Liepos 4 dieną praleidome daug . Šiandien publikuojame Andrejaus Novikovo kalbos iš Qualys stenogramą. Jis jums pasakys, kokius veiksmus turite atlikti, kad sukurtumėte pažeidžiamumo valdymo darbo eigą. Įspėjimas apie spoilerį: nuskaitymą atliksime tik įpusėjus.
1 veiksmas: nustatykite pažeidžiamumo valdymo procesų brandos lygį
Pačioje pradžioje turite suprasti, kur yra jūsų organizacija pagal pažeidžiamumo valdymo procesų brandą. Tik tada galėsite suprasti, kur eini ir kokių veiksmų reikia imtis. Prieš imdamosi nuskaitymo ir kitos veiklos, organizacijos turi atlikti tam tikrą vidinį darbą ir suprasti, kaip jūsų dabartiniai procesai yra išdėstyti IT ir informacijos saugumo požiūriu.
Pabandykite atsakyti į pagrindinius klausimus:
- ar turite turto inventorizavimo ir klasifikavimo procesus;
- kaip reguliariai yra skenuojama IT infrastruktūra ir ar visa infrastruktūra yra padengta, ar matote visą vaizdą;
- Ar jūsų IT ištekliai yra stebimi?
- ar jūsų procesuose yra įdiegti kokie nors KPI ir kaip jūs suprantate, kad jie yra diegiami;
- Ar visi šie procesai dokumentuoti?
2 veiksmas: gaukite visą infrastruktūros aprėptį
Negalite apsaugoti to, apie ką nežinote. Jei neturite išsamaus vaizdo apie tai, iš ko susideda jūsų IT infrastruktūra, negalėsite jos apsaugoti. Šiuolaikinė infrastruktūra yra sudėtinga ir nuolat kinta tiek kiekybiškai, tiek kokybiškai.
Dabar IT infrastruktūra paremta ne tik šūsniu klasikinių technologijų (darbo stotys, serveriai, virtualios mašinos), bet ir gana naujomis – konteineriais, mikropaslaugomis. Informacijos saugos tarnyba visais įmanomais būdais bėga nuo pastarųjų, nes jai labai sunku dirbti su jais naudojant esamus įrankių rinkinius, kuriuos daugiausia sudaro skaitytuvai. Problema ta, kad joks skaitytuvas negali aprėpti visos infrastruktūros. Kad skaitytuvas pasiektų bet kurį infrastruktūros mazgą, vienu metu turi sutapti keli veiksniai. Nuskaitymo metu išteklius turi būti organizacijos perimetro viduje. Skaitytuvas turi turėti tinklo prieigą prie turto, jų sąskaitų, kad galėtų rinkti visą informaciją.
Pagal mūsų statistiką, kalbant apie vidutines ar dideles organizacijas, maždaug 15-20% infrastruktūros skeneriu neužfiksuojama dėl vienokių ar kitokių priežasčių: turtas išėjo iš perimetro arba išvis nepasirodo biure. Pavyzdžiui, darbuotojo, kuris dirba nuotoliniu būdu, bet tuo pačiu metu turi prieigą prie įmonės tinklo, nešiojamas kompiuteris arba turtas yra išorinėse debesijos paslaugose, tokiose kaip „Amazon“. Ir skaitytuvas greičiausiai nieko nežinos apie šiuos turtus, nes jie nepatenka į jo akiratį.
Norint aprėpti visą infrastruktūrą, reikia naudoti ne tik skaitytuvus, bet ir visą rinkinį jutiklių, įskaitant pasyviojo srauto klausymo technologijas, kurios aptiks naujus infrastruktūros įrenginius, agentu pagrįstą duomenų rinkimo metodą informacijai gauti – leidžia gauti duomenis. internetu, nereikia nuskaityti, neišskiriant kredencialų.
3 veiksmas: suskirstykite turtą į kategorijas
Ne visas turtas vienodai naudingas. Jūs turite nuspręsti, kuris turtas yra svarbus, o kuris ne. Joks įrankis, tas pats skaitytuvas, to nepadarys už jus. Idealiu atveju informacijos sauga, IT ir verslas kartu analizuoja infrastruktūrą, kad išryškintų verslui svarbias sistemas. Jiems jie apibrėžia priimtinas pasiekiamumo, vientisumo, konfidencialumo, RTO / RPO ir kt.
Tai padės nustatyti pažeidžiamumo valdymo proceso prioritetus. Kai jūsų specialistai gaus duomenis apie pažeidžiamumą, tai bus ne lapas su tūkstančiais pažeidžiamumų visoje infrastruktūroje, o detali informacija, atsižvelgiant į sistemų kritiškumą.
4 veiksmas: atlikite infrastruktūros vertinimą
Ir tik ketvirtame žingsnyje pradedame vertinti infrastruktūrą pagal pažeidžiamumą. Šiame etape rekomenduojame atkreipti dėmesį ne tik į programinės įrangos spragas, bet ir į konfigūracijų klaidas, kurios taip pat gali būti pažeidžiamumas. Čia rekomenduojame agentu pagrįstą informacijos rinkimo metodą. Perimetro saugumui įvertinti galima ir reikia naudoti skaitytuvus. Jei naudojate debesų paslaugų teikėjų išteklius, iš ten taip pat turite rinkti informaciją apie išteklius ir konfigūracijas. Ypatingą dėmesį atkreipkite į pažeidžiamumo analizę infrastruktūrose, kuriose naudojami „Docker“ konteineriai.
5 veiksmas: nustatykite ataskaitų teikimą
Tai vienas iš svarbių pažeidžiamumo valdymo proceso elementų.
Pirmas punktas: niekas nedirbs su kelių puslapių ataskaitomis su netvarkingu pažeidžiamumų sąrašu ir aprašymais, kaip jas ištaisyti. Pirmiausia reikia pabendrauti su kolegomis ir pasidomėti, kas turi būti ataskaitoje ir kaip jiems patogiau gauti duomenis. Pavyzdžiui, kai kuriems administratoriams nereikia detalaus pažeidžiamumo aprašymo, reikia tik informacijos apie pataisą ir nuorodą į ją. Kitam specialistui svarbūs tik tinklo infrastruktūros pažeidžiamumai.
Antras punktas: ataskaitų teikimu turiu omenyje ne tik popierines ataskaitas. Tai pasenęs informacijos ir statinės istorijos gavimo formatas. Asmuo gauna pranešimą ir niekaip negali įtakoti, kaip duomenys bus pateikti šioje ataskaitoje. Norėdamas gauti reikiamos formos ataskaitą, IT specialistas turi susisiekti su informacijos saugos specialistu ir paprašyti, kad jis ataskaitą atkurtų. Laikui bėgant atsiranda naujų pažeidžiamumų. Užuot platinusios ataskaitas iš skyriaus į skyrių, abi komandos turėtų turėti galimybę žiūrėti duomenis internete ir matyti tą patį vaizdą. Todėl savo platformoje naudojame dinamines ataskaitas tinkinamų prietaisų skydelių pavidalu.
6 veiksmas: suteikite pirmenybę
Čia galite atlikti šiuos veiksmus:
1. Saugyklos su auksiniais sistemos vaizdais sukūrimas. Dirbkite su auksiniais vaizdais, nuolat patikrinkite, ar nėra pažeidžiamumų ir taisykite konfigūraciją. Tai galima padaryti naudojant agentus, kurie automatiškai praneš apie naujo turto atsiradimą ir pateiks informaciją apie jo pažeidžiamumą.
2. Sutelkite dėmesį į turtą, kuris yra labai svarbus verslui. Pasaulyje nėra nei vienos organizacijos, galinčios vienu ypu ištaisyti spragas. Pažeidžiamumų pašalinimo procesas yra ilgas ir net niūrus.
3. Atakos paviršiaus susiaurinimas. Išvalykite infrastruktūrą nuo nereikalingos programinės įrangos, paslaugų, uždarykite nereikalingus prievadus. Neseniai turėjome atvejį su įmone, kurioje 40 100 įrenginių buvo aptikta apie XNUMX XNUMX pažeidžiamumų, susijusių su sena „Mozilla“ naršyklės versija. Kaip vėliau paaiškėjo, prieš daugelį metų „Mozilla“ buvo įdėta į auksinį vaizdą, niekas juo nesinaudoja, tačiau tai yra daugybės pažeidžiamumų šaltinis. Kai naršyklė buvo pašalinta iš kompiuterių (ji netgi stovėjo kai kuriuose serveriuose), šios dešimtys tūkstančių pažeidžiamumų išnyko.
4. Įvertinkite pažeidžiamumą žvalgybos duomenų bazėje (grėsmės žvalgyba). Atsižvelkite ne tik į pažeidžiamumo kritiškumą, bet ir į viešą išnaudojimą, kenkėjišką programą, pataisą, išorinę prieigą prie sistemos su pažeidžiamumu. Įvertinkite šio pažeidžiamumo poveikį svarbiausioms verslo sistemoms: ar dėl to gali būti prarasti duomenys, atsisakyta teikti paslaugą ir pan.
7 veiksmas: suderinkite KPI
Nenuskaitykite dėl nuskaitymo. Jei nieko neatsitiks su rastais pažeidžiamumais, šis nuskaitymas virsta nenaudinga operacija. Kad darbas su pažeidžiamumu netaptų formalumu, pagalvokite, kaip vertinsite jo rezultatus. Informacijos saugumas ir IT turi susitarti, kaip bus kuriami pažeidžiamumų šalinimo darbai, kaip dažnai bus atliekami nuskaitymai, pataisymai ir pan.
Skaidrėje matote galimų KPI pavyzdžius. Taip pat yra išplėstinis sąrašas, kurį rekomenduojame savo klientams. Jei susidomėjote, susisiekite su manimi, pasidalinsiu su jumis šia informacija.
8 veiksmas: automatizuokite
Vėl grįžkite į nuskaitymą. „Qualys“ mano, kad nuskaitymas yra mažiausiai svarbus dalykas, kuris šiandien gali įvykti pažeidžiamumo valdymo procese, ir kad pirmiausia jis turėtų būti kuo labiau automatizuotas, kad jį būtų galima atlikti nedalyvaujant informacijos saugos specialistui. . Šiandien yra daugybė įrankių, leidžiančių tai padaryti. Pakanka, kad jie turėtų atvirą API ir reikiamą skaičių jungčių.
Pavyzdys, kurį norėčiau pateikti, yra „DevOps“. Jei ten įdiegsite pažeidžiamumo skaitytuvą, galite tiesiog pamiršti apie „DevOps“. Naudojant seną technologiją, kuri yra klasikinis skaitytuvas, jūs tiesiog neįleisite į šiuos procesus. Kūrėjai nelauks, kol nuskaitysite ir pateiksite kelių puslapių nepatogią ataskaitą. Kūrėjai tikisi, kad informacija apie pažeidžiamumą pateks į jų kodų kūrimo sistemas klaidų informacijos pavidalu. Saugumas turėtų būti sklandžiai integruotas į šiuos procesus ir tai turėtų būti tik funkcija, kurią automatiškai iškviečia jūsų kūrėjų naudojama sistema.
9 veiksmas: sutelkite dėmesį į esminius dalykus
Sutelkite dėmesį į tai, kas jūsų įmonei suteikia tikrą vertę. Nuskaitymai gali būti automatiniai, ataskaitos taip pat gali būti siunčiamos automatiškai.
Sutelkite dėmesį į procesų tobulinimą, kad jie būtų lankstesni ir patogesni visiems dalyviams. Sutelkite dėmesį į tai, kad saugumas būtų įtrauktas į visas sutartis su sandorio šalimis, kurios, pavyzdžiui, kuria žiniatinklio programas už jus.
Jei jums reikia išsamesnės informacijos, kaip sukurti pažeidžiamumo valdymo procesą įmonėje, susisiekite su manimi ir mano kolegomis. mielai padėsiu.
Šaltinis: www.habr.com