O 4 de xullo pasámolo grande . Hoxe publicamos unha transcrición do discurso de Andrey Novikov de Qualys. Indicarache os pasos que debes seguir para crear un fluxo de traballo de xestión de vulnerabilidades. Alerta de spoiler: só comezaremos a escanear a metade.
Paso #1: Determine o nivel de madurez dos procesos de xestión de vulnerabilidades
Ao principio, cómpre comprender onde está a súa organización en canto á madurez dos procesos de xestión de vulnerabilidades. Só así poderás entender cara a onde vas e que pasos debes tomar. Antes de lanzarse a escaneos e outras actividades, as organizacións deben facer un traballo interno e comprender como se organizan os seus procesos actuais desde a perspectiva da TI e da seguridade da información.
Tenta responder ás preguntas básicas:
- dispón de procesos para inventariar e clasificar os bens;
- con que frecuencia se escanea a infraestrutura de TI e se está cuberta toda a infraestrutura, se ve a imaxe completa;
- Están monitorizados os seus recursos informáticos?
- se se implementan KPI nos seus procesos e como entendes que se están a implementar;
- Están documentados todos estes procesos?
Paso #2: Obtén cobertura total da infraestrutura
Non podes protexer o que non coñeces. Se non tes unha imaxe completa do que está formada a túa infraestrutura de TI, non poderás protexela. A infraestrutura moderna é complexa e está en constante cambio cuantitativa e cualitativa.
Agora a infraestrutura informática baséase non só nunha pila de tecnoloxías clásicas (estación de traballo, servidores, máquinas virtuais), senón tamén en outras relativamente novas: contedores, microservizos. O servizo de seguridade da información foxe de todos os xeitos posibles destes últimos, xa que lle resulta moi difícil traballar con eles utilizando as ferramentas existentes, que consisten principalmente en escáneres. O problema é que ningún escáner non pode cubrir toda a infraestrutura. Para que o escáner chegue a calquera nodo da infraestrutura, deben coincidir varios factores á vez. O activo debe estar dentro do perímetro da organización no momento da exploración. O escáner debe ter acceso á rede aos activos, ás súas contas, para recoller información completa.
Segundo as nosas estatísticas, cando se trata de organizacións medianas ou grandes, aproximadamente o 15-20% da infraestrutura non é capturada polo escáner por unha razón ou outra: o activo saíu do perímetro ou nunca aparece na oficina. Por exemplo, un portátil dun empregado que traballa de forma remota, pero que ao mesmo tempo ten acceso á rede corporativa, ou o activo está situado en servizos de nube externos como Amazon. E o escáner, moi probablemente, non saberá nada destes activos, xa que están fóra da súa liña de visión.
Para cubrir toda a infraestrutura, necesitas usar non só escáneres, senón todo un conxunto de sensores, incluíndo tecnoloxías de escoita de tráfico pasiva para detectar novos dispositivos na túa infraestrutura, un método de recollida de datos baseado en axentes para recibir información: permíteche recibir datos. en liña, sen necesidade de escanear, sen illar as credenciais.
Paso 3: categorizar os activos
Non todos os activos son igualmente útiles. Correspóndelle a vostede determinar que activos son importantes e cales non. Ningunha ferramenta, o mesmo escáner, o fará por ti. Idealmente, a seguridade da información, a TI e a empresa analizan a infraestrutura xuntos para destacar os sistemas críticos para a empresa. Para eles, definen métricas aceptables de dispoñibilidade, integridade, confidencialidade, RTO/RPO, etc.
Isto axudará a priorizar o proceso de xestión de vulnerabilidades. Cando os teus especialistas reciban datos sobre vulnerabilidades, non será unha ficha con miles de vulnerabilidades en toda a infraestrutura, senón información granular, tendo en conta a criticidade dos sistemas.
Paso 4: Realizar unha avaliación da infraestrutura
E só no cuarto paso chegamos a avaliar a infraestrutura en termos de vulnerabilidades. Nesta fase, recomendámosche que prestes atención non só ás vulnerabilidades do software, senón tamén aos erros nas configuracións, que tamén poden ser unha vulnerabilidade. Aquí recomendamos o método baseado en axentes para recoller información. Os escáneres poden e deben utilizarse para avaliar a seguridade do perímetro. Se usas os recursos dos provedores de nube, tamén debes recompilar información sobre activos e configuracións desde alí. Preste especial atención á análise de vulnerabilidades nas infraestruturas que utilizan contedores Docker.
Paso 5: configurar os informes
Este é un dos elementos importantes dentro do proceso de xestión de vulnerabilidades.
Primeiro punto: ninguén traballará con informes de varias páxinas cunha lista desordenada de vulnerabilidades e descricións de como solucionalas. En primeiro lugar, cómpre comunicarse cos compañeiros e coñecer o que debe figurar no informe e como é máis cómodo para eles recibir datos. Por exemplo, algún administrador non necesita unha descrición detallada da vulnerabilidade e só precisa información sobre o parche e unha ligazón a ela. Para outro especialista, só son importantes as vulnerabilidades atopadas na infraestrutura de rede.
O segundo punto: por informar, quero dicir non só informes en papel. Este é un formato desactualizado para obter información e un historial estático. Unha persoa recibe un informe e non pode influír de ningún xeito como se presentarán os datos neste informe. Para obter o informe no formulario correcto, o especialista en TI debe poñerse en contacto co especialista en seguridade da información e pedirlle que reconstruya o informe. Co paso do tempo aparecen novas vulnerabilidades. En lugar de difundir informes de departamento a departamento, ambos os equipos deberían poder ver os datos en liña e ver a mesma imaxe. Polo tanto, na nosa plataforma utilizamos informes dinámicos en forma de paneis personalizables.
Paso #6: Priorizar
Aquí podes facer o seguinte:
1. Creación dun repositorio con imaxes do sistema dourado. Traballa con imaxes douradas, comprobe as vulnerabilidades e corrixe a configuración de forma continua. Isto pódese facer mediante axentes que informarán automaticamente da aparición dun novo activo e proporcionarán información sobre as súas vulnerabilidades.
2. Concéntrase naqueles activos que son críticos para o negocio. Non hai unha soa organización no mundo que poida solucionar as vulnerabilidades dunha soa vez. O proceso de eliminación de vulnerabilidades é longo e mesmo lúgubre.
3. Estreitar a superficie de ataque. Limpe a súa infraestrutura de software e servizos innecesarios, pecha portos innecesarios. Recentemente tivemos un caso cunha empresa que tiña preto de 40 vulnerabilidades atopadas en 100 dispositivos relacionados cunha versión antiga do navegador Mozilla. Como se viu máis tarde, Mozilla foi incrustado nunha imaxe dourada hai moitos anos, ninguén a usa, pero é a fonte dunha gran cantidade de vulnerabilidades. Cando o navegador foi eliminado dos ordenadores (incluso nalgúns servidores), estas decenas de miles de vulnerabilidades desapareceron.
4. Clasifica as vulnerabilidades na base de datos de intelixencia (threat intelligence). Considere non só a criticidade da vulnerabilidade, senón tamén a presenza dun exploit público, malware, parche, acceso externo ao sistema coa vulnerabilidade. Avalía o impacto desta vulnerabilidade nos sistemas empresariais críticos: se pode levar á perda de datos, a denegación de servizo, etc.
Paso #7: Aliñar os KPI
Non escanees polo feito de escanear. Se non ocorre nada coas vulnerabilidades atopadas, esta exploración convértese nunha operación inútil. Para evitar que traballar con vulnerabilidades se converta nunha formalidade, considere como avaliará os seus resultados. A seguridade da información e as TI deben acordar como se construirá o traballo para eliminar vulnerabilidades, con que frecuencia se realizarán escaneos, parches, etc.
Na diapositiva ves exemplos de posibles KPI. Tamén hai unha lista ampliada que recomendamos aos nosos clientes. Se estás interesado póñase en contacto comigo, compartirei esta información contigo.
Paso #8: Automatizar
Volve á dixitalización de novo. En Qualys consideramos que o escaneado é o menos importante que pode ocorrer hoxe no proceso de xestión de vulnerabilidades, e que, en primeiro lugar, debe automatizarse na medida do posible para que se poida realizar sen a participación dunha información. especialista en seguridade. Hoxe hai moitas ferramentas que che permiten facelo. É suficiente que teñan unha API aberta e o número necesario de conectores.
Un exemplo que me gusta poñer é DevOps. Se implementas alí un escáner de vulnerabilidades, simplemente podes esquecerche de DevOps. Coa tecnoloxía antiga, que é o escáner clásico, simplemente non poderás acceder a estes procesos. Os desenvolvedores non esperarán a que escanees e lles des un informe incómodo de varias páxinas. Os desenvolvedores esperan que a información sobre vulnerabilidades entre en forma de información de erros nos seus sistemas de creación de código. A seguridade debería integrarse perfectamente nestes procesos e debería ser só unha función que sexa invocada automaticamente polo sistema que usan os teus desenvolvedores.
Paso # 9: Concéntrase no esencial
Céntrate no que aporta valor real á túa empresa. As exploracións poden ser automáticas, os informes tamén se poden enviar automaticamente.
Centrarse en mellorar os procesos para que sexan máis flexibles e cómodos para todos os participantes. Concéntrase en garantir que a seguridade estea integrada en todos os contratos coas súas contrapartes que, por exemplo, desenvolven aplicacións web para vostede.
Se necesitas información máis detallada sobre como construír un proceso de xestión de vulnerabilidades nunha empresa, póñase en contacto comigo e cos meus compañeiros. Estarei encantado de axudar.
Fonte: www.habr.com