Kami mempunyai 4 Julai yang besar . Hari ini kami menerbitkan transkrip ucapan Andrey Novikov dari Qualys. Dia akan memberitahu anda langkah yang perlu anda lalui untuk membina aliran kerja pengurusan kerentanan. Spoiler: kami hanya akan sampai ke titik separuh jalan sebelum mengimbas.
Langkah #1: Tentukan tahap kematangan proses pengurusan kerentanan anda
Pada mulanya, anda perlu memahami tahap mana organisasi anda berada dari segi kematangan proses pengurusan kelemahannya. Hanya selepas ini anda akan dapat memahami ke mana hendak bergerak dan langkah yang perlu diambil. Sebelum memulakan imbasan dan aktiviti lain, organisasi perlu melakukan beberapa kerja dalaman untuk memahami cara proses semasa anda distrukturkan daripada perspektif keselamatan IT dan maklumat.
Cuba jawab soalan asas:
- Adakah anda mempunyai proses untuk klasifikasi inventori dan aset;
- Seberapa kerap infrastruktur IT diimbas dan keseluruhan infrastruktur dilindungi, adakah anda melihat keseluruhan gambar;
- Adakah sumber IT anda dipantau?
- Adakah sebarang KPI dilaksanakan dalam proses anda dan bagaimana anda memahami bahawa ia sedang dipenuhi;
- Adakah semua proses ini didokumenkan?
Langkah #2: Pastikan Liputan Infrastruktur Penuh
Anda tidak boleh melindungi perkara yang anda tidak tahu. Jika anda tidak mempunyai gambaran lengkap tentang infrastruktur IT anda, anda tidak akan dapat melindunginya. Infrastruktur moden adalah kompleks dan sentiasa berubah secara kuantitatif dan kualitatif.
Kini infrastruktur IT bukan sahaja berdasarkan timbunan teknologi klasik (stesen kerja, pelayan, mesin maya), tetapi juga pada yang agak baharu - bekas, perkhidmatan mikro. Perkhidmatan keselamatan maklumat melarikan diri dari yang terakhir dalam setiap cara yang mungkin, kerana sangat sukar untuk bekerja dengan mereka menggunakan set alat sedia ada, yang terdiri terutamanya daripada pengimbas. Masalahnya ialah mana-mana pengimbas tidak dapat menampung keseluruhan infrastruktur. Untuk membolehkan pengimbas mencapai mana-mana nod dalam infrastruktur, beberapa faktor mesti bertepatan. Aset mesti berada dalam perimeter organisasi pada masa pengimbasan. Pengimbas mesti mempunyai akses rangkaian kepada aset dan akaunnya untuk mengumpul maklumat lengkap.
Menurut statistik kami, apabila ia berkaitan dengan organisasi sederhana atau besar, kira-kira 15β20% daripada infrastruktur tidak ditangkap oleh pengimbas untuk satu sebab atau yang lain: aset telah bergerak melepasi perimeter atau tidak pernah muncul di pejabat sama sekali. Contohnya, komputer riba pekerja yang bekerja dari jauh tetapi masih mempunyai akses kepada rangkaian korporat, atau aset tersebut terletak dalam perkhidmatan awan luaran seperti Amazon. Dan pengimbas, kemungkinan besar, tidak akan mengetahui apa-apa tentang aset ini, kerana ia berada di luar zon penglihatannya.
Untuk merangkumi keseluruhan infrastruktur, anda perlu menggunakan bukan sahaja pengimbas, tetapi keseluruhan set penderia, termasuk teknologi mendengar trafik pasif untuk mengesan peranti baharu dalam infrastruktur anda, kaedah pengumpulan data ejen untuk menerima maklumat - membolehkan anda menerima data dalam talian, tanpa keperluan untuk mengimbas, tanpa menyerlahkan kelayakan.
Langkah #3: Kategorikan Aset
Tidak semua aset dicipta sama. Tugas anda untuk menentukan aset mana yang penting dan mana yang tidak. Tiada alat, seperti pengimbas, akan melakukan ini untuk anda. Sebaik-baiknya, keselamatan maklumat, IT dan perniagaan bekerjasama untuk menganalisis infrastruktur untuk mengenal pasti sistem kritikal perniagaan. Bagi mereka, mereka menentukan metrik yang boleh diterima untuk ketersediaan, integriti, kerahsiaan, RTO/RPO, dsb.
Ini akan membantu anda mengutamakan proses pengurusan kerentanan anda. Apabila pakar anda menerima data tentang kelemahan, ia tidak akan menjadi helaian dengan beribu-ribu kelemahan merentas keseluruhan infrastruktur, tetapi maklumat berbutir dengan mengambil kira kritikal sistem.
Langkah #4: Jalankan Penilaian Infrastruktur
Dan hanya pada langkah keempat kita datang untuk menilai infrastruktur dari sudut pandangan kelemahan. Pada peringkat ini, kami mengesyorkan agar anda memberi perhatian bukan sahaja kepada kelemahan perisian, tetapi juga kepada ralat konfigurasi, yang juga boleh menjadi kelemahan. Di sini kami mengesyorkan kaedah ejen mengumpul maklumat. Pengimbas boleh dan harus digunakan untuk menilai keselamatan perimeter. Jika anda menggunakan sumber penyedia awan, maka anda juga perlu mengumpul maklumat tentang aset dan konfigurasi dari sana. Beri perhatian khusus untuk menganalisis kelemahan dalam infrastruktur menggunakan bekas Docker.
Langkah #5: Sediakan pelaporan
Ini adalah salah satu elemen penting dalam proses pengurusan kerentanan.
Perkara pertama: tiada siapa yang akan bekerja dengan laporan berbilang halaman dengan senarai rawak kelemahan dan penerangan tentang cara menghapuskannya. Pertama sekali, anda perlu berkomunikasi dengan rakan sekerja dan mengetahui perkara yang sepatutnya ada dalam laporan dan cara lebih mudah bagi mereka untuk menerima data. Sebagai contoh, sesetengah pentadbir tidak memerlukan penerangan terperinci tentang kelemahan dan hanya memerlukan maklumat tentang tampung dan pautan kepadanya. Pakar lain hanya mengambil berat tentang kelemahan yang terdapat dalam infrastruktur rangkaian.
Perkara kedua: dengan melaporkan yang saya maksudkan bukan sahaja laporan kertas. Ini adalah format lapuk untuk mendapatkan maklumat dan cerita statik. Seseorang menerima laporan dan tidak boleh dalam apa-apa cara mempengaruhi cara data akan dibentangkan dalam laporan ini. Untuk mendapatkan laporan dalam bentuk yang dikehendaki, pakar IT mesti menghubungi pakar keselamatan maklumat dan memintanya membina semula laporan tersebut. Apabila masa berlalu, kelemahan baharu muncul. Daripada menolak laporan dari jabatan ke jabatan, pakar dalam kedua-dua disiplin seharusnya dapat memantau data dalam talian dan melihat gambar yang sama. Oleh itu, dalam platform kami, kami menggunakan laporan dinamik dalam bentuk papan pemuka yang boleh disesuaikan.
Langkah #6: Utamakan
Di sini anda boleh melakukan perkara berikut:
1. Mencipta repositori dengan imej emas sistem. Bekerja dengan imej emas, semak mereka untuk kelemahan dan konfigurasi yang betul secara berterusan. Ini boleh dilakukan dengan bantuan ejen yang secara automatik akan melaporkan kemunculan aset baharu dan memberikan maklumat tentang kelemahannya.
2. Fokus pada aset yang penting kepada perniagaan. Tidak ada satu organisasi pun di dunia yang boleh menghapuskan kelemahan sekali gus. Proses menghapuskan kelemahan adalah panjang dan bahkan membosankan.
3. Mengecilkan permukaan serangan. Bersihkan infrastruktur anda daripada perisian dan perkhidmatan yang tidak diperlukan, tutup port yang tidak diperlukan. Kami baru-baru ini mempunyai kes dengan satu syarikat di mana kira-kira 40 ribu kelemahan yang berkaitan dengan versi lama pelayar Mozilla ditemui pada 100 ribu peranti. Seperti yang ternyata kemudian, Mozilla telah diperkenalkan ke dalam imej emas bertahun-tahun yang lalu, tiada siapa yang menggunakannya, tetapi ia adalah sumber kepada sejumlah besar kelemahan. Apabila penyemak imbas dialih keluar daripada komputer (malah pada sesetengah pelayan), berpuluh-puluh ribu kelemahan ini hilang.
4. Kedudukan kelemahan berdasarkan perisikan ancaman. Pertimbangkan bukan sahaja kerentanan yang kritikal, tetapi juga kehadiran eksploitasi awam, perisian hasad, tampung atau akses luaran kepada sistem dengan kelemahan tersebut. Nilaikan kesan kelemahan ini pada sistem perniagaan kritikal: adakah ia boleh menyebabkan kehilangan data, penafian perkhidmatan, dsb.
Langkah #7: Setuju tentang KPI
Jangan imbas demi pengimbasan. Jika tiada apa-apa berlaku kepada kelemahan yang ditemui, maka pengimbasan ini bertukar menjadi operasi yang tidak berguna. Untuk mengelakkan bekerja dengan kelemahan daripada menjadi formaliti, fikirkan tentang cara anda akan menilai keputusannya. Keselamatan maklumat dan IT mesti bersetuju tentang cara kerja untuk menghapuskan kelemahan akan distrukturkan, kekerapan imbasan akan dijalankan, tampalan akan dipasang, dsb.
Pada slaid anda melihat contoh KPI yang mungkin. Terdapat juga senarai lanjutan yang kami cadangkan kepada pelanggan kami. Jika anda berminat, sila hubungi saya, saya akan kongsikan maklumat ini dengan anda.
Langkah #8: Automatik
Kembali ke pengimbasan semula. Di Qualys, kami percaya bahawa pengimbasan ialah perkara paling tidak penting yang boleh berlaku dalam proses pengurusan kerentanan hari ini, dan pertama sekali ia perlu diautomasikan sebaik mungkin supaya ia dilakukan tanpa penyertaan pakar keselamatan maklumat. Hari ini terdapat banyak alat yang membolehkan anda melakukan ini. Cukuplah mereka mempunyai API terbuka dan bilangan penyambung yang diperlukan.
Contoh yang saya suka berikan ialah DevOps. Jika anda melaksanakan pengimbas kerentanan di sana, anda boleh melupakan DevOps. Dengan teknologi lama, yang merupakan pengimbas klasik, anda tidak akan dibenarkan masuk ke dalam proses ini. Pembangun tidak akan menunggu anda mengimbas dan memberi mereka laporan berbilang halaman yang menyusahkan. Pembangun menjangkakan bahawa maklumat tentang kelemahan akan memasuki sistem pemasangan kod mereka dalam bentuk maklumat pepijat. Keselamatan harus dibina dengan lancar ke dalam proses ini dan ia hanya perlu menjadi ciri yang dipanggil secara automatik oleh sistem yang digunakan oleh pembangun anda.
Langkah #9: Fokus pada Perkara-perkara Penting
Fokus pada perkara yang membawa nilai sebenar kepada syarikat anda. Imbasan boleh automatik, laporan juga boleh dihantar secara automatik.
Fokus pada penambahbaikan proses untuk menjadikannya lebih fleksibel dan mudah untuk semua orang yang terlibat. Fokus pada memastikan keselamatan terbina dalam semua kontrak dengan rakan niaga anda, yang, sebagai contoh, membangunkan aplikasi web untuk anda.
Jika anda memerlukan maklumat yang lebih terperinci tentang cara membina proses pengurusan kerentanan dalam syarikat anda, sila hubungi saya dan rakan sekerja saya. Saya dengan senang hati akan membantu.
Sumber: www.habr.com