Vi hadde en stor 4. juli . I dag publiserer vi en utskrift av talen til Andrey Novikov fra Qualys. Han vil fortelle deg hvilke trinn du må gå gjennom for å bygge en arbeidsflyt for sårbarhetshåndtering. Spoiler: vi når bare halvveis før skanning.
Trinn #1: Bestem modenhetsnivået til dine sårbarhetshåndteringsprosesser
Helt i begynnelsen må du forstå hvilket stadium organisasjonen din er på når det gjelder modenhet av sårbarhetshåndteringsprosesser. Først etter dette vil du kunne forstå hvor du skal flytte og hvilke skritt som må tas. Før organisasjoner tar fatt på skanninger og andre aktiviteter, må organisasjoner gjøre noe internt arbeid for å forstå hvordan dine nåværende prosesser er strukturert fra et IT- og informasjonssikkerhetsperspektiv.
Prøv å svare på grunnleggende spørsmål:
- Har du prosesser for inventar og aktivaklassifisering;
- Hvor regelmessig skannes IT-infrastrukturen og er hele infrastrukturen dekket, ser du hele bildet;
- Overvåkes IT-ressursene dine?
- Er noen KPIer implementert i dine prosesser og hvordan forstår du at de blir oppfylt;
- Er alle disse prosessene dokumentert?
Trinn 2: Sørg for full infrastrukturdekning
Du kan ikke beskytte det du ikke vet om. Hvis du ikke har et fullstendig bilde av hva IT-infrastrukturen din er laget av, vil du ikke kunne beskytte den. Moderne infrastruktur er kompleks og i stadig endring kvantitativt og kvalitativt.
Nå er IT-infrastrukturen ikke bare basert på en stabel med klassiske teknologier (arbeidsstasjoner, servere, virtuelle maskiner), men også på relativt nye - containere, mikrotjenester. Informasjonssikkerhetstjenesten stikker av fra sistnevnte på alle mulige måter, siden det er svært vanskelig for den å jobbe med dem ved å bruke eksisterende verktøysett, som hovedsakelig består av skannere. Problemet er at enhver skanner ikke kan dekke hele infrastrukturen. For at en skanner skal nå noen node i infrastrukturen, må flere faktorer sammenfalle. Eiendelen må være innenfor organisasjonens omkrets på tidspunktet for skanning. Skanneren må ha nettverkstilgang til eiendeler og deres kontoer for å kunne samle inn fullstendig informasjon.
I følge statistikken vår, når det gjelder mellomstore eller store organisasjoner, blir omtrent 15–20 % av infrastrukturen ikke fanget opp av skanneren av en eller annen grunn: eiendelen har beveget seg utenfor omkretsen eller dukker aldri opp på kontoret i det hele tatt. For eksempel en bærbar datamaskin til en ansatt som jobber eksternt, men som fortsatt har tilgang til bedriftsnettverket, eller eiendelen er plassert i eksterne skytjenester som Amazon. Og skanneren vil mest sannsynlig ikke vite noe om disse eiendelene, siden de er utenfor synlighetsområdet.
For å dekke hele infrastrukturen, må du bruke ikke bare skannere, men et helt sett med sensorer, inkludert passiv trafikklyttingsteknologi for å oppdage nye enheter i infrastrukturen din, agentdatainnsamlingsmetode for å motta informasjon – lar deg motta data på nettet, uten behovet for skanning, uten å fremheve legitimasjon.
Trinn #3: Kategoriser eiendeler
Ikke alle eiendeler er skapt like. Det er din jobb å bestemme hvilke eiendeler som er viktige og hvilke som ikke er det. Ingen verktøy, som en skanner, vil gjøre dette for deg. Ideelt sett jobber informasjonssikkerhet, IT og virksomhet sammen for å analysere infrastrukturen for å identifisere forretningskritiske systemer. For dem bestemmer de akseptable beregninger for tilgjengelighet, integritet, konfidensialitet, RTO/RPO, etc.
Dette vil hjelpe deg med å prioritere sårbarhetshåndteringsprosessen. Når spesialistene dine mottar data om sårbarheter, vil det ikke være et ark med tusenvis av sårbarheter på tvers av hele infrastrukturen, men detaljert informasjon som tar hensyn til systemenes kritikkverdighet.
Trinn #4: Gjennomfør en infrastrukturvurdering
Og først på det fjerde trinnet kommer vi til å vurdere infrastrukturen ut fra et sårbarhetssynspunkt. På dette stadiet anbefaler vi at du ikke bare tar hensyn til programvaresårbarheter, men også til konfigurasjonsfeil, som også kan være en sårbarhet. Her anbefaler vi agentmetoden for å samle informasjon. Skannere kan og bør brukes til å vurdere perimetersikkerhet. Hvis du bruker ressursene til skyleverandører, må du også samle informasjon om eiendeler og konfigurasjoner derfra. Vær spesielt oppmerksom på å analysere sårbarheter i infrastrukturer ved å bruke Docker-containere.
Trinn #5: Sett opp rapportering
Dette er et av de viktige elementene i sårbarhetshåndteringsprosessen.
Det første punktet: ingen vil jobbe med rapporter på flere sider med en tilfeldig liste over sårbarheter og beskrivelser av hvordan de kan elimineres. Først av alt må du kommunisere med kolleger og finne ut hva som skal stå i rapporten og hvordan det er mer praktisk for dem å motta data. Noen administratorer trenger for eksempel ikke en detaljert beskrivelse av sårbarheten og trenger bare informasjon om oppdateringen og en lenke til den. En annen spesialist bryr seg kun om sårbarheter som finnes i nettverksinfrastrukturen.
Andre punkt: Med rapportering mener jeg ikke bare papirrapporter. Dette er et utdatert format for å få informasjon og en statisk historie. En person mottar en rapport og kan ikke på noen måte påvirke hvordan dataene skal presenteres i denne rapporten. For å få rapporten i ønsket form, må IT-spesialisten kontakte informasjonssikkerhetsspesialisten og be han bygge rapporten på nytt. Etter hvert som tiden går, dukker det opp nye sårbarheter. I stedet for å skyve rapporter fra avdeling til avdeling, bør spesialister innen begge disipliner kunne overvåke dataene på nett og se det samme bildet. Derfor bruker vi i vår plattform dynamiske rapporter i form av tilpassbare dashboards.
Trinn #6: Prioriter
Her kan du gjøre følgende:
1. Lage et depot med gylne bilder av systemer. Arbeid med gylne bilder, sjekk dem for sårbarheter og riktig konfigurasjon fortløpende. Dette kan gjøres ved hjelp av agenter som automatisk rapporterer fremveksten av en ny ressurs og gir informasjon om sårbarhetene.
2. Fokuser på de eiendelene som er kritiske for virksomheten. Det er ikke en eneste organisasjon i verden som kan eliminere sårbarheter på en gang. Prosessen med å eliminere sårbarheter er lang og til og med kjedelig.
3. Innsnevring av angrepsflaten. Rens infrastrukturen for unødvendig programvare og tjenester, lukk unødvendige porter. Vi hadde nylig en sak med ett selskap der det ble funnet rundt 40 tusen sårbarheter på 100 tusen enheter relatert til den gamle versjonen av Mozilla-nettleseren. Som det viste seg senere, ble Mozilla introdusert i det gylne bildet for mange år siden, ingen bruker det, men det er kilden til et stort antall sårbarheter. Da nettleseren ble fjernet fra datamaskiner (det var til og med på enkelte servere), forsvant disse titusenvis av sårbarhetene.
4. Ranger sårbarheter basert på trusselintelligens. Vurder ikke bare det kritiske ved sårbarheten, men også tilstedeværelsen av en offentlig utnyttelse, skadelig programvare, oppdatering eller ekstern tilgang til systemet med sårbarheten. Vurder virkningen av dette sikkerhetsproblemet på kritiske forretningssystemer: kan det føre til tap av data, tjenestenekt osv.
Trinn #7: Bli enige om KPIer
Ikke skann for skanningens skyld. Hvis ingenting skjer med sårbarhetene som er funnet, blir denne skanningen til en ubrukelig operasjon. For å forhindre at arbeid med sårbarheter blir en formalitet, tenk på hvordan du vil evaluere resultatene. Informasjonssikkerhet og IT må bli enige om hvordan arbeidet med å eliminere sårbarheter skal struktureres, hvor ofte det skal utføres skanninger, installeres patcher mv.
På lysbildet ser du eksempler på mulige KPIer. Det er også en utvidet liste som vi anbefaler til våre kunder. Hvis du er interessert, vennligst kontakt meg, jeg vil dele denne informasjonen med deg.
Trinn #8: Automatiser
Tilbake til skanning igjen. I Qualys mener vi at skanning er det mest uviktige som kan skje i sårbarhetshåndteringsprosessen i dag, og at det først og fremst må automatiseres så mye som mulig slik at det utføres uten medvirkning fra en informasjonssikkerhetsspesialist. I dag er det mange verktøy som lar deg gjøre dette. Det er nok at de har et åpent API og det nødvendige antallet koblinger.
Eksemplet jeg liker å gi er DevOps. Hvis du implementerer en sårbarhetsskanner der, kan du ganske enkelt glemme DevOps. Med gamle teknologier, som er en klassisk skanner, vil du rett og slett ikke slippe inn i disse prosessene. Utviklere vil ikke vente på at du skanner og gir dem en flersidig, upraktisk rapport. Utviklere forventer at informasjon om sårbarheter vil komme inn i kodemonteringssystemene deres i form av feilinformasjon. Sikkerhet skal være sømløst innebygd i disse prosessene, og det skal bare være en funksjon som automatisk kalles opp av systemet som brukes av utviklerne dine.
Trinn #9: Fokuser på det essensielle
Fokuser på det som gir reell verdi til bedriften din. Skanninger kan være automatiske, rapporter kan også sendes automatisk.
Fokuser på å forbedre prosessene for å gjøre dem mer fleksible og praktiske for alle involverte. Fokuser på å sikre at sikkerhet er innebygd i alle kontrakter med dine motparter, som for eksempel utvikler webapplikasjoner for deg.
Hvis du trenger mer detaljert informasjon om hvordan du bygger en sårbarhetshåndteringsprosess i din bedrift, vennligst kontakt meg og mine kolleger. Jeg hjelper deg gjerne.
Kilde: www.habr.com