Հուլիսի մեծ 4-ն ունեցանք . Այսօր հրապարակում ենք Qualys-ից Անդրեյ Նովիկովի ելույթի սղագրությունը։ Նա ձեզ կասի, թե ինչ քայլերով պետք է անցնեք խոցելիության կառավարման աշխատանքային հոսք ստեղծելու համար: Սփոյլեր. սկանավորումից առաջ մենք կհասնենք միայն կես ճանապարհին:
Քայլ #1. Որոշեք ձեր խոցելիության կառավարման գործընթացների հասունության մակարդակը
Հենց սկզբում դուք պետք է հասկանաք, թե ինչ փուլում է գտնվում ձեր կազմակերպությունը իր խոցելիության կառավարման գործընթացների հասունության առումով: Միայն սրանից հետո դուք կկարողանաք հասկանալ, թե ուր շարժվել և ինչ քայլեր պետք է ձեռնարկել։ Նախքան սկանավորումը և այլ գործողությունները սկսելը, կազմակերպությունները պետք է որոշ ներքին աշխատանք կատարեն՝ հասկանալու համար, թե ինչպես են ձեր ընթացիկ գործընթացները կառուցված ՏՏ և տեղեկատվական անվտանգության տեսանկյունից:
Փորձեք պատասխանել հիմնական հարցերին.
- Ունե՞ք գործընթացներ գույքագրման և ակտիվների դասակարգման համար.
- Որքանո՞վ է պարբերաբար սկանավորվում ՏՏ ենթակառուցվածքը և արդյո՞ք ամբողջ ենթակառուցվածքը ծածկված է, տեսնու՞մ եք ամբողջ պատկերը.
- Ձեր ՏՏ ռեսուրսները վերահսկվու՞մ են:
- Արդյո՞ք որևէ KPI-ներ ներդրված են ձեր գործընթացներում և ինչպես եք հասկանում, որ դրանք կատարվում են.
- Արդյո՞ք այս բոլոր գործընթացները փաստաթղթավորված են:
Քայլ #2. Ապահովել ենթակառուցվածքի ամբողջական ծածկույթ
Դուք չեք կարող պաշտպանել այն, ինչի մասին չգիտեք: Եթե դուք չունեք ամբողջական պատկերացում, թե ինչից է կազմված ձեր ՏՏ ենթակառուցվածքը, դուք չեք կարողանա պաշտպանել այն: Ժամանակակից ենթակառուցվածքները բարդ են և անընդհատ փոփոխվում են քանակապես և որակապես:
Այժմ ՏՏ ենթակառուցվածքը հիմնված է ոչ միայն դասական տեխնոլոգիաների (աշխատանքային կայաններ, սերվերներ, վիրտուալ մեքենաներ), այլև համեմատաբար նորերի՝ կոնտեյներների, միկրոսերվիսների վրա: Տեղեկատվական անվտանգության ծառայությունն ամեն կերպ փախչում է վերջիններից, քանի որ նրա համար շատ դժվար է աշխատել նրանց հետ՝ օգտագործելով առկա գործիքների հավաքածուները, որոնք հիմնականում բաղկացած են սկաներներից։ Խնդիրն այն է, որ ցանկացած սկաներ չի կարող ծածկել ամբողջ ենթակառուցվածքը։ Որպեսզի սկաները հասնի ենթակառուցվածքի ցանկացած հանգույցի, մի քանի գործոն պետք է համընկնեն: Սկանավորման պահին ակտիվը պետք է լինի կազմակերպության շրջագծում: Ամբողջական տեղեկատվություն հավաքելու համար սկաները պետք է ցանցային հասանելիություն ունենա ակտիվներին և դրանց հաշիվներին:
Մեր վիճակագրության համաձայն, երբ խոսքը վերաբերում է միջին կամ խոշոր կազմակերպություններին, ենթակառուցվածքի մոտավորապես 15–20%-ը սկաների կողմից չի գրավվում այս կամ այն պատճառով. ակտիվը դուրս է եկել շրջագծից կամ ընդհանրապես չի հայտնվել գրասենյակում: Օրինակ՝ աշխատողի նոութբուքը, ով աշխատում է հեռակա կարգով, բայց դեռևս հասանելի է կորպորատիվ ցանցին, կամ ակտիվը գտնվում է արտաքին ամպային ծառայություններում, ինչպիսին է Amazon-ը: Իսկ սկաները, ամենայն հավանականությամբ, ոչինչ չի իմանա այդ ակտիվների մասին, քանի որ դրանք գտնվում են իր տեսանելիության գոտուց դուրս։
Ամբողջ ենթակառուցվածքը ծածկելու համար հարկավոր է օգտագործել ոչ միայն սկաներներ, այլև սենսորների մի ամբողջ շարք, այդ թվում՝ պասիվ երթևեկության ունկնդրման տեխնոլոգիաներ՝ ձեր ենթակառուցվածքում նոր սարքեր հայտնաբերելու համար, գործակալների տվյալների հավաքագրման եղանակ՝ տեղեկատվություն ստանալու համար. թույլ է տալիս ստանալ տվյալներ առցանց՝ առանց: սկանավորման անհրաժեշտությունը՝ առանց հավատարմագրերն ընդգծելու:
Քայլ #3. Ակտիվների դասակարգում
Ոչ բոլոր ակտիվներն են ստեղծված հավասար: Ձեր խնդիրն է որոշել, թե որ ակտիվներն են կարևոր և որոնք՝ ոչ: Ոչ մի գործիք, ինչպես սկաները, դա ձեզ չի անի: Իդեալում, տեղեկատվական անվտանգությունը, ՏՏ-ն և բիզնեսը միասին աշխատեն՝ վերլուծելու ենթակառուցվածքը՝ բացահայտելու բիզնեսի համար կարևոր համակարգերը: Նրանց համար նրանք որոշում են մատչելիության, ամբողջականության, գաղտնիության, RTO/RPO-ի և այլնի ընդունելի չափումներ:
Սա կօգնի ձեզ առաջնահերթություն տալ ձեր խոցելիության կառավարման գործընթացին: Երբ ձեր մասնագետները ստանան տվյալներ խոցելիության մասին, դա կլինի ոչ թե հազարավոր խոցելիություններով թերթիկ ամբողջ ենթակառուցվածքում, այլ ամբողջական տեղեկատվություն՝ հաշվի առնելով համակարգերի կարևորությունը:
Քայլ #4. Կատարել ենթակառուցվածքի գնահատում
Եվ միայն չորրորդ քայլով ենք հասնում ենթակառուցվածքները խոցելիության տեսանկյունից գնահատելուն։ Այս փուլում խորհուրդ ենք տալիս ուշադրություն դարձնել ոչ միայն ծրագրային ապահովման խոցելիությանը, այլ նաև կազմաձևման սխալներին, որոնք նույնպես կարող են խոցելի լինել: Այստեղ մենք առաջարկում ենք տեղեկատվություն հավաքելու գործակալի մեթոդը: Սկաներները կարող են և պետք է օգտագործվեն պարագծի անվտանգությունը գնահատելու համար: Եթե դուք օգտագործում եք ամպային պրովայդերների ռեսուրսները, ապա ձեզ հարկավոր է նաև տեղեկատվություն հավաքել ակտիվների և կոնֆիգուրացիաների մասին այնտեղից: Հատուկ ուշադրություն դարձրեք Docker կոնտեյներների օգտագործմամբ ենթակառուցվածքների խոցելիության վերլուծությանը:
Քայլ թիվ 5. կարգավորեք հաշվետվությունը
Սա խոցելիության կառավարման գործընթացի կարևոր տարրերից մեկն է:
Առաջին կետը. ոչ ոք չի աշխատի բազմաէջ զեկույցներով՝ խոցելիությունների պատահական ցանկով և նկարագրությամբ, թե ինչպես կարելի է դրանք վերացնել: Առաջին հերթին պետք է շփվել գործընկերների հետ և պարզել, թե ինչ պետք է լինի զեկույցում և ինչպես է նրանց համար ավելի հարմար տվյալներ ստանալը։ Օրինակ՝ որոշ ադմինիստրատորների կարիք չկա խոցելիության մանրամասն նկարագրության և անհրաժեշտ է միայն կարկատակի մասին տեղեկատվություն և դրա հղումը։ Մեկ այլ մասնագետ մտածում է միայն ցանցային ենթակառուցվածքում հայտնաբերված խոցելիության մասին:
Երկրորդ կետ. հաշվետվություն ասելով նկատի ունեմ ոչ միայն թղթային հաշվետվությունները։ Սա տեղեկատվություն ստանալու հնացած ձևաչափ է և ստատիկ պատմություն: Անձը ստանում է հաշվետվություն և չի կարող որևէ կերպ ազդել, թե ինչպես են տվյալները ներկայացվելու այս զեկույցում: Զեկույցը ցանկալի ձևով ստանալու համար ՏՏ մասնագետը պետք է կապ հաստատի տեղեկատվական անվտանգության մասնագետի հետ և խնդրի նրան վերակառուցել հաշվետվությունը: Ժամանակի ընթացքում նոր խոցելիություններ են հայտնվում։ Բաժանմունքից բաժին հաշվետվություններ մղելու փոխարեն, երկու առարկաների մասնագետները պետք է կարողանան առցանց վերահսկել տվյալները և տեսնել նույն պատկերը: Հետևաբար, մեր հարթակում մենք օգտագործում ենք դինամիկ հաշվետվություններ՝ հարմարեցվող վահանակների տեսքով:
Քայլ թիվ 6. առաջնահերթություն
Այստեղ դուք կարող եք անել հետևյալը.
1. Համակարգերի ոսկեգույն պատկերներով շտեմարանի ստեղծում։ Աշխատեք ոսկեգույն պատկերների հետ, ստուգեք դրանք խոցելիության համար և շտկեք կազմաձևումը շարունակական հիմունքներով: Դա կարելի է անել գործակալների օգնությամբ, որոնք ավտոմատ կերպով կզեկուցեն նոր ակտիվի ի հայտ գալու մասին և տեղեկատվություն կտրամադրեն դրա խոցելիության մասին:
2. Կենտրոնացեք այն ակտիվների վրա, որոնք կարևոր են բիզնեսի համար: Աշխարհում չկա մի կազմակերպություն, որը կարող է մեկ քայլով վերացնել խոցելիությունը: Խոցելիության վերացման գործընթացը երկար է և նույնիսկ հոգնեցուցիչ:
3. Նեղացնելով հարձակման մակերեսը. Մաքրեք ձեր ենթակառուցվածքը ավելորդ ծրագրերից և ծառայություններից, փակեք ավելորդ նավահանգիստները: Վերջերս մի ընկերության հետ ունեցանք դեպք, երբ մոտ 40 հազար խոցելիություն՝ կապված Mozilla բրաուզերի հին տարբերակի հետ, հայտնաբերվել է 100 հազար սարքի վրա։ Ինչպես պարզվեց ավելի ուշ, Mozilla-ն ներկայացվել է ոսկե կերպարի մեջ շատ տարիներ առաջ, ոչ ոք չի օգտագործում այն, բայց դա մեծ թվով խոցելիության աղբյուր է: Երբ բրաուզերը հեռացվեց համակարգչից (այն նույնիսկ որոշ սերվերների վրա էր), այս տասնյակ հազարավոր խոցելիությունները անհետացան։
4. Դասակարգել խոցելիությունը՝ հիմնվելով սպառնալիքների հետախուզության վրա: Հաշվի առեք ոչ միայն խոցելիության կարևորությունը, այլև հանրային շահագործման, չարամիտ ծրագրի, կարկատելու կամ այդ խոցելիությամբ համակարգ արտաքին մուտքի առկայությունը: Գնահատեք այս խոցելիության ազդեցությունը կարևոր բիզնես համակարգերի վրա. կարո՞ղ է դա հանգեցնել տվյալների կորստի, ծառայության մերժման և այլն:
Քայլ #7. Համաձայնեք KPI-ների վերաբերյալ
Մի սկանավորեք սկանավորման համար: Եթե հայտնաբերված խոցելի կետերին ոչինչ չի պատահում, ապա այս սկանավորումը վերածվում է անօգուտ գործողության։ Որպեսզի խոցելի տեղերի հետ աշխատանքը չդառնա ձևական, մտածեք, թե ինչպես կգնահատեք դրա արդյունքները: Տեղեկատվական անվտանգությունը և ՏՏ-ն պետք է համաձայնության գան այն մասին, թե ինչպես կկառուցվի խոցելիության վերացման աշխատանքները, որքան հաճախ կիրականացվեն սկանավորումներ, կտեղադրվեն պատչեր և այլն:
Սլայդի վրա տեսնում եք հնարավոր KPI-ների օրինակներ: Կա նաև ընդլայնված ցանկ, որը մենք խորհուրդ ենք տալիս մեր հաճախորդներին: Եթե դուք հետաքրքրված եք, խնդրում եմ կապվեք ինձ հետ, ես կկիսվեմ այս տեղեկատվությունը ձեզ հետ:
Քայլ #8. Ավտոմատացում
Վերադառնալ նորից սկանավորման: Qualys-ում մենք կարծում ենք, որ սկանավորումն այսօր ամենաանկարևոր բանն է, որ կարող է տեղի ունենալ խոցելիության կառավարման գործընթացում, և որ առաջին հերթին այն պետք է հնարավորինս ավտոմատացնել, որպեսզի այն իրականացվի առանց տեղեկատվական անվտանգության մասնագետի մասնակցության։ Այսօր կան բազմաթիվ գործիքներ, որոնք թույլ են տալիս դա անել: Բավական է, որ նրանք ունենան բաց API և անհրաժեշտ քանակությամբ միակցիչներ։
Օրինակը, որը ես սիրում եմ տալ, DevOps-ն է: Եթե այնտեղ ներդրեք խոցելիության սկաներ, ապա կարող եք պարզապես մոռանալ DevOps-ի մասին: Հին տեխնոլոգիաներով, որը դասական սկաներ է, ձեզ ուղղակի թույլ չեն տա մտնել այդ գործընթացները: Մշակողները չեն սպասի, որ դուք սկանավորեք և նրանց տրամադրեք մի քանի էջանոց, անհարմար հաշվետվություն: Մշակողները ակնկալում են, որ խոցելիության մասին տեղեկատվությունը կմտնի իրենց կոդի հավաքման համակարգերը վրիպակների տեղեկատվության տեսքով: Անվտանգությունը պետք է անխափան կերպով ներկառուցված լինի այս գործընթացների մեջ, և այն պետք է լինի պարզապես գործառույթ, որը ավտոմատ կերպով կանչվում է ձեր մշակողների կողմից օգտագործվող համակարգի կողմից:
Քայլ #9. Կենտրոնացեք հիմնականի վրա
Կենտրոնացեք այն բանի վրա, թե ինչն է իրական արժեք բերում ձեր ընկերությանը: Սկանավորումները կարող են լինել ավտոմատ, հաշվետվությունները կարող են նաև ավտոմատ կերպով ուղարկվել:
Կենտրոնացեք գործընթացների բարելավման վրա, որպեսզի դրանք ավելի ճկուն և հարմար լինեն բոլոր ներգրավվածների համար: Կենտրոնացեք ձեր գործընկերների հետ բոլոր պայմանագրերում անվտանգության ապահովման վրա, որոնք, օրինակ, ձեզ համար վեբ հավելվածներ են մշակում:
Եթե Ձեզ անհրաժեշտ է ավելի մանրամասն տեղեկություններ այն մասին, թե ինչպես կառուցել խոցելիության կառավարման գործընթաց ձեր ընկերությունում, խնդրում եմ կապվեք ինձ և իմ գործընկերների հետ: Ես ուրախ կլինեմ օգնել:
Source: www.habr.com