Við áttum stóran 4. júlí . Í dag birtum við afrit af ræðu Andrey Novikov frá Qualys. Hann mun segja þér hvaða skref þú þarft að fara í gegnum til að byggja upp verkflæði fyrir varnarleysisstjórnun. Spoiler: við náum aðeins hálfa leiðinni fyrir skönnun.
Skref #1: Ákvarðu þroskastig veikleikastjórnunarferla þinna
Strax í upphafi þarftu að skilja á hvaða stigi fyrirtæki þitt er með tilliti til þroska veikleikastjórnunarferla þess. Aðeins eftir þetta munt þú geta skilið hvert þú átt að flytja og hvaða skref þarf að taka. Áður en farið er í skannanir og aðrar aðgerðir þurfa stofnanir að vinna innra verk til að skilja hvernig núverandi ferlar eru uppbyggðir út frá upplýsingatækni- og upplýsingaöryggissjónarmiði.
Reyndu að svara helstu spurningum:
- Ertu með ferla fyrir birgða- og eignaflokkun;
- Hversu reglulega er upplýsingatækniinnviði skannaður og er allt innviði fjallað, sérðu heildarmyndina;
- Er eftirlit með upplýsingatækniauðlindum þínum?
- Eru einhver KPI innleidd í ferlum þínum og hvernig skilur þú að þeim sé fullnægt;
- Eru öll þessi ferli skjalfest?
Skref #2: Tryggðu fulla innviðaþekju
Þú getur ekki verndað það sem þú veist ekki um. Ef þú hefur ekki heildarmynd af því úr hverju upplýsingatækniinnviðir þínir eru gerðir, muntu ekki geta verndað það. Nútíma innviðir eru flóknir og breytast stöðugt magn og eigindlega.
Núna byggir upplýsingatækniinnviðir ekki aðeins á stafla af klassískri tækni (vinnustöðvum, netþjónum, sýndarvélum), heldur einnig á tiltölulega nýjum - gámum, örþjónustum. Upplýsingaöryggisþjónustan er á flótta undan þeim síðarnefndu á allan mögulegan hátt, þar sem mjög erfitt er fyrir hana að vinna með þeim með því að nota núverandi verkfærasett, sem samanstanda aðallega af skönnum. Vandamálið er að hvaða skanni sem er getur ekki náð yfir allan innviði. Til þess að skanni nái til hvaða hnút sem er í innviðunum verða nokkrir þættir að falla saman. Eignin verður að vera innan jaðar fyrirtækisins við skönnun. Skanni verður að hafa netaðgang að eignum og reikningum þeirra til að safna heildarupplýsingum.
Samkvæmt tölfræði okkar, þegar það kemur að meðalstórum eða stórum fyrirtækjum, eru um það bil 15–20% af innviðum ekki tekin af skannanum af einni eða annarri ástæðu: eignin hefur færst út fyrir jaðarinn eða birtist aldrei á skrifstofunni. Til dæmis fartölva starfsmanns sem vinnur í fjarvinnu en hefur samt aðgang að fyrirtækjanetinu eða eignin er staðsett í ytri skýjaþjónustu eins og Amazon. Og skanninn mun líklega ekki vita neitt um þessar eignir þar sem þær eru utan sýnileikasvæðis þess.
Til að ná yfir allan innviðina þarftu ekki aðeins að nota skanna heldur heilan hóp skynjara, þar á meðal óvirka umferðahlustunartækni til að greina ný tæki í innviðum þínum, gagnasöfnunaraðferð umboðsmanns til að taka á móti upplýsingum - gerir þér kleift að taka á móti gögnum á netinu, án nauðsyn þess að skanna, án þess að auðkenna skilríki.
Skref #3: Flokkaðu eignir
Ekki eru allar eignir jafnar. Það er þitt hlutverk að ákvarða hvaða eignir eru mikilvægar og hverjar ekki. Ekkert verkfæri, eins og skanni, mun gera þetta fyrir þig. Helst vinna upplýsingaöryggi, upplýsingatækni og viðskipti saman að því að greina innviðina til að bera kennsl á mikilvæg fyrirtæki. Fyrir þá ákvarða þeir viðunandi mælikvarða fyrir framboð, heiðarleika, trúnað, RTO / RPO osfrv.
Þetta mun hjálpa þér að forgangsraða veikleikastjórnunarferlinu þínu. Þegar sérfræðingarnir þínir fá gögn um veikleika verða það ekki blað með þúsundum veikleika í öllum innviðum, heldur nákvæmar upplýsingar sem taka mið af mikilvægi kerfanna.
Skref #4: Framkvæma innviðamat
Og aðeins á fjórða þrepi komum við að því að meta innviðina út frá sjónarhóli veikleika. Á þessu stigi mælum við með að þú fylgist ekki aðeins með veikleikum hugbúnaðar heldur einnig stillingarvillum, sem geta líka verið veikleikar. Hér mælum við með umboðsaðferðinni til að safna upplýsingum. Skannar má og ætti að nota til að meta jaðaröryggi. Ef þú notar auðlindir skýjaveitna, þá þarftu líka að safna upplýsingum um eignir og stillingar þaðan. Gefðu sérstaka athygli á að greina veikleika í innviðum með því að nota Docker gáma.
Skref #5: Settu upp skýrslugerð
Þetta er einn af mikilvægu þáttunum í varnarleysisstjórnunarferlinu.
Fyrsta atriðið: enginn mun vinna með margra blaðsíðna skýrslur með handahófskenndum lista yfir veikleika og lýsingum á því hvernig á að útrýma þeim. Í fyrsta lagi þarftu að hafa samskipti við samstarfsmenn og finna út hvað ætti að vera í skýrslunni og hvernig það er þægilegra fyrir þá að taka við gögnum. Til dæmis þarf einhver stjórnandi ekki nákvæma lýsingu á varnarleysinu og þarf aðeins upplýsingar um plásturinn og tengil á hann. Annar sérfræðingur hugsar aðeins um veikleika sem finnast í netinnviðum.
Annað atriði: Með skýrslu á ég ekki aðeins við pappírsskýrslur. Þetta er úrelt snið til að fá upplýsingar og kyrrstæða sögu. Maður fær skýrslu og getur ekki á nokkurn hátt haft áhrif á hvernig gögnin verða sett fram í þessari skýrslu. Til að fá skýrsluna í æskilegu formi þarf upplýsingatæknisérfræðingurinn að hafa samband við upplýsingaöryggissérfræðinginn og biðja hann um að endurbyggja skýrsluna. Eftir því sem tíminn líður birtast nýir veikleikar. Í stað þess að ýta skýrslum á milli deilda ættu sérfræðingar í báðum greinum að geta fylgst með gögnunum á netinu og séð sömu mynd. Þess vegna notum við kraftmiklar skýrslur á vettvangi okkar í formi sérhannaðar mælaborða.
Skref #6: Forgangsraðaðu
Hér getur þú gert eftirfarandi:
1. Að búa til geymslu með gullnum myndum af kerfum. Vinna með gylltar myndir, athugaðu þær með tilliti til veikleika og réttu stillingar stöðugt. Þetta er hægt að gera með hjálp umboðsmanna sem munu sjálfkrafa tilkynna tilkomu nýrrar eignar og veita upplýsingar um veikleika hennar.
2. Einbeittu þér að þeim eignum sem eru mikilvægar fyrir fyrirtækið. Það er ekki ein einasta stofnun í heiminum sem getur útrýmt veikleikum í einu lagi. Ferlið við að útrýma veikleikum er langt og jafnvel leiðinlegt.
3. Þrenging á sóknarfletinum. Hreinsaðu innviði þína fyrir óþarfa hugbúnaði og þjónustu, lokaðu óþarfa höfnum. Nýlega lentum við í máli við eitt fyrirtæki þar sem um 40 þúsund veikleikar fundust á 100 þúsund tækjum sem tengdust gömlu útgáfunni af Mozilla vafranum. Eins og síðar kom í ljós var Mozilla kynnt í gullmyndinni fyrir mörgum árum, enginn notar hana, en hún er uppspretta mikils fjölda veikleika. Þegar vafrinn var fjarlægður af tölvum (hann var meira að segja á sumum netþjónum) hurfu þessir tugþúsundir veikleika.
4. Raðaðu veikleikum út frá ógnargreind. Íhugaðu ekki aðeins mikilvægi veikleikans, heldur einnig tilvist opinbers misnotkunar, spilliforrita, plásturs eða utanaðkomandi aðgangs að kerfinu með varnarleysinu. Metið áhrif þessa varnarleysis á mikilvæg viðskiptakerfi: getur það leitt til gagnataps, afneitun á þjónustu osfrv.
Skref #7: Sammála um KPI
Ekki skanna vegna skönnunar. Ef ekkert gerist við veikleikana sem finnast, þá breytist þessi skönnun í gagnslausa aðgerð. Til að koma í veg fyrir að vinna með veikleika verði formsatriði skaltu íhuga hvernig þú metur árangur þess. Upplýsingaöryggi og upplýsingatækni verða að koma sér saman um hvernig vinnu við að útrýma veikleikum verður háttað, hversu oft skannar verður, sett upp plástra o.fl.
Á glærunni sérðu dæmi um mögulega KPI. Það er einnig rýmkaður listi sem við mælum með fyrir viðskiptavini okkar. Ef þú hefur áhuga, vinsamlegast hafðu samband við mig, ég mun deila þessum upplýsingum með þér.
Skref #8: Sjálfvirk
Aftur að skanna aftur. Við hjá Qualys teljum að skönnun sé það ómikilvægasta sem getur gerst í varnarleysisstjórnunarferlinu í dag og að það þurfi fyrst og fremst að vera sjálfvirkt eins og hægt er svo það sé framkvæmt án þátttöku upplýsingaöryggissérfræðings. Í dag eru mörg tæki sem gera þér kleift að gera þetta. Það er nóg að þeir séu með opið API og nauðsynlegan fjölda tenga.
Dæmið sem mér finnst gaman að gefa er DevOps. Ef þú innleiðir varnarleysisskanni þar geturðu einfaldlega gleymt DevOps. Með gamalli tækni, sem er klassískur skanni, verður þér einfaldlega ekki hleypt inn í þessa ferla. Hönnuðir munu ekki bíða eftir að þú skannar og gefur þeim margsíðna, óþægilega skýrslu. Hönnuðir búast við því að upplýsingar um veikleika komi inn í kóðasamsetningarkerfi þeirra í formi villuupplýsinga. Öryggi ætti að vera óaðfinnanlega innbyggt í þessi ferli og það ætti bara að vera eiginleiki sem er sjálfkrafa kallaður upp af kerfinu sem forritararnir nota.
Skref #9: Einbeittu þér að grundvallaratriðum
Einbeittu þér að því sem gefur fyrirtækinu þínu raunverulegt gildi. Skannanir geta verið sjálfvirkar, skýrslur geta líka verið sendar sjálfkrafa.
Leggðu áherslu á að bæta ferla til að gera þau sveigjanlegri og þægilegri fyrir alla sem taka þátt. Einbeittu þér að því að tryggja að öryggi sé innbyggt í alla samninga við viðsemjendur þína, sem til dæmis þróa vefforrit fyrir þig.
Ef þig vantar ítarlegri upplýsingar um hvernig eigi að byggja upp varnarleysisstjórnunarferli í fyrirtækinu þínu, vinsamlegast hafðu samband við mig og samstarfsfólk mitt. Ég mun vera fús til að hjálpa.
Heimild: www.habr.com