Am avut un 4 iulie mare . Astăzi publicăm o transcriere a discursului lui Andrey Novikov de la Qualys. El vă va spune ce pași trebuie să parcurgeți pentru a construi un flux de lucru de gestionare a vulnerabilităților. Spoiler: vom ajunge doar la jumătatea drumului înainte de scanare.
Pasul #1: Determinați nivelul de maturitate al proceselor dvs. de gestionare a vulnerabilităților
La început, trebuie să înțelegeți în ce stadiu se află organizația dvs. în ceea ce privește maturitatea proceselor sale de management al vulnerabilităților. Abia după aceasta veți putea înțelege unde să vă mutați și ce pași trebuie luati. Înainte de a se lansa în scanări și alte activități, organizațiile trebuie să facă o muncă internă pentru a înțelege cum sunt structurate procesele dvs. curente din perspectiva securității IT și a informațiilor.
Încercați să răspundeți la întrebările de bază:
- Aveți procese pentru clasificarea stocurilor și a activelor;
- Cât de regulat este scanată infrastructura IT și este acoperită întreaga infrastructură, vedeți întreaga imagine?
- Sunt monitorizate resursele IT?
- Sunt KPI implementați în procesele dvs. și cum înțelegeți că sunt îndepliniți;
- Sunt toate aceste procese documentate?
Pasul 2: Asigurați-vă acoperirea completă a infrastructurii
Nu poți proteja ceea ce nu știi. Dacă nu aveți o imagine completă a infrastructurii dvs. IT, nu o veți putea proteja. Infrastructura modernă este complexă și se schimbă constant din punct de vedere cantitativ și calitativ.
Acum infrastructura IT se bazează nu doar pe un teanc de tehnologii clasice (stații de lucru, servere, mașini virtuale), ci și pe altele relativ noi - containere, microservicii. Serviciul de securitate a informațiilor fuge de acestea din urmă în toate modurile posibile, deoarece îi este foarte dificil să lucreze cu ele folosind seturile de instrumente existente, care constau în principal din scanere. Problema este că orice scaner nu poate acoperi întreaga infrastructură. Pentru ca un scaner să ajungă la orice nod din infrastructură, mai mulți factori trebuie să coincidă. Activul trebuie să se afle în perimetrul organizației în momentul scanării. Scanerul trebuie să aibă acces la rețea la active și la conturile acestora pentru a colecta informații complete.
Conform statisticilor noastre, atunci când vine vorba de organizații medii sau mari, aproximativ 15–20% din infrastructură nu este captată de scaner dintr-un motiv sau altul: activul a depășit perimetrul sau nu apare deloc în birou. De exemplu, un laptop al unui angajat care lucrează de la distanță, dar care încă are acces la rețeaua corporativă sau activul se află în servicii cloud externe, cum ar fi Amazon. Și scanerul, cel mai probabil, nu va ști nimic despre aceste active, deoarece se află în afara zonei sale de vizibilitate.
Pentru a acoperi întreaga infrastructură, trebuie să utilizați nu numai scanere, ci și un întreg set de senzori, inclusiv tehnologii de ascultare pasivă a traficului pentru a detecta noi dispozitive în infrastructura dvs., metoda de colectare a datelor agentului pentru a primi informații - vă permite să primiți date online, fără nevoia de scanare, fără a evidenția acreditările.
Pasul 3: Clasificați activele
Nu toate activele sunt create egale. Este treaba ta să stabilești care active sunt importante și care nu. Niciun instrument, cum ar fi un scaner, nu va face asta pentru tine. În mod ideal, securitatea informațiilor, IT și afaceri lucrează împreună pentru a analiza infrastructura pentru a identifica sistemele critice pentru afaceri. Pentru ei, ei determină metrici acceptabile pentru disponibilitate, integritate, confidențialitate, RTO/RPO etc.
Acest lucru vă va ajuta să prioritizați procesul de gestionare a vulnerabilităților. Când specialiștii dvs. primesc date despre vulnerabilități, nu va fi o foaie cu mii de vulnerabilități în întreaga infrastructură, ci informații granulare ținând cont de criticitatea sistemelor.
Pasul #4: Efectuați o evaluare a infrastructurii
Și abia la pasul al patrulea ajungem la evaluarea infrastructurii din punct de vedere al vulnerabilităților. În această etapă, vă recomandăm să acordați atenție nu numai vulnerabilităților software, ci și erorilor de configurare, care pot fi și o vulnerabilitate. Aici vă recomandăm metoda agentului de colectare a informațiilor. Scanerele pot și ar trebui folosite pentru a evalua securitatea perimetrului. Dacă utilizați resursele furnizorilor de cloud, atunci trebuie să colectați și informații despre active și configurații de acolo. Acordați o atenție deosebită analizării vulnerabilităților din infrastructurile care utilizează containere Docker.
Pasul 5: Configurați raportarea
Acesta este unul dintre elementele importante în cadrul procesului de management al vulnerabilităților.
Primul punct: nimeni nu va lucra cu rapoarte de mai multe pagini cu o listă aleatorie de vulnerabilități și descrieri despre cum să le elimine. În primul rând, trebuie să comunicați cu colegii și să aflați ce ar trebui să fie în raport și cum este mai convenabil pentru ei să primească date. De exemplu, un anumit administrator nu are nevoie de o descriere detaliată a vulnerabilității și are nevoie doar de informații despre patch și un link către acesta. Un alt specialist îi pasă doar de vulnerabilitățile găsite în infrastructura rețelei.
Al doilea punct: prin raportare mă refer nu numai la rapoartele pe hârtie. Acesta este un format învechit pentru obținerea de informații și o poveste statică. O persoană primește un raport și nu poate influența în niciun fel modul în care datele vor fi prezentate în acest raport. Pentru a obține raportul în forma dorită, specialistul IT trebuie să contacteze specialistul în securitatea informațiilor și să îi ceară să reconstruiască raportul. Pe măsură ce timpul trece, apar noi vulnerabilități. În loc să transmită rapoarte de la departament la departament, specialiștii din ambele discipline ar trebui să poată monitoriza datele online și să vadă aceeași imagine. Prin urmare, în platforma noastră folosim rapoarte dinamice sub formă de tablouri de bord personalizabile.
Pasul #6: Prioritizează
Aici puteți face următoarele:
1. Crearea unui depozit cu imagini aurii ale sistemelor. Lucrați cu imagini aurii, verificați-le pentru vulnerabilități și configurarea corectă în mod continuu. Acest lucru se poate face cu ajutorul agenților care vor raporta automat apariția unui nou activ și vor oferi informații despre vulnerabilitățile acestuia.
2. Concentrați-vă asupra acelor active care sunt esențiale pentru afacere. Nu există o singură organizație în lume care să poată elimina vulnerabilități dintr-o singură mișcare. Procesul de eliminare a vulnerabilităților este lung și chiar plictisitor.
3. Îngustarea suprafeței de atac. Curățați-vă infrastructura de software și servicii inutile, închideți porturile inutile. Am avut recent un caz cu o companie în care aproximativ 40 de mii de vulnerabilități legate de versiunea veche a browserului Mozilla au fost găsite pe 100 de mii de dispozitive. După cum s-a dovedit mai târziu, Mozilla a fost introdus în imaginea de aur cu mulți ani în urmă, nimeni nu o folosește, dar este sursa unui număr mare de vulnerabilități. Când browserul a fost eliminat de pe computere (a fost chiar și pe unele servere), aceste zeci de mii de vulnerabilități au dispărut.
4. Clasificați vulnerabilitățile pe baza informațiilor despre amenințări. Luați în considerare nu numai criticitatea vulnerabilității, ci și prezența unei exploatări publice, a unui malware, a unui patch sau a accesului extern la sistemul cu vulnerabilitatea. Evaluați impactul acestei vulnerabilități asupra sistemelor critice de afaceri: poate duce la pierderea de date, refuzarea serviciului etc.
Pasul 7: Acordați KPI-uri
Nu scanați de dragul scanării. Dacă nu se întâmplă nimic cu vulnerabilitățile găsite, atunci această scanare se transformă într-o operațiune inutilă. Pentru a preveni ca lucrul cu vulnerabilități să devină o formalitate, gândiți-vă la modul în care îi veți evalua rezultatele. Securitatea informației și IT-ul trebuie să convină asupra modului în care vor fi structurate lucrările de eliminare a vulnerabilităților, cât de des vor fi efectuate scanări, se vor instala patch-uri etc.
Pe diapozitiv vezi exemple de posibili KPI-uri. Există și o listă extinsă pe care o recomandăm clienților noștri. Dacă sunteți interesat, vă rugăm să mă contactați, vă voi împărtăși aceste informații.
Pasul #8: Automatizează
Din nou la scanare. La Qualys, credem că scanarea este cel mai neimportant lucru care se poate întâmpla astăzi în procesul de management al vulnerabilităților și că în primul rând trebuie să fie automatizată cât mai mult posibil, astfel încât să fie efectuată fără participarea unui specialist în securitatea informațiilor. Astăzi există multe instrumente care vă permit să faceți acest lucru. Este suficient să aibă un API deschis și numărul necesar de conectori.
Exemplul pe care îmi place să-l dau este DevOps. Dacă implementați un scanner de vulnerabilități acolo, puteți pur și simplu să uitați de DevOps. Cu tehnologiile vechi, care este un scaner clasic, pur și simplu nu veți avea voie să intrați în aceste procese. Dezvoltatorii nu vor aștepta ca dvs. să scanați și să le oferiți un raport incomod de mai multe pagini. Dezvoltatorii se așteaptă ca informațiile despre vulnerabilități să intre în sistemele lor de asamblare a codului sub formă de informații despre erori. Securitatea ar trebui să fie integrată perfect în aceste procese și ar trebui să fie doar o caracteristică care este apelată automat de sistemul utilizat de dezvoltatorii dvs.
Pasul #9: Concentrați-vă pe elementele esențiale
Concentrați-vă pe ceea ce aduce valoare reală companiei dvs. Scanările pot fi automate, rapoartele pot fi trimise și automat.
Concentrați-vă pe îmbunătățirea proceselor pentru a le face mai flexibile și mai convenabile pentru toți cei implicați. Concentrați-vă pe asigurarea faptului că securitatea este inclusă în toate contractele cu contrapărțile dvs., care, de exemplu, dezvoltă aplicații web pentru dvs.
Dacă aveți nevoie de informații mai detaliate despre cum să construiți un proces de gestionare a vulnerabilităților în compania dvs., vă rugăm să mă contactați pe mine și pe colegii mei. Voi fi bucuros să ajut.
Sursa: www.habr.com