Mieliśmy ważny 4 lipca . Dziś publikujemy zapis przemówienia Andrieja Nowikowa z Qualys. Powie Ci, jakie kroki musisz przejść, aby zbudować przepływ pracy zarządzania podatnościami. Spoiler: przed skanowaniem dotrzemy dopiero do połowy.
Krok 1: Określ poziom dojrzałości procesów zarządzania podatnościami
Już na samym początku musisz zrozumieć, na jakim etapie znajduje się Twoja organizacja, jeśli chodzi o dojrzałość procesów zarządzania podatnościami. Dopiero po tym będziesz w stanie zrozumieć, gdzie się przenieść i jakie kroki należy podjąć. Przed rozpoczęciem skanowania i innych działań organizacje muszą wykonać pewne prace wewnętrzne, aby zrozumieć strukturę bieżących procesów z punktu widzenia bezpieczeństwa IT i informacji.
Spróbuj odpowiedzieć na podstawowe pytania:
- Czy istnieją procesy klasyfikacji zapasów i aktywów;
- Jak regularnie skanowana jest infrastruktura IT i czy obejmuje ona całą infrastrukturę? Czy widzisz pełny obraz?
- Czy Twoje zasoby IT są monitorowane?
- Czy w Twoich procesach wdrożono jakieś KPI i jak rozumiesz, że są one realizowane?
- Czy wszystkie te procesy są udokumentowane?
Krok 2: Zapewnij pełne pokrycie infrastruktury
Nie możesz chronić czegoś, o czym nie wiesz. Jeśli nie masz pełnego obrazu tego, z czego zbudowana jest Twoja infrastruktura IT, nie będziesz w stanie jej chronić. Nowoczesna infrastruktura jest złożona i podlega ciągłym zmianom ilościowym i jakościowym.
Obecnie infrastruktura IT opiera się nie tylko na stosie klasycznych technologii (stacje robocze, serwery, maszyny wirtualne), ale także na stosunkowo nowych - kontenerach, mikroserwisach. Służba bezpieczeństwa informacji ucieka od tych ostatnich na wszelkie możliwe sposoby, gdyż bardzo trudno jest jej z nimi współpracować przy użyciu istniejących zestawów narzędzi, na które składają się głównie skanery. Problem w tym, że żaden skaner nie jest w stanie objąć całej infrastruktury. Aby skaner dotarł do dowolnego węzła infrastruktury, musi zbiegać się kilka czynników. W momencie skanowania zasób musi znajdować się w granicach organizacji. Aby zebrać pełne informacje, skaner musi mieć dostęp sieciowy do zasobów i ich kont.
Według naszych statystyk, jeśli chodzi o średnie i duże organizacje, około 15–20% infrastruktury nie jest przechwytywane przez skaner z tego czy innego powodu: zasób przesunął się poza obwód lub w ogóle nie pojawił się w biurze. Na przykład laptop pracownika, który pracuje zdalnie, ale nadal ma dostęp do sieci firmowej, lub zasób znajduje się w zewnętrznych usługach chmurowych, takich jak Amazon. Skaner najprawdopodobniej nie będzie wiedział nic o tych zasobach, ponieważ znajdują się one poza jego zasięgiem widoczności.
Aby objąć całą infrastrukturę, trzeba zastosować nie tylko skanery, ale cały zestaw czujników, w tym technologie pasywnego nasłuchiwania ruchu w celu wykrywania nowych urządzeń w Twojej infrastrukturze, sposób zbierania danych agenta w celu otrzymywania informacji - pozwala na otrzymywanie danych online, bez konieczność skanowania, bez podkreślania poświadczeń.
Krok 3: Kategoryzuj aktywa
Nie wszystkie aktywa są sobie równe. Twoim zadaniem jest określenie, które aktywa są ważne, a które nie. Żadne narzędzie, takie jak skaner, nie zrobi tego za Ciebie. W idealnym przypadku bezpieczeństwo informacji, działy IT i biznes współpracują przy analizie infrastruktury w celu identyfikacji systemów o znaczeniu krytycznym dla biznesu. Dla nich określają akceptowalne wskaźniki dostępności, integralności, poufności, RTO/RPO itp.
Pomoże Ci to ustalić priorytety procesu zarządzania podatnościami na zagrożenia. Gdy Twoi specjaliści otrzymają dane o podatnościach, nie będzie to arkusz z tysiącami podatności w całej infrastrukturze, ale szczegółowe informacje uwzględniające krytyczność systemów.
Krok #4: Przeprowadź ocenę infrastruktury
I dopiero w czwartym kroku dochodzimy do oceny infrastruktury pod kątem podatności. Na tym etapie zalecamy zwrócenie uwagi nie tylko na luki w oprogramowaniu, ale także na błędy konfiguracyjne, które również mogą stanowić lukę. Tutaj zalecamy agentową metodę zbierania informacji. Skanery mogą i powinny być wykorzystywane do oceny bezpieczeństwa obwodu. Jeśli korzystasz z zasobów dostawców usług chmurowych, to stamtąd też musisz zbierać informacje o zasobach i konfiguracjach. Zwróć szczególną uwagę na analizę podatności w infrastrukturze korzystającej z kontenerów Docker.
Krok 5: Skonfiguruj raportowanie
Jest to jeden z ważnych elementów procesu zarządzania podatnościami.
Punkt pierwszy: nikt nie będzie pracował z wielostronicowymi raportami z losową listą luk i opisami sposobów ich eliminacji. Przede wszystkim musisz porozumieć się ze współpracownikami i dowiedzieć się, co powinno znaleźć się w raporcie i jak wygodniej jest im otrzymywać dane. Na przykład niektórzy administratorzy nie potrzebują szczegółowego opisu luki, a jedynie informacji o łatce i linku do niej. Inny specjalista interesuje się jedynie lukami wykrytymi w infrastrukturze sieciowej.
Punkt drugi: przez raportowanie mam na myśli nie tylko raporty papierowe. To przestarzały format pozyskiwania informacji i statycznej historii. Osoba otrzymuje raport i nie ma żadnego wpływu na to, jak dane zostaną zaprezentowane w tym raporcie. Aby uzyskać raport w pożądanej formie, informatyk musi skontaktować się ze specjalistą ds. bezpieczeństwa informacji i poprosić go o przebudowanie raportu. W miarę upływu czasu pojawiają się nowe luki. Zamiast przesyłać raporty z działu do działu, specjaliści z obu dziedzin powinni mieć możliwość monitorowania danych online i widzieć ten sam obraz. Dlatego w naszej platformie wykorzystujemy raporty dynamiczne w formie konfigurowalnych dashboardów.
Krok 6: Ustal priorytety
Tutaj możesz wykonać następujące czynności:
1. Tworzenie repozytorium ze złotymi obrazami systemów. Pracuj ze złotymi obrazami, na bieżąco sprawdzaj je pod kątem podatności i prawidłowej konfiguracji. Można tego dokonać za pomocą agentów, którzy automatycznie zgłoszą pojawienie się nowego zasobu i przekażą informację o jego podatnościach.
2. Skoncentruj się na tych aktywach, które są krytyczne dla biznesu. Nie ma na świecie ani jednej organizacji, która byłaby w stanie wyeliminować luki za jednym razem. Proces eliminacji podatności jest długi i nawet żmudny.
3. Zawężenie powierzchni ataku. Oczyść swoją infrastrukturę ze niepotrzebnego oprogramowania i usług, zamknij niepotrzebne porty. Niedawno mieliśmy sprawę z jedną firmą, w której na 40 tysiącach urządzeń wykryto około 100 tysięcy luk związanych ze starą wersją przeglądarki Mozilla. Jak się później okazało, Mozilla została wprowadzona na złoty wizerunek wiele lat temu, nikt z niej nie korzysta, ale jest ona źródłem dużej liczby luk. Kiedy przeglądarka została usunięta z komputerów (była nawet na niektórych serwerach), te dziesiątki tysięcy luk zniknęły.
4. Oceń luki w zabezpieczeniach na podstawie informacji o zagrożeniach. Należy wziąć pod uwagę nie tylko krytyczność luki, ale także obecność publicznego exploita, złośliwego oprogramowania, łatki lub zewnętrznego dostępu do systemu zawierającego lukę. Oceń wpływ tej luki na krytyczne systemy biznesowe: czy może ona prowadzić do utraty danych, odmowy usługi itp.
Krok #7: Uzgodnij KPI
Nie skanuj dla samego skanowania. Jeśli ze znalezionymi lukami nic się nie stanie, skanowanie staje się bezużyteczną operacją. Aby praca z lukami nie stała się formalnością, zastanów się, jak ocenisz jej wyniki. Bezpieczeństwo informacji i dział IT muszą uzgodnić, w jaki sposób będą zorganizowane prace nad wyeliminowaniem luk, jak często będą przeprowadzane skanowania, instalowane będą poprawki itp.
Na slajdzie zobaczysz przykłady możliwych KPI. Istnieje również rozszerzona lista, którą polecamy naszym klientom. Jeżeli jesteś zainteresowany proszę o kontakt, podzielę się z Tobą tą informacją.
Krok 8: Zautomatyzuj
Ponownie wracam do skanowania. W Qualys wierzymy, że skanowanie to najmniej istotna rzecz, jaka może się dzisiaj wydarzyć w procesie zarządzania podatnościami i że przede wszystkim należy je maksymalnie zautomatyzować, aby odbywało się bez udziału specjalisty ds. bezpieczeństwa informacji. Obecnie istnieje wiele narzędzi, które pozwalają to zrobić. Wystarczy, że mają otwarte API i wymaganą ilość konektorów.
Przykładem, który lubię dawać, jest DevOps. Jeśli zaimplementujesz tam skaner podatności, możesz po prostu zapomnieć o DevOps. Przy starych technologiach, czyli klasycznym skanerze, po prostu nie zostaniesz dopuszczony do tych procesów. Programiści nie będą czekać, aż przeskanujesz i przekażesz im wielostronicowy, niewygodny raport. Programiści oczekują, że informacje o lukach dostaną się do ich systemów montażu kodu w postaci informacji o błędach. Bezpieczeństwo powinno być płynnie wbudowane w te procesy i powinno być po prostu funkcją automatycznie wywoływaną przez system używany przez programistów.
Krok #9: Skoncentruj się na sprawach zasadniczych
Skoncentruj się na tym, co wnosi prawdziwą wartość do Twojej firmy. Skanowanie może odbywać się automatycznie, raporty mogą być również wysyłane automatycznie.
Skoncentruj się na ulepszaniu procesów, aby uczynić je bardziej elastycznymi i wygodnymi dla wszystkich zaangażowanych. Skoncentruj się na zapewnieniu bezpieczeństwa we wszystkich umowach z Twoimi kontrahentami, którzy na przykład tworzą dla Ciebie aplikacje internetowe.
Jeśli potrzebujesz bardziej szczegółowych informacji jak zbudować proces zarządzania podatnościami w Twojej firmie, skontaktuj się ze mną i moimi współpracownikami. Chętnie pomogę.
Źródło: www.habr.com