Ne tikai skenēšana vai ievainojamības pārvaldības procesa izveide 9 pakāpēs

Mums bija lielais 4. jūlijs ievainojamības pārvaldības darbnīca. Šodien publicējam Andreja Novikova no Qualys runas stenogrammu. Viņš jums pateiks, kādi soļi ir jāveic, lai izveidotu ievainojamības pārvaldības darbplūsmu. Spoileris: mēs sasniegsim tikai pusceļu pirms skenēšanas.

1. darbība: nosakiet savu ievainojamības pārvaldības procesu brieduma līmeni

Pašā sākumā jums ir jāsaprot, kurā posmā jūsu organizācija atrodas ievainojamības pārvaldības procesu brieduma ziņā. Tikai pēc tam jūs varēsiet saprast, kur pārvietoties un kādi pasākumi ir jāveic. Pirms skenēšanas un citu darbību uzsākšanas organizācijām ir jāveic iekšējs darbs, lai saprastu, kā jūsu pašreizējie procesi ir strukturēti no IT un informācijas drošības viedokļa.

Mēģiniet atbildēt uz pamata jautājumiem:

• Vai jums ir procesi krājumu un aktīvu klasifikācijai; 
• Cik regulāri tiek skenēta IT infrastruktūra un vai tiek aptverta visa infrastruktūra, vai redzat kopainu;
• Vai jūsu IT resursi tiek uzraudzīti?
• Vai jūsu procesos ir ieviesti kādi KPI un kā jūs saprotat, ka tie tiek ievēroti;
• Vai visi šie procesi ir dokumentēti?

2. darbība: nodrošiniet pilnīgu infrastruktūras pārklājumu

Jūs nevarat aizsargāt to, par ko nezināt. Ja jums nav pilnīga priekšstata par to, no kā ir veidota jūsu IT infrastruktūra, jūs to nevarēsit aizsargāt. Mūsdienu infrastruktūra ir sarežģīta un pastāvīgi mainās kvantitatīvi un kvalitatīvi.
Tagad IT infrastruktūra balstās ne tikai uz klasisko tehnoloģiju kaudzi (darbstacijas, serveri, virtuālās mašīnas), bet arī uz salīdzinoši jaunām – konteineriem, mikropakalpojumiem. Informācijas drošības dienests visos iespējamos veidos bēg no pēdējiem, jo ​​tam ir ļoti grūti strādāt ar tiem, izmantojot esošos rīku komplektus, kas sastāv galvenokārt no skeneriem. Problēma ir tā, ka neviens skeneris nevar aptvert visu infrastruktūru. Lai skeneris sasniegtu jebkuru infrastruktūras mezglu, ir jāsakrīt vairākiem faktoriem. Līdzeklim skenēšanas laikā jāatrodas organizācijas perimetrā. Lai savāktu pilnīgu informāciju, skenerim ir jābūt tīkla piekļuvei aktīviem un to kontiem.

Saskaņā ar mūsu statistiku, runājot par vidējām vai lielām organizācijām, aptuveni 15–20% infrastruktūras viena vai otra iemesla dēļ skeneris neuztver: objekts ir pārvietojies ārpus perimetra vai vispār neparādās birojā. Piemēram, klēpjdators darbiniekam, kurš strādā attālināti, bet kuram joprojām ir piekļuve korporatīvajam tīklam, vai īpašums atrodas ārējos mākoņpakalpojumos, piemēram, Amazon. Un skeneris, visticamāk, neko nezinās par šiem īpašumiem, jo ​​tie atrodas ārpus tā redzamības zonas.

Lai aptvertu visu infrastruktūru, ir jāizmanto ne tikai skeneri, bet vesels sensoru komplekts, tostarp pasīvās satiksmes noklausīšanās tehnoloģijas, lai atklātu jaunas ierīces savā infrastruktūrā, aģentu datu vākšanas metode informācijas saņemšanai – ļauj saņemt datus tiešsaistē, bez skenēšanas nepieciešamība, neizceļot akreditācijas datus.

3. darbība: kategorizējiet līdzekļus

Ne visi aktīvi tiek radīti vienādi. Jūsu uzdevums ir noteikt, kuri aktīvi ir svarīgi un kuri nav. Neviens rīks, piemēram, skeneris, to neizdarīs jūsu vietā. Ideālā gadījumā informācijas drošība, IT un bizness strādā kopā, lai analizētu infrastruktūru un identificētu biznesam kritiskās sistēmas. Viņiem viņi nosaka pieņemamus rādītājus attiecībā uz pieejamību, integritāti, konfidencialitāti, RTO/RPO utt.

Tas palīdzēs noteikt ievainojamības pārvaldības procesa prioritāti. Kad jūsu speciālisti saņems datus par ievainojamībām, tā nebūs lapa ar tūkstošiem ievainojamību visā infrastruktūrā, bet gan detalizēta informācija, ņemot vērā sistēmu kritiskumu.

4. darbība: veiciet infrastruktūras novērtējumu

Un tikai ceturtajā solī mēs nonākam pie infrastruktūras novērtēšanas no ievainojamības viedokļa. Šajā posmā mēs iesakām pievērst uzmanību ne tikai programmatūras ievainojamībām, bet arī konfigurācijas kļūdām, kas arī var būt ievainojamība. Šeit mēs iesakām informācijas vākšanas aģenta metodi. Skenerus var un vajag izmantot, lai novērtētu perimetra drošību. Ja izmantojat mākoņpakalpojumu sniedzēju resursus, no turienes ir jāievāc arī informācija par līdzekļiem un konfigurācijām. Pievērsiet īpašu uzmanību ievainojamību analīzei infrastruktūrās, izmantojot Docker konteinerus.

5. darbība: iestatiet pārskatu izveidi

Šis ir viens no svarīgākajiem elementiem ievainojamības pārvaldības procesā.
Pirmais punkts: neviens nestrādās ar vairāku lappušu pārskatiem ar nejauši izvēlētu ievainojamību sarakstu un aprakstiem, kā tās novērst. Vispirms jāsazinās ar kolēģiem un jānoskaidro, kam jābūt atskaitē un kā viņiem ērtāk saņemt datus. Piemēram, kādam administratoram nav nepieciešams detalizēts ievainojamības apraksts, un ir nepieciešama tikai informācija par ielāpu un saite uz to. Cits speciālists rūpējas tikai par tīkla infrastruktūrā atrastajām ievainojamībām.

Otrais punkts: ar ziņošanu es domāju ne tikai papīra ziņojumus. Šis ir novecojis informācijas iegūšanas un statiska stāsta formāts. Persona saņem ziņojumu un nekādā veidā nevar ietekmēt to, kā dati tiks atspoguļoti šajā pārskatā. Lai saņemtu atskaiti vēlamajā formā, IT speciālistam jāsazinās ar informācijas drošības speciālistu un jālūdz atskaiti pārbūvēt. Laikam ejot, parādās jaunas ievainojamības. Tā vietā, lai pārsūtītu ziņojumus no nodaļas uz nodaļu, abu disciplīnu speciālistiem jāspēj pārraudzīt datus tiešsaistē un redzēt vienu un to pašu attēlu. Tāpēc savā platformā mēs izmantojam dinamiskus pārskatus pielāgojamu informācijas paneļu veidā.

6. darbība: nosakiet prioritātes

Šeit varat veikt tālāk norādītās darbības.

1. Repozitorija izveide ar zeltainiem sistēmu attēliem. Strādājiet ar zeltainiem attēliem, pārbaudiet, vai tajos nav ievainojamības, un pastāvīgi labojiet konfigurāciju. To var izdarīt ar aģentu palīdzību, kas automātiski ziņos par jauna aktīva parādīšanos un sniegs informāciju par tā ievainojamībām.

2. Koncentrējieties uz tiem aktīviem, kas ir būtiski uzņēmumam. Pasaulē nav nevienas organizācijas, kas vienā piegājienā varētu novērst ievainojamības. Ievainojamību novēršanas process ir ilgs un pat nogurdinošs.

3. Uzbrukuma virsmas sašaurināšanās. Attīriet savu infrastruktūru no nevajadzīgas programmatūras un pakalpojumiem, aizveriet nevajadzīgos portus. Mums nesen bija gadījums ar vienu uzņēmumu, kurā 40 tūkstošos ierīču, kas saistītas ar Mozilla pārlūkprogrammas veco versiju, tika atrasti aptuveni 100 tūkstoši ievainojamību. Kā vēlāk izrādījās, Mozilla zelta tēlā tika ieviesta pirms daudziem gadiem, neviens to neizmanto, taču tas ir daudzu ievainojamību avots. Kad pārlūkprogramma tika izņemta no datoriem (tā bija pat dažos serveros), šīs desmitiem tūkstošu ievainojamību pazuda.

4. Sarindojiet ievainojamības, pamatojoties uz draudu izlūkošanas informāciju. Ņemiet vērā ne tikai ievainojamības kritiskumu, bet arī publisku izmantošanu, ļaunprātīgu programmatūru, ielāpu vai ārēju piekļuvi sistēmai ar ievainojamību. Novērtējiet šīs ievainojamības ietekmi uz kritiskām biznesa sistēmām: vai tā var izraisīt datu zudumu, pakalpojuma atteikumu utt.

7. darbība: vienojieties par KPI

Neskenējiet skenēšanas dēļ. Ja nekas nenotiek ar atrastajām ievainojamībām, šī skenēšana pārvēršas par bezjēdzīgu darbību. Lai darbs ar ievainojamībām nekļūtu par formalitāti, padomā, kā vērtēsi tā rezultātus. Informācijas drošībai un IT jāvienojas par to, kā tiks strukturēts darbs ievainojamību novēršanai, cik bieži tiks veiktas skenēšanas, uzstādīti ielāpi utt.
Slaidā ir redzami iespējamo KPI piemēri. Ir arī paplašināts saraksts, ko iesakām saviem klientiem. Ja ir interese, lūdzu sazinieties ar mani, es padalīšos ar šo informāciju.

8. darbība: automatizējiet

Atkal atgriezieties pie skenēšanas. Uzņēmumā Qualys uzskatām, ka skenēšana ir pats nesvarīgākais, kas mūsdienās var notikt ievainojamību pārvaldības procesā, un, pirmkārt, tā ir maksimāli jāautomatizē, lai tā tiktu veikta bez informācijas drošības speciālista līdzdalības. Mūsdienās ir daudz rīku, kas ļauj to izdarīt. Pietiek ar to, ka tiem ir atvērta API un nepieciešamais savienotāju skaits.

Piemērs, ko es vēlētos sniegt, ir DevOps. Ja tur ieviešat ievainojamības skeneri, varat vienkārši aizmirst par DevOps. Izmantojot vecās tehnoloģijas, kas ir klasisks skeneris, jūs vienkārši neielaidīsit šajos procesos. Izstrādātāji negaidīs, kamēr jūs skenēsit un iesniegsiet viņiem neērtu vairāku lapu pārskatu. Izstrādātāji sagaida, ka informācija par ievainojamībām nonāks viņu koda montāžas sistēmās kļūdu informācijas veidā. Drošība ir vienmērīgi jāiebūvē šajos procesos, un tai ir jābūt tikai funkcijai, kuru automātiski izsauc jūsu izstrādātāju izmantotā sistēma.

9. darbība: koncentrējieties uz būtiskāko

Koncentrējieties uz to, kas jūsu uzņēmumam sniedz patiesu vērtību. Skenēšana var būt automātiska, atskaites var tikt nosūtītas arī automātiski.
Koncentrējieties uz procesu uzlabošanu, lai padarītu tos elastīgākus un ērtākus visiem iesaistītajiem. Koncentrējieties uz to, lai drošība būtu iekļauta visos līgumos ar jūsu darījumu partneriem, kuri, piemēram, izstrādā tīmekļa lietojumprogrammas jūsu vietā.

Ja jums nepieciešama sīkāka informācija par ievainojamību pārvaldības procesa izveidi jūsu uzņēmumā, lūdzu, sazinieties ar mani un maniem kolēģiem. Es labprāt palīdzēšu.

Avots: www.habr.com