Nous avons eu un grand 4 juillet . Aujourd'hui, nous publions une transcription du discours d'Andrey Novikov de Qualys. Il vous indiquera les étapes à suivre pour créer un workflow de gestion des vulnérabilités. Spoiler : nous n’atteindrons qu’à mi-chemin avant de scanner.
Étape n°1 : Déterminez le niveau de maturité de vos processus de gestion des vulnérabilités
Dès le début, vous devez comprendre à quel stade se trouve votre organisation en termes de maturité de ses processus de gestion des vulnérabilités. Ce n’est qu’après cela que vous pourrez comprendre où déménager et quelles mesures doivent être prises. Avant de se lancer dans des analyses et d'autres activités, les organisations doivent effectuer un travail interne pour comprendre comment vos processus actuels sont structurés du point de vue de la sécurité informatique et de l'information.
Essayez de répondre aux questions de base :
- Disposez-vous de processus d'inventaire et de classification des actifs ;
- À quelle fréquence l'infrastructure informatique est-elle analysée et l'ensemble de l'infrastructure est-il couvert, avez-vous une vue d'ensemble ?
- Vos ressources informatiques sont-elles surveillées ?
- Des KPI sont-ils mis en œuvre dans vos processus et comment comprenez-vous qu'ils sont respectés ?
- Tous ces processus sont-ils documentés ?
Étape n°2 : Assurer une couverture complète de l’infrastructure
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Si vous n’avez pas une idée complète de la composition de votre infrastructure informatique, vous ne pourrez pas la protéger. Les infrastructures modernes sont complexes et évoluent constamment quantitativement et qualitativement.
Désormais, l'infrastructure informatique repose non seulement sur une pile de technologies classiques (postes de travail, serveurs, machines virtuelles), mais également sur des technologies relativement nouvelles - conteneurs, microservices. Le service de sécurité de l'information fuit ces derniers de toutes les manières possibles, car il lui est très difficile de travailler avec eux en utilisant les ensembles d'outils existants, constitués principalement de scanners. Le problème est qu’aucun scanner ne peut couvrir l’intégralité de l’infrastructure. Pour qu’un scanner puisse atteindre n’importe quel nœud de l’infrastructure, plusieurs facteurs doivent coïncider. L'actif doit se trouver dans le périmètre de l'organisation au moment de l'analyse. Le scanner doit avoir un accès réseau aux actifs et à leurs comptes afin de collecter des informations complètes.
Selon nos statistiques, lorsqu'il s'agit d'organisations de taille moyenne ou grande, environ 15 à 20 % de l'infrastructure n'est pas capturée par le scanner pour une raison ou une autre : l'actif a dépassé le périmètre ou n'apparaît jamais du tout dans le bureau. Par exemple, l'ordinateur portable d'un employé qui travaille à distance mais a toujours accès au réseau de l'entreprise, ou l'actif est situé dans des services cloud externes tels qu'Amazon. Et le scanner ne saura probablement rien de ces actifs, car ils se trouvent en dehors de sa zone de visibilité.
Pour couvrir l'ensemble de l'infrastructure, vous devez utiliser non seulement des scanners, mais tout un ensemble de capteurs, y compris des technologies d'écoute passive du trafic pour détecter de nouveaux appareils dans votre infrastructure, une méthode de collecte de données d'agent pour recevoir des informations - vous permet de recevoir des données en ligne, sans la nécessité de numériser, sans mettre en évidence les informations d'identification.
Étape n°3 : catégoriser les actifs
Tous les actifs ne sont pas créés égaux. C'est votre travail de déterminer quels actifs sont importants et lesquels ne le sont pas. Aucun outil, comme un scanner, ne fera cela à votre place. Idéalement, la sécurité de l'information, l'informatique et les entreprises travaillent ensemble pour analyser l'infrastructure afin d'identifier les systèmes critiques pour l'entreprise. Pour eux, ils déterminent des métriques acceptables en matière de disponibilité, d’intégrité, de confidentialité, de RTO/RPO, etc.
Cela vous aidera à prioriser votre processus de gestion des vulnérabilités. Lorsque vos spécialistes recevront des données sur les vulnérabilités, il ne s'agira pas d'une fiche avec des milliers de vulnérabilités sur l'ensemble de l'infrastructure, mais d'informations granulaires prenant en compte la criticité des systèmes.
Étape n°4 : Réaliser une évaluation des infrastructures
Et ce n’est qu’à la quatrième étape que nous arrivons à évaluer l’infrastructure du point de vue des vulnérabilités. A ce stade, nous vous recommandons de prêter attention non seulement aux vulnérabilités logicielles, mais également aux erreurs de configuration, qui peuvent également constituer une vulnérabilité. Nous recommandons ici la méthode d'agent pour collecter des informations. Les scanners peuvent et doivent être utilisés pour évaluer la sécurité du périmètre. Si vous utilisez les ressources de fournisseurs de cloud, vous devez également collecter des informations sur les actifs et les configurations à partir de là. Portez une attention particulière à l’analyse des vulnérabilités des infrastructures utilisant des conteneurs Docker.
Étape n° 5 : Configurer les rapports
C’est l’un des éléments importants du processus de gestion des vulnérabilités.
Le premier point : personne ne travaillera avec des rapports de plusieurs pages contenant une liste aléatoire de vulnérabilités et des descriptions de la manière de les éliminer. Tout d'abord, vous devez communiquer avec vos collègues et découvrir ce qui devrait figurer dans le rapport et comment il est plus pratique pour eux de recevoir des données. Par exemple, certains administrateurs n'ont pas besoin d'une description détaillée de la vulnérabilité et n'ont besoin que d'informations sur le correctif et d'un lien vers celui-ci. Un autre spécialiste ne se soucie que des vulnérabilités trouvées dans l'infrastructure réseau.
Deuxième point : par reporting, j’entends non seulement les rapports papier. Il s'agit d'un format obsolète pour obtenir des informations et une histoire statique. Une personne reçoit un rapport et ne peut en aucun cas influencer la manière dont les données seront présentées dans ce rapport. Pour obtenir le rapport sous la forme souhaitée, l'informaticien doit contacter le spécialiste de la sécurité de l'information et lui demander de reconstruire le rapport. Au fil du temps, de nouvelles vulnérabilités apparaissent. Au lieu de transmettre les rapports d’un département à l’autre, les spécialistes des deux disciplines devraient pouvoir surveiller les données en ligne et avoir une vision identique. C'est pourquoi, dans notre plateforme, nous utilisons des rapports dynamiques sous forme de tableaux de bord personnalisables.
Étape n°6 : prioriser
Ici, vous pouvez effectuer les opérations suivantes :
1. Création d'un référentiel avec des images dorées des systèmes. Travaillez avec des images dorées, vérifiez régulièrement leurs vulnérabilités et corrigez leur configuration. Cela peut être fait avec l'aide d'agents qui signaleront automatiquement l'émergence d'un nouvel actif et fourniront des informations sur ses vulnérabilités.
2. Concentrez-vous sur les actifs essentiels à l'entreprise. Aucune organisation au monde ne peut éliminer les vulnérabilités d’un seul coup. Le processus d’élimination des vulnérabilités est long, voire fastidieux.
3. Réduire la surface d’attaque. Nettoyez votre infrastructure des logiciels et services inutiles, fermez les ports inutiles. Nous avons récemment eu un cas avec une entreprise dans laquelle environ 40 100 vulnérabilités liées à l'ancienne version du navigateur Mozilla ont été trouvées sur XNUMX XNUMX appareils. Comme il s'est avéré plus tard, Mozilla a été introduit dans l'image dorée il y a de nombreuses années, personne ne l'utilise, mais il est à l'origine d'un grand nombre de vulnérabilités. Lorsque le navigateur a été supprimé des ordinateurs (même sur certains serveurs), ces dizaines de milliers de vulnérabilités ont disparu.
4. Classez les vulnérabilités en fonction des informations sur les menaces. Tenez compte non seulement de la criticité de la vulnérabilité, mais également de la présence d'un exploit public, d'un logiciel malveillant, d'un correctif ou d'un accès externe au système présentant la vulnérabilité. Évaluez l’impact de cette vulnérabilité sur les systèmes critiques de l’entreprise : peut-elle entraîner une perte de données, un déni de service, etc.
Étape n°7 : se mettre d’accord sur les KPI
Ne scannez pas pour le plaisir de scanner. Si rien n’arrive aux vulnérabilités trouvées, alors cette analyse se transforme en une opération inutile. Pour éviter que travailler avec des vulnérabilités ne devienne une formalité, réfléchissez à la manière dont vous évaluerez ses résultats. La sécurité de l'information et l'informatique doivent se mettre d'accord sur la manière dont le travail d'élimination des vulnérabilités sera structuré, la fréquence à laquelle les analyses seront effectuées, les correctifs seront installés, etc.
Sur la diapositive, vous voyez des exemples de KPI possibles. Il existe également une liste étendue que nous recommandons à nos clients. Si vous êtes intéressé, n'hésitez pas à me contacter, je partagerai cette information avec vous.
Étape n°8 : Automatiser
Revenons à la numérisation. Chez Qualys, nous pensons que l'analyse est la chose la moins importante qui puisse se produire aujourd'hui dans le processus de gestion des vulnérabilités, et qu'elle doit avant tout être automatisée autant que possible afin qu'elle soit effectuée sans la participation d'un spécialiste de la sécurité de l'information. Il existe aujourd’hui de nombreux outils qui permettent de le faire. Il suffit qu'ils disposent d'une API ouverte et du nombre requis de connecteurs.
L'exemple que j'aime donner est DevOps. Si vous y implémentez un scanner de vulnérabilités, vous pouvez tout simplement oublier DevOps. Avec les anciennes technologies, qui sont un scanner classique, vous ne serez tout simplement pas autorisé à participer à ces processus. Les développeurs n'attendront pas que vous les numérisiez et leur fournissiez un rapport de plusieurs pages peu pratique. Les développeurs s'attendent à ce que les informations sur les vulnérabilités entrent dans leurs systèmes d'assemblage de code sous la forme d'informations sur les bogues. La sécurité doit être intégrée de manière transparente à ces processus et doit simplement être une fonctionnalité appelée automatiquement par le système utilisé par vos développeurs.
Étape n°9 : Concentrez-vous sur l’essentiel
Concentrez-vous sur ce qui apporte une réelle valeur à votre entreprise. Les analyses peuvent être automatiques, les rapports peuvent également être envoyés automatiquement.
Concentrez-vous sur l’amélioration des processus pour les rendre plus flexibles et plus pratiques pour toutes les personnes impliquées. Veillez à ce que la sécurité soit intégrée à tous les contrats avec vos contreparties, qui, par exemple, développent des applications Web pour vous.
Si vous avez besoin d'informations plus détaillées sur la façon de créer un processus de gestion des vulnérabilités dans votre entreprise, veuillez me contacter ainsi que mes collègues. Je serai heureux de vous aider.
Source: habr.com