Imali smo veliki 4. srpnja . Danas objavljujemo transkript govora Andreja Novikova iz Qualysa. On će vam reći kroz koje korake morate proći kako biste izgradili tijek rada za upravljanje ranjivostima. Spoiler: doći ćemo samo do polovice prije skeniranja.
Korak #1: Odredite razinu zrelosti svojih procesa upravljanja ranjivostima
Na samom početku morate razumjeti u kojoj je fazi vaša organizacija u smislu zrelosti procesa upravljanja ranjivostima. Tek nakon toga moći ćete razumjeti kamo se kretati i koje korake treba poduzeti. Prije nego što se upuste u skeniranje i druge aktivnosti, organizacije moraju obaviti neki interni rad kako bi razumjele kako su vaši trenutni procesi strukturirani iz perspektive IT-a i informacijske sigurnosti.
Pokušajte odgovoriti na osnovna pitanja:
- Imate li postupke za popis i klasifikaciju imovine;
- Koliko se redovito skenira IT infrastruktura i je li cjelokupna infrastruktura pokrivena, vidite li cjelovitu sliku;
- Prate li se vaši IT resursi?
- Jesu li neki KPI-ovi implementirani u vaše procese i kako razumijete da su ispunjeni;
- Jesu li svi ti procesi dokumentirani?
Korak #2: Osigurajte punu pokrivenost infrastrukturom
Ne možete zaštititi ono o čemu ne znate. Ako nemate potpunu sliku o tome od čega se sastoji vaša IT infrastruktura, nećete je moći zaštititi. Suvremena infrastruktura je složena i stalno se kvantitativno i kvalitativno mijenja.
Sada se IT infrastruktura temelji ne samo na hrpi klasičnih tehnologija (radne stanice, poslužitelji, virtualni strojevi), već i na relativno novima - kontejnerima, mikroservisima. Služba informacijske sigurnosti bježi od potonjih na sve moguće načine, jer joj je vrlo teško raditi s njima koristeći postojeće alate koji se uglavnom sastoje od skenera. Problem je što bilo koji skener ne može pokriti cijelu infrastrukturu. Kako bi skener dosegao bilo koji čvor u infrastrukturi, mora se poklopiti nekoliko čimbenika. Imovina mora biti unutar perimetra organizacije u trenutku skeniranja. Skener mora imati mrežni pristup imovini i njihovim računima kako bi prikupio potpune informacije.
Prema našoj statistici, kada je riječ o srednjim ili velikim organizacijama, otprilike 15–20% infrastrukture nije obuhvaćeno skenerom iz ovog ili onog razloga: sredstvo se pomaknulo izvan perimetra ili se uopće ne pojavljuje u uredu. Na primjer, prijenosno računalo zaposlenika koji radi na daljinu, ali još uvijek ima pristup korporativnoj mreži, ili se imovina nalazi u vanjskim uslugama u oblaku kao što je Amazon. A skener, najvjerojatnije, neće znati ništa o tim sredstvima, budući da su izvan njegovog raspona vidljivosti.
Da biste pokrili cjelokupnu infrastrukturu, trebate koristiti ne samo skenere, već i čitav skup senzora, uključujući tehnologije pasivnog slušanja prometa za otkrivanje novih uređaja u vašoj infrastrukturi, metodu prikupljanja podataka agenta za primanje informacija – omogućuje vam primanje podataka online, bez potreba za skeniranjem, bez isticanja vjerodajnica.
Korak #3: Kategorizirajte sredstva
Nije sva imovina jednaka. Vaš je posao odrediti koja je imovina važna, a koja nije. Nijedan alat, poput skenera, to neće učiniti umjesto vas. U idealnom slučaju, informacijska sigurnost, IT i poslovanje rade zajedno na analizi infrastrukture kako bi se identificirali sustavi kritični za poslovanje. Za njih određuju prihvatljive metrike za dostupnost, integritet, povjerljivost, RTO/RPO itd.
To će vam pomoći da odredite prioritete procesa upravljanja ranjivostima. Kada vaši stručnjaci prime podatke o ranjivostima, to neće biti lista s tisućama ranjivosti u cijeloj infrastrukturi, već detaljne informacije uzimajući u obzir kritičnost sustava.
Korak #4: Provedite procjenu infrastrukture
I tek na četvrtom koraku dolazimo do procjene infrastrukture sa stajališta ranjivosti. U ovoj fazi preporučujemo da obratite pozornost ne samo na ranjivosti softvera, već i na konfiguracijske pogreške, koje također mogu biti ranjivost. Ovdje preporučujemo agentsku metodu prikupljanja podataka. Skeneri se mogu i trebaju koristiti za procjenu sigurnosti perimetra. Ako koristite resurse pružatelja usluga oblaka, od tamo također morate prikupljati informacije o imovini i konfiguracijama. Obratite posebnu pozornost na analizu ranjivosti u infrastrukturama koje koriste Docker spremnike.
Korak #5: Postavite izvješćivanje
Ovo je jedan od važnih elemenata unutar procesa upravljanja ranjivostima.
Prva točka: nitko neće raditi s izvješćima na više stranica s nasumičnim popisom ranjivosti i opisima kako ih eliminirati. Prije svega, morate komunicirati s kolegama i saznati što bi trebalo biti u izvješću i kako im je zgodnije primati podatke. Na primjer, neki administrator ne treba detaljan opis ranjivosti i treba samo informacije o zakrpi i poveznicu na nju. Drugi stručnjak brine samo o ranjivostima u mrežnoj infrastrukturi.
Druga točka: pod izvješćivanjem ne mislim samo na papirnata izvješća. Ovo je zastarjeli format za dobivanje informacija i statična priča. Osoba dobiva izvješće i ne može ni na koji način utjecati na to kako će podaci biti prikazani u tom izvješću. Kako bi dobio izvješće u željenom obliku, informatičar mora kontaktirati stručnjaka za informacijsku sigurnost i zatražiti od njega da ponovno izradi izvješće. Kako vrijeme prolazi, pojavljuju se nove ranjivosti. Umjesto guranja izvješća od odjela do odjela, stručnjaci u obje discipline trebali bi moći pratiti podatke na mreži i vidjeti istu sliku. Stoga u našoj platformi koristimo dinamička izvješća u obliku prilagodljivih nadzornih ploča.
Korak #6: Odredite prioritete
Ovdje možete učiniti sljedeće:
1. Stvaranje repozitorija sa zlatnim slikama sustava. Radite sa zlatnim slikama, provjeravajte ih na ranjivosti i ispravljajte konfiguraciju na kontinuiranoj osnovi. To se može učiniti uz pomoć agenata koji će automatski prijaviti pojavu novog sredstva i pružiti informacije o njegovim ranjivostima.
2. Usredotočite se na onu imovinu koja je ključna za poslovanje. Ne postoji niti jedna organizacija na svijetu koja može eliminirati ranjivosti u jednom potezu. Proces uklanjanja ranjivosti je dug, pa čak i zamoran.
3. Sužavanje napadne površine. Očistite svoju infrastrukturu od nepotrebnog softvera i usluga, zatvorite nepotrebne portove. Nedavno smo imali slučaj s jednom tvrtkom u kojoj je na 40 tisuća uređaja pronađeno oko 100 tisuća ranjivosti vezanih uz staru verziju preglednika Mozilla. Kako se kasnije pokazalo, Mozilla je uvedena u zlatnu sliku prije mnogo godina, nitko je ne koristi, ali je izvor velikog broja ranjivosti. Kada je preglednik uklonjen s računala (bio je čak i na nekim poslužiteljima), ti su deseci tisuća ranjivosti nestali.
4. Rangirajte ranjivosti na temelju obavještajnih podataka o prijetnjama. Uzmite u obzir ne samo kritičnost ranjivosti, već i prisutnost javnog iskorištavanja, zlonamjernog softvera, zakrpe ili vanjskog pristupa sustavu s ranjivošću. Procijenite utjecaj ove ranjivosti na kritične poslovne sustave: može li dovesti do gubitka podataka, odbijanja usluge itd.
Korak #7: Dogovorite se o KPI-jevima
Ne skenirajte radi skeniranja. Ako se ništa ne dogodi s pronađenim ranjivostima, tada se ovo skeniranje pretvara u beskorisnu operaciju. Kako rad s ranjivostima ne bi postao formalnost, razmislite o tome kako ćete evaluirati njegove rezultate. Informacijska sigurnost i IT moraju se dogovoriti kako će biti strukturiran rad na uklanjanju ranjivosti, koliko često će se skenirati, instalirati zakrpe itd.
Na slajdu vidite primjere mogućih KPI-ova. Postoji i prošireni popis koji preporučujemo našim klijentima. Ako ste zainteresirani, javite mi se, podijelit ću ovu informaciju s vama.
Korak #8: Automatizirajte
Ponovno se vratite na skeniranje. U Qualysu smatramo da je skeniranje nešto najnevažnije što se danas može dogoditi u procesu upravljanja ranjivostima te da ga prije svega treba maksimalno automatizirati kako bi se obavljalo bez sudjelovanja stručnjaka za informacijsku sigurnost. Danas postoji mnogo alata koji vam to omogućuju. Dovoljno je da imaju otvoren API i potreban broj konektora.
Primjer koji volim dati je DevOps. Ako tamo implementirate skener ranjivosti, možete jednostavno zaboraviti na DevOps. Sa starim tehnologijama, a to je klasični skener, jednostavno vas neće pustiti u te procese. Programeri neće čekati da skenirate i date im nezgodno izvješće na više stranica. Programeri očekuju da će informacije o ranjivostima ući u njihove sustave za sklapanje koda u obliku informacija o greškama. Sigurnost bi trebala biti neprimjetno ugrađena u te procese i trebala bi biti samo značajka koju automatski poziva sustav koji koriste vaši programeri.
Korak #9: Usredotočite se na bitne stvari
Usredotočite se na ono što vašoj tvrtki donosi pravu vrijednost. Skeniranja mogu biti automatska, izvješća se također mogu automatski slati.
Usredotočite se na poboljšanje procesa kako bi bili fleksibilniji i praktičniji za sve uključene. Usredotočite se na osiguravanje da je sigurnost ugrađena u sve ugovore s vašim ugovornim stranama, koje, na primjer, razvijaju web aplikacije za vas.
Ako trebate detaljnije informacije o tome kako izgraditi proces upravljanja ranjivostima u vašoj tvrtki, obratite se meni i mojim kolegama. Bit će mi drago pomoći.
Izvor: www.habr.com