Wy hiene in grutte 4 july . Hjoed publisearje wy in transkripsje fan 'e taspraak fan Andrey Novikov út Qualys. Hy sil jo fertelle hokker stappen jo moatte trochgean om in workflow foar kwetsberensbehear op te bouwen. Spoiler: wy sille allinich it heale punt berikke foar it scannen.
Stap #1: Bepale it folwoeksenheidsnivo fan jo prosessen foar kwetsberensbehear
Oan it begjin moatte jo begripe yn hokker stadium jo organisaasje is yn termen fan folwoeksenheid fan har prosessen foar kwetsberensbehear. Pas nei dit sille jo kinne begripe wêr't jo moatte ferpleatse en hokker stappen moatte wurde nommen. Foardat se begjinne mei scans en oare aktiviteiten, moatte organisaasjes wat ynterne wurk dwaan om te begripen hoe't jo hjoeddeistige prosessen binne strukturearre út in IT- en ynformaasjefeiligensperspektyf.
Besykje de basisfragen te beantwurdzjen:
- Hawwe jo prosessen foar ynventarisaasje en assetklassifikaasje;
- Hoe regelmjittich wurdt de IT-ynfrastruktuer skansearre en is de hiele ynfrastruktuer bedekt, sjogge jo it hiele byld;
- Binne jo IT-boarnen kontrolearre?
- Binne alle KPI's ymplementearre yn jo prosessen en hoe begripe jo dat se foldien wurde;
- Binne al dizze prosessen dokumintearre?
Stap #2: Soargje foar folsleine ynfrastruktuerdekking
Jo kinne net beskermje wat jo net witte. As jo gjin folslein byld hawwe fan wêrfan jo IT-ynfrastruktuer is makke, kinne jo it net beskermje. Moderne ynfrastruktuer is kompleks en feroaret hieltyd kwantitatyf en kwalitatyf.
No is de IT-ynfrastruktuer net allinich basearre op in stapel fan klassike technologyen (wurkstasjons, servers, firtuele masines), mar ek op relatyf nije - konteners, mikrotsjinsten. De tsjinst foar ynformaasjefeiligens rint op alle mooglike manieren fan dat lêste ôf, om't it heul lestich is om mei har te wurkjen mei besteande arksets, dy't benammen út scanners besteane. It probleem is dat elke scanner de heule ynfrastruktuer net kin dekke. Om in scanner elke knooppunt yn 'e ynfrastruktuer te berikken, moatte ferskate faktoaren gearfalle. De asset moat binnen de perimeter fan 'e organisaasje wêze op it momint fan skennen. De scanner moat netwurk tagong hawwe ta aktiva en har akkounts om folsleine ynformaasje te sammeljen.
Neffens ús statistiken, as it giet om middelgrutte of grutte organisaasjes, wurdt sawat 15–20% fan 'e ynfrastruktuer om ien of oare reden net opnommen troch de scanner: de asset is bûten de perimeter ferpleatst of ferskynt hielendal noait yn it kantoar. Bygelyks in laptop fan in meiwurker dy't op ôfstân wurket, mar dochs tagong hat ta it bedriuwsnetwurk, of de asset leit yn eksterne wolktsjinsten lykas Amazon. En de scanner sil nei alle gedachten neat witte oer dizze aktiva, om't se bûten har sichtberens lizze.
Om de hiele ynfrastruktuer te dekken, moatte jo net allinich scanners brûke, mar in heule set sensoren, ynklusyf passive harkjende technologyen foar it opspoaren fan nije apparaten yn jo ynfrastruktuer, metoade foar it sammeljen fan agintgegevens om ynformaasje te ûntfangen - kinne jo gegevens online ûntfange, sûnder de needsaak foar skennen, sûnder referinsjes te markearjen.
Stap #3: Kategorisearjen fan aktiva
Net alle aktiva binne gelyk oanmakke. It is jo taak om te bepalen hokker aktiva wichtich binne en hokker net. Gjin ark, lykas in scanner, sil dit foar jo dwaan. Ideaallik wurkje ynformaasjefeiligens, IT en bedriuw gear om de ynfrastruktuer te analysearjen om saaklike krityske systemen te identifisearjen. Foar har bepale se akseptabele metriken foar beskikberens, yntegriteit, fertroulikens, RTO / RPO, ensfh.
Dit sil jo helpe om jo proses foar kwetsberensbehear te prioritearjen. As jo spesjalisten gegevens ûntfange oer kwetsberens, sil it gjin blêd wêze mei tûzenen kwetsberens oer de heule ynfrastruktuer, mar korrelige ynformaasje mei rekken hâldend mei de kritykens fan 'e systemen.
Stap # 4: Fiere in ynfrastruktuer beoardieling
En pas by de fjirde stap komme wy ta it beoardieljen fan de ynfrastruktuer út it eachpunt fan kwetsberens. Op dit poadium riede wy oan dat jo net allinich omtinken jaan oan kwetsberens fan software, mar ek op konfiguraasjefouten, dy't ek in kwetsberens kinne wêze. Hjir advisearje wy de agintmetoade foar it sammeljen fan ynformaasje. Scanners kinne en moatte wurde brûkt om perimeterfeiligens te beoardieljen. As jo de boarnen fan wolkproviders brûke, dan moatte jo dêr ek ynformaasje sammelje oer aktiva en konfiguraasjes. Jou spesjaal omtinken foar it analysearjen fan kwetsberens yn ynfrastruktuer mei Docker-konteners.
Stap #5: Stel rapportaazje yn
Dit is ien fan 'e wichtige eleminten binnen it proses foar kwetsberensbehear.
It earste punt: gjinien sil wurkje mei rapporten mei meardere siden mei in willekeurige list fan kwetsberens en beskriuwingen fan hoe't se se eliminearje. Earst moatte jo kommunisearje mei kollega's en útfine wat der yn it rapport stean moat en hoe't it handiger is foar har om gegevens te ûntfangen. Guon behearder hat bygelyks gjin detaillearre beskriuwing fan 'e kwetsberens nedich en hat allinich ynformaasje nedich oer de patch en in keppeling dêre. In oare spesjalist soarget allinich foar kwetsberens fûn yn 'e netwurkynfrastruktuer.
Twadde punt: mei melde bedoel ik net allinnich papieren berjochten. Dit is in ferâldere opmaak foar it krijen fan ynformaasje en in statysk ferhaal. In persoan krijt in rapport en kin op gjin inkelde manier beynfloedzje hoe't de gegevens yn dit rapport presintearre wurde. Om it rapport yn 'e winske foarm te krijen, moat de IT-spesjalist kontakt opnimme mei de spesjalist foar ynformaasjefeiligens en him freegje om it rapport opnij op te bouwen. As de tiid trochgiet, ferskine nije kwetsberens. Ynstee fan rapporten fan ôfdieling nei ôfdieling te triuwen, moatte spesjalisten yn beide dissiplines de gegevens online kontrolearje en itselde byld sjen kinne. Dêrom brûke wy yn ús platfoarm dynamyske rapporten yn 'e foarm fan oanpasbere dashboards.
Stap #6: Prioritearje
Hjir kinne jo it folgjende dwaan:
1. It meitsjen fan in repository mei gouden bylden fan systemen. Wurkje mei gouden ôfbyldings, kontrolearje se op kwetsberens en juste konfiguraasje op in trochgeande basis. Dit kin dien wurde mei help fan aginten dy't automatysk it ûntstean fan in nije asset rapportearje en ynformaasje leverje oer syn kwetsberens.
2. Fokus op dy aktiva dy't kritysk binne foar it bedriuw. D'r is net ien organisaasje yn 'e wrâld dy't kwetsberens yn ien kear kin eliminearje. It proses fan it eliminearjen fan kwetsberens is lang en sels ferfeelsum.
3. Fersmelling fan de oanfal oerflak. Skjinmeitsje jo ynfrastruktuer fan ûnnedige software en tsjinsten, slute ûnnedige havens. Wy hawwe koartlyn in saak hân mei ien bedriuw wêryn sawat 40 tûzen kwetsberens relatearre oan 'e âlde ferzje fan' e Mozilla-blêder waarden fûn op 100 tûzen apparaten. As letter die bliken, waard Mozilla in protte jierren lyn yn 'e gouden ôfbylding ynfierd, gjinien brûkt it, mar it is de boarne fan in grut oantal kwetsberens. Doe't de browser fan kompjûters fuorthelle waard (it wie sels op guon servers), ferdwûnen dizze tsientûzenen kwetsberens.
4. Rank kwetsberens basearre op bedriging yntelliginsje. Beskôgje net allinich de kritykens fan 'e kwetsberens, mar ek de oanwêzigens fan in iepenbiere eksploitaasje, malware, patch, of eksterne tagong ta it systeem mei de kwetsberens. Beoardielje de ynfloed fan dizze kwetsberens op krityske bedriuwssystemen: kin it liede ta gegevensferlies, ûntkenning fan tsjinst, ensfh.
Stap #7: Iens oer KPI's
Scan net om 'e wille fan it scannen. As der neat bart mei de fûne kwetsberens, dan feroaret dizze skennen yn in nutteleaze operaasje. Om foar te kommen dat wurkjen mei kwetsberens in formaliteit wurdt, tink oer hoe't jo de resultaten sille evaluearje. Ynformaasjefeiligens en IT moatte it iens wurde oer hoe't it wurk om kwetsberens te eliminearjen sil wurde strukturearre, hoe faak scans sille wurde útfierd, patches sille wurde ynstalleare, ensfh.
Op de slide sjogge jo foarbylden fan mooglike KPI's. D'r is ek in útwreide list dy't wy oan ús kliïnten oanbefelje. As jo ynteressearre binne, nim dan kontakt mei my op, ik sil dizze ynformaasje mei jo diele.
Stap #8: Automatisearje
Werom nei skennen wer. By Qualys binne wy fan betinken dat it skennen it meast ûnbelangrike ding is dat hjoeddedei yn it kwetsberensbehearproses barre kin, en dat it foarearst safolle mooglik automatisearre wurde moat sadat it útfierd wurdt sûnder de dielname fan in spesjalist foar ynformaasjefeiligens. Tsjintwurdich binne d'r in protte ark wêrmei jo dit kinne dwaan. It is genôch dat se in iepen API hawwe en it fereaske oantal ferbiningen.
It foarbyld dat ik graach jaan is DevOps. As jo dêr in kwetsberensscanner implementearje, kinne jo DevOps gewoan ferjitte. Mei âlde technologyen, dat is in klassike scanner, sille jo gewoan net yn dizze prosessen wurde tastien. Untwikkelders sille net wachtsje op jo om te scannen en har in ûngemaklik rapport fan meardere siden te jaan. Untwikkelders ferwachtsje dat ynformaasje oer kwetsberens har koade-assemblagesystemen yn 'e foarm fan bug-ynformaasje sil ynfiere. Feiligens moat naadloos yn dizze prosessen ynboud wurde, en it moat gewoan in funksje wêze dy't automatysk wurdt oanroppen troch it systeem dat jo ûntwikkelders brûke.
Stap #9: Fokus op de Essentials
Fokus op wat echte wearde bringt foar jo bedriuw. Scans kinne automatysk wêze, rapporten kinne ek automatysk ferstjoerd wurde.
Fokus op it ferbetterjen fan prosessen om se fleksibeler en handiger te meitsjen foar alle belutsenen. Fokus op it garandearjen dat feiligens is ynboud yn alle kontrakten mei jo tsjinpartijen, dy't bygelyks webapplikaasjes foar jo ûntwikkelje.
As jo mear detaillearre ynformaasje nedich hawwe oer hoe't jo in kwetsberensbehearproses yn jo bedriuw kinne bouwe, nim dan kontakt op mei my en myn kollega's. Ik sil graach helpe.
Boarne: www.habr.com