Mali sme veľký 4. júl . Dnes zverejňujeme prepis prejavu Andrey Novikov z Qualys. Povie vám, aké kroky musíte absolvovať, aby ste vytvorili pracovný postup správy zraniteľností. Spoiler: pred skenovaním sa dostaneme len do polovice.
Krok č. 1: Určite úroveň zrelosti vašich procesov riadenia zraniteľnosti
Na úplnom začiatku musíte pochopiť, v akom štádiu sa vaša organizácia nachádza z hľadiska zrelosti procesov riadenia zraniteľnosti. Až potom budete schopní pochopiť, kam sa pohnúť a aké kroky je potrebné podniknúť. Predtým, ako sa organizácie pustia do skenovania a iných činností, musia vykonať určitú internú prácu, aby pochopili, ako sú vaše súčasné procesy štruktúrované z hľadiska IT a informačnej bezpečnosti.
Skúste si odpovedať na základné otázky:
- Máte procesy na klasifikáciu zásob a majetku;
- Ako pravidelne sa kontroluje IT infraštruktúra a ako je pokrytá celá infraštruktúra, vidíte celkový obraz?
- Sú vaše IT zdroje monitorované?
- Sú nejaké KPI implementované vo vašich procesoch a ako chápete, že sa plnia?
- Sú všetky tieto procesy zdokumentované?
Krok č. 2: Zabezpečte úplné pokrytie infraštruktúry
Nemôžete chrániť to, o čom neviete. Ak nemáte úplný obraz o tom, z čoho pozostáva vaša IT infraštruktúra, nebudete ju môcť ochrániť. Moderná infraštruktúra je zložitá a neustále sa kvantitatívne a kvalitatívne mení.
V súčasnosti je IT infraštruktúra založená nielen na hromade klasických technológií (pracovné stanice, servery, virtuálne stroje), ale aj na relatívne nových – kontajneroch, mikroslužbách. Služba informačnej bezpečnosti pred nimi všemožne uteká, pretože je pre ňu veľmi ťažké s nimi pracovať pomocou existujúcich súprav nástrojov, ktoré pozostávajú najmä zo skenerov. Problémom je, že žiadny skener nedokáže pokryť celú infraštruktúru. Aby sa skener dostal do akéhokoľvek uzla v infraštruktúre, musí sa zhodovať niekoľko faktorov. Aktívum sa musí v čase skenovania nachádzať v rámci obvodu organizácie. Skener musí mať sieťový prístup k aktívam a ich účtom, aby mohol zhromažďovať úplné informácie.
Podľa našich štatistík, pokiaľ ide o stredné alebo veľké organizácie, približne 15–20 % infraštruktúry skener nezachytí z jedného alebo druhého dôvodu: aktívum sa presunulo za hranicu alebo sa v kancelárii vôbec neobjavilo. Napríklad notebook zamestnanca, ktorý pracuje na diaľku, no stále má prístup do podnikovej siete, alebo sa aktívum nachádza v externých cloudových službách, ako je Amazon. A skener s najväčšou pravdepodobnosťou nebude vedieť nič o týchto aktívach, pretože sú mimo jeho rozsahu viditeľnosti.
Aby ste pokryli celú infraštruktúru, musíte použiť nielen skenery, ale celú sadu senzorov vrátane technológií pasívneho počúvania premávky na detekciu nových zariadení vo vašej infraštruktúre, metódu zberu dát agentom na príjem informácií – umožňuje vám prijímať dáta online, bez potreba skenovania bez zvýraznenia poverení.
Krok č. 3: Kategorizácia aktív
Nie všetky aktíva sú vytvorené rovnako. Vašou úlohou je určiť, ktoré aktíva sú dôležité a ktoré nie. Žiadny nástroj, ako napríklad skener, to za vás neurobí. V ideálnom prípade informačná bezpečnosť, IT a obchod spolupracujú na analýze infraštruktúry s cieľom identifikovať kritické obchodné systémy. Určujú pre nich prijateľné metriky dostupnosti, integrity, dôvernosti, RTO/RPO atď.
Pomôže vám to uprednostniť proces riadenia zraniteľnosti. Keď vaši špecialisti dostanú údaje o zraniteľnostiach, nebude to hárok s tisíckami zraniteľností v celej infraštruktúre, ale podrobné informácie zohľadňujúce kritickosť systémov.
Krok č. 4: Vykonajte posúdenie infraštruktúry
A až v štvrtom kroku sa dostávame k posúdeniu infraštruktúry z pohľadu zraniteľnosti. V tejto fáze vám odporúčame venovať pozornosť nielen softvérovým zraniteľnostiam, ale aj chybám v konfigurácii, ktoré môžu byť tiež zraniteľnosťou. Tu odporúčame agentskú metódu zhromažďovania informácií. Skenery môžu a mali by sa používať na posúdenie bezpečnosti perimetra. Ak používate zdroje poskytovateľov cloudu, musíte odtiaľ zbierať aj informácie o aktívach a konfiguráciách. Venujte zvláštnu pozornosť analýze zraniteľností v infraštruktúrach pomocou kontajnerov Docker.
Krok č. 5: Nastavte prehľady
Toto je jeden z dôležitých prvkov v rámci procesu riadenia zraniteľnosti.
Prvý bod: nikto nebude pracovať s viacstránkovými správami s náhodným zoznamom zraniteľností a popisom, ako ich odstrániť. V prvom rade treba komunikovať s kolegami a zistiť, čo má byť v reporte a ako je pre nich pohodlnejšie dáta prijímať. Napríklad niektorý správca nepotrebuje podrobný popis zraniteľnosti a potrebuje iba informácie o oprave a odkaz na ňu. Iný špecialista sa stará len o slabé miesta nájdené v sieťovej infraštruktúre.
Druhý bod: hlásením myslím nielen papierové hlásenia. Toto je zastaraný formát na získavanie informácií a statického príbehu. Osoba dostane správu a nemôže žiadnym spôsobom ovplyvniť, ako budú údaje v tejto správe prezentované. Na získanie správy v požadovanej forme musí IT špecialista kontaktovať špecialistu na informačnú bezpečnosť a požiadať ho o prebudovanie správy. Ako čas plynie, objavujú sa nové zraniteľnosti. Namiesto posúvania správ z oddelenia na oddelenie by mali byť špecialisti v oboch disciplínach schopní sledovať údaje online a vidieť rovnaký obraz. Preto v našej platforme používame dynamické prehľady vo forme prispôsobiteľných dashboardov.
Krok #6: Stanovte si priority
Tu môžete vykonať nasledovné:
1. Vytvorenie úložiska so zlatými obrázkami systémov. Pracujte so zlatými obrázkami, kontrolujte ich zraniteľnosť a priebežne opravujte konfiguráciu. Dá sa to urobiť pomocou agentov, ktorí automaticky nahlásia vznik nového majetku a poskytnú informácie o jeho zraniteľnosti.
2. Zamerajte sa na aktíva, ktoré sú pre podnikanie kľúčové. Na svete neexistuje jediná organizácia, ktorá by dokázala odstrániť zraniteľné miesta naraz. Proces odstraňovania zraniteľností je dlhý a dokonca únavný.
3. Zúženie útočnej plochy. Vyčistite svoju infraštruktúru od nepotrebného softvéru a služieb, zatvorte nepotrebné porty. Nedávno sme mali s jednou spoločnosťou prípad, v ktorom sa na 40-tisíc zariadeniach našlo okolo 100 tisíc zraniteľností súvisiacich so starou verziou prehliadača Mozilla. Ako sa neskôr ukázalo, Mozilla bola zavedená do zlatého obrazu pred mnohými rokmi, nikto ju nepoužíva, ale je zdrojom veľkého množstva zraniteľností. Keď bol prehliadač odstránený z počítačov (bolo to dokonca na niektorých serveroch), tieto desaťtisíce zraniteľností zmizli.
4. Zoraďte zraniteľnosti na základe informácií o hrozbách. Zvážte nielen kritickosť zraniteľnosti, ale aj prítomnosť verejného exploitu, malvéru, opravy alebo externého prístupu k systému so zraniteľnosťou. Posúďte vplyv tejto zraniteľnosti na kritické podnikové systémy: môže viesť k strate údajov, odmietnutiu služby atď.
Krok #7: Dohodnite sa na KPI
Neskenujte kvôli skenovaniu. Ak sa s nájdenými zraniteľnosťami nič nestane, toto skenovanie sa zmení na zbytočnú operáciu. Aby sa práca so zraniteľnosťami nestala formalitou, zamyslite sa nad tým, ako budete hodnotiť jej výsledky. Informačná bezpečnosť a IT sa musia dohodnúť na tom, ako bude štruktúrovaná práca na odstránení zraniteľností, ako často sa budú vykonávať kontroly, budú sa inštalovať záplaty atď.
Na snímke vidíte príklady možných KPI. K dispozícii je tiež rozšírený zoznam, ktorý odporúčame našim klientom. V prípade záujmu ma prosím kontaktujte, podelím sa s vami o tieto informácie.
Krok #8: Automatizujte
Späť na skenovanie znova. V Qualys veríme, že skenovanie je to najdôležitejšie, čo sa dnes v procese riadenia zraniteľnosti môže stať, a že ho v prvom rade treba čo najviac zautomatizovať, aby sa vykonávalo bez účasti špecialistu na informačnú bezpečnosť. Dnes existuje veľa nástrojov, ktoré vám to umožňujú. Stačí, že majú otvorené API a potrebný počet konektorov.
Príklad, ktorý by som rád uviedol, je DevOps. Ak tam implementujete skener zraniteľnosti, na DevOps môžete jednoducho zabudnúť. So starými technológiami, čo je klasický skener, vás do týchto procesov jednoducho nepustia. Vývojári nebudú čakať, kým ich naskenujete a poskytnete im viacstranovú nepohodlnú správu. Vývojári očakávajú, že informácie o zraniteľnostiach sa dostanú do ich systémov zostavovania kódu vo forme informácií o chybách. Bezpečnosť by mala byť bez problémov zabudovaná do týchto procesov a mala by to byť len funkcia, ktorú automaticky volá systém používaný vašimi vývojármi.
Krok #9: Zamerajte sa na to podstatné
Zamerajte sa na to, čo vašej spoločnosti prináša skutočnú hodnotu. Skenovanie môže byť automatické, správy môžu byť tiež odosielané automaticky.
Zamerajte sa na zlepšovanie procesov, aby boli flexibilnejšie a pohodlnejšie pre všetkých zúčastnených. Zamerajte sa na to, aby bola bezpečnosť zabudovaná do všetkých zmlúv s vašimi protistranami, ktoré pre vás napríklad vyvíjajú webové aplikácie.
Ak potrebujete podrobnejšie informácie o tom, ako vybudovať proces riadenia zraniteľnosti vo vašej spoločnosti, kontaktujte ma a mojich kolegov. Rád pomôžem.
Zdroj: hab.com