We hadden een grote 4 juli . Vandaag publiceren we een transcriptie van de toespraak van Andrey Novikov van Qualys. Hij zal u vertellen welke stappen u moet doorlopen om een workflow voor kwetsbaarheidsbeheer op te bouwen. Spoiler: we bereiken pas halverwege voordat we gaan scannen.
Stap 1: Bepaal het volwassenheidsniveau van uw kwetsbaarheidsbeheerprocessen
Helemaal aan het begin moet u begrijpen in welke fase uw organisatie zich bevindt wat betreft de volwassenheid van haar kwetsbaarheidsbeheerprocessen. Pas daarna begrijpt u waar u heen moet en welke stappen u moet nemen. Voordat organisaties aan scans en andere activiteiten beginnen, moeten ze intern werk doen om te begrijpen hoe uw huidige processen zijn gestructureerd vanuit een IT- en informatiebeveiligingsperspectief.
Probeer basisvragen te beantwoorden:
- Heeft u processen voor inventarisatie en activaclassificatie;
- Hoe regelmatig wordt de IT-infrastructuur gescand en wordt de gehele infrastructuur gedekt, zie je het hele plaatje;
- Worden uw IT-middelen gemonitord?
- Zijn er KPI’s geïmplementeerd in uw processen en hoe begrijpt u dat hieraan wordt voldaan?
- Zijn al deze processen gedocumenteerd?
Stap 2: Zorg voor volledige infrastructuurdekking
Wat je niet weet, kun je niet beschermen. Als u geen volledig beeld heeft van waar uw IT-infrastructuur uit bestaat, kunt u deze niet beschermen. Moderne infrastructuur is complex en verandert voortdurend kwantitatief en kwalitatief.
Nu is de IT-infrastructuur niet alleen gebaseerd op een stapel klassieke technologieën (werkstations, servers, virtuele machines), maar ook op relatief nieuwe technologieën: containers, microservices. De informatiebeveiligingsdienst loopt op alle mogelijke manieren van dit laatste weg, omdat het voor hen erg moeilijk is om met bestaande toolsets, die voornamelijk uit scanners bestaan, met hen samen te werken. Het probleem is dat geen enkele scanner de hele infrastructuur kan bestrijken. Om ervoor te zorgen dat een scanner elk knooppunt in de infrastructuur kan bereiken, moeten verschillende factoren samenvallen. Het asset moet zich op het moment van scannen binnen de grenzen van de organisatie bevinden. De scanner moet netwerktoegang hebben tot activa en hun accounts om volledige informatie te verzamelen.
Volgens onze statistieken wordt, als het om middelgrote of grote organisaties gaat, ongeveer 15 tot 20% van de infrastructuur om de een of andere reden niet door de scanner vastgelegd: het asset is buiten de perimeter verplaatst of verschijnt helemaal nooit op kantoor. Bijvoorbeeld een laptop van een medewerker die op afstand werkt maar toch toegang heeft tot het bedrijfsnetwerk, of het asset staat in externe clouddiensten zoals Amazon. En de scanner zal hoogstwaarschijnlijk niets over deze activa weten, omdat ze zich buiten de zichtbaarheidszone bevinden.
Om de hele infrastructuur te dekken, moet u niet alleen scanners gebruiken, maar een hele reeks sensoren, waaronder passieve verkeersluistertechnologieën om nieuwe apparaten in uw infrastructuur te detecteren, een methode voor het verzamelen van gegevens door agenten om informatie te ontvangen - stelt u in staat gegevens online te ontvangen, zonder de noodzaak om te scannen, zonder de inloggegevens te markeren.
Stap 3: Categoriseer activa
Niet alle activa zijn gelijk geschapen. Het is jouw taak om te bepalen welke activa belangrijk zijn en welke niet. Geen enkel hulpmiddel, zoals een scanner, kan dit voor u doen. Idealiter werken informatiebeveiliging, IT en het bedrijfsleven samen om de infrastructuur te analyseren om bedrijfskritische systemen te identificeren. Voor hen bepalen zij aanvaardbare maatstaven voor beschikbaarheid, integriteit, vertrouwelijkheid, RTO/RPO, enz.
Dit zal u helpen bij het prioriteren van uw kwetsbaarheidsbeheerproces. Wanneer uw specialisten gegevens over kwetsbaarheden ontvangen, zal dit geen blad zijn met duizenden kwetsbaarheden over de hele infrastructuur, maar gedetailleerde informatie waarbij rekening wordt gehouden met de kriticiteit van de systemen.
Stap 4: Voer een infrastructuurbeoordeling uit
En pas bij de vierde stap komen we tot het beoordelen van de infrastructuur vanuit het oogpunt van kwetsbaarheden. In dit stadium raden we u aan om niet alleen op softwarekwetsbaarheden te letten, maar ook op configuratiefouten, die ook een kwetsbaarheid kunnen zijn. Hier raden we de agentmethode aan voor het verzamelen van informatie. Scanners kunnen en moeten worden gebruikt om de perimeterbeveiliging te beoordelen. Als u de middelen van cloudproviders gebruikt, moet u van daaruit ook informatie over assets en configuraties verzamelen. Besteed speciale aandacht aan het analyseren van kwetsbaarheden in infrastructuren met behulp van Docker-containers.
Stap 5: Stel rapportage in
Dit is een van de belangrijke elementen binnen het kwetsbaarheidsbeheerproces.
Het eerste punt: niemand zal werken met rapporten van meerdere pagina's met een willekeurige lijst met kwetsbaarheden en beschrijvingen van hoe deze te elimineren. Allereerst moet u met collega's communiceren en ontdekken wat er in het rapport moet staan en hoe het voor hen handiger is om gegevens te ontvangen. Sommige beheerders hebben bijvoorbeeld geen gedetailleerde beschrijving van de kwetsbaarheid nodig en hebben alleen informatie nodig over de patch en een link ernaartoe. Een andere specialist houdt zich alleen bezig met kwetsbaarheden in de netwerkinfrastructuur.
Tweede punt: met verslaggeving bedoel ik niet alleen papieren verslagen. Dit is een verouderd format voor het verkrijgen van informatie en een statisch verhaal. Een persoon ontvangt een rapport en kan op geen enkele manier invloed uitoefenen op de manier waarop de gegevens in dit rapport worden gepresenteerd. Om het rapport in de gewenste vorm te krijgen, moet de IT-specialist contact opnemen met de informatiebeveiligingsspecialist en hem vragen het rapport opnieuw op te bouwen. Naarmate de tijd verstrijkt, verschijnen er nieuwe kwetsbaarheden. In plaats van rapporten van afdeling naar afdeling te sturen, zouden specialisten in beide disciplines de gegevens online moeten kunnen monitoren en hetzelfde beeld moeten zien. Daarom maken wij in ons platform gebruik van dynamische rapportages in de vorm van aanpasbare dashboards.
Stap 6: Prioriteer
Hier kunt u het volgende doen:
1. Een repository creëren met gouden afbeeldingen van systemen. Werk met gouden images, controleer ze op kwetsbaarheden en corrigeer de configuratie doorlopend. Dit kan worden gedaan met behulp van agenten die automatisch de opkomst van een nieuw bezit rapporteren en informatie verstrekken over de kwetsbaarheden ervan.
2. Concentreer u op de activa die cruciaal zijn voor het bedrijf. Er is geen enkele organisatie ter wereld die kwetsbaarheden in één keer kan wegnemen. Het proces van het elimineren van kwetsbaarheden is lang en zelfs vervelend.
3. Het aanvalsoppervlak verkleinen. Reinig uw infrastructuur van onnodige software en services, sluit onnodige poorten. Onlangs hadden we bij één bedrijf een geval waarbij op 40 apparaten ongeveer 100 kwetsbaarheden met betrekking tot de oude versie van de Mozilla-browser werden gevonden. Zoals later bleek, werd Mozilla vele jaren geleden in het gouden beeld geïntroduceerd, niemand gebruikt het, maar het is de bron van een groot aantal kwetsbaarheden. Toen de browser van computers werd verwijderd (op sommige servers stond het zelfs), verdwenen deze tienduizenden kwetsbaarheden.
4. Rangschik kwetsbaarheden op basis van dreigingsinformatie. Houd niet alleen rekening met de kritiekheid van de kwetsbaarheid, maar ook met de aanwezigheid van een publieke exploit, malware, patch of externe toegang tot het systeem met de kwetsbaarheid. Beoordeel de impact van deze kwetsbaarheid op kritieke bedrijfssystemen: kan dit leiden tot gegevensverlies, denial of service, etc.
Stap #7: Maak overeenstemming over KPI’s
Scan niet om het scannen. Als er niets gebeurt met de gevonden kwetsbaarheden, wordt dit scannen een nutteloze operatie. Om te voorkomen dat het werken met kwetsbaarheden een formaliteit wordt, moet u nadenken over hoe u de resultaten ervan gaat evalueren. Informatiebeveiliging en IT moeten het eens worden over hoe het werk om kwetsbaarheden weg te werken zal worden gestructureerd, hoe vaak scans zullen worden uitgevoerd, patches zullen worden geïnstalleerd, etc.
Op de slide zie je voorbeelden van mogelijke KPI’s. Er is ook een uitgebreide lijst die wij onze klanten aanbevelen. Als u geïnteresseerd bent, neem dan contact met mij op, ik zal deze informatie met u delen.
Stap #8: Automatiseer
Terug naar opnieuw scannen. Bij Qualys zijn we van mening dat scannen het meest onbelangrijke is dat er vandaag de dag kan gebeuren in het vulnerability management-proces, en dat dit allereerst zoveel mogelijk moet worden geautomatiseerd, zodat het kan worden uitgevoerd zonder de medewerking van een informatiebeveiligingsspecialist. Tegenwoordig zijn er veel tools waarmee je dit kunt doen. Het is voldoende dat ze een open API en het vereiste aantal connectoren hebben.
Het voorbeeld dat ik graag geef is DevOps. Als je daar een kwetsbaarheidsscanner implementeert, kun je DevOps gewoon achterwege laten. Met oude technologieën, wat een klassieke scanner is, wordt u eenvoudigweg niet toegelaten tot deze processen. Ontwikkelaars wachten niet tot u scant en hen een onhandig rapport van meerdere pagina's geeft. Ontwikkelaars verwachten dat informatie over kwetsbaarheden hun codeassemblagesystemen binnenkomt in de vorm van buginformatie. Beveiliging moet naadloos in deze processen worden ingebouwd, en het moet gewoon een functie zijn die automatisch wordt aangeroepen door het systeem dat door uw ontwikkelaars wordt gebruikt.
Stap # 9: Concentreer u op de essentie
Focus op wat echte waarde toevoegt aan uw bedrijf. Scans kunnen automatisch plaatsvinden, rapporten kunnen ook automatisch worden verzonden.
Focus op het verbeteren van processen om ze flexibeler en handiger te maken voor alle betrokkenen. Zorg ervoor dat veiligheid is ingebouwd in alle contracten met uw tegenpartijen, die bijvoorbeeld webapplicaties voor u ontwikkelen.
Als u meer gedetailleerde informatie nodig heeft over hoe u een proces voor kwetsbaarheidsbeheer in uw bedrijf kunt opzetten, neem dan contact met mij en mijn collega's op. Ik help je graag verder.
Bron: www.habr.com