Бид 4-р сарын XNUMX-ний өдрийг сайхан тэмдэглэв . Өнөөдөр бид Андрей Новиковын Qualys-аас хэлсэн үгийн хуулбарыг нийтэлж байна. Тэр танд эмзэг байдлын менежментийн ажлын урсгалыг бий болгохын тулд ямар алхмуудыг хийх ёстойг хэлэх болно. Спойлер: бид сканнердахаасаа өмнө зөвхөн хагаст л хүрнэ.
Алхам №1: Эмзэг байдлын менежментийн үйл явцын төлөвшлийн түвшинг тодорхойл
Хамгийн эхэнд та өөрийн байгууллага эмзэг байдлын менежментийн үйл явцын төлөвшлийн хувьд ямар шатанд байгааг ойлгох хэрэгтэй. Үүний дараа л та хаашаа нүүх, ямар арга хэмжээ авах шаардлагатайг ойлгох боломжтой болно. Сканнер хийх болон бусад үйл ажиллагааг эхлүүлэхийн өмнө байгууллагууд таны одоогийн үйл явц IT болон мэдээллийн аюулгүй байдлын үүднээс хэрхэн бүтэцлэгдсэнийг ойлгохын тулд дотоод ажил хийх хэрэгтэй.
Үндсэн асуултуудад хариулахыг хичээ:
- Танд бараа материал, хөрөнгийн ангиллын процесс байгаа эсэх;
- Мэдээллийн технологийн дэд бүтцийг хэр тогтмол сканнердаж, дэд бүтцийг бүхэлд нь хамарч байна, та зургийг бүхэлд нь харж байна уу?
- Таны мэдээллийн технологийн нөөцөд хяналт тавьдаг уу?
- Таны үйл явцад ямар нэгэн KPI хэрэгжсэн эсэх, тэдгээрт нийцэж байгааг та хэрхэн ойлгож байна вэ?
- Эдгээр бүх үйл явцыг баримтжуулсан уу?
Алхам №2: Дэд бүтцийн бүрэн хамрах хүрээг хангах
Та мэдэхгүй зүйлээ хамгаалж чадахгүй. Хэрэв танд мэдээллийн технологийн дэд бүтэц юунаас бүрдсэн талаар бүрэн дүр зураг байхгүй бол та үүнийг хамгаалах боломжгүй болно. Орчин үеийн дэд бүтэц нь нарийн төвөгтэй бөгөөд тоон болон чанарын хувьд байнга өөрчлөгдөж байдаг.
Одоо мэдээллийн технологийн дэд бүтэц нь зөвхөн сонгодог технологиуд (ажлын станц, сервер, виртуал машин) төдийгүй харьцангуй шинэ технологи болох контейнер, микро үйлчилгээнд суурилдаг. Мэдээллийн аюулгүй байдлын үйлчилгээ нь сканнеруудаас бүрддэг одоо байгаа багаж хэрэгслийг ашиглан тэдэнтэй ажиллахад маш хэцүү тул сүүлийнхээс бүх талаар зугтаж байна. Асуудал нь ямар ч сканнер дэд бүтцийг бүхэлд нь хамарч чадахгүй байгаа явдал юм. Сканнер нь дэд бүтцийн аль ч цэгт хүрэхийн тулд хэд хэдэн хүчин зүйл давхцах ёстой. Сканнердах үед хөрөнгө нь байгууллагын периметрийн хүрээнд байх ёстой. Скан хийгч нь бүрэн мэдээлэл цуглуулахын тулд эд хөрөнгө болон тэдгээрийн дансанд сүлжээнд нэвтрэх эрхтэй байх ёстой.
Манай статистик мэдээллээс харахад дунд болон том байгууллагуудын тухай ярихад дэд бүтцийн ойролцоогоор 15-20% нь ямар нэг шалтгаанаар сканнерд баригддаггүй: хөрөнгө нь периметрээс хэтэрсэн эсвэл оффис дээр огт харагдахгүй байна. Жишээлбэл, алсаас ажилладаг боловч корпорацийн сүлжээнд холбогдсон ажилтны зөөврийн компьютер, эсвэл хөрөнгө нь Amazon зэрэг гадаад үүлэн үйлчилгээнд байрладаг. Сканнер нь эдгээр хөрөнгийн талаар юу ч мэдэхгүй байх магадлалтай, учир нь тэдгээр нь харагдахуйц хүрээнээс гадуур байдаг.
Дэд бүтцийг бүхэлд нь хамрахын тулд та зөвхөн сканнер төдийгүй бүхэл бүтэн мэдрэгч, түүний дотор дэд бүтцэд байгаа шинэ төхөөрөмжүүдийг илрүүлэх идэвхгүй хөдөлгөөнийг сонсох технологи, мэдээлэл хүлээн авах агентын мэдээлэл цуглуулах арга - мэдээллийг онлайнаар хүлээн авах боломжийг танд олгоно. итгэмжлэлийг тодруулахгүйгээр сканнердах хэрэгцээ.
Алхам №3: Хөрөнгийг ангилах
Бүх хөрөнгийг тэгш байдлаар бүтээдэггүй. Аль хөрөнгө чухал, аль нь чухал биш болохыг тодорхойлох нь таны үүрэг. Сканнер шиг ямар ч хэрэгсэл танд үүнийг хийхгүй. Мэдээллийн аюулгүй байдал, мэдээллийн технологи, бизнес нь бизнесийн чухал системүүдийг тодорхойлохын тулд дэд бүтцэд дүн шинжилгээ хийхэд хамтран ажилладаг. Тэдний хувьд хүртээмжтэй байдал, бүрэн бүтэн байдал, нууцлал, RTO/RPO гэх мэт зөвшөөрөгдөх хэмжүүрүүдийг тодорхойлдог.
Энэ нь танд эмзэг байдлын менежментийн үйл явцыг эрэмбэлэхэд тусална. Мэргэжилтнүүд эмзэг байдлын талаарх мэдээллийг хүлээн авах үед энэ нь бүхэл бүтэн дэд бүтцийн олон мянган эмзэг байдлын хуудас биш, харин системийн эгзэгтэй байдлыг харгалзан үзсэн нарийн мэдээлэл байх болно.
Алхам №4: Дэд бүтцийн үнэлгээ хийх
Дөрөв дэх алхам дээр л бид дэд бүтцийг эмзэг байдлын үүднээс үнэлдэг. Энэ үе шатанд бид зөвхөн програм хангамжийн сул талуудаас гадна тохиргооны алдаануудыг анхаарч үзэхийг зөвлөж байна, энэ нь эмзэг байдал байж болно. Энд бид мэдээлэл цуглуулах агент аргыг санал болгож байна. Сканнеруудыг периметрийн аюулгүй байдлыг үнэлэхэд ашиглаж болно. Хэрэв та үүлэн үйлчилгээ үзүүлэгчдийн нөөцийг ашигладаг бол тэндээс хөрөнгө, тохиргооны мэдээллийг цуглуулах хэрэгтэй. Docker контейнер ашиглан дэд бүтцийн эмзэг байдалд дүн шинжилгээ хийхэд онцгой анхаарал хандуулаарай.
Алхам №5: Тайланг тохируулах
Энэ нь эмзэг байдлын менежментийн үйл явц дахь чухал элементүүдийн нэг юм.
Эхний цэг: эмзэг байдлын санамсаргүй жагсаалт, тэдгээрийг хэрхэн арилгах талаархи тайлбар бүхий олон хуудастай тайлантай хэн ч ажиллахгүй. Юуны өмнө та хамт ажиллагсадтайгаа харилцаж, тайланд юу байх ёстой, мэдээлэл хүлээн авахад хэрхэн илүү тохиромжтой болохыг олж мэдэх хэрэгтэй. Жишээлбэл, зарим администраторт эмзэг байдлын талаар нарийвчилсан тайлбар хэрэггүй бөгөөд зөвхөн засварын тухай мэдээлэл, линк хэрэгтэй. Өөр нэг мэргэжилтэн зөвхөн сүлжээний дэд бүтцээс олдсон эмзэг байдлын талаар санаа тавьдаг.
Хоёрдахь зүйл: тайлагнаснаар би зөвхөн цаасан тайлан биш юм. Энэ бол мэдээлэл, статик түүхийг олж авах хуучирсан формат юм. Хүн тайлан хүлээн авдаг бөгөөд энэ тайланд өгөгдлийг хэрхэн харуулахад ямар ч байдлаар нөлөөлж чадахгүй. Тайланг хүссэн хэлбэрээр авахын тулд мэдээллийн технологийн мэргэжилтэн мэдээллийн аюулгүй байдлын мэргэжилтэнтэй холбоо барьж, тайланг дахин бүтээхийг түүнээс хүсэх ёстой. Цаг хугацаа өнгөрөх тусам шинэ сул талууд гарч ирдэг. Хоёр салбарын мэргэжилтнүүд тайланг хэлтэсээс хэлтэс рүү шилжүүлэхийн оронд онлайнаар өгөгдлийг хянаж, ижил дүр зургийг харах боломжтой байх ёстой. Тиймээс бид платформ дээрээ динамик тайлангуудыг өөрчлөх боломжтой хяналтын самбар хэлбэрээр ашигладаг.
Алхам №6: Тэргүүлэх
Энд та дараахь зүйлийг хийж болно.
1. Системийн алтан дүрс бүхий агуулах үүсгэх. Алтан зурагтай ажиллаж, сул тал байгаа эсэхийг шалгаж, тохиргоог тогтмол хийж байгаарай. Үүнийг шинэ хөрөнгө гарч ирснийг автоматаар мэдээлэх, түүний эмзэг байдлын талаар мэдээлэл өгөх агентуудын тусламжтайгаар хийж болно.
2. Бизнест чухал ач холбогдолтой эдгээр хөрөнгөнд анхаарлаа төвлөрүүл. Эмзэг байдлыг нэг дор арилгах байгууллага дэлхийд байхгүй. Эмзэг байдлыг арилгах үйл явц нь урт, бүр уйтгартай байдаг.
3. Довтолгооны гадаргууг нарийсгах. Дэд бүтцээ шаардлагагүй програм хангамж, үйлчилгээнээс цэвэрлэж, шаардлагагүй портуудыг хаа. Саяхан бид нэг компанитай холбоотой хэрэг гарсан бөгөөд Mozilla хөтчийн хуучин хувилбартай холбоотой 40 мянга орчим сул тал 100 мянган төхөөрөмж дээр илэрсэн байна. Хожим нь Mozilla-г олон жилийн өмнө алтан дүр төрхөөр нэвтрүүлсэн тул хэн ч үүнийг ашигладаггүй, гэхдээ энэ нь олон тооны эмзэг байдлын эх үүсвэр юм. Хөтөчийг компьютерээс устгахад (зарим сервер дээр ч байсан) эдгээр хэдэн арван мянган эмзэг байдал алга болсон.
4. Аюултай байдлын тагнуулын мэдээлэлд үндэслэн эмзэг байдлыг эрэмбэл. Зөвхөн эмзэг байдлын шүүмжлэлтэй байдлаас гадна олон нийтийн мөлжлөг, хортой программ хангамж, засвар үйлчилгээ эсвэл эмзэг байдалтай системд гадны хандалт байгаа эсэхийг анхаарч үзээрэй. Энэхүү эмзэг байдлын бизнесийн чухал системд үзүүлэх нөлөөллийг үнэлнэ үү: энэ нь өгөгдөл алдагдах, үйлчилгээ үзүүлэхээс татгалзах гэх мэт.
Алхам №7: KPI-ийн талаар тохиролц
Сканнердах зорилгоор скан хийж болохгүй. Хэрэв илэрсэн эмзэг байдалд юу ч тохиолдоогүй бол энэ сканнер нь ашиггүй ажиллагаа болж хувирна. Эмзэг талуудтай ажиллах нь албан ёсны зүйл болохоос урьдчилан сэргийлэхийн тулд түүний үр дүнг хэрхэн үнэлэх талаар бодож үзээрэй. Мэдээллийн аюулгүй байдал, мэдээллийн технологи нь эмзэг байдлыг арилгах ажлыг хэрхэн зохион байгуулах, сканнердах давтамж, засваруудыг суулгах гэх мэт асуудлаар тохиролцох ёстой.
Слайд дээр та боломжит KPI-ийн жишээг харж болно. Мөн үйлчлүүлэгчдэдээ санал болгож буй өргөтгөсөн жагсаалт байдаг. Хэрэв та сонирхож байгаа бол надтай холбоо барина уу, би энэ мэдээллийг тантай хуваалцах болно.
Алхам №8: Автоматжуулах
Дахин сканнердах руу буцна уу. Qualys-ийн хувьд бид сканнердах нь эмзэг байдлын менежментийн үйл явцад тохиолдож болох хамгийн чухал зүйл биш бөгөөд юуны өмнө үүнийг мэдээллийн аюулгүй байдлын мэргэжилтний оролцоогүйгээр гүйцэтгэхийн тулд аль болох автоматжуулах шаардлагатай гэж бид үзэж байна. Өнөөдөр танд үүнийг хийх боломжийг олгодог олон хэрэгсэл байдаг. Тэд нээлттэй API, шаардлагатай тооны холбогчтой байхад л хангалттай.
Миний хэлэх дуртай жишээ бол DevOps. Хэрэв та тэнд эмзэг байдлын сканнер суулгасан бол DevOps-ийн талаар мартаж болно. Сонгодог сканнер болох хуучин технологиудын тусламжтайгаар та эдгээр процесст орохыг зөвшөөрөхгүй. Хөгжүүлэгчид таныг сканнердаж, олон хуудастай, тохиромжгүй тайлан өгөхийг хүлээхгүй. Хөгжүүлэгчид эмзэг байдлын талаарх мэдээлэл нь алдааны мэдээлэл хэлбэрээр код угсралтын системд орно гэж найдаж байна. Аюулгүй байдал нь эдгээр процессуудад саадгүй суурилагдсан байх ёстой бөгөөд энэ нь таны хөгжүүлэгчид ашигладаг системээс автоматаар дуудагддаг функц байх ёстой.
Алхам №9: Үндсэн зүйлд анхаарлаа төвлөрүүл
Танай компанид бодит үнэ цэнийг авчирдаг зүйлд анхаарлаа төвлөрүүл. Скан хийх нь автоматаар, тайланг автоматаар илгээх боломжтой.
Үйл явцыг сайжруулахад анхаарлаа хандуулж, оролцогч бүх хүмүүст илүү уян хатан, тохиромжтой болгох. Жишээлбэл, танд зориулж вэб програм боловсруулдаг түншүүдтэйгээ хийсэн бүх гэрээнд аюулгүй байдлыг хангахад анхаарлаа хандуулаарай.
Хэрэв танд компанидаа эмзэг байдлын менежментийн үйл явцыг хэрхэн бий болгох талаар илүү дэлгэрэнгүй мэдээлэл хэрэгтэй бол надтай болон миний хамтран ажиллагсадтай холбоо барина уу. Би туслахдаа баяртай байх болно.
Эх сурвалж: www.habr.com