Kami mengalami tanggal 4 Juli yang besar . Hari ini kami menerbitkan transkrip pidato Andrey Novikov dari Qualys. Dia akan memberi tahu Anda langkah-langkah apa yang perlu Anda lalui untuk membangun alur kerja manajemen kerentanan. Spoiler: kita hanya akan mencapai setengah jalan sebelum memindai.
Langkah #1: Tentukan tingkat kematangan proses manajemen kerentanan Anda
Pada awalnya, Anda perlu memahami pada tahap apa organisasi Anda berada dalam hal kematangan proses manajemen kerentanannya. Hanya dengan begitu Anda akan dapat memahami ke mana harus pindah dan langkah apa yang perlu diambil. Sebelum memulai pemindaian dan aktivitas lainnya, organisasi perlu melakukan beberapa pekerjaan internal untuk memahami bagaimana proses Anda saat ini disusun dari perspektif TI dan keamanan informasi.
Cobalah untuk menjawab pertanyaan dasar:
- Apakah Anda memiliki proses untuk inventarisasi dan klasifikasi aset;
- Seberapa teratur infrastruktur TI dipindai dan apakah seluruh infrastruktur tercakup, apakah Anda melihat gambaran keseluruhannya;
- Apakah sumber daya TI Anda dipantau?
- Apakah ada KPI yang diterapkan dalam proses Anda dan bagaimana Anda memahami bahwa KPI tersebut dipenuhi;
- Apakah semua proses ini didokumentasikan?
Langkah #2: Pastikan Cakupan Infrastruktur Penuh
Anda tidak dapat melindungi apa yang tidak Anda ketahui. Jika Anda tidak memiliki gambaran lengkap tentang infrastruktur TI Anda, Anda tidak akan dapat melindunginya. Infrastruktur modern bersifat kompleks dan terus berubah secara kuantitatif dan kualitatif.
Sekarang infrastruktur TI tidak hanya didasarkan pada tumpukan teknologi klasik (workstation, server, mesin virtual), tetapi juga pada teknologi yang relatif baru - container, layanan mikro. Layanan keamanan informasi dengan segala cara menghindari yang terakhir, karena sangat sulit untuk bekerja dengan mereka menggunakan seperangkat alat yang ada, yang sebagian besar terdiri dari pemindai. Masalahnya adalah pemindai apa pun tidak dapat mencakup seluruh infrastruktur. Agar pemindai dapat menjangkau node mana pun dalam infrastruktur, beberapa faktor harus bersamaan. Aset harus berada dalam perimeter organisasi pada saat pemindaian. Pemindai harus memiliki akses jaringan ke aset dan akunnya untuk mengumpulkan informasi lengkap.
Menurut statistik kami, jika menyangkut organisasi menengah atau besar, sekitar 15-20% infrastruktur tidak tertangkap oleh pemindai karena satu dan lain hal: aset telah berpindah melampaui batas atau tidak pernah muncul di kantor sama sekali. Misalnya, laptop milik karyawan yang bekerja jarak jauh namun masih memiliki akses ke jaringan perusahaan, atau asetnya terletak di layanan cloud eksternal seperti Amazon. Dan pemindai, kemungkinan besar, tidak akan mengetahui apa pun tentang aset ini, karena aset tersebut berada di luar jangkauan visibilitasnya.
Untuk mencakup seluruh infrastruktur, Anda tidak hanya perlu menggunakan pemindai, tetapi seluruh rangkaian sensor, termasuk teknologi mendengarkan lalu lintas pasif untuk mendeteksi perangkat baru di infrastruktur Anda, metode pengumpulan data agen untuk menerima informasi - memungkinkan Anda menerima data secara online, tanpa kebutuhan untuk memindai, tanpa menyorot kredensial.
Langkah #3: Kategorikan Aset
Tidak semua aset diciptakan sama. Tugas Anda adalah menentukan aset mana yang penting dan mana yang tidak. Tidak ada alat, seperti pemindai, yang dapat melakukan ini untuk Anda. Idealnya, keamanan informasi, TI, dan bisnis bekerja sama untuk menganalisis infrastruktur guna mengidentifikasi sistem penting bagi bisnis. Bagi mereka, mereka menentukan metrik yang dapat diterima untuk ketersediaan, integritas, kerahasiaan, RTO/RPO, dll.
Ini akan membantu Anda memprioritaskan proses manajemen kerentanan Anda. Ketika spesialis Anda menerima data tentang kerentanan, itu tidak akan berupa lembaran berisi ribuan kerentanan di seluruh infrastruktur, tetapi informasi granular dengan mempertimbangkan kekritisan sistem.
Langkah #4: Lakukan Penilaian Infrastruktur
Dan hanya pada langkah keempat kita sampai pada penilaian infrastruktur dari sudut pandang kerentanan. Pada tahap ini, kami menyarankan Anda untuk memperhatikan tidak hanya kerentanan perangkat lunak, tetapi juga kesalahan konfigurasi, yang juga dapat menjadi kerentanan. Di sini kami merekomendasikan metode agen dalam mengumpulkan informasi. Pemindai dapat dan harus digunakan untuk menilai keamanan perimeter. Jika Anda menggunakan sumber daya penyedia cloud, Anda juga perlu mengumpulkan informasi tentang aset dan konfigurasi dari sana. Berikan perhatian khusus untuk menganalisis kerentanan dalam infrastruktur menggunakan kontainer Docker.
Langkah #5: Siapkan pelaporan
Ini adalah salah satu elemen penting dalam proses manajemen kerentanan.
Poin pertama: tidak ada yang akan bekerja dengan laporan multi-halaman dengan daftar kerentanan acak dan deskripsi tentang cara menghilangkannya. Pertama-tama, Anda perlu berkomunikasi dengan rekan kerja dan mencari tahu apa yang harus ada dalam laporan dan bagaimana cara yang lebih nyaman bagi mereka untuk menerima data. Misalnya, beberapa administrator tidak memerlukan penjelasan rinci tentang kerentanan dan hanya memerlukan informasi tentang patch dan link ke patch tersebut. Spesialis lain hanya peduli dengan kerentanan yang ditemukan di infrastruktur jaringan.
Poin kedua: yang saya maksud dengan pelaporan bukan hanya laporan kertas. Ini adalah format yang ketinggalan jaman untuk memperoleh informasi dan cerita statis. Seseorang menerima laporan dan sama sekali tidak dapat mempengaruhi bagaimana data akan disajikan dalam laporan ini. Untuk mendapatkan laporan dalam bentuk yang diinginkan, spesialis TI harus menghubungi spesialis keamanan informasi dan memintanya untuk menyusun kembali laporan tersebut. Seiring berjalannya waktu, kerentanan baru muncul. Daripada meneruskan laporan dari satu departemen ke departemen lain, spesialis di kedua disiplin ilmu harus dapat memantau data secara online dan melihat gambaran yang sama. Oleh karena itu, dalam platform kami, kami menggunakan laporan dinamis dalam bentuk dasbor yang dapat disesuaikan.
Langkah #6: Prioritaskan
Di sini Anda dapat melakukan hal berikut:
1. Membuat repositori dengan gambaran emas sistem. Bekerja dengan gambar emas, periksa kerentanannya dan konfigurasi yang benar secara berkelanjutan. Hal ini dapat dilakukan dengan bantuan agen yang secara otomatis melaporkan kemunculan aset baru dan memberikan informasi tentang kerentanannya.
2. Fokus pada aset-aset yang penting bagi bisnis. Tidak ada satu organisasi pun di dunia yang dapat menghilangkan kerentanan dalam satu kesempatan. Proses menghilangkan kerentanan itu panjang dan bahkan membosankan.
3. Mempersempit permukaan serangan. Bersihkan infrastruktur Anda dari perangkat lunak dan layanan yang tidak perlu, tutup port yang tidak perlu. Kami baru-baru ini memiliki kasus dengan satu perusahaan di mana sekitar 40 ribu kerentanan yang terkait dengan browser Mozilla versi lama ditemukan di 100 ribu perangkat. Ternyata kemudian, Mozilla diperkenalkan ke dalam citra emas beberapa tahun yang lalu, tidak ada yang menggunakannya, tapi itu adalah sumber dari sejumlah besar kerentanan. Ketika browser dihapus dari komputer (bahkan di beberapa server), puluhan ribu kerentanan ini hilang.
4. Memberi peringkat kerentanan berdasarkan intelijen ancaman. Pertimbangkan tidak hanya kekritisan kerentanan, namun juga adanya eksploitasi publik, malware, patch, atau akses eksternal ke sistem yang memiliki kerentanan. Menilai dampak kerentanan ini pada sistem bisnis penting: apakah kerentanan ini dapat menyebabkan hilangnya data, penolakan layanan, dll.
Langkah #7: Setujui KPI
Jangan memindai demi pemindaian. Jika tidak ada yang terjadi pada kerentanan yang ditemukan, maka pemindaian ini menjadi operasi yang tidak berguna. Untuk mencegah penanganan kerentanan menjadi formalitas, pikirkan bagaimana Anda akan mengevaluasi hasilnya. Keamanan informasi dan TI harus sepakat tentang bagaimana pekerjaan untuk menghilangkan kerentanan akan disusun, seberapa sering pemindaian akan dilakukan, patch akan dipasang, dll.
Pada slide Anda melihat contoh kemungkinan KPI. Ada juga daftar tambahan yang kami rekomendasikan kepada klien kami. Jika Anda tertarik, silakan hubungi saya, saya akan membagikan informasi ini kepada Anda.
Langkah #8: Otomatiskan
Kembali ke pemindaian lagi. Di Qualys, kami percaya bahwa pemindaian adalah hal paling tidak penting yang dapat terjadi dalam proses manajemen kerentanan saat ini, dan pertama-tama, pemindaian tersebut perlu diotomatisasi sebanyak mungkin sehingga dilakukan tanpa partisipasi spesialis keamanan informasi. Saat ini ada banyak alat yang memungkinkan Anda melakukan hal ini. Mereka cukup memiliki API terbuka dan jumlah konektor yang diperlukan.
Contoh yang ingin saya berikan adalah DevOps. Jika Anda menerapkan pemindai kerentanan di sana, Anda bisa melupakan DevOps. Dengan teknologi lama, yaitu pemindai klasik, Anda tidak akan diizinkan melakukan proses ini. Pengembang tidak akan menunggu Anda memindai dan memberi mereka laporan multi-halaman yang merepotkan. Pengembang berharap informasi tentang kerentanan akan masuk ke sistem perakitan kode mereka dalam bentuk informasi bug. Keamanan harus terintegrasi secara mulus ke dalam proses ini, dan itu seharusnya hanya menjadi fitur yang dipanggil secara otomatis oleh sistem yang digunakan oleh pengembang Anda.
Langkah #9: Fokus pada Hal-Hal Penting
Fokus pada apa yang memberikan nilai nyata bagi perusahaan Anda. Pemindaian bisa otomatis, laporan juga bisa dikirim otomatis.
Fokus pada peningkatan proses agar lebih fleksibel dan nyaman bagi semua orang yang terlibat. Fokus untuk memastikan bahwa keamanan disertakan dalam semua kontrak dengan rekanan Anda, yang, misalnya, mengembangkan aplikasi web untuk Anda.
Jika Anda memerlukan informasi lebih detail tentang cara membangun proses manajemen kerentanan di perusahaan Anda, silakan hubungi saya dan rekan-rekan saya. Saya akan dengan senang hati membantu.
Sumber: www.habr.com