Бізде үлкен 4 шілде болды . Бүгін біз Qualys-тан Андрей Новиковтың сөйлеген сөзінің стенограммасын жариялап отырмыз. Ол осалдықты басқарудың жұмыс процесін құру үшін қандай қадамдардан өту керектігін айтып береді. Спойлер: сканерлеуден бұрын біз тек жарты жолға жетеміз.
№1 қадам: осалдықты басқару процестерінің жетілу деңгейін анықтаңыз
Ең басында сіз ұйымыңыздың осалдықты басқару процестерінің жетілгендігі тұрғысынан қай кезеңде екенін түсінуіңіз керек. Осыдан кейін ғана сіз қайда көшу керектігін және қандай қадамдар жасау керектігін түсіне аласыз. Сканерлеуге және басқа әрекеттерге кіріспес бұрын ұйымдар сіздің ағымдағы процестеріңіз АТ және ақпарат қауіпсіздігі тұрғысынан қалай құрылымдалғанын түсіну үшін кейбір ішкі жұмыстарды орындауы керек.
Негізгі сұрақтарға жауап беруге тырысыңыз:
- Сізде инвентаризация және активтерді жіктеу процестері бар ма;
- АТ-инфрақұрылым қаншалықты жүйелі түрде сканерленеді және барлық инфрақұрылым қамтылады, сіз толық суретті көресіз бе;
- Сіздің IT ресурстарыңыз бақыланады ма?
- Сіздің процестеріңізде қандай да бір KPI енгізілді ме және олардың орындалып жатқанын қалай түсінесіз;
- Бұл процестердің барлығы құжатталған ба?
№2 қадам: Инфрақұрылыммен толық қамтуды қамтамасыз ету
Сіз білмейтін нәрсені қорғай алмайсыз. Егер сізде АТ-инфрақұрылымыңыздың неден жасалғаны туралы толық түсінік болмаса, оны қорғай алмайсыз. Қазіргі заманғы инфрақұрылым күрделі және сандық және сапалық жағынан үнемі өзгеріп отырады.
Қазір АТ-инфрақұрылымы классикалық технологиялар (жұмыс станциялары, серверлер, виртуалды машиналар) стекіне ғана емес, сонымен қатар салыстырмалы түрде жаңаларына – контейнерлерге, микросервистерге негізделген. Ақпараттық қауіпсіздік қызметі соңғысынан барлық мүмкін түрде қашады, өйткені олармен негізінен сканерлерден тұратын құралдар жиынтығын пайдаланып жұмыс істеу өте қиын. Мәселе мынада, кез келген сканер барлық инфрақұрылымды қамти алмайды. Сканер инфрақұрылымдағы кез келген түйінге жету үшін бірнеше факторлар сәйкес келуі керек. Сканерлеу кезінде актив ұйымның периметрі ішінде болуы керек. Толық ақпаратты жинау үшін сканердің активтерге және олардың тіркелгілеріне желілік қатынасы болуы керек.
Біздің статистикаға сәйкес, орта немесе ірі ұйымдар туралы сөз болғанда, инфрақұрылымның шамамен 15-20% сканер бір себептермен түсірмейді: актив периметрден тыс жылжыды немесе кеңседе ешқашан пайда болмайды. Мысалы, қашықтан жұмыс істейтін, бірақ әлі де корпоративтік желіге қол жеткізе алатын қызметкердің ноутбугы немесе актив Amazon сияқты сыртқы бұлттық қызметтерде орналасқан. Сканер, ең алдымен, бұл активтер туралы ештеңе білмейді, өйткені олар оның көріну ауқымынан тыс.
Бүкіл инфрақұрылымды қамту үшін тек сканерлерді ғана емес, сенсорлардың тұтас жиынтығын, соның ішінде инфрақұрылымыңыздағы жаңа құрылғыларды анықтау үшін трафикті тыңдаудың пассивті технологияларын, ақпаратты алу үшін агент деректерін жинау әдісін пайдалану қажет - деректерді онлайн режимінде алуға мүмкіндік береді. тіркелгі деректерін бөлектемей сканерлеу қажеттілігі.
№3 қадам: Активтерді санаттау
Барлық активтер бірдей жасалмайды. Қай активтер маңызды, қайсысы маңызды емес екенін анықтау сіздің міндетіңіз. Сканер сияқты ешбір құрал сіз үшін мұны істемейді. Ең дұрысы, ақпараттық қауіпсіздік, АТ және бизнес бизнес үшін маңызды жүйелерді анықтау үшін инфрақұрылымды талдау үшін бірге жұмыс істейді. Олар үшін олар қолжетімділік, тұтастық, құпиялылық, RTO/RPO және т.б. үшін қолайлы көрсеткіштерді анықтайды.
Бұл осалдықты басқару процесіне басымдық беруге көмектеседі. Сіздің мамандарыңыз осалдықтар туралы деректерді алған кезде, ол бүкіл инфрақұрылым бойынша мыңдаған осалдықтары бар парақ емес, жүйелердің маңыздылығын ескере отырып, түйіршікті ақпарат болады.
№4 қадам: Инфрақұрылымды бағалауды жүргізу
Тек төртінші қадамда ғана біз инфрақұрылымды осалдық тұрғысынан бағалауға келеміз. Бұл кезеңде бағдарламалық жасақтаманың осалдықтарына ғана емес, сонымен қатар осалдық болуы мүмкін конфигурация қателеріне де назар аударуды ұсынамыз. Мұнда ақпарат жинаудың агент әдісін ұсынамыз. Сканерлерді периметрлік қауіпсіздікті бағалау үшін пайдалануға болады және пайдалану керек. Бұлттық провайдерлердің ресурстарын пайдалансаңыз, сол жерден активтер мен конфигурациялар туралы ақпаратты жинауыңыз қажет. Docker контейнерлерін қолданатын инфрақұрылымдардағы осалдықтарды талдауға ерекше назар аударыңыз.
№5 қадам: Есеп беруді орнату
Бұл осалдықты басқару процесінің маңызды элементтерінің бірі.
Бірінші нүкте: осалдықтардың кездейсоқ тізімі және оларды жою жолдары сипатталған көп беттік есептермен ешкім жұмыс істемейді. Ең алдымен, сіз әріптестеріңізбен сөйлесіп, есепте не болуы керектігін және олар үшін деректерді алу ыңғайлырақ екенін білуіңіз керек. Мысалы, кейбір әкімші осалдықтың толық сипаттамасын қажет етпейді және тек патч туралы ақпарат пен оған сілтеме қажет. Басқа маман тек желілік инфрақұрылымда табылған осалдықтарға мән береді.
Екінші нүкте: есеп беру арқылы мен тек қағаз есептерді ғана емес, айтамын. Бұл ақпарат пен статикалық оқиғаны алуға арналған ескірген пішім. Адам есепті алады және бұл есепте деректердің қалай ұсынылатынына ешқандай әсер ете алмайды. Есепті қажетті пішінде алу үшін АТ маманы ақпараттық қауіпсіздік жөніндегі маманға хабарласып, одан есепті қайта құруды сұрауы керек. Уақыт өте келе жаңа осалдықтар пайда болады. Бөлімшеден бөлімге есеп берудің орнына екі пәннің мамандары деректерді онлайн қадағалап, бір суретті көре алуы керек. Сондықтан біздің платформамызда теңшелетін бақылау тақталары түріндегі динамикалық есептерді қолданамыз.
№6 қадам: басымдық беру
Мұнда келесі әрекеттерді орындауға болады:
1. Жүйелердің алтын бейнелері бар репозиторий құру. Алтын кескіндермен жұмыс жасаңыз, олардың осалдықтары бар-жоғын тексеріңіз және конфигурацияны тұрақты түрде түзетіңіз. Мұны жаңа активтің пайда болуы туралы автоматты түрде хабарлайтын және оның осалдықтары туралы ақпарат беретін агенттердің көмегімен жасауға болады.
2. Бизнес үшін маңызды активтерге назар аударыңыз. Дүние жүзінде осалдықтарды бір сәтте жоя алатын бірде-бір ұйым жоқ. Осалдықтарды жою процесі ұзақ және тіпті жалықтырады.
3. Шабуыл бетін тарылту. Инфрақұрылымды қажетсіз бағдарламалық құрал мен қызметтерден тазалаңыз, қажетсіз порттарды жабыңыз. Жақында бізде бір компанияда 40 мың құрылғыда Mozilla браузерінің ескі нұсқасына қатысты 100 мыңға жуық осалдық табылған жағдай болды. Кейінірек белгілі болғандай, Mozilla алтын кескінге көп жылдар бұрын енгізілген, оны ешкім пайдаланбайды, бірақ ол көптеген осалдықтардың көзі болып табылады. Браузер компьютерлерден жойылған кезде (тіпті кейбір серверлерде болған), бұл он мыңдаған осалдықтар жоғалып кетті.
4. Қауіптерді барлау негізінде осалдықтарды атаңыз. Осалдықтың маңыздылығын ғана емес, сонымен бірге жалпыға қолжетімді эксплуаттың, зиянды бағдарламаның, патчтың немесе осалдықпен жүйеге сыртқы кірудің болуын да ескеріңіз. Бұл осалдықтың маңызды бизнес жүйелеріне әсерін бағалаңыз: ол деректердің жоғалуына, қызмет көрсетуден бас тартуға және т.б.
№7 қадам: KPI-мен келісу
Сканерлеу үшін сканерлемеңіз. Табылған осалдықтармен ештеңе болмаса, бұл сканерлеу пайдасыз операцияға айналады. Осалдықтармен жұмыс формальдылыққа айналмау үшін оның нәтижелерін қалай бағалайтыныңызды ойлаңыз. Ақпараттық қауіпсіздік және АТ осалдықтарды жою жұмысының қалай құрылымдалатынын, сканерлеудің қаншалықты жиі жүргізілетінін, патчтарды орнатуды және т.б.
Слайдта ықтимал KPI мысалдарын көресіз. Сондай-ақ біздің клиенттерге ұсынатын кеңейтілген тізім бар. Егер сізді қызықтырса, маған хабарласыңыз, мен бұл ақпаратты сізбен бөлісемін.
№8 қадам: Автоматтандыру
Қайтадан сканерлеуге оралыңыз. Qualys компаниясында сканерлеу бүгінгі таңда осалдықты басқару процесінде орын алуы мүмкін ең маңызды емес нәрсе және ең алдымен оны ақпараттық қауіпсіздік маманының қатысуынсыз орындау үшін мүмкіндігінше автоматтандыру қажет деп санаймыз. Бүгінгі күні мұны істеуге мүмкіндік беретін көптеген құралдар бар. Оларда ашық API және қажетті қосқыштар саны жеткілікті.
Мен келтіргім келетін мысал - DevOps. Егер сіз осалдық сканерін сол жерде қолдансаңыз, DevOps туралы ұмытуға болады. Классикалық сканер болып табылатын ескі технологиялармен сізге бұл процестерге рұқсат берілмейді. Әзірлеушілер сіздің сканерлеуіңізді және оларға көп бетті, қолайсыз есеп беруіңізді күтпейді. Әзірлеушілер осалдықтар туралы ақпарат олардың кодтарды жинақтау жүйелеріне қате туралы ақпарат түрінде енеді деп күтеді. Қауіпсіздік осы процестерге үздіксіз енгізілуі керек және ол әзірлеушілер пайдаланатын жүйе автоматты түрде шақыратын мүмкіндік болуы керек.
№9 қадам: Негіздерге назар аударыңыз
Сіздің компанияңызға нақты құндылық әкелетін нәрсеге назар аударыңыз. Сканерлеулер автоматты болуы мүмкін, есептер де автоматты түрде жіберіледі.
Қатысушы барлық адамдар үшін оларды икемді және ыңғайлы ету үшін процестерді жақсартуға назар аударыңыз. Қауіпсіздіктің, мысалы, сіз үшін веб-қосымшаларды әзірлейтін контрагенттеріңізбен жасалған барлық келісімшарттарға енгізілгенін қамтамасыз етуге назар аударыңыз.
Егер сізге компанияңызда осалдықты басқару процесін құру туралы толығырақ ақпарат қажет болса, маған және менің әріптестеріме хабарласыңыз. Мен көмектесуге қуаныштымын.
Ақпарат көзі: www.habr.com