Имавме голем 4-ти јули . Денеска објавуваме транскрипт од говорот на Андреј Новиков од Квалис. Тој ќе ви каже низ кои чекори треба да поминете за да изградите работен тек за управување со ранливоста. Спојлер: ќе стигнеме само на половина пат пред скенирање.
Чекор #1: Одредете го нивото на зрелост на вашите процеси за управување со ранливост
На самиот почеток, треба да разберете во која фаза е вашата организација во однос на зрелоста на нејзините процеси за управување со ранливоста. Само после ова ќе можете да разберете каде да се движите и кои чекори треба да се преземат. Пред да започнете со скенирање и други активности, организациите треба да направат некоја внатрешна работа за да разберат како вашите тековни процеси се структурирани од перспектива на ИТ и безбедноста на информациите.
Обидете се да одговорите на основните прашања:
- Дали имате процеси за залихи и класификација на средствата;
- Колку редовно се скенира ИТ инфраструктурата и дали е покриена целата инфраструктура, ја гледате ли целата слика;
- Дали се следат вашите ИТ ресурси?
- Дали некои KPI се имплементирани во вашите процеси и како разбирате дека тие се исполнети;
- Дали сите овие процеси се документирани?
Чекор #2: Обезбедете целосна покриеност на инфраструктурата
Не можете да го заштитите она за што не знаете. Ако немате целосна слика од што е направена вашата ИТ инфраструктура, нема да можете да ја заштитите. Современата инфраструктура е сложена и постојано се менува квантитативно и квалитативно.
Сега ИТ инфраструктурата се базира не само на куп класични технологии (работни станици, сервери, виртуелни машини), но исто така и на релативно нови - контејнери и микросервиси. Тимовите за безбедност на информациите ги избегнуваат вторите по секоја цена, бидејќи е исклучително тешко да се работи со нив со користење на постојните алатки, кои првенствено се состојат од скенери. Проблемот е што ниту еден скенер не може да ја покрие целата инфраструктура. За скенерот да стигне до кој било јазол во инфраструктурата, мора да се совпаднат неколку фактори. Средството мора да биде во рамките на периметарот на организацијата во времето на скенирањето. Скенерот мора да има мрежен пристап до средствата и нивните сметки за да собере целосни информации.
Според нашата статистика, кога станува збор за средни или големи организации, приближно 15–20% од инфраструктурата не е заробена од скенерот поради една или друга причина: средството се преселило надвор од периметарот или воопшто не се појавува во канцеларијата. На пример, лаптоп на вработен кој работи од далечина, но сепак има пристап до корпоративната мрежа, или средството се наоѓа во надворешни облак услуги како што е Amazon. И скенерот, најверојатно, нема да знае ништо за овие средства, бидејќи тие се надвор од неговиот опсег на видливост.
За да ја покриете целата инфраструктура, треба да користите не само скенери, туку цел сет на сензори, вклучително и технологии за пасивно слушање сообраќај за откривање нови уреди во вашата инфраструктура, метод за собирање податоци од агент за примање информации - ви овозможува да примате податоци онлајн, без потребата за скенирање, без истакнување на ингеренциите.
Чекор # 3: Категоризирајте ги средствата
Не сите средства се создадени еднакви. Ваша задача е да одредите кои средства се важни, а кои не се. Ниту една алатка, како скенер, нема да го направи тоа за вас. Идеално, безбедноста на информациите, ИТ и бизнисот работат заедно за да ја анализираат инфраструктурата за да ги идентификуваат бизнис-критичните системи. За нив, тие одредуваат прифатливи метрики за достапност, интегритет, доверливост, RTO/RPO итн.
Ова ќе ви помогне да дадете приоритет на вашиот процес за управување со ранливоста. Кога вашите специјалисти добиваат податоци за ранливости, тоа нема да биде лист со илјадници пропусти низ целата инфраструктура, туку грануларни информации земајќи ја предвид критичноста на системите.
Чекор # 4: Спроведете проценка на инфраструктурата
И само на четвртиот чекор доаѓаме до проценка на инфраструктурата од гледна точка на ранливости. Во оваа фаза, препорачуваме да обрнете внимание не само на пропустите на софтверот, туку и на грешките во конфигурацијата, што исто така може да биде ранливост. Овде го препорачуваме методот на агент за собирање информации. Скенери може и треба да се користат за да се процени безбедноста на периметарот. Ако ги користите ресурсите на давателите на облак, тогаш исто така треба да собирате информации за средствата и конфигурациите од таму. Посветете посебно внимание на анализата на ранливостите во инфраструктурите кои користат контејнери на Docker.
Чекор # 5: Поставете известување
Ова е еден од важните елементи во процесот на управување со ранливоста.
Првата точка: никој нема да работи со извештаи на повеќе страници со случаен список на пропусти и описи како да се елиминираат. Пред сè, треба да комуницирате со колегите и да дознаете што треба да има во извештајот и како е попогодно за нив да примаат податоци. На пример, на некој администратор не му треба детален опис на ранливоста и потребни се само информации за закрпата и врска до неа. Друг специјалист се грижи само за пропустите што се наоѓаат во мрежната инфраструктура.
Втора точка: под известување мислам не само на хартиени извештаи. Ова е застарен формат за добивање информации и статична приказна. Едно лице добива извештај и на кој било начин не може да влијае на тоа како податоците ќе бидат презентирани во овој извештај. За да го добиете извештајот во посакуваната форма, ИТ специјалистот мора да го контактира специјалистот за безбедност на информации и да побара од него повторно да го изгради извештајот. Како што минува времето, се појавуваат нови пропусти. Наместо да ги туркаат извештаите од оддел до оддел, специјалистите во двете дисциплини треба да можат да ги следат податоците онлајн и да ја видат истата слика. Затоа, во нашата платформа користиме динамични извештаи во форма на приспособливи контролни табли.
Чекор # 6: Дајте приоритет
Овде можете да го направите следново:
1. Создавање складиште со златни слики на системи. Работете со златни слики, проверувајте ги за ранливости и правите ја конфигурацијата на тековна основа. Ова може да се направи со помош на агенти кои автоматски ќе пријават појава на ново средство и ќе обезбедат информации за неговите ранливости.
2. Фокусирајте се на оние средства кои се критични за бизнисот. Не постои ниту една организација во светот што може да ги елиминира ранливостите во еден потег. Процесот на елиминирање на ранливостите е долг, па дури и досаден.
3. Стеснување на нападната површина. Исчистете ја вашата инфраструктура од непотребен софтвер и услуги, затворете ги непотребните порти. Неодамна имавме случај со една компанија во која на 40 илјади уреди беа пронајдени околу 100 илјади пропусти поврзани со старата верзија на прелистувачот Mozilla. Како што се испостави подоцна, Mozilla беше воведена во златната слика пред многу години, никој не ја користи, но таа е извор на голем број пропусти. Кога прелистувачот беше отстранет од компјутерите (дури беше и на некои сервери), овие десетици илјади пропусти исчезнаа.
4. Рангирајте ги ранливостите врз основа на разузнавањето за закани. Размислете не само за критичноста на ранливоста, туку и за присуството на јавен експлоат, малициозен софтвер, закрпа или надворешен пристап до системот со ранливоста. Проценете го влијанието на оваа ранливост врз критичните деловни системи: дали може да доведе до губење податоци, одбивање на услуга итн.
Чекор # 7: Согласете се за KPI
Не скенирајте заради скенирање. Ако ништо не се случи со пронајдените пропусти, тогаш ова скенирање се претвора во бескорисна операција. За да спречите работата со ранливости да стане формалност, размислете како ќе ги оцените нејзините резултати. Безбедноста на информациите и ИТ мора да се договорат за тоа како ќе се структурира работата за елиминирање на ранливостите, колку често ќе се вршат скенирања, ќе се инсталираат закрпи итн.
На слајдот гледате примери на можни KPI. Постои и проширена листа што ја препорачуваме на нашите клиенти. Доколку сте заинтересирани, ве молиме контактирајте ме, ќе ги споделам овие информации со вас.
Чекор # 8: Автоматизирај
Назад на скенирање повторно. Во Qualys, сметаме дека скенирањето е најневажното нешто што може да се случи во процесот на управување со ранливоста денес и дека пред сè треба да се автоматизира што е можно повеќе за да се врши без учество на специјалист за информациска безбедност. Денес има многу алатки кои ви овозможуваат да го направите ова. Доволно е да имаат отворен API и потребниот број на конектори.
Примерот што сакам да го дадам е DevOps. Ако имплементирате скенер за ранливост таму, можете едноставно да заборавите на DevOps. Со старите технологии, што е класичен скенер, едноставно нема да ви биде дозволено да влезете во овие процеси. Програмерите нема да чекаат да скенирате и да им дадете незгоден извештај на повеќе страници. Програмерите очекуваат дека информациите за пропустите ќе влезат во нивните системи за составување кодови во форма на информации за грешки. Безбедноста треба да биде беспрекорно вградена во овие процеси и треба да биде само карактеристика што автоматски се повикува од системот што го користат вашите програмери.
Чекор #9: Фокусирајте се на основните работи
Фокусирајте се на она што носи вистинска вредност за вашата компанија. Скенирањето може да биде автоматски, извештаите исто така може да се испраќаат автоматски.
Фокусирајте се на подобрување на процесите за да ги направите пофлексибилни и поудобни за сите вклучени. Фокусирајте се на обезбедување дека безбедноста е вградена во сите договори со вашите договорни страни, кои, на пример, развиваат веб-апликации за вас.
Ако ви требаат подетални информации за тоа како да изградите процес за управување со ранливоста во вашата компанија, ве молиме контактирајте ме мене и моите колеги. Ќе ми биде драго да помогнам.
Извор: www.habr.com
