Tivemos um grande 4 de julho . Hoje publicamos uma transcrição da fala de Andrey Novikov da Qualys. Ele lhe dirá quais etapas você precisa seguir para construir um fluxo de trabalho de gerenciamento de vulnerabilidades. Spoiler: chegaremos apenas na metade do caminho antes da digitalização.
Passo #1: Determine o nível de maturidade dos seus processos de gerenciamento de vulnerabilidades
Logo no início, você precisa entender em que estágio sua organização se encontra em termos de maturidade de seus processos de gerenciamento de vulnerabilidades. Só depois disso você conseguirá entender para onde se mover e quais passos precisam ser dados. Antes de embarcar em verificações e outras atividades, as organizações precisam fazer algum trabalho interno para entender como seus processos atuais estão estruturados do ponto de vista de TI e de segurança da informação.
Tente responder a perguntas básicas:
- Você possui processos de inventário e classificação de ativos;
- Com que regularidade a infraestrutura de TI é escaneada e toda a infraestrutura é coberta, você vê o quadro completo;
- Seus recursos de TI são monitorados?
- Existem KPIs implementados em seus processos e como você entende que eles estão sendo atendidos;
- Todos esses processos estão documentados?
Etapa 2: garantir cobertura total da infraestrutura
Você não pode proteger o que você não conhece. Se você não tiver uma visão completa da composição da sua infraestrutura de TI, não será capaz de protegê-la. A infraestrutura moderna é complexa e está em constante mudança quantitativa e qualitativa.
Agora, a infraestrutura de TI é baseada não apenas em uma pilha de tecnologias clássicas (estações de trabalho, servidores, máquinas virtuais), mas também em tecnologias relativamente novas - contêineres, microsserviços. O serviço de segurança da informação foge destes últimos de todas as formas possíveis, pois é muito difícil para ele trabalhar com eles utilizando os conjuntos de ferramentas existentes, que consistem principalmente em scanners. O problema é que nenhum scanner não consegue cobrir toda a infraestrutura. Para que um scanner alcance qualquer nó da infraestrutura, vários fatores devem coincidir. O ativo deve estar dentro do perímetro da organização no momento da verificação. O scanner deve ter acesso de rede aos ativos e suas contas para coletar informações completas.
De acordo com as nossas estatísticas, quando se trata de organizações de médio ou grande porte, aproximadamente 15 a 20% da infraestrutura não é capturada pelo scanner por um motivo ou outro: o ativo ultrapassou o perímetro ou nunca aparece no escritório. Por exemplo, um laptop de um funcionário que trabalha remotamente, mas ainda tem acesso à rede corporativa, ou o ativo está localizado em serviços de nuvem externos, como a Amazon. E o scanner provavelmente não saberá nada sobre esses ativos, pois eles estão fora do seu alcance de visibilidade.
Para cobrir toda a infraestrutura, você precisa usar não apenas scanners, mas todo um conjunto de sensores, incluindo tecnologias passivas de escuta de tráfego para detectar novos dispositivos em sua infraestrutura, método de coleta de dados do agente para receber informações - permite receber dados online, sem a necessidade de digitalização, sem destacar credenciais.
Etapa 3: categorizar ativos
Nem todos os ativos são criados iguais. É sua função determinar quais ativos são importantes e quais não são. Nenhuma ferramenta, como um scanner, fará isso por você. Idealmente, a segurança da informação, a TI e os negócios trabalham juntos para analisar a infraestrutura e identificar sistemas críticos para os negócios. Para eles, eles determinam métricas aceitáveis de disponibilidade, integridade, confidencialidade, RTO/RPO, etc.
Isso o ajudará a priorizar seu processo de gerenciamento de vulnerabilidades. Quando seus especialistas receberem dados sobre vulnerabilidades, não será uma planilha com milhares de vulnerabilidades em toda a infraestrutura, mas sim informações granulares levando em consideração a criticidade dos sistemas.
Passo #4: Conduza uma Avaliação de Infraestrutura
E só na quarta etapa é que chegamos à avaliação da infraestrutura do ponto de vista das vulnerabilidades. Nesta fase, recomendamos que você preste atenção não apenas às vulnerabilidades de software, mas também aos erros de configuração, que também podem ser uma vulnerabilidade. Aqui recomendamos o método do agente para coletar informações. Os scanners podem e devem ser usados para avaliar a segurança do perímetro. Se você usa recursos de provedores de nuvem, também precisa coletar informações sobre ativos e configurações deles. Preste atenção especial à análise de vulnerabilidades em infraestruturas usando contêineres Docker.
Etapa 5: configurar relatórios
Este é um dos elementos importantes do processo de gerenciamento de vulnerabilidades.
O primeiro ponto: ninguém trabalhará com relatórios de várias páginas com uma lista aleatória de vulnerabilidades e descrições de como eliminá-las. Em primeiro lugar, é necessário comunicar-se com os colegas e saber o que deve constar no relatório e como é mais conveniente para eles receberem os dados. Por exemplo, algum administrador não precisa de uma descrição detalhada da vulnerabilidade e precisa apenas de informações sobre o patch e um link para ele. Outro especialista se preocupa apenas com as vulnerabilidades encontradas na infraestrutura de rede.
Segundo ponto: por relatórios não me refiro apenas aos relatórios em papel. Este é um formato desatualizado para obtenção de informações e uma história estática. Uma pessoa recebe um relatório e não pode de forma alguma influenciar a forma como os dados serão apresentados neste relatório. Para obter o relatório no formato desejado, o especialista em TI deve entrar em contato com o especialista em segurança da informação e solicitar a reconstrução do relatório. Com o passar do tempo, novas vulnerabilidades aparecem. Em vez de enviar relatórios de departamento para departamento, os especialistas em ambas as disciplinas deveriam ser capazes de monitorar os dados on-line e ver a mesma imagem. Por isso, em nossa plataforma utilizamos relatórios dinâmicos em forma de dashboards customizáveis.
Etapa 6: Priorizar
Aqui você pode fazer o seguinte:
1. Criação de um repositório com imagens douradas de sistemas. Trabalhe com imagens douradas, verifique se há vulnerabilidades e corrija a configuração continuamente. Isso pode ser feito com a ajuda de agentes que reportarão automaticamente o surgimento de um novo ativo e fornecerão informações sobre suas vulnerabilidades.
2. Concentre-se nos ativos que são essenciais para o negócio. Não existe uma única organização no mundo que possa eliminar vulnerabilidades de uma só vez. O processo de eliminação de vulnerabilidades é longo e até tedioso.
3. Estreitar a superfície de ataque. Limpe sua infraestrutura de software e serviços desnecessários e feche portas desnecessárias. Recentemente tivemos um caso com uma empresa em que foram encontradas cerca de 40 mil vulnerabilidades em 100 mil dispositivos relacionados à versão antiga do navegador Mozilla. Como descobrimos mais tarde, o Mozilla foi introduzido na imagem de ouro há muitos anos, ninguém o usa, mas é a fonte de um grande número de vulnerabilidades. Quando o navegador foi removido dos computadores (até em alguns servidores), essas dezenas de milhares de vulnerabilidades desapareceram.
4. Classifique as vulnerabilidades com base na inteligência de ameaças. Considere não apenas a criticidade da vulnerabilidade, mas também a presença de exploração pública, malware, patch ou acesso externo ao sistema com a vulnerabilidade. Avalie o impacto desta vulnerabilidade em sistemas empresariais críticos: pode levar à perda de dados, negação de serviço, etc.
Etapa 7: chegar a um acordo sobre os KPIs
Não digitalize por digitalizar. Se nada acontecer com as vulnerabilidades encontradas, essa verificação se tornará uma operação inútil. Para evitar que trabalhar com vulnerabilidades se torne uma formalidade, pense em como você avaliará seus resultados. A segurança da informação e a TI devem concordar sobre como será estruturado o trabalho de eliminação de vulnerabilidades, com que frequência serão realizadas as verificações, os patches serão instalados, etc.
No slide você vê exemplos de possíveis KPIs. Existe também uma extensa lista que recomendamos aos nossos clientes. Se você estiver interessado, entre em contato comigo, compartilharei essas informações com você.
Etapa 8: Automatizar
Voltar para digitalizar novamente. Na Qualys, acreditamos que a varredura é a coisa mais sem importância que pode acontecer no processo de gerenciamento de vulnerabilidades hoje, e que antes de tudo ela precisa ser automatizada ao máximo para que seja realizada sem a participação de um especialista em segurança da informação. Hoje existem muitas ferramentas que permitem fazer isso. Basta que tenham uma API aberta e a quantidade necessária de conectores.
O exemplo que gosto de dar é o DevOps. Se você implementar um scanner de vulnerabilidades lá, poderá simplesmente esquecer o DevOps. Com tecnologias antigas, que é um scanner clássico, você simplesmente não terá permissão para entrar nesses processos. Os desenvolvedores não esperarão que você digitalize e forneça um relatório inconveniente de várias páginas. Os desenvolvedores esperam que as informações sobre vulnerabilidades entrem em seus sistemas de montagem de código na forma de informações sobre bugs. A segurança deve ser integrada perfeitamente a esses processos e deve ser apenas um recurso chamado automaticamente pelo sistema usado por seus desenvolvedores.
Passo #9: Concentre-se no Essencial
Concentre-se no que traz valor real para sua empresa. As verificações podem ser automáticas, os relatórios também podem ser enviados automaticamente.
Concentre-se em melhorar os processos para torná-los mais flexíveis e convenientes para todos os envolvidos. Concentre-se em garantir que a segurança esteja incorporada em todos os contratos com suas contrapartes, que, por exemplo, desenvolvem aplicações web para você.
Se precisar de informações mais detalhadas sobre como construir um processo de gerenciamento de vulnerabilidades em sua empresa, entre em contato comigo e com meus colegas. Ficarei feliz em ajudar.
Fonte: habr.com