Nanana ny 4 Jolay lehibe izahay . Amin'izao fotoana izao dia mamoaka ny dika mitovy amin'ny lahatenin'i Andrey Novikov avy amin'ny Qualys izahay. Holazainy aminao ny dingana tokony hataonao amin'ny fananganana rindranasa fitantanana vulnerability. Spoiler: ho tonga any amin'ny antsasa-dalana isika alohan'ny hanaovana scan.
Dingana #1: Farito ny haavon'ny fahamatorana amin'ny fizotran'ny fitantanana vulnerable anao
Eo am-piandohana dia mila mahatakatra ny dingana misy ny fikambanana misy anao ianao amin'ny lafiny fahamatorana amin'ny fizotran'ny fitantanana vulnerable. Aorian'izany dia ho azonao ny toerana hifindrana sy ny dingana tokony hatao. Alohan'ny hanombohan'ny scans sy hetsika hafa, mila manao asa anatiny ny fikambanana mba hahatakarana ny fomba nandrafetana ny fizotranao ankehitriny amin'ny fomba fijery IT sy fiarovana ny vaovao.
Andramo mamaly fanontaniana fototra:
- Manana dingana ho an'ny fanasokajiana ny fanisana sy ny fananana ve ianao;
- Manao ahoana ny fanaraha-maso tsy tapaka ny fotodrafitrasa IT sy ny fotodrafitrasa manontolo, hitanao ve ny sary manontolo;
- Araha-maso ve ny loharanon-tseraseranao?
- Moa ve misy KPI ampiharina amin'ny fizotranao ary ahoana no ahafantaranao fa voahaja izy ireo;
- Voarakitra ve ireo dingana rehetra ireo?
Dingana #2: Miantoka ny fandrakofana ny fotodrafitrasa feno
Tsy afaka miaro izay tsy fantatrao ianao. Raha tsy manana sary feno momba ny fanamboarana ny fotodrafitrasa informatika ianao dia tsy ho afaka hiaro izany ianao. Ny fotodrafitrasa maoderina dia sarotra ary miova tsy tapaka amin'ny quantitative sy qualitative.
Ankehitriny ny fotodrafitrasa informatika dia tsy mifototra amin'ny teknolojia mahazatra fotsiny (toeram-piasana, mpizara, milina virtoaly), fa amin'ny vaovao ihany koa - container, microservices. Ny serivisy fiarovana ny fampahalalam-baovao dia mandositra ity farany amin'ny fomba rehetra, satria sarotra be ny miara-miasa amin'izy ireo amin'ny alΓ lan'ny fitaovana efa misy, izay ahitana scanner indrindra. Ny olana dia tsy afaka mandrakotra ny fotodrafitrasa manontolo ny scanner rehetra. Mba hahatongavan'ny scanner iray amin'ny node rehetra ao amin'ny fotodrafitrasa dia tsy maintsy mifanandrify ny lafin-javatra maro. Ny fananana dia tsy maintsy ao anatin'ny faritry ny fikambanana amin'ny fotoana hanaovana scan. Ny scanner dia tsy maintsy manana fidirana amin'ny tambajotra amin'ny fananana sy ny kaontiny mba hanangonana fampahalalana feno.
Araka ny antontan'isa ataonay, raha ny fikambanana antonony na lehibe no resahina, eo amin'ny 15β20% eo ho eo amin'ny fotodrafitrasa no tsy azon'ny scanner noho ny antony iray na hafa: nifindra tany ivelan'ny vakim-paritra ilay fananana na tsy hita tao amin'ny birao mihitsy. Ohatra, solosaina finday an'ny mpiasa iray miasa lavitra nefa mbola afaka miditra amin'ny tambajotran'ny orinasa, na ny fananana dia hita ao amin'ny serivisy rahona ivelany toa an'i Amazon. Ary ny scanner, azo inoana, dia tsy hahalala na inona na inona momba ireo fananana ireo, satria any ivelan'ny faritra hita maso izy ireo.
Mba handrakotra ny fotodrafitrasa manontolo dia mila mampiasa tsy scanner fotsiny ianao, fa andiana sensor iray manontolo, ao anatin'izany ny teknolojia fihainoana fifamoivoizana mandehandeha mba hamantarana ireo fitaovana vaovao ao amin'ny fotodrafitrasao, fomba fanangonam-baovaon'ny agence mba handraisana vaovao - ahafahanao mahazo angon-drakitra an-tserasera, tsy misy ny filΓ na scanning, tsy manasongadina ny fahazoan-dΓ lana.
Dingana #3: Fanasokajiana ny fananana
Tsy ny fananana rehetra no noforonina mitovy. Anjaranao ny mamaritra hoe inona ny fananana manan-danja ary iza no tsy manan-danja. Tsy misy fitaovana, toy ny scanner, hanao izany ho anao. Raha ny tokony ho izy, ny fiarovana ny fampahalalam-baovao, ny IT ary ny fandraharahana dia miara-miasa amin'ny famakafakana ny fotodrafitrasa hamantarana ireo rafitra manakiana ny orinasa. Ho azy ireo, izy ireo no mamaritra ny metrika azo ekena ho an'ny fahafahana, ny fahamendrehana, ny tsiambaratelo, ny RTO/RPO, sns.
Hanampy anao hanao laharam-pahamehana ny fizotran'ny fitantanana ny vulnerable anao izany. Rehefa mahazo angon-drakitra momba ny vulnerabilities ny manampahaizana manokana anao, dia tsy ho takelaka misy vulnerabilitΓ© an'arivony manerana ny fotodrafitrasa manontolo izany, fa fampahafantarana mibaribary amin'ny fitsikerana ny rafitra.
Dingana #4: Manaova fanombanana ny fotodrafitrasa
Ary amin'ny dingana fahefatra vao tonga amin'ny fanombanana ny fotodrafitrasa amin'ny fomba fijery marefo. Amin'ity dingana ity, manoro hevitra anao izahay mba tsy hijery ny vulnerabilities amin'ny rindrambaiko ihany, fa koa ny lesoka amin'ny fanamafisana, izay mety ho marefo ihany koa. Eto izahay dia manoro ny fomba fanangonam-baovao amin'ny mpandraharaha. Ny scanner dia azo ampiasaina ary tokony ampiasaina hanombanana ny fiarovana ny perimeter. Raha mampiasa ny loharanon'ny mpanome rahona ianao, dia mila manangona vaovao momba ny fananana sy ny fanamafisana avy any koa ianao. Tandremo manokana ny famakafakana ny vulnerabilitΓ© amin'ny fotodrafitrasa amin'ny fampiasana ny kaontenera Docker.
Dingana #5: Mametraha tatitra
Io no iray amin'ireo singa manan-danja ao anatin'ny fizotran'ny fitantanana vulnerability.
Ny teboka voalohany: tsy misy olona hiasa amin'ny tatitra misy pejy maromaro miaraka amin'ny lisitra kisendrasendra misy ny fahalemena sy ny famaritana ny fomba hanafoanana azy ireo. Voalohany indrindra, mila mifandray amin'ny mpiara-miasa ianao ary fantaro izay tokony ho ao amin'ny tatitra ary ny fomba mety kokoa ho azy ireo ny mandray angon-drakitra. Ohatra, ny mpitantana sasany dia tsy mila famaritana amin'ny antsipiriany momba ny vulnerability ary mila fampahalalana momba ny patch sy rohy mankany aminy ihany. Ny manam-pahaizana manokana iray hafa dia tsy miraharaha afa-tsy ny vulnerability hita ao amin'ny fotodrafitrasa tambajotra.
Hevitra faharoa: ny tatitra dia tsy ny tatitra an-taratasy ihany no tiako holazaina. Ity dia endrika efa lany andro hahazoana vaovao sy tantara tsy miovaova. Mahazo tatitra ny olona iray ary tsy afaka miantraika amin'ny fomba hanehoana ny angona amin'ity tatitra ity. Mba hahazoana ny tatitra amin'ny endrika irina, ny manam-pahaizana momba ny IT dia tsy maintsy mifandray amin'ny manam-pahaizana momba ny fiarovana ny vaovao ary mangataka azy hanangana ny tatitra. Rehefa mandeha ny fotoana dia miseho ny vulnerabilitΓ© vaovao. Raha tokony hanosika ny tatitra avy amin'ny departemanta mankany amin'ny departemanta, ny manam-pahaizana amin'ny sehatra roa dia tokony ho afaka manara-maso ny angon-drakitra an-tserasera ary mahita sary mitovy. Noho izany, ao amin'ny sehatra misy anay izahay dia mampiasa tatitra mavitrika amin'ny endrika dashboard azo zahana.
Dingana #6: Ataovy laharam-pahamehana
Eto ianao dia afaka manao ireto manaraka ireto:
1. Mamorona tahiry misy sary volamenan'ny rafitra. Miaraha miasa amin'ny sary volamena, jereo ny fahalemeny ary manitsy ny fanitsiana tsy tapaka. Izany dia azo atao miaraka amin'ny fanampian'ny mpiasa izay hitatitra ho azy ny fiposahan'ny fananana vaovao sy hanome vaovao momba ny vulnerability.
2. Mifantoha amin'ireo fananana manan-danja amin'ny orinasa. Tsy misy fikambanana iray eto amin'izao tontolo izao afaka manafoana ny vulnerability ao anatin'ny indray mandeha. Lava ary mandreraka mihitsy aza ny dingana fanafoanana ny vulnerability.
3. Tery ny fanafihan'ny fanafihana. Diovy ny fotodrafitrasanao amin'ny rindrambaiko sy serivisy tsy ilaina, manakatona seranana tsy ilaina. Vao haingana izahay dia nisy tranga iray niaraka tamin'ny orinasa iray izay nahitana vulnerabilities 40 mifandraika amin'ny dikan-teny taloha amin'ny navigateur Mozilla hita amin'ny fitaovana 100 arivo. Araka ny hita taty aoriana, Mozilla dia nampidirina tamin'ny sary volamena taona maro lasa izay, tsy misy mampiasa azy io, fa io no loharanon'ny vulnerability marobe. Rehefa nesorina tamin'ny solosaina ny navigateur (na dia tamin'ny lohamilina sasany aza) dia nanjavona ireo vulnerability an'aliny ireo.
4. Laharana ny vulnerability mifototra amin'ny faharanitan-tsaina momba ny fandrahonana. Eritrereto tsy ny fanakianana ny vulnerable ihany, fa ny fisian'ny fanararaotana ampahibemaso, ny malware, ny patch, na ny fidirana ivelany amin'ny rafitra misy ny vulnerability. Tombano ny fiantraikan'io vulnerability io amin'ny rafitra fandraharahana mitsikera: mety hitarika amin'ny fahaverezan'ny angona, fandavana ny serivisy, sns.
Dingana #7: Mifanaraka amin'ny KPIs
Aza mi-scan ho an'ny scanning. Raha tsy misy na inona na inona mitranga amin'ireo vulnerabilities hita dia mivadika ho asa tsy misy ilana azy io scanning io. Mba hisorohana ny fiasana amin'ny vulnerabilitΓ© tsy ho lasa fombafomba, eritrereto ny fomba hanombanana ny valiny. Ny fiarovana ny fampahalalam-baovao sy ny IT dia tsy maintsy mifanaraka amin'ny fomba handrafetana ny asa hanafoanana ny vulnerabilities, impiry ny fanaovana scan, ny fametrahana patch, sns.
Ao amin'ny slide dia mahita ohatra momba ny KPI azo atao ianao. Misy ihany koa ny lisitra lavabe atolotray ho an'ny mpanjifanay. Raha liana ianao dia mifandraisa amiko fa hizara izany vaovao izany aminao aho.
Dingana #8: Automate
Miverina amin'ny scan indray. Ao amin'ny Qualys, mino izahay fa ny scanning no zavatra tsy manan-danja indrindra izay mety hitranga amin'ny fizotran'ny fitantanana vulnerable amin'izao fotoana izao, ary voalohany indrindra dia mila mandeha ho azy araka izay azo atao izany mba hanaovana izany raha tsy misy ny fandraisan'anjaran'ny manam-pahaizana manokana momba ny fiarovana ny vaovao. Ankehitriny dia misy fitaovana maro ahafahanao manao izany. Ampy ny manana API misokatra sy ny isan'ny mpampitohy ilaina.
Ny ohatra tiako omena dia DevOps. Raha mametraka scanner vulnerability ao ianao dia afaka manadino fotsiny ny DevOps. Miaraka amin'ny teknolojia taloha, izay scanner mahazatra, dia tsy avela hiditra amin'ireo dingana ireo ianao. Tsy hiandry anao hanao scan sy hanome azy ireo tatitra tsy mety ny mpamorona pejy maro. Manantena ny mpamorona fa ny fampahalalana momba ny vulnerabilities dia hiditra ao amin'ny rafitra famorian'ny code amin'ny endrika fampahalalana momba ny bug. Ny fiarovana dia tokony hiorina tsara amin'ireo dingana ireo, ary tokony ho endri-javatra iray izay antsoin'ny rafitra ampiasain'ny mpamorona anao.
Dingana # 9: Mifantoha amin'ny Essentials
Mifantoha amin'izay mitondra tena lanjany ho an'ny orinasanao. Mety ho mandeha ho azy ny scans, azo alefa ho azy koa ny tatitra.
Mifantoha amin'ny fanatsarana ny dingana mba hahatonga azy ireo ho mora kokoa sy mety ho an'ny rehetra voakasik'izany. Mifantoha amin'ny fiantohana ny fiarovana amin'ny fifanarahana rehetra miaraka amin'ireo mpiara-miasa aminao, izay, ohatra, mamolavola rindranasa tranonkala ho anao.
Raha mila fampahalalana amin'ny antsipiriany bebe kokoa momba ny fomba fananganana dingana fitantanana vulnerable ao amin'ny orinasanao ianao dia mifandraisa amiko sy ireo mpiara-miasa amiko. Faly aho hanampy.
Source: www.habr.com