älä skannaa skannauksen vuoksi. Jos löydetyille haavoittuvuuksille ei tapahdu mitään, tämä tarkistus muuttuu hyödyttömäksi toiminnoksi. Jotta haavoittuvuuksien käsittelystä ei muodostu muodollisuutta, mieti, miten arvioit sen tuloksia. Tietoturvan ja IT:n tulee sopia, miten haavoittuvuuksien eliminointityö rakennetaan, kuinka usein skannaukset suoritetaan, korjaustiedostoja asennetaan jne.
Dialla näet esimerkkejä mahdollisista KPI:istä. Tarjolla on myös laajennettu lista, jota suosittelemme asiakkaillemme. Jos olet kiinnostunut, ota yhteyttä, jaan tämän tiedon kanssasi.
Vaihe 8: Automatisoi
Takaisin skannaukseen. Uskomme Qualysilla, että skannaus on kaikkein merkityksettömin asia, mitä haavoittuvuuksien hallintaprosessissa nykyään voi tapahtua, ja että se on ennen kaikkea automatisoitava mahdollisimman pitkälle, jotta se suoritetaan ilman tietoturvaasiantuntijan osallistumista. Nykyään on monia työkaluja, joiden avulla voit tehdä tämän. Riittää, että heillä on avoin API ja tarvittava määrä liittimiä.
Esimerkki, jonka haluan antaa, on DevOps. Jos otat käyttöön haavoittuvuusskannerin, voit yksinkertaisesti unohtaa DevOpsin. Vanhoilla teknologioilla, jotka ovat klassinen skanneri, sinua ei yksinkertaisesti päästetä näihin prosesseihin. Kehittäjät eivät odota, että skannaat ja annat heille monisivuisen, hankalan raportin. Kehittäjät odottavat, että tiedot haavoittuvuuksista tulevat heidän koodinkokoonpanojärjestelmiinsä virhetietojen muodossa. Suojauksen tulee olla saumattomasti sisäänrakennettu näihin prosesseihin, ja sen pitäisi olla vain ominaisuus, jota kehittäjien käyttämä järjestelmä kutsuu automaattisesti.
Vaihe 9: Keskity olennaiseen
Keskity siihen, mikä tuo todellista arvoa yrityksellesi. Skannaukset voivat olla automaattisia, raportit voidaan lähettää myös automaattisesti.
Keskity prosessien parantamiseen, jotta ne olisivat joustavampia ja mukavampia kaikille osapuolille. Keskity varmistamaan, että tietoturva sisältyy kaikkiin sopimuksiin vastapuolesi kanssa, jotka esimerkiksi kehittävät verkkosovelluksia puolestasi.
Jos tarvitset tarkempaa tietoa haavoittuvuuksien hallintaprosessin rakentamisesta yritykseesi, ota yhteyttä minuun ja kollegoihini. Autan mielelläni.
Lähde: will.com