Kita duwe 4 Juli gedhe . Dina iki kita nerbitake transkrip pidato Andrey Novikov saka Qualys. Dheweke bakal ngandhani langkah-langkah apa sing kudu sampeyan lakoni kanggo mbangun alur kerja manajemen kerentanan. Spoiler: kita mung bakal tekan separo sadurunge mindhai.
Langkah #1: Nemtokake tingkat kedewasaan proses manajemen kerentanan sampeyan
Ing wiwitan, sampeyan kudu ngerti tahap apa organisasi sampeyan ing babagan kedewasaan proses manajemen kerentanan. Mung sawise iki sampeyan bakal bisa ngerti ngendi arep pindhah lan langkah apa sing kudu ditindakake. Sadurunge miwiti scan lan kegiatan liyane, organisasi kudu nindakake sawetara karya internal kanggo ngerti carane proses sampeyan saiki wis kabentuk saka IT lan perspektif keamanan informasi.
Coba jawab pitakonan dhasar:
- Apa sampeyan duwe proses kanggo klasifikasi persediaan lan aset;
- Sepira rutin infrastruktur IT dipindai lan kabeh infrastruktur ditutupi, apa sampeyan ndeleng kabeh gambar;
- Apa sumber daya IT sampeyan dipantau?
- Apa KPI sing dileksanakake ing proses sampeyan lan kepiye sampeyan ngerti yen lagi ketemu;
- Apa kabeh proses kasebut didokumentasikan?
Langkah #2: Njamin Cakupan Infrastruktur Lengkap
Sampeyan ora bisa nglindhungi apa sing sampeyan ora ngerti. Yen sampeyan ora duwe gambaran lengkap babagan apa infrastruktur IT digawe, sampeyan ora bakal bisa nglindhungi. Infrastruktur modern kompleks lan saya ganti kanthi kuantitatif lan kualitatif.
Saiki infrastruktur IT adhedhasar ora mung ing tumpukan teknologi klasik (workstation, server, mesin virtual), nanging uga relatif anyar - kontaner, microservices. Layanan keamanan informasi mlaku adoh saka sing terakhir kanthi cara sing bisa ditindakake, amarga angel banget kanggo nggarap piranti kasebut nggunakake set alat sing ana, sing utamane kalebu pemindai. Masalahe yaiku scanner ora bisa nutupi kabeh infrastruktur. Supaya scanner bisa tekan simpul ing infrastruktur, sawetara faktor kudu pas. Aset kasebut kudu ana ing keliling organisasi nalika pindai. Pemindai kudu duwe akses jaringan menyang aset lan akun kasebut supaya bisa ngumpulake informasi lengkap.
Miturut statistik kita, nalika nerangake organisasi medium utawa gedhe, kira-kira 15-20% saka infrastruktur ora dijupuk dening scanner amarga siji utawa liyane alesan: aset wis pindhah ngluwihi perimeter utawa ora katon ing kantor ing kabeh. Contone, laptop karyawan sing kerja adoh nanging isih nduweni akses menyang jaringan perusahaan, utawa aset kasebut ana ing layanan maya eksternal kayata Amazon. Lan scanner, paling kamungkinan, ora bakal ngerti apa-apa bab aset iki, amarga padha ing njaba jarak visibilitas.
Kanggo nutupi kabeh infrastruktur, sampeyan kudu nggunakake ora mung pemindai, nanging kabeh sensor, kalebu teknologi ngrungokake lalu lintas pasif kanggo ndeteksi piranti anyar ing infrastruktur sampeyan, metode pengumpulan data agen kanggo nampa informasi - ngidini sampeyan nampa data online, tanpa perlu kanggo mindhai, tanpa nyorot kapercayan.
Langkah #3: Nggolongake Aset
Ora kabeh aset digawe padha. Tugas sampeyan nemtokake aset sing penting lan sing ora. Ora ana alat, kaya scanner, sing bakal nindakake iki kanggo sampeyan. Saenipun, keamanan informasi, IT lan bisnis makarya bebarengan kanggo nganalisa infrastruktur kanggo ngenali sistem bisnis-kritis. Kanggo wong-wong mau, dheweke nemtokake metrik sing bisa ditampa kanggo kasedhiyan, integritas, rahasia, RTO / RPO, lsp.
Iki bakal mbantu sampeyan nggawe prioritas proses manajemen kerentanan sampeyan. Nalika spesialis sampeyan nampa data babagan kerentanan, iki ora bakal dadi lembaran kanthi ewonan kerentanan ing kabeh infrastruktur, nanging informasi granular kanthi nganggep kritisitas sistem kasebut.
Langkah #4: Nindakake Assessment Infrastruktur
Lan mung ing langkah kaping papat, kita bakal ngevaluasi infrastruktur saka sudut pandang kerentanan. Ing tahap iki, disaranake sampeyan ora mung menehi perhatian marang kerentanan piranti lunak, nanging uga kesalahan konfigurasi, sing uga bisa dadi kerentanan. Ing kene disaranake cara agen ngumpulake informasi. Scanner bisa lan kudu digunakake kanggo netepake keamanan perimeter. Yen sampeyan nggunakake sumber daya panyedhiya maya, sampeyan uga kudu ngumpulake informasi babagan aset lan konfigurasi saka kono. Pay manungsa waΓ© khusus kanggo nganalisa kerentanan ing infrastruktur nggunakake wadhah Docker.
Langkah #5: Nggawe laporan
Iki minangka salah sawijining unsur penting ing proses manajemen kerentanan.
Titik pisanan: ora ana sing bakal nggarap laporan multi-halaman kanthi dhaptar kerentanan lan deskripsi acak babagan cara ngilangi. Kaping pisanan, sampeyan kudu komunikasi karo kolega lan ngerteni apa sing kudu ana ing laporan kasebut lan carane luwih trep kanggo nampa data. Contone, sawetara administrator ora mbutuhake katrangan rinci babagan kerentanan lan mung butuh informasi babagan tembelan lan link kasebut. Spesialis liyane mung peduli babagan kerentanan sing ditemokake ing infrastruktur jaringan.
Titik kapindho: kanthi nglaporake tegese ora mung laporan kertas. Iki minangka format lawas kanggo entuk informasi lan crita statis. Wong nampa laporan lan ora bisa mengaruhi cara data bakal ditampilake ing laporan iki. Kanggo entuk laporan ing wangun sing dikarepake, spesialis IT kudu ngubungi spesialis keamanan informasi lan njaluk dheweke mbangun maneh laporan kasebut. Sajrone wektu, kerentanan anyar katon. Tinimbang nyurung laporan saka departemen menyang departemen, spesialis ing loro disiplin kasebut kudu bisa ngawasi data kanthi online lan ndeleng gambar sing padha. Mulane, ing platform kita nggunakake laporan dinamis ing wangun dashboard customizable.
Langkah # 6: Prioritas
Ing kene sampeyan bisa nindakake ing ngisor iki:
1. Nggawe repositori karo gambar emas saka sistem. Nggarap gambar emas, mriksa kerentanan lan konfigurasi sing bener kanthi terus-terusan. Iki bisa ditindakake kanthi bantuan agen sing bakal kanthi otomatis nglaporake muncule aset anyar lan menehi informasi babagan kerentanan kasebut.
2. Fokus ing aset sing penting kanggo bisnis. Ora ana organisasi siji ing donya sing bisa ngilangi kerentanan sekaligus. Proses ngilangi kerentanan kasebut dawa lan malah mboseni.
3. Narrowing lumahing serangan. Ngresiki infrastruktur piranti lunak lan layanan sing ora perlu, nutup port sing ora perlu. Kita bubar duwe kasus karo siji perusahaan sing udakara 40 ewu kerentanan sing ana gandhengane karo versi lawas browser Mozilla ditemokake ing 100 ewu piranti. Dadi mengko, Mozilla dikenalake menyang gambar emas pirang-pirang taun kepungkur, ora ana sing nggunakake, nanging minangka sumber kerentanan sing akeh. Nalika browser dibusak saka komputer (malah ing sawetara server), puluhan ewu kerentanan iki ilang.
4. Rangking kerentanan adhedhasar intelijen ancaman. Coba ora mung kritisitas kerentanan, nanging uga ana eksploitasi umum, malware, patch, utawa akses eksternal menyang sistem kanthi kerentanan kasebut. Evaluasi pengaruh kerentanan iki ing sistem bisnis sing kritis: apa bisa nyebabake mundhut data, nolak layanan, lsp.
Langkah # 7: Setuju KPI
Aja scan kanggo mindhai. Yen ora ana kerentanan sing ditemokake, mula pemindaian iki dadi operasi sing ora ana gunane. Kanggo nyegah nggarap kerentanan dadi formalitas, pikirake carane sampeyan bakal ngevaluasi asile. Keamanan informasi lan IT kudu setuju babagan cara kerja kanggo ngilangi kerentanan bakal kabentuk, sepira kerepe scan bakal ditindakake, patch bakal dipasang, lsp.
Ing slide sampeyan ndeleng conto KPI sing bisa ditindakake. Ana uga dhaptar lengkap sing disaranake kanggo para klien. Yen sampeyan kasengsem, hubungi kula, aku bakal nuduhake informasi iki karo sampeyan.
Langkah # 8: Otomatis
Bali menyang mindhai maneh. Ing Qualys, kita percaya yen pemindaian minangka perkara sing paling ora penting sing bisa kedadeyan ing proses manajemen kerentanan saiki, lan sing sepisanan kudu diotomatisasi supaya bisa ditindakake tanpa partisipasi spesialis keamanan informasi. Dina iki ana akeh alat sing ngidini sampeyan nindakake iki. Cukup yen dheweke duwe API sing mbukak lan jumlah konektor sing dibutuhake.
Conto sing dakkarepake yaiku DevOps. Yen sampeyan ngetrapake pemindai kerentanan ing kana, sampeyan mung bisa lali babagan DevOps. Kanthi teknologi lawas, yaiku scanner klasik, sampeyan ora bakal diidini mlebu ing proses kasebut. Pangembang ora bakal ngenteni sampeyan mindai lan menehi laporan multi-kaca sing ora trep. Pangembang ngarepake manawa informasi babagan kerentanan bakal mlebu sistem perakitan kode ing bentuk informasi bug. Keamanan kudu dibangun kanthi lancar ing proses kasebut, lan mung dadi fitur sing diarani kanthi otomatis dening sistem sing digunakake dening pangembang sampeyan.
Langkah # 9: Fokus ing Essentials
Fokusake apa sing menehi nilai nyata kanggo perusahaan sampeyan. Pindai bisa otomatis, laporan uga bisa dikirim kanthi otomatis.
Fokus kanggo ningkatake proses supaya luwih fleksibel lan trep kanggo kabeh wong sing melu. Fokus kanggo mesthekake yen keamanan dibangun ing kabeh kontrak karo mitra, sing, contone, ngembangake aplikasi web kanggo sampeyan.
Yen sampeyan mbutuhake informasi sing luwih rinci babagan carane mbangun proses manajemen kerentanan ing perusahaan sampeyan, hubungi kula lan kanca-kanca. Aku bakal seneng mbantu.
Source: www.habr.com