Mir haten e grousse 4. Juli . Haut publizéieren mir en Transkript vun der Ried vum Andrey Novikov vu Qualys. Hien wäert Iech soen wéi eng Schrëtt Dir musst duerchgoën fir e Schwachstellemanagement Workflow ze bauen. Spoiler: mir wäerten nëmmen d'Halschent erreechen virum Scannen.
Schrëtt #1: Bestëmmt de Reifeniveau vun Äre Schwachstellemanagementprozesser
Um Ufank musst Dir verstoen op wéi enger Etapp Är Organisatioun ass wat d'Reife vu senge Schwachstellemanagementprozesser ugeet. Nëmmen duerno wäert Dir fäheg sinn ze verstoen wou ze plënneren a wat Schrëtt musse geholl ginn. Ier Dir op Scannen an aner Aktivitéiten ufänkt, mussen d'Organisatiounen e puer intern Aarbecht maachen fir ze verstoen wéi Är aktuell Prozesser aus enger IT- an Informatiounssécherheetsperspektiv strukturéiert sinn.
Probéiert d'Basis Froen ze beäntweren:
- Hutt Dir Prozesser fir Inventar an Asset Klassifikatioun;
- Wéi regelméisseg gëtt d'IT Infrastruktur gescannt a gëtt déi ganz Infrastruktur ofgedeckt, gesitt Dir dat ganzt Bild;
- Sinn Är IT Ressourcen iwwerwaacht?
- Ginn all KPIs an Äre Prozesser implementéiert a wéi verstitt Dir datt se erfëllt ginn;
- Sinn all dës Prozesser dokumentéiert?
Schrëtt #2: Assuréieren voll Infrastruktur Ofdeckung
Dir kënnt net schützen wat Dir net wësst. Wann Dir net e komplett Bild hutt vu wat Är IT-Infrastruktur gemaach ass, kënnt Dir se net schützen. Modern Infrastruktur ass komplex a verännert sech permanent quantitativ a qualitativ.
Elo ass d'IT Infrastruktur baséiert net nëmmen op engem Stack vun klassesch Technologien (Aarbechtsstatiounen, Serveren, virtuell Maschinnen), mä och op relativ neier - Container, microservices. D'Informatiounssécherheetsservice leeft op all méiglech Manéier vun deenen leschten ewech, well et ganz schwéier ass mat hinnen ze schaffen mat existente Toolsets, déi haaptsächlech aus Scanner besteet. De Problem ass datt all Scanner déi ganz Infrastruktur net kann ofdecken. Fir e Scanner all Node an der Infrastruktur z'erreechen, musse verschidde Faktoren zesummekommen. De Verméigen muss am Perimeter vun der Organisatioun am Moment vum Scan sinn. De Scanner muss Netzzougang zu Verméigen an hire Konten hunn fir komplett Informatioun ze sammelen.
No eise Statistiken, wann et ëm mëttel oder grouss Organisatiounen geet, sinn ongeféier 15-20% vun der Infrastruktur aus engem oder anere Grond net vum Scanner erfaasst: de Verméigen ass iwwer de Perimeter geréckelt oder erschéngt iwwerhaapt ni am Büro. Zum Beispill, e Laptop vun engem Employé, deen op afstand schafft, awer nach ëmmer Zougang zum Firmennetz huet, oder de Verméigen ass an externe Cloud Servicer wéi Amazon. An de Scanner wäert wahrscheinlech näischt iwwer dës Verméigen wëssen, well se ausserhalb vu senger Visibilitéitsberäich sinn.
Fir déi ganz Infrastruktur ze decken, musst Dir net nëmmen Scanner benotzen, awer e ganze Set vu Sensoren, inklusiv passiv Traffic Nolauschtertechnologien fir nei Apparater an Ärer Infrastruktur z'entdecken, Agent Datensammlungsmethod fir Informatioun ze kréien - erlaabt Iech Daten online ze kréien, ouni de Besoin fir ze scannen, ouni Umeldungsinformatiounen ze markéieren.
Schrëtt #3: Verméigen kategoriséieren
Net all Verméigen sinn gläich geschaf. Et ass Är Aarbecht fir ze bestëmmen wat Verméigen wichteg sinn a wéi eng net. Keen Tool, wéi e Scanner, wäert dat fir Iech maachen. Idealerweis schaffen Informatiounssécherheet, IT a Business zesummen fir d'Infrastruktur ze analyséieren fir geschäftlech kritesch Systemer z'identifizéieren. Fir si bestëmmen se akzeptabel Metriken fir Disponibilitéit, Integritéit, Vertraulechkeet, RTO / RPO, etc.
Dëst wäert Iech hëllefen Äre Schwachstellemanagementprozess ze prioritéieren. Wann Är Spezialisten Daten iwwer Schwachstelle kréien, ass et net e Blat mat Dausende vu Schwächen iwwer d'ganz Infrastruktur, awer granulär Informatioun, déi d'Kritikitéit vun de Systemer berücksichtegt.
Schrëtt #4: Maacht eng Infrastruktur Bewäertung
An eréischt um véierte Schrëtt komme mir zur Bewäertung vun der Infrastruktur aus der Siicht vu Schwachstelle. Op dëser Etapp empfeelen mir Iech net nëmmen op Software Schwachstelle opzepassen, awer och op Konfiguratiounsfehler, déi och eng Schwachstelle kënnen sinn. Hei empfeelen mir d'Agentmethod fir Informatioun ze sammelen. Scanner kënnen a solle benotzt ginn fir Perimeter Sécherheet ze bewäerten. Wann Dir d'Ressourcen vun de Cloud Provider benotzt, da musst Dir och Informatioun iwwer Verméigen a Konfiguratioune sammelen. Besonnesch Opmierksamkeet op d'Analyse vu Schwachstelle an Infrastrukturen mat Docker Container.
Schrëtt #5: Berichterstattung opstellen
Dëst ass ee vun de wichtegsten Elementer am Schwachstellemanagementprozess.
Den éischte Punkt: Keen wäert mat Multi-Säit Berichter mat enger zoufälleger Lëscht vu Schwachstelle schaffen a Beschreiwunge wéi se se eliminéieren. Als éischt musst Dir mat Kollegen kommunizéieren an erausfannen, wat am Bericht soll sinn a wéi et méi bequem ass fir si Daten ze kréien. Zum Beispill brauch e puer Administrateur keng detailléiert Beschreiwung vun der Schwachstelle a brauch nëmmen Informatioun iwwer de Patch an e Link dozou. En anere Spezialist këmmert sech nëmmen ëm Schwachstelle, déi an der Netzwierkinfrastruktur fonnt goufen.
Zweete Punkt: mat Berichterstattung mengen ech net nëmme Pabeierberichter. Dëst ass en alen Format fir Informatioun ze kréien an eng statesch Geschicht. Eng Persoun kritt e Rapport a kann op kee Fall Afloss wéi d'Donnéeën an dësem Rapport presentéiert ginn. Fir de Bericht an der gewënschter Form ze kréien, muss den IT-Spezialist den Informatiounssécherheetsspezialist kontaktéieren an him froen de Bericht nei opzebauen. Wéi d'Zäit weidergeet, erschéngen nei Schwachstelle. Amplaz Berichter vun Departement zu Departement ze drécken, sollten Spezialisten a béid Disziplinnen d'Daten online iwwerwaachen an datselwecht Bild gesinn. Dofir benotze mir op eiser Plattform dynamesch Berichter a Form vun personaliséierbaren Dashboards.
Schrëtt # 6: Prioritéit
Hei kënnt Dir déi folgend maachen:
1. Erstellt e Repository mat gëllene Biller vu Systemer. Schafft mat gëllene Biller, kontrolléiert se op Schwachstelle a korrekt Konfiguratioun op eng kontinuéierlech Basis. Dëst kann mat der Hëllef vun Agenten gemaach ginn, déi automatesch d'Entstoe vun engem neie Verméigen berichten an Informatioun iwwer seng Schwachstelle liwweren.
2. Focus op déi Verméigen déi kritesch fir d'Geschäft sinn. Et gëtt keng eenzeg Organisatioun op der Welt, déi Schwachstelle kann op ee Wee eliminéieren. De Prozess fir Schwachstelle ze eliminéieren ass laang a souguer langweileg.
3. Verengung der Attack Uewerfläch. Botzen Är Infrastruktur vun onnéideg Software a Servicer, zougemaach onnéideg Häfen. Mir haten viru kuerzem e Fall mat enger Firma an där ongeféier 40 Tausend Schwächen am Zesummenhang mat der aler Versioun vum Mozilla Browser op 100 Tausend Apparater fonnt goufen. Wéi et spéider erausgestallt gouf, gouf Mozilla viru ville Joeren an dat gëllent Bild agefouert, kee benotzt et, awer et ass d'Quell vun enger grousser Zuel vu Schwachstelle. Wann de Browser aus Computeren geläscht gouf (et war souguer op e puer Serveren), sinn dës Zéngdausende vu Schwachstelle verschwonnen.
4. Rank Schwachstelle baséiert op Bedrohungsintelligenz. Bedenkt net nëmmen d'Kritik vun der Schwachstelle, awer och d'Präsenz vun engem ëffentlechen Ausbeutung, Malware, Patch oder externen Zougang zum System mat der Schwachstelle. Bewäerten den Impakt vun dëser Schwachstelle op kritesch Geschäftssystemer: kann et zu Datenverloscht, Verweigerung vum Service, etc.
Schrëtt #7: Averstanen op KPIs
Scan net fir d'Wuel vum Scannen. Wann näischt mat de fonnte Schwachstelle geschitt, da gëtt dëse Scannen an eng nëtzlos Operatioun. Fir ze vermeiden datt d'Aarbecht mat Schwachstelle eng Formalitéit gëtt, denkt un wéi Dir seng Resultater evaluéiert. Informatiounssécherheet an IT musse sech eens sinn wéi d'Aarbecht fir d'Eliminatioun vu Schwachstelle strukturéiert gëtt, wéi dacks Scans duerchgefouert ginn, Patches installéiert ginn, asw.
Op der Rutsch gesitt Dir Beispiller vu méigleche KPIs. Et gëtt och eng erweidert Lëscht déi mir eise Clienten recommandéieren. Wann Dir interesséiert sidd, da kontaktéiert mech, ech deelen dës Informatioun mat Iech.
Schrëtt #8: Automatiséieren
Zréck op d'Scannen erëm. Bei Qualys gleewe mir datt d'Scannen déi onwichtegst Saach ass, déi haut am Schwachstellemanagementprozess ka geschéien, an datt et als éischt sou vill wéi méiglech automatiséiert muss ginn, fir datt et ouni d'Participatioun vun engem Informatiounssécherheetsspezialist gemaach gëtt. Haut ginn et vill Tools déi Iech erlaben dëst ze maachen. Et ass genuch datt se eng oppe API hunn an déi erfuerderlech Unzuel u Connectoren.
D'Beispill dat ech gär ginn ass DevOps. Wann Dir e Schwachstelle Scanner do implementéiert, kënnt Dir einfach iwwer DevOps vergiessen. Mat alen Technologien, wat e klassesche Scanner ass, gitt Dir einfach net an dës Prozesser zougelooss. Entwéckler waarden net op Iech fir ze scannen an hinnen e Multi-Säit, onbequem Bericht ze ginn. D'Entwéckler erwaarden datt Informatioun iwwer Schwachstelle hir Code Assemblée Systemer a Form vu Käferinformatioun aginn. Sécherheet soll nahtlos an dëse Prozesser agebaut ginn, an et sollt just eng Feature sinn déi automatesch vum System vun Ären Entwéckler benotzt gëtt.
Schrëtt #9: Fokus op d'Wichtegkeet
Focus op wat wierklech Wäert fir Är Firma bréngt. Scans kënnen automatesch sinn, Berichter kënnen och automatesch geschéckt ginn.
Focus op d'Verbesserung vun Prozesser fir se méi flexibel a praktesch fir jiddereen involvéiert ze maachen. Konzentréieren op ze suergen, datt Sécherheet an all Kontrakter mat Äre Géigespiller gebaut ass, déi, zum Beispill, Web Uwendungen fir Iech entwéckelen.
Wann Dir méi detailléiert Informatioun braucht iwwer wéi Dir e Schwachstellemanagementprozess an Ärer Firma opbaut, da kontaktéiert mech a meng Kollegen. Ech wäert frou hëllefen.
Source: will.com