Ua loaʻa iā mākou kahi lā 4 nui o Iulai . I kēia lā ke paʻi nei mākou i kahi transcript o ka haʻiʻōlelo a Andrey Novikov mai Qualys. E haʻi ʻo ia iā ʻoe i nā ala e pono ai ʻoe e hele i ke kūkulu ʻana i kahi kaila hana hoʻokele vulnerability. Spoiler: hiki wale mākou i ka hapalua ma mua o ka nānā ʻana.
KaʻAnuʻu #1: E hoʻoholo i ka pae oʻo o kāu mau kaʻina hoʻokele vulnerability
I ka hoʻomaka ʻana, pono ʻoe e hoʻomaopopo i ke ʻano o ka pae o kāu hui e pili ana i ke ʻano o ke ʻano o kāna kaʻina hoʻokele vulnerability. Ma hope wale nō e hiki ai iā ʻoe ke hoʻomaopopo i kahi e neʻe ai a me nā ʻanuʻu e pono ai. Ma mua o ka hoʻomaka ʻana i nā scans a me nā hana ʻē aʻe, pono nā hui e hana i kekahi hana kūloko e hoʻomaopopo i ke ʻano o kāu kaʻina hana i kēia manawa mai kahi IT a me ka ʻike palekana ʻike.
E ho'āʻo e pane i nā nīnau kumu:
- Loaʻa iā ʻoe nā kaʻina hana no ka hoʻokaʻawale ʻana a me ka waiwai;
- Pehea ka nānā pinepine ʻana o ka ʻōnaehana IT a ua uhi ʻia ka ʻōnaehana holoʻokoʻa, ʻike ʻoe i ke kiʻi holoʻokoʻa;
- Ke nānā ʻia nei kāu mau kumuwaiwai IT?
- Ua hoʻokō ʻia kekahi mau KPI i kāu kaʻina hana a pehea ʻoe e hoʻomaopopo ai e hoʻokō ʻia ana lākou;
- Ua palapala ʻia kēia mau hana a pau?
KaʻAnuʻu #2: E hōʻoia i ka uhi ʻana i nā ʻoihana piha
ʻAʻole hiki iā ʻoe ke pale i ka mea āu i ʻike ʻole ai. Inā ʻaʻohe āu kiʻi piha o ka hana ʻana o kāu ʻenehana IT, ʻaʻole hiki iā ʻoe ke pale iā ia. He paʻakikī ka ʻōnaehana hou a hoʻololi mau i ka quantitative a qualitatively.
I kēia manawa, ʻaʻole i hoʻokumu ʻia ka ʻenehana IT ma luna o kahi pūʻulu o nā ʻenehana maʻamau (nā hale hana, nā kikowaena, nā mīkini virtual), akā ma nā mea hou - nā ipu, nā microservices. Ke holo nei ka lawelawe palekana ʻike mai ka hope ma nā ʻano āpau, no ka mea he paʻakikī loa ia e hana pū me lākou me ka hoʻohana ʻana i nā pūʻulu mea hana i loaʻa, aia ka nui o nā scanners. ʻO ka pilikia, ʻaʻole hiki i kekahi scanner ke uhi i ka ʻōnaehana holoʻokoʻa. I mea e hiki ai i kahi scanner ke hōʻea i kekahi node o ka ʻōnaehana, pono e hui pū kekahi mau mea. Pono ka waiwai i loko o ka palena o ka hui i ka manawa o ka nānā ʻana. Pono e loaʻa i ka scanner ke komo pūnaewele i nā waiwai a me kā lākou mau moʻokāki i mea e hōʻiliʻili ai i ka ʻike piha.
Wahi a kā mākou helu helu, i ka wā e pili ana i nā hui waena a nui paha, ma kahi o 15-20% ʻaʻole i hopu ʻia e ka scanner no kekahi kumu a i ʻole: ua neʻe ka waiwai ma waho o ka perimeter a ʻaʻole loa i ʻike ʻia ma ke keʻena. No ka laʻana, he kamepiula kamepiula o kahi limahana hana mamao akā hiki ke komo i ka ʻoihana hui, a i ʻole aia ka waiwai i nā lawelawe kapuaʻi waho e like me Amazon. A ʻo ka scanner, ʻaʻole paha e ʻike i kekahi mea e pili ana i kēia mau waiwai, no ka mea aia lākou ma waho o kāna wahi ʻike.
No ka uhi ʻana i ka ʻōnaehana holoʻokoʻa, pono ʻoe e hoʻohana ʻaʻole wale i nā scanners, akā i kahi pūʻulu holoʻokoʻa o nā mea ʻike, me nā ʻenehana hoʻolohe hoʻolohe passive e ʻike i nā mea hou i kāu ʻōnaehana, ʻo ke ʻano hōʻiliʻili ʻikepili e loaʻa ai ka ʻike - hiki iā ʻoe ke loaʻa ka ʻikepili ma ka pūnaewele, me ka ʻole. ka pono no ka nānā ʻana, me ka hōʻike ʻole ʻana i nā hōʻoia.
KaʻAnuʻu #3: Hoʻokaʻawale i nā waiwai
ʻAʻole like nā waiwai a pau. ʻO kāu hana ka hoʻoholo ʻana i nā waiwai nui a ʻaʻole pono. ʻAʻohe mea hana, e like me ka scanner, e hana i kēia no ʻoe. Ma ke kūpono, hana pū ka palekana ʻike, IT a me nā ʻoihana e kālailai i nā ʻōnaehana e ʻike ai i nā ʻōnaehana koʻikoʻi ʻoihana. No lākou, hoʻoholo lākou i nā metric ʻae ʻia no ka loaʻa, kūpaʻa, hūnā, RTO/RPO, etc.
E kōkua kēia iā ʻoe e hoʻonohonoho mua i kāu kaʻina hoʻokele vulnerability. Ke loaʻa i kāu poʻe loea i ka ʻikepili e pili ana i nā nāwaliwali, ʻaʻole ia he pepa me nā tausani o nā nāwaliwali ma o ka ʻōnaehana holoʻokoʻa, akā ʻo ka ʻike kikoʻī e noʻonoʻo ana i ke koʻikoʻi o nā ʻōnaehana.
KaʻAnuʻu #4: E hana i kahi loiloi hana
A ma ka ʻehā wale nō kaʻanuʻu e hele mai ai mākou e loiloi i ka ʻōnaehana mai ka ʻike o nā nāwaliwali. I kēia pae, paipai mākou e hoʻolohe ʻoe ʻaʻole wale i nā nāwaliwali o ka polokalamu, akā i nā hewa hoʻonohonoho hoʻi, hiki ke lilo i mea palupalu. Maʻaneʻi mākou e paipai i ke ʻano o ka ʻelele o ka ʻohi ʻike. Hiki ke hoʻohana ʻia nā scanners no ka loiloi ʻana i ka palekana perimeter. Inā hoʻohana ʻoe i nā kumuwaiwai o nā mea hoʻolako kapua, a laila pono ʻoe e hōʻiliʻili i ka ʻike e pili ana i nā waiwai a me nā hoʻonohonoho mai laila. E noʻonoʻo pono i ka nānā ʻana i nā nāwaliwali i nā ʻōnaehana me ka hoʻohana ʻana i nā ipu Docker.
KaʻAnuʻu #5: Hoʻonohonoho i ka hōʻike
ʻO kēia kekahi o nā mea koʻikoʻi i loko o ke kaʻina hoʻokele vulnerability.
ʻO ka helu mua: ʻaʻohe mea e hana me nā hōʻike ʻaoʻao he nui me kahi papa inoa o nā nāwaliwali a me ka wehewehe ʻana i ka pehea e hoʻopau ai iā lākou. ʻO ka mea mua, pono ʻoe e kamaʻilio me nā hoahana a ʻike i ka mea e pono ai i loko o ka hōʻike a pehea e maʻalahi ai lākou e loaʻa ka ʻikepili. No ka laʻana, ʻaʻole pono kekahi luna hoʻomalu i ka wehewehe kikoʻī o ka nāwaliwali a pono wale ka ʻike e pili ana i ka patch a me kahi loulou iā ia. ʻO kekahi loea ʻē aʻe e mālama wale i nā nāwaliwali i loaʻa i ka ʻoihana pūnaewele.
ʻO ka helu ʻelua: ma ka hōʻike ʻana ʻaʻole wale nā hōʻike pepa. He ʻano kahiko kēia no ka loaʻa ʻana o ka ʻike a me kahi moʻolelo paʻa. Loaʻa i ke kanaka kahi hōʻike a ʻaʻole hiki ke hoʻololi i ke ʻano o ka hōʻike ʻana o ka ʻikepili i kēia hōʻike. No ka loaʻa ʻana o ka hōʻike ma ke ʻano i makemake ʻia, pono e hoʻopili ka loea IT i ka loea palekana ʻike a noi iā ia e kūkulu hou i ka hōʻike. Ke hele nei ka manawa, ʻike ʻia nā mea hou. Ma kahi o ka hoʻokuke ʻana i nā hōʻike mai ke keʻena a i ke keʻena, pono e hiki i nā loea ma nā ʻano ʻelua ke nānā i ka ʻikepili ma ka pūnaewele a ʻike i ke kiʻi like. No laila, ma kā mākou kahua hoʻohana mākou i nā hōʻike hoʻoikaika ma ke ʻano o nā dashboards customizable.
KaʻAnuʻu #6: Hoʻokahua
Hiki iā ʻoe ke hana i kēia:
1. Ke hana ʻana i kahi waihona me nā kiʻi gula o nā ʻōnaehana. E hana me nā kiʻi gula, e nānā iā lākou no nā nāwaliwali a me ka hoʻonohonoho hoʻonohonoho pono ʻana ma ke kumu mau. Hiki ke hana i kēia me ke kōkua o nā mea hana e hōʻike aunoa i ka puka ʻana o kahi waiwai hou a hāʻawi i ka ʻike e pili ana i kona mau nāwaliwali.
2. E nānā i kēlā mau waiwai koʻikoʻi i ka ʻoihana. ʻAʻohe hui hoʻokahi ma ka honua e hiki ke hoʻopau i nā nāwaliwali i ka hele hoʻokahi. ʻO ke kaʻina hana o ka hoʻopau ʻana i nā nāwaliwali he lōʻihi a paʻakikī hoʻi.
3. Hoʻemi i ka ʻili hoʻouka. E hoʻomaʻemaʻe i kāu ʻōnaehana o nā polokalamu pono ʻole a me nā lawelawe, e pani i nā awa pono ʻole. Ua loaʻa iā mākou kahi hihia me hoʻokahi hui i loaʻa ma kahi o 40 tausani mau nāwaliwali e pili ana i ka mana kahiko o ka polokalamu kele Mozilla i loaʻa ma 100 tausani mau mea. E like me ka mea i ʻike ʻia ma hope, ua hoʻokomo ʻia ʻo Mozilla i ke kiʻi gula i nā makahiki he nui i hala, ʻaʻohe mea hoʻohana iā ia, akā ʻo ia ke kumu o ka nui o nā nāwaliwali. I ka wā i wehe ʻia ai ka polokalamu kele pūnaewele mai nā kamepiula (ʻo ia ma kekahi mau kikowaena), ua nalowale kēia mau ʻumi kaukani o nā nāwaliwali.
4. Hoʻonohonoho i nā nāwaliwali ma muli o ka ʻike hoʻoweliweli. E noʻonoʻo ʻaʻole wale i ka koʻikoʻi o ka nāwaliwali, akā i ka hiki ʻana mai o kahi hoʻohana lehulehu, malware, patch, a i ʻole ke komo ʻana i waho i ka ʻōnaehana me ka nāwaliwali. E noʻonoʻo i ka hopena o kēia nāwaliwali i nā ʻōnaehana ʻoihana koʻikoʻi: hiki iā ia ke alakaʻi i ka nalowale ʻikepili, hōʻole i ka lawelawe, etc.
KaʻAnuʻu #7: E ʻae i nā KPI
Mai ʻimi no ka nānā ʻana. Inā ʻaʻohe mea i loaʻa i nā nāwaliwali i loaʻa, a laila lilo kēia scanning i kahi hana pono ʻole. No ka pale ʻana i ka hana ʻana me nā nāwaliwali mai ka lilo ʻana i mea maʻamau, e noʻonoʻo pehea ʻoe e loiloi ai i nā hopena. Pono e ʻae ʻia ka palekana ʻike a me ka IT e pili ana i ke ʻano o ka hana e hoʻopau ai i nā nāwaliwali, pehea ka manawa e hoʻokō ʻia ai nā scans, e hoʻokomo ʻia nā patch, etc.
Ma ka paheʻe ʻike ʻoe i nā hiʻohiʻona o nā KPI hiki. Aia kekahi papa inoa lōʻihi a mākou e paipai nei i kā mākou mea kūʻai aku. Inā makemake ʻoe, e ʻoluʻolu e kelepona mai iaʻu, e kaʻana aku au i kēia ʻike iā ʻoe.
KaʻAnuʻu #8: Hoʻokaʻawale
Hoʻi hou i ka nānā ʻana. Ma Qualys, ke manaʻoʻiʻo nei mākou ʻo ka scanning ka mea nui ʻole i hiki ke hana i ke kaʻina hoʻokele vulnerability i kēia lā, a ʻo ka mea mua e pono e hoʻomaʻamaʻa ʻia e like me ka hiki ke hana ʻia me ka ʻole o ke komo ʻana o kahi loea palekana ʻike. I kēia lā, nui nā mea hana e hiki ai iā ʻoe ke hana i kēia. Ua lawa ka loaʻa iā lākou he API hāmama a me ka helu o nā mea hoʻohui.
ʻO ka hiʻohiʻona aʻu e makemake ai e hāʻawi ʻo DevOps. Inā hoʻokō ʻoe i kahi scanner vulnerability ma laila, hiki iā ʻoe ke poina iā DevOps. Me nā ʻenehana kahiko, he scanner maʻamau, ʻaʻole ʻoe e ʻae ʻia i kēia mau kaʻina hana. ʻAʻole e kali nā mea hoʻomohala iā ʻoe e nānā a hāʻawi iā lākou i kahi hōʻike ʻaoʻao he nui, ʻaʻohe kūpono. Manaʻo nā mea hoʻomohala e komo ka ʻike e pili ana i nā nāwaliwali i kā lākou code assembly system ma ke ʻano o ka ʻike bug. Pono e kūkulu pono ʻia ka palekana i loko o kēia mau kaʻina hana, a he hiʻohiʻona wale nō ia i kapa ʻia e ka ʻōnaehana i hoʻohana ʻia e kāu mau mea hoʻomohala.
KaʻAnuʻu #9: E nānā i nā mea nui
E noʻonoʻo i ka mea e lawe mai i ka waiwai maoli i kāu ʻoihana. Hiki ke hoʻopaʻa 'akomi, hiki ke hoʻouna 'akomi i nā hōʻike.
E noʻonoʻo i ka hoʻomaikaʻi ʻana i nā kaʻina hana i mea e maʻalahi a maʻalahi hoʻi i nā mea a pau e pili ana. E noʻonoʻo i ka hōʻoia ʻana ua kūkulu ʻia ka palekana i loko o nā ʻaelike āpau me kāu mau hoa like, ka mea, no ka laʻana, hoʻomohala i nā noi pūnaewele no ʻoe.
Inā makemake ʻoe i ka ʻike kikoʻī hou aku e pili ana i ke kūkulu ʻana i kahi kaʻina hoʻokele vulnerability i kāu hui, e ʻoluʻolu e kelepona mai iaʻu a me koʻu mau hoa. E hauʻoli wau e kōkua.
Source: www.habr.com