Mums bija lielais 4. jūlijs
1. darbÄ«ba: nosakiet savu ievainojamÄ«bas pÄrvaldÄ«bas procesu brieduma lÄ«meni
PaÅ”Ä sÄkumÄ jums ir jÄsaprot, kurÄ posmÄ jÅ«su organizÄcija atrodas ievainojamÄ«bas pÄrvaldÄ«bas procesu brieduma ziÅÄ. Tikai pÄc tam jÅ«s varÄsiet saprast, kur pÄrvietoties un kÄdi pasÄkumi ir jÄveic. Pirms skenÄÅ”anas un citu darbÄ«bu uzsÄkÅ”anas organizÄcijÄm ir jÄveic iekÅ”Äjs darbs, lai saprastu, kÄ jÅ«su paÅ”reizÄjie procesi ir strukturÄti no IT un informÄcijas droŔības viedokļa.
MÄÄ£iniet atbildÄt uz pamata jautÄjumiem:
- Vai jums ir procesi krÄjumu un aktÄ«vu klasifikÄcijai;
- Cik regulÄri tiek skenÄta IT infrastruktÅ«ra un vai tiek aptverta visa infrastruktÅ«ra, vai redzat kopainu;
- Vai jūsu IT resursi tiek uzraudzīti?
- Vai jÅ«su procesos ir ieviesti kÄdi KPI un kÄ jÅ«s saprotat, ka tie tiek ievÄroti;
- Vai visi Å”ie procesi ir dokumentÄti?
2. darbÄ«ba: nodroÅ”iniet pilnÄ«gu infrastruktÅ«ras pÄrklÄjumu
JÅ«s nevarat aizsargÄt to, par ko nezinÄt. Ja jums nav pilnÄ«ga priekÅ”stata par to, no kÄ ir veidota jÅ«su IT infrastruktÅ«ra, jÅ«s to nevarÄsit aizsargÄt. MÅ«sdienu infrastruktÅ«ra ir sarežģīta un pastÄvÄ«gi mainÄs kvantitatÄ«vi un kvalitatÄ«vi.
Tagad IT infrastruktÅ«ra balstÄs ne tikai uz klasisko tehnoloÄ£iju kaudzi (darbstacijas, serveri, virtuÄlÄs maŔīnas), bet arÄ« uz salÄ«dzinoÅ”i jaunÄm ā konteineriem, mikropakalpojumiem. InformÄcijas droŔības dienests visos iespÄjamos veidos bÄg no pÄdÄjiem, jo āātam ir ļoti grÅ«ti strÄdÄt ar tiem, izmantojot esoÅ”os rÄ«ku komplektus, kas sastÄv galvenokÄrt no skeneriem. ProblÄma ir tÄ, ka neviens skeneris nevar aptvert visu infrastruktÅ«ru. Lai skeneris sasniegtu jebkuru infrastruktÅ«ras mezglu, ir jÄsakrÄ«t vairÄkiem faktoriem. LÄ«dzeklim skenÄÅ”anas laikÄ jÄatrodas organizÄcijas perimetrÄ. Lai savÄktu pilnÄ«gu informÄciju, skenerim ir jÄbÅ«t tÄ«kla piekļuvei aktÄ«viem un to kontiem.
SaskaÅÄ ar mÅ«su statistiku, runÄjot par vidÄjÄm vai lielÄm organizÄcijÄm, aptuveni 15ā20% infrastruktÅ«ras viena vai otra iemesla dÄļ skeneris neuztver: objekts ir pÄrvietojies Ärpus perimetra vai vispÄr neparÄdÄs birojÄ. PiemÄram, klÄpjdators darbiniekam, kurÅ” strÄdÄ attÄlinÄti, bet kuram joprojÄm ir piekļuve korporatÄ«vajam tÄ«klam, vai Ä«paÅ”ums atrodas ÄrÄjos mÄkoÅpakalpojumos, piemÄram, Amazon. Un skeneris, visticamÄk, neko nezinÄs par Å”iem Ä«paÅ”umiem, jo āātie atrodas Ärpus tÄ redzamÄ«bas zonas.
Lai aptvertu visu infrastruktÅ«ru, ir jÄizmanto ne tikai skeneri, bet vesels sensoru komplekts, tostarp pasÄ«vÄs satiksmes noklausÄ«Å”anÄs tehnoloÄ£ijas, lai atklÄtu jaunas ierÄ«ces savÄ infrastruktÅ«rÄ, aÄ£entu datu vÄkÅ”anas metode informÄcijas saÅemÅ”anai ā ļauj saÅemt datus tieÅ”saistÄ, bez skenÄÅ”anas nepiecieÅ”amÄ«ba, neizceļot akreditÄcijas datus.
3. darbÄ«ba: kategorizÄjiet lÄ«dzekļus
Ne visi aktÄ«vi tiek radÄ«ti vienÄdi. JÅ«su uzdevums ir noteikt, kuri aktÄ«vi ir svarÄ«gi un kuri nav. Neviens rÄ«ks, piemÄram, skeneris, to neizdarÄ«s jÅ«su vietÄ. IdeÄlÄ gadÄ«jumÄ informÄcijas droŔība, IT un bizness strÄdÄ kopÄ, lai analizÄtu infrastruktÅ«ru un identificÄtu biznesam kritiskÄs sistÄmas. ViÅiem viÅi nosaka pieÅemamus rÄdÄ«tÄjus attiecÄ«bÄ uz pieejamÄ«bu, integritÄti, konfidencialitÄti, RTO/RPO utt.
Tas palÄ«dzÄs noteikt ievainojamÄ«bas pÄrvaldÄ«bas procesa prioritÄti. Kad jÅ«su speciÄlisti saÅems datus par ievainojamÄ«bÄm, tÄ nebÅ«s lapa ar tÅ«kstoÅ”iem ievainojamÄ«bu visÄ infrastruktÅ«rÄ, bet gan detalizÄta informÄcija, Åemot vÄrÄ sistÄmu kritiskumu.
4. darbÄ«ba: veiciet infrastruktÅ«ras novÄrtÄjumu
Un tikai ceturtajÄ solÄ« mÄs nonÄkam pie infrastruktÅ«ras novÄrtÄÅ”anas no ievainojamÄ«bas viedokļa. Å ajÄ posmÄ mÄs iesakÄm pievÄrst uzmanÄ«bu ne tikai programmatÅ«ras ievainojamÄ«bÄm, bet arÄ« konfigurÄcijas kļūdÄm, kas arÄ« var bÅ«t ievainojamÄ«ba. Å eit mÄs iesakÄm informÄcijas vÄkÅ”anas aÄ£enta metodi. Skenerus var un vajag izmantot, lai novÄrtÄtu perimetra droŔību. Ja izmantojat mÄkoÅpakalpojumu sniedzÄju resursus, no turienes ir jÄievÄc arÄ« informÄcija par lÄ«dzekļiem un konfigurÄcijÄm. PievÄrsiet Ä«paÅ”u uzmanÄ«bu ievainojamÄ«bu analÄ«zei infrastruktÅ«rÄs, izmantojot Docker konteinerus.
5. darbÄ«ba: iestatiet pÄrskatu izveidi
Å is ir viens no svarÄ«gÄkajiem elementiem ievainojamÄ«bas pÄrvaldÄ«bas procesÄ.
Pirmais punkts: neviens nestrÄdÄs ar vairÄku lappuÅ”u pÄrskatiem ar nejauÅ”i izvÄlÄtu ievainojamÄ«bu sarakstu un aprakstiem, kÄ tÄs novÄrst. Vispirms jÄsazinÄs ar kolÄÄ£iem un jÄnoskaidro, kam jÄbÅ«t atskaitÄ un kÄ viÅiem ÄrtÄk saÅemt datus. PiemÄram, kÄdam administratoram nav nepiecieÅ”ams detalizÄts ievainojamÄ«bas apraksts, un ir nepiecieÅ”ama tikai informÄcija par ielÄpu un saite uz to. Cits speciÄlists rÅ«pÄjas tikai par tÄ«kla infrastruktÅ«rÄ atrastajÄm ievainojamÄ«bÄm.
Otrais punkts: ar ziÅoÅ”anu es domÄju ne tikai papÄ«ra ziÅojumus. Å is ir novecojis informÄcijas iegÅ«Å”anas un statiska stÄsta formÄts. Persona saÅem ziÅojumu un nekÄdÄ veidÄ nevar ietekmÄt to, kÄ dati tiks atspoguļoti Å”ajÄ pÄrskatÄ. Lai saÅemtu atskaiti vÄlamajÄ formÄ, IT speciÄlistam jÄsazinÄs ar informÄcijas droŔības speciÄlistu un jÄlÅ«dz atskaiti pÄrbÅ«vÄt. Laikam ejot, parÄdÄs jaunas ievainojamÄ«bas. TÄ vietÄ, lai pÄrsÅ«tÄ«tu ziÅojumus no nodaļas uz nodaļu, abu disciplÄ«nu speciÄlistiem jÄspÄj pÄrraudzÄ«t datus tieÅ”saistÄ un redzÄt vienu un to paÅ”u attÄlu. TÄpÄc savÄ platformÄ mÄs izmantojam dinamiskus pÄrskatus pielÄgojamu informÄcijas paneļu veidÄ.
6. darbÄ«ba: nosakiet prioritÄtes
Å eit varat veikt tÄlÄk norÄdÄ«tÄs darbÄ«bas.
1. Repozitorija izveide ar zeltainiem sistÄmu attÄliem. StrÄdÄjiet ar zeltainiem attÄliem, pÄrbaudiet, vai tajos nav ievainojamÄ«bas, un pastÄvÄ«gi labojiet konfigurÄciju. To var izdarÄ«t ar aÄ£entu palÄ«dzÄ«bu, kas automÄtiski ziÅos par jauna aktÄ«va parÄdÄ«Å”anos un sniegs informÄciju par tÄ ievainojamÄ«bÄm.
2. KoncentrÄjieties uz tiem aktÄ«viem, kas ir bÅ«tiski uzÅÄmumam. PasaulÄ nav nevienas organizÄcijas, kas vienÄ piegÄjienÄ varÄtu novÄrst ievainojamÄ«bas. IevainojamÄ«bu novÄrÅ”anas process ir ilgs un pat nogurdinoÅ”s.
3. Uzbrukuma virsmas saÅ”aurinÄÅ”anÄs. AttÄ«riet savu infrastruktÅ«ru no nevajadzÄ«gas programmatÅ«ras un pakalpojumiem, aizveriet nevajadzÄ«gos portus. Mums nesen bija gadÄ«jums ar vienu uzÅÄmumu, kurÄ 40 tÅ«kstoÅ”os ierÄ«Äu, kas saistÄ«tas ar Mozilla pÄrlÅ«kprogrammas veco versiju, tika atrasti aptuveni 100 tÅ«kstoÅ”i ievainojamÄ«bu. KÄ vÄlÄk izrÄdÄ«jÄs, Mozilla zelta tÄlÄ tika ieviesta pirms daudziem gadiem, neviens to neizmanto, taÄu tas ir daudzu ievainojamÄ«bu avots. Kad pÄrlÅ«kprogramma tika izÅemta no datoriem (tÄ bija pat dažos serveros), Ŕīs desmitiem tÅ«kstoÅ”u ievainojamÄ«bu pazuda.
4. Sarindojiet ievainojamÄ«bas, pamatojoties uz draudu izlÅ«koÅ”anas informÄciju. Å emiet vÄrÄ ne tikai ievainojamÄ«bas kritiskumu, bet arÄ« publisku izmantoÅ”anu, ļaunprÄtÄ«gu programmatÅ«ru, ielÄpu vai ÄrÄju piekļuvi sistÄmai ar ievainojamÄ«bu. NovÄrtÄjiet Ŕīs ievainojamÄ«bas ietekmi uz kritiskÄm biznesa sistÄmÄm: vai tÄ var izraisÄ«t datu zudumu, pakalpojuma atteikumu utt.
7. darbība: vienojieties par KPI
NeskenÄjiet skenÄÅ”anas dÄļ. Ja nekas nenotiek ar atrastajÄm ievainojamÄ«bÄm, Ŕī skenÄÅ”ana pÄrvÄrÅ”as par bezjÄdzÄ«gu darbÄ«bu. Lai darbs ar ievainojamÄ«bÄm nekļūtu par formalitÄti, padomÄ, kÄ vÄrtÄsi tÄ rezultÄtus. InformÄcijas droŔībai un IT jÄvienojas par to, kÄ tiks strukturÄts darbs ievainojamÄ«bu novÄrÅ”anai, cik bieži tiks veiktas skenÄÅ”anas, uzstÄdÄ«ti ielÄpi utt.
SlaidÄ ir redzami iespÄjamo KPI piemÄri. Ir arÄ« paplaÅ”inÄts saraksts, ko iesakÄm saviem klientiem. Ja ir interese, lÅ«dzu sazinieties ar mani, es padalÄ«Å”os ar Å”o informÄciju.
8. darbÄ«ba: automatizÄjiet
Atkal atgriezieties pie skenÄÅ”anas. UzÅÄmumÄ Qualys uzskatÄm, ka skenÄÅ”ana ir pats nesvarÄ«gÄkais, kas mÅ«sdienÄs var notikt ievainojamÄ«bu pÄrvaldÄ«bas procesÄ, un, pirmkÄrt, tÄ ir maksimÄli jÄautomatizÄ, lai tÄ tiktu veikta bez informÄcijas droŔības speciÄlista lÄ«dzdalÄ«bas. MÅ«sdienÄs ir daudz rÄ«ku, kas ļauj to izdarÄ«t. Pietiek ar to, ka tiem ir atvÄrta API un nepiecieÅ”amais savienotÄju skaits.
PiemÄrs, ko es vÄlÄtos sniegt, ir DevOps. Ja tur ievieÅ”at ievainojamÄ«bas skeneri, varat vienkÄrÅ”i aizmirst par DevOps. Izmantojot vecÄs tehnoloÄ£ijas, kas ir klasisks skeneris, jÅ«s vienkÄrÅ”i neielaidÄ«sit Å”ajos procesos. IzstrÄdÄtÄji negaidÄ«s, kamÄr jÅ«s skenÄsit un iesniegsiet viÅiem neÄrtu vairÄku lapu pÄrskatu. IzstrÄdÄtÄji sagaida, ka informÄcija par ievainojamÄ«bÄm nonÄks viÅu koda montÄžas sistÄmÄs kļūdu informÄcijas veidÄ. DroŔība ir vienmÄrÄ«gi jÄiebÅ«vÄ Å”ajos procesos, un tai ir jÄbÅ«t tikai funkcijai, kuru automÄtiski izsauc jÅ«su izstrÄdÄtÄju izmantotÄ sistÄma.
9. darbÄ«ba: koncentrÄjieties uz bÅ«tiskÄko
KoncentrÄjieties uz to, kas jÅ«su uzÅÄmumam sniedz patiesu vÄrtÄ«bu. SkenÄÅ”ana var bÅ«t automÄtiska, atskaites var tikt nosÅ«tÄ«tas arÄ« automÄtiski.
KoncentrÄjieties uz procesu uzlaboÅ”anu, lai padarÄ«tu tos elastÄ«gÄkus un ÄrtÄkus visiem iesaistÄ«tajiem. KoncentrÄjieties uz to, lai droŔība bÅ«tu iekļauta visos lÄ«gumos ar jÅ«su darÄ«jumu partneriem, kuri, piemÄram, izstrÄdÄ tÄ«mekļa lietojumprogrammas jÅ«su vietÄ.
Ja jums nepiecieÅ”ama sÄ«kÄka informÄcija par ievainojamÄ«bu pÄrvaldÄ«bas procesa izveidi jÅ«su uzÅÄmumÄ, lÅ«dzu, sazinieties ar mani un maniem kolÄÄ£iem. Es labprÄt palÄ«dzÄÅ”u.
Avots: www.habr.com