Nagyszerű július 4-ünk volt . Ma a Qualysból származó Andrey Novikov beszédének átiratát közöljük. Megmondja, milyen lépéseken kell keresztülmennie a sebezhetőség-kezelési munkafolyamat felépítéséhez. Spoiler: a szkennelés előtt csak a feléhez érünk.
1. lépés: Határozza meg a sebezhetőségkezelési folyamatok érettségi szintjét
Már a legelején meg kell értenie, hogy szervezete milyen szakaszban van a sebezhetőség-kezelési folyamatok érettsége szempontjából. Csak ezt követően lesz képes megérteni, hová kell költöznie, és milyen lépéseket kell tennie. Mielőtt elkezdené a vizsgálatokat és más tevékenységeket, a szervezeteknek belső munkát kell végezniük annak érdekében, hogy megértsék, hogyan épül fel jelenlegi folyamatai IT és információbiztonsági szempontból.
Próbáljon meg válaszolni az alapvető kérdésekre:
- Vannak-e folyamatai a készletezéshez és az eszközök besorolásához;
- Mennyire rendszeresen ellenőrzik az informatikai infrastruktúrát, és hogy a teljes infrastruktúra lefedett-e, látja a teljes képet?
- Figyelik az informatikai erőforrásait?
- Valamelyik KPI-t implementálták-e a folyamataiban, és hogyan érti, hogy ezek teljesülnek;
- Mindezek a folyamatok dokumentálva vannak?
2. lépés: Biztosítsa a teljes infrastruktúra lefedettséget
Nem tudod megvédeni azt, amiről nem tudsz. Ha nincs teljes képe arról, hogy miből áll az IT infrastruktúrája, akkor nem tudja megvédeni azt. A modern infrastruktúra összetett, mennyiségileg és minőségileg folyamatosan változik.
Az informatikai infrastruktúra ma már nemcsak a klasszikus technológiák (munkaállomások, szerverek, virtuális gépek) halmazára épül, hanem viszonylag újakra is - konténerekre, mikroszolgáltatásokra. Utóbbiak elől az információbiztonsági szolgálat minden lehetséges módon menekül, mivel a meglévő, főleg szkennerekből álló eszközkészletekkel nagyon nehezen tud velük dolgozni. A probléma az, hogy egyetlen szkenner sem képes lefedni a teljes infrastruktúrát. Ahhoz, hogy a szkenner elérje az infrastruktúra bármely csomópontját, több tényezőnek egybe kell esnie. Az eszköznek a szervezet határán belül kell lennie a szkennelés időpontjában. A szkennernek hálózati hozzáféréssel kell rendelkeznie az eszközökhöz és azok számláihoz, hogy teljes körű információt gyűjthessen.
Statisztikáink szerint, ha közepes vagy nagy szervezetekről van szó, az infrastruktúra hozzávetőleg 15-20%-át ilyen-olyan okból nem rögzíti a szkenner: az eszköz a határon túlra került, vagy egyáltalán nem jelenik meg az irodában. Például egy olyan alkalmazott laptopja, aki távolról dolgozik, de még mindig hozzáfér a vállalati hálózathoz, vagy az eszköz külső felhőszolgáltatásokban, például az Amazonban található. És a szkenner valószínűleg semmit sem fog tudni ezekről az eszközökről, mivel azok kívül esnek a láthatósági tartományán.
A teljes infrastruktúra lefedéséhez nemcsak szkennereket, hanem szenzorok egész készletét kell használnia, beleértve a passzív forgalomfigyelő technológiákat az új eszközök észleléséhez az infrastruktúrában, az ügynöki adatgyűjtési módszert az információk fogadásához - lehetővé teszi az adatok online fogadását szkennelés szükségessége a hitelesítő adatok kiemelése nélkül.
3. lépés: Az eszközök kategorizálása
Nem minden eszköz egyenlő. Az Ön feladata annak meghatározása, hogy mely eszközök fontosak és melyek nem. Ezt egyetlen eszköz sem fogja megtenni helyetted, például egy szkenner. Ideális esetben az információbiztonság, az IT és az üzleti tevékenység együtt elemzi az infrastruktúrát az üzleti szempontból kritikus rendszerek azonosítása érdekében. Számukra meghatározzák az elfogadható mérőszámokat a rendelkezésre állás, az integritás, a titkosság, az RTO/RPO stb.
Ez segít a sebezhetőség-kezelési folyamat prioritásainak meghatározásában. Amikor a szakemberei adatokat kapnak a sebezhetőségekről, az nem egy lap lesz, amely több ezer sebezhetőséget tartalmaz a teljes infrastruktúrán, hanem a rendszerek kritikusságát figyelembe vevő, részletes információk.
4. lépés: Végezzen infrastruktúra-értékelést
És csak a negyedik lépésben jutunk el az infrastruktúra sérülékenységi szempontú felméréséhez. Ebben a szakaszban azt javasoljuk, hogy ne csak a szoftveres sebezhetőségekre figyeljen, hanem a konfigurációs hibákra is, amelyek szintén sérülékenységet jelenthetnek. Itt az ügynöki információgyűjtési módszert ajánljuk. Szkennereket lehet és kell használni a kerület biztonságának felmérésére. Ha felhőszolgáltatók erőforrásait használja, akkor onnan is információkat kell gyűjtenie az eszközökről és konfigurációkról. Fordítson különös figyelmet a Docker-tárolókat használó infrastruktúrák sebezhetőségeinek elemzésére.
5. lépés: Jelentések beállítása
Ez a sebezhetőség-kezelési folyamat egyik fontos eleme.
Az első pont: senki nem fog többoldalas jelentésekkel dolgozni, amelyekben véletlenszerű listák vannak a sebezhetőségekről és leírások arról, hogyan lehet ezeket megszüntetni. Először is kommunikálnia kell a kollégákkal, és meg kell találnia, hogy mi legyen a jelentésben, és hogyan kényelmesebb számukra az adatok fogadása. Egyes rendszergazdáknak például nincs szüksége a biztonsági rés részletes leírására, csak a javítással kapcsolatos információkra és egy hivatkozásra van szüksége. Egy másik szakember csak a hálózati infrastruktúrában talált sebezhetőségekkel törődik.
Második pont: jelentés alatt nem csak papíralapú jelentéseket értem. Ez egy elavult formátum az információszerzéshez és egy statikus történethez. Egy személy jelentést kap, és semmilyen módon nem befolyásolhatja, hogy az adatok hogyan jelenjenek meg ebben a jelentésben. Ahhoz, hogy a jelentést a kívánt formában megkapja, az informatikusnak fel kell vennie a kapcsolatot az információbiztonsági szakemberrel, és fel kell kérnie a jelentés újbóli elkészítését. Az idő múlásával új sebezhetőségek jelennek meg. Ahelyett, hogy osztályról részlegre tologatnák a jelentéseket, mindkét tudományág szakembereinek képesnek kell lenniük az adatok online monitorozására, és ugyanazt a képet látniuk. Ezért platformunkon dinamikus jelentéseket használunk testreszabható irányítópultok formájában.
6. lépés: A prioritások meghatározása
Itt a következőket teheti:
1. Repository készítése rendszerek arany képeivel. Dolgozzon arany képekkel, ellenőrizze rajtuk a sebezhetőséget, és folyamatosan javítsa a konfigurációt. Ezt olyan ügynökök segítségével lehet megtenni, amelyek automatikusan jelentenek egy új eszköz megjelenését, és tájékoztatást adnak a sebezhetőségeiről.
2. Koncentráljon azokra az eszközökre, amelyek kritikusak a vállalkozás számára. Nincs a világon egyetlen olyan szervezet sem, amelyik egy mozdulattal ki tudná küszöbölni a sebezhetőségeket. A sebezhetőségek megszüntetésének folyamata hosszú, sőt unalmas.
3. A támadási felület szűkítése. Tisztítsa meg infrastruktúráját a szükségtelen szoftverektől és szolgáltatásoktól, zárja be a felesleges portokat. Nemrég volt egy olyan esetünk egy cégnél, amelyben 40 ezer készüléken mintegy 100 ezer sebezhetőséget találtak a Mozilla böngésző régi verziójához kapcsolódóan. Mint utóbb kiderült, a Mozillát már sok évvel ezelőtt bevezették az arany képbe, senki nem használja, viszont rengeteg sebezhetőség forrása. Amikor a böngészőt eltávolították a számítógépekről (sőt egyes szervereken is), ez a több tízezer sebezhetőség eltűnt.
4. A sebezhetőségek rangsorolása a fenyegetés intelligencia alapján. Ne csak a sérülékenység kritikusságát vegye figyelembe, hanem azt is, hogy van-e nyilvános kihasználás, rosszindulatú program, javítás vagy külső hozzáférés a sérülékenységgel rendelkező rendszerhez. Mérje fel ennek a sérülékenységnek a kritikus üzleti rendszerekre gyakorolt hatását: vezethet-e adatvesztéshez, szolgáltatásmegtagadáshoz stb.
7. lépés: Állapodjon meg a KPI-kben
Ne szkenneljen a szkennelés kedvéért. Ha semmi sem történik a talált sebezhetőségekkel, akkor ez a vizsgálat haszontalan műveletté válik. Annak elkerülése érdekében, hogy a sérülékenységekkel való munka formalitássá váljon, gondolja át, hogyan fogja értékelni az eredményeket. Az információbiztonságnak és az informatikának meg kell állapodnia abban, hogy a sebezhetőségek kiküszöbölésére irányuló munka hogyan épül fel, milyen gyakran végeznek vizsgálatokat, telepítenek javításokat stb.
A dián példákat láthat a lehetséges KPI-kre. Van egy bővített lista is, amelyet ügyfeleink figyelmébe ajánlunk. Ha felkeltettem érdeklődését, kérem vegye fel velem a kapcsolatot, megosztom veletek ezt az információt.
8. lépés: Automatizálás
Ismét vissza a szkenneléshez. A Qualysnál úgy gondoljuk, hogy a szkennelés a legjelentéktelenebb dolog, ami ma a sebezhetőség-kezelési folyamatban megtörténhet, és mindenekelőtt azt a lehető legnagyobb mértékben automatizálni kell, hogy az információbiztonsági szakember közreműködése nélkül történjen. Manapság számos eszköz létezik, amelyek lehetővé teszik ezt. Elég, ha van nyitott API-juk és a szükséges számú csatlakozójuk.
A példa, amit szeretnék felhozni, a DevOps. Ha beépít egy sebezhetőségi szkennert, egyszerűen elfelejtheti a DevOps-ot. A régi technológiákkal, amelyek egy klasszikus szkenner, egyszerűen nem engedik be ezeket a folyamatokat. A fejlesztők nem várják meg, amíg beolvas, és több oldalas, kényelmetlen jelentést ad nekik. A fejlesztők arra számítanak, hogy a biztonsági résekkel kapcsolatos információk hibainformációk formájában kerülnek be a kódösszeállító rendszerükbe. A biztonságot zökkenőmentesen be kell építeni ezekbe a folyamatokba, és ez csak egy olyan funkció, amelyet a fejlesztők által használt rendszer automatikusan meghív.
9. lépés: Összpontosítson a lényegre
Koncentráljon arra, hogy mi hoz valódi értéket vállalata számára. A szkennelések lehetnek automatikusak, a jelentések is automatikusan küldhetők.
Fókuszáljon a folyamatok fejlesztésére, hogy azok rugalmasabbak és kényelmesebbek legyenek minden érintett számára. Összpontosítson annak biztosítására, hogy a biztonság beépüljön a partnereivel kötött szerződésekbe, akik például webalkalmazásokat fejlesztenek az Ön számára.
Ha részletesebb információra van szüksége a sebezhetőség-kezelési folyamat felépítésével kapcsolatban a cégében, forduljon hozzám és kollégáimhoz. Szívesen segítek.
Forrás: will.com