Abbiamo trascorso un grande 4 luglio . Oggi pubblichiamo la trascrizione del discorso di Andrey Novikov di Qualys. Ti dirà quali passaggi devi eseguire per creare un flusso di lavoro di gestione delle vulnerabilità. Spoiler: raggiungeremo solo la metà prima della scansione.
Passaggio n. 1: determinare il livello di maturità dei processi di gestione delle vulnerabilità
All'inizio, è necessario capire in quale fase si trova la propria organizzazione in termini di maturità dei processi di gestione delle vulnerabilità. Solo dopo potrai capire dove muoverti e quali passi è necessario compiere. Prima di intraprendere scansioni e altre attività, le organizzazioni devono svolgere un lavoro interno per comprendere come sono strutturati i processi attuali dal punto di vista IT e della sicurezza delle informazioni.
Prova a rispondere alle domande di base:
- Disponete di processi per la classificazione dell'inventario e delle risorse;
- Con quale frequenza viene scansionata l'infrastruttura IT e coperta l'intera infrastruttura, vedi il quadro completo;
- Le tue risorse IT sono monitorate?
- Sono stati implementati eventuali KPI nei tuoi processi e come capisci che vengono raggiunti?
- Tutti questi processi sono documentati?
Passaggio 2: garantire la copertura completa dell'infrastruttura
Non puoi proteggere ciò che non conosci. Se non hai un quadro completo di come è fatta la tua infrastruttura IT, non sarai in grado di proteggerla. Le infrastrutture moderne sono complesse e cambiano costantemente sia dal punto di vista quantitativo che qualitativo.
Ora l'infrastruttura IT si basa non solo su uno stack di tecnologie classiche (workstation, server, macchine virtuali), ma anche su tecnologie relativamente nuove: contenitori, microservizi. Il servizio di sicurezza delle informazioni sta scappando da questi ultimi in ogni modo possibile, poiché è molto difficile per lui lavorare con loro utilizzando i set di strumenti esistenti, che consistono principalmente in scanner. Il problema è che qualsiasi scanner non può coprire l’intera infrastruttura. Affinché uno scanner possa raggiungere qualsiasi nodo dell’infrastruttura, devono coincidere diversi fattori. La risorsa deve trovarsi all'interno del perimetro dell'organizzazione al momento della scansione. Lo scanner deve avere accesso in rete alle risorse e ai relativi account per raccogliere informazioni complete.
Secondo le nostre statistiche, quando si tratta di organizzazioni di medie e grandi dimensioni, circa il 15-20% dell’infrastruttura non viene catturata dallo scanner per un motivo o per l’altro: la risorsa si è spostata oltre il perimetro o non appare mai in ufficio. Ad esempio, il laptop di un dipendente che lavora da remoto ma ha comunque accesso alla rete aziendale, oppure la risorsa si trova in servizi cloud esterni come Amazon. E lo scanner, molto probabilmente, non saprà nulla di queste risorse, poiché si trovano al di fuori della sua zona di visibilità.
Per coprire l'intera infrastruttura, è necessario utilizzare non solo scanner, ma tutta una serie di sensori, comprese le tecnologie di ascolto passivo del traffico per rilevare nuovi dispositivi nella tua infrastruttura, il metodo di raccolta dati dell'agente per ricevere informazioni - ti consente di ricevere dati online, senza la necessità di scansionare, senza evidenziare le credenziali.
Passaggio 3: categorizzare le risorse
Non tutte le risorse sono uguali. È tuo compito determinare quali risorse sono importanti e quali no. Nessuno strumento, come uno scanner, farà questo per te. Idealmente, la sicurezza delle informazioni, l’IT e l’azienda lavorano insieme per analizzare l’infrastruttura per identificare i sistemi critici per l’azienda. Per loro, determinano parametri accettabili per disponibilità, integrità, riservatezza, RTO/RPO, ecc.
Ciò ti aiuterà a stabilire le priorità del processo di gestione delle vulnerabilità. Quando i tuoi specialisti riceveranno dati sulle vulnerabilità, non si tratterà di un foglio con migliaia di vulnerabilità nell’intera infrastruttura, ma di informazioni granulari che tengono conto della criticità dei sistemi.
Passaggio n. 4: condurre una valutazione dell'infrastruttura
E solo al quarto passo si arriva a valutare l’infrastruttura dal punto di vista delle vulnerabilità. In questa fase, ti consigliamo di prestare attenzione non solo alle vulnerabilità del software, ma anche agli errori di configurazione, che possono anch'essi rappresentare una vulnerabilità. Qui consigliamo il metodo dell'agente per la raccolta delle informazioni. Gli scanner possono e devono essere utilizzati per valutare la sicurezza perimetrale. Se utilizzi le risorse dei fornitori di servizi cloud, devi anche raccogliere informazioni su risorse e configurazioni da lì. Prestare particolare attenzione all'analisi delle vulnerabilità nelle infrastrutture che utilizzano i contenitori Docker.
Passaggio 5: imposta i rapporti
Questo è uno degli elementi importanti all’interno del processo di gestione delle vulnerabilità.
Il primo punto: nessuno lavorerà con report multipagina con un elenco casuale di vulnerabilità e descrizioni di come eliminarle. Prima di tutto, devi comunicare con i colleghi e scoprire cosa dovrebbe contenere il rapporto e come è più conveniente per loro ricevere i dati. Ad esempio, alcuni amministratori non necessitano di una descrizione dettagliata della vulnerabilità ma necessitano solo di informazioni sulla patch e di un collegamento ad essa. Un altro specialista si preoccupa solo delle vulnerabilità riscontrate nell'infrastruttura di rete.
Secondo punto: per reporting non intendo solo report cartacei. Questo è un formato obsoleto per ottenere informazioni e una storia statica. Una persona riceve un rapporto e non può in alcun modo influenzare il modo in cui i dati verranno presentati in questo rapporto. Per ottenere il report nella forma desiderata, lo specialista IT deve contattare lo specialista della sicurezza informatica e chiedergli di ricostruire il report. Col passare del tempo, compaiono nuove vulnerabilità. Invece di inviare rapporti da un dipartimento all’altro, gli specialisti di entrambe le discipline dovrebbero essere in grado di monitorare i dati online e vedere la stessa immagine. Pertanto, nella nostra piattaforma utilizziamo report dinamici sotto forma di dashboard personalizzabili.
Passaggio n. 6: stabilire le priorità
Qui puoi fare quanto segue:
1. Creare un repository con immagini dorate di sistemi. Lavora con le immagini golden, controllane le vulnerabilità e correggi la configurazione su base continuativa. Questo può essere fatto con l’aiuto di agenti che segnaleranno automaticamente l’emergere di una nuova risorsa e forniranno informazioni sulle sue vulnerabilità.
2. Concentrarsi sugli asset critici per l'azienda. Non esiste una sola organizzazione al mondo in grado di eliminare le vulnerabilità in una volta sola. Il processo di eliminazione delle vulnerabilità è lungo e persino noioso.
3. Restringere la superficie di attacco. Pulisci la tua infrastruttura da software e servizi non necessari, chiudi le porte non necessarie. Recentemente abbiamo avuto un caso con un'azienda in cui sono state rilevate circa 40mila vulnerabilità relative alla vecchia versione del browser Mozilla su 100mila dispositivi. Come si è scoperto in seguito, Mozilla è stato introdotto nell'immagine d'oro molti anni fa, nessuno lo usa, ma è fonte di un gran numero di vulnerabilità. Quando il browser è stato rimosso dai computer (era presente anche su alcuni server), queste decine di migliaia di vulnerabilità sono scomparse.
4. Classificare le vulnerabilità in base all'intelligence sulle minacce. Considerare non solo la criticità della vulnerabilità, ma anche la presenza di un exploit pubblico, malware, patch o accesso esterno al sistema con la vulnerabilità. Valutare l'impatto di questa vulnerabilità sui sistemi aziendali critici: può portare alla perdita di dati, alla negazione del servizio, ecc.
Passaggio 7: concordare i KPI
Non eseguire la scansione per il gusto di farlo. Se non succede nulla alle vulnerabilità rilevate, questa scansione si trasforma in un'operazione inutile. Per evitare che lavorare con le vulnerabilità diventi una formalità, pensa a come ne valuterai i risultati. La sicurezza delle informazioni e l'IT devono concordare come sarà strutturato il lavoro per eliminare le vulnerabilità, con quale frequenza verranno eseguite le scansioni, verranno installate le patch, ecc.
Nella slide vedi esempi di possibili KPI. C'è anche un elenco esteso che consigliamo ai nostri clienti. Se sei interessato contattami, condividerò queste informazioni con te.
Passaggio n. 8: automatizzare
Torniamo di nuovo alla scansione. Noi di Qualys crediamo che la scansione sia la cosa meno importante che possa accadere oggi nel processo di gestione delle vulnerabilità e che prima di tutto debba essere automatizzata il più possibile in modo che venga eseguita senza la partecipazione di uno specialista della sicurezza delle informazioni. Oggi ci sono molti strumenti che permettono di fare questo. È sufficiente che dispongano di un'API aperta e del numero richiesto di connettori.
L'esempio che mi piace fare è DevOps. Se implementi uno scanner di vulnerabilità lì, puoi semplicemente dimenticarti di DevOps. Con le vecchie tecnologie, che sono uno scanner classico, semplicemente non ti sarà consentito accedere a questi processi. Gli sviluppatori non aspetteranno che tu effettui la scansione e fornisca loro un rapporto scomodo e composto da più pagine. Gli sviluppatori si aspettano che le informazioni sulle vulnerabilità entrino nei loro sistemi di assemblaggio del codice sotto forma di informazioni sui bug. La sicurezza dovrebbe essere integrata perfettamente in questi processi e dovrebbe essere semplicemente una funzionalità richiamata automaticamente dal sistema utilizzato dai tuoi sviluppatori.
Passaggio n. 9: concentrarsi sull'essenziale
Concentrati su ciò che apporta valore reale alla tua azienda. Le scansioni possono essere automatiche, i report possono anche essere inviati automaticamente.
Concentrarsi sul miglioramento dei processi per renderli più flessibili e convenienti per tutti i soggetti coinvolti. Concentrati sulla garanzia che la sicurezza sia integrata in tutti i contratti con le tue controparti, che, ad esempio, sviluppano applicazioni web per te.
Se hai bisogno di informazioni più dettagliate su come costruire un processo di gestione delle vulnerabilità nella tua azienda, contatta me e i miei colleghi. Sarò felice di aiutarti.
Fonte: habr.com