単なるスキャンではなく、9 つのステップで脆弱性管理プロセスを構築する方法

盛大な独立記念日を迎えました 脆弱性管理ワークショップ。 本日は、Qualys の Andrey Novikov 氏の講演のトランスクリプトを公開します。 脆弱性管理ワークフローを構築するためにどのような手順を実行する必要があるかを説明します。 ネタバレ: スキャンする前に中間点に到達するだけです。

ステップ #1: 脆弱性管理プロセスの成熟度レベルを決定する

最初に、脆弱性管理プロセスの成熟度という点で組織がどの段階にあるのかを理解する必要があります。 この後初めて、どこに移動するか、どのような手順を実行する必要があるかを理解できるようになります。 スキャンやその他の活動に着手する前に、組織は内部作業を行って、IT および情報セキュリティの観点から現在のプロセスがどのように構成されているかを理解する必要があります。

基本的な質問に答えてみてください。

• 在庫と資産分類のプロセスはありますか。 
• IT インフラストラクチャはどのくらい定期的にスキャンされており、インフラストラクチャ全体がカバーされていますか。全体像が見えていますか。
• IT リソースは監視されていますか?
• プロセスに KPI が実装されていますか。また、それらが達成されていることをどのように理解していますか。
• これらすべてのプロセスは文書化されていますか?

ステップ #2: インフラストラクチャが完全にカバーされていることを確認する

知らないものを守ることはできません。 IT インフラストラクチャが何で構成されているかを完全に把握していなければ、IT インフラストラクチャを保護することはできません。 現代のインフラは複雑で、量的、質的に常に変化しています。
現在、IT インフラストラクチャは、従来のテクノロジーのスタック (ワークステーション、サーバー、仮想マシン) だけでなく、コンテナーやマイクロサービスなどの比較的新しいテクノロジーにも基づいています。 情報セキュリティサービスは、主にスキャナーで構成される既存のツールセットを使用して情報セキュリティサービスと連携することが非常に難しいため、あらゆる方法で後者から逃げています。 問題は、どのスキャナでもインフラストラクチャ全体をカバーできないことです。 スキャナがインフラストラクチャ内の任意のノードに到達するには、いくつかの要因が一致する必要があります。 スキャン時には、資産は組織の境界内にある必要があります。 完全な情報を収集するには、スキャナーが資産とそのアカウントにネットワーク アクセスできる必要があります。

当社の統計によると、中規模または大規模の組織では、インフラストラクチャの約 15 ～ 20% が何らかの理由でスキャナーでキャプチャされません。資産が境界を越えて移動したか、オフィスにまったく表示されません。 たとえば、リモートで働いていても企業ネットワークにアクセスできる従業員のラップトップや、Amazon などの外部クラウド サービスに資産が配置されている場合などです。 そして、これらの資産は可視範囲外にあるため、スキャナーはおそらくこれらの資産について何も知りません。

インフラストラクチャ全体をカバーするには、スキャナだけでなく、インフラストラクチャ内の新しいデバイスを検出するためのパッシブ トラフィック リスニング テクノロジー、情報を受信するためのエージェント データ収集方法などのセンサー セット全体を使用する必要があります。これにより、オンラインでデータを受信できます。資格情報を強調表示せずにスキャンする必要性。

ステップ #3: 資産を分類する

すべての資産が同じように作成されるわけではありません。 どの資産が重要でどれがそうでないかを判断するのはあなたの仕事です。 スキャナーのようなツールは、これを自動的に実行しません。 理想的には、情報セキュリティ、IT、ビジネスが連携してインフラストラクチャを分析し、ビジネスに不可欠なシステムを特定します。 彼らにとって、可用性、完全性、機密性、RTO/RPO などの許容可能な指標を決定します。

これは、脆弱性管理プロセスに優先順位を付けるのに役立ちます。 専門家が脆弱性に関するデータを受け取るとき、それはインフラストラクチャ全体にわたる何千もの脆弱性を含むシートではなく、システムの重要性を考慮した詳細な情報になります。

ステップ #4: インフラストラクチャ評価の実施

そして第 XNUMX ステップになって初めて、脆弱性の観点からインフラストラクチャを評価するようになります。 この段階では、ソフトウェアの脆弱性だけでなく、脆弱性の可能性がある構成エラーにも注意を払うことをお勧めします。 ここではエージェント方式の情報収集をお勧めします。 スキャナは境界のセキュリティを評価するために使用できますし、使用する必要があります。 クラウドプロバイダーのリソースを使用する場合は、そこから資産や構成に関する情報も収集する必要があります。 Docker コンテナを使用したインフラストラクチャの脆弱性の分析には特に注意してください。

ステップ #5: レポートを設定する

これは、脆弱性管理プロセスにおける重要な要素の XNUMX つです。
最初のポイント: 脆弱性のランダムなリストとそれらを排除する方法の説明を含む複数ページのレポートを扱う人は誰もいません。 まず第一に、同僚とコミュニケーションをとり、レポートに何を含めるべきか、そしてどのようにデータを受信するのがより便利かを知る必要があります。 たとえば、管理者によっては、脆弱性の詳細な説明は必要なく、パッチとそのリンクに関する情報のみが必要な場合があります。 別の専門家は、ネットワーク インフラストラクチャで見つかった脆弱性のみを考慮しています。

XNUMX 番目のポイント: レポートとは、紙のレポートだけを意味するわけではありません。 これは情報を取得するための時代遅れの形式であり、静的なストーリーです。 個人はレポートを受け取りますが、このレポートでのデータの表示方法に影響を与えることはできません。 レポートを目的の形式で取得するには、IT スペシャリストは情報セキュリティ スペシャリストに連絡し、レポートを再構築するように依頼する必要があります。 時間が経つにつれて、新たな脆弱性が出現します。 レポートを部門から部門に押し付けるのではなく、両方の分野の専門家がオンラインでデータを監視し、同じ状況を確認できる必要があります。 したがって、私たちのプラットフォームでは、カスタマイズ可能なダッシュボードの形式で動的レポートを使用します。

ステップ #6: 優先順位を付ける

ここで次のことができます。

1. システムのゴールデン イメージを含むリポジトリを作成します。 ゴールデン イメージを操作し、脆弱性がないかチェックし、構成を継続的に修正します。 これは、新しい資産の出現を自動的に報告し、その脆弱性に関する情報を提供するエージェントの助けを借りて実行できます。

2. ビジネスにとって重要な資産に焦点を当てます。 脆弱性を一度に排除できる組織は世界中に存在しません。 脆弱性を排除するプロセスは長く、退屈ですらあります。

3. 攻撃対象領域を狭める。 インフラストラクチャから不要なソフトウェアやサービスを削除し、不要なポートを閉じます。 最近、ある企業で、古いバージョンの Mozilla ブラウザに関連する約 40 万件の脆弱性が 100 万台のデバイスで見つかったという事件がありました。 後で判明したことですが、Mozilla は何年も前にゴールデン イメージに導入され、誰も使用していませんでしたが、多数の脆弱性の原因となっていました。 ブラウザがコンピュータから削除されると (一部のサーバー上でも削除されました)、これらの数万の脆弱性は消えました。

4. 脅威インテリジェンスに基づいて脆弱性をランク付けします。 脆弱性の重大度だけでなく、公開エクスプロイト、マルウェア、パッチ、または脆弱性のあるシステムへの外部アクセスの存在も考慮してください。 重要なビジネス システムに対するこの脆弱性の影響を評価します。データ損失やサービス妨害などを引き起こす可能性があります。

ステップ #7: KPI に同意する

スキャンのためのスキャンは行わないでください。 見つかった脆弱性に何も起こらなければ、このスキャンは無駄な操作になってしまいます。 脆弱性への取り組みが形式的になるのを防ぐために、その結​​果をどのように評価するかを考えてください。 情報セキュリティと IT 部門は、脆弱性を排除する作業をどのように構成するか、スキャンの実行頻度、パッチのインストールなどについて合意する必要があります。
スライドには、考えられる KPI の例が示されています。 当社がお客様に推奨する拡張リストもあります。 ご興味がございましたら、私までご連絡ください。この情報を共有させていただきます。

ステップ #8: 自動化する

再びスキャンに戻ります。 Qualys では、スキャンは今日の脆弱性管理プロセスで発生する可能性のある最も重要ではないことであると考えており、まずスキャンを可能な限り自動化し、情報セキュリティの専門家の関与なしで実行できるようにする必要があると考えています。 現在、これを可能にするツールがたくさんあります。 オープン API と必要な数のコネクタがあれば十分です。

私が例として挙げたいのは DevOps です。 そこに脆弱性スキャナーを実装すれば、DevOps のことを単に忘れることができます。 古典的なスキャナーなどの古いテクノロジーでは、これらのプロセスへの参加は許可されません。 開発者は、あなたがスキャンして複数ページにわたる不便なレポートを提供するのを待ちません。 開発者は、脆弱性に関する情報がバグ情報の形でコード アセンブリ システムに入力されることを期待しています。 セキュリティはこれらのプロセスにシームレスに組み込まれる必要があり、開発者が使用するシステムによって自動的に呼び出される機能である必要があります。

ステップ #9: 重要なものに焦点を当てる

何が会社に真の価値をもたらすかに焦点を当てましょう。 スキャンを自動化したり、レポートを自動的に送信したりすることもできます。
プロセスを改善して、関係者全員にとってより柔軟で便利なものにすることに重点を置きます。 たとえば、Web アプリケーションを開発する取引相手とのすべての契約にセキュリティが組み込まれていることを確認することに重点を置きます。

社内で脆弱性管理プロセスを構築する方法についてさらに詳しい情報が必要な場合は、私および私の同僚までご連絡ください。 喜んでお手伝いさせていただきます。

出所： habr.com