Imeli smo velik 4. julij . Danes objavljamo prepis govora Andreja Novikova iz Qualysa. Povedal vam bo, skozi katere korake morate iti, da zgradite potek dela za upravljanje ranljivosti. Spojler: pred skeniranjem bomo dosegli le polovico.
1. korak: Določite stopnjo zrelosti svojih procesov upravljanja ranljivosti
Na samem začetku morate razumeti, na kateri stopnji je vaša organizacija glede zrelosti procesov upravljanja ranljivosti. Šele po tem boste lahko razumeli, kam se premakniti in katere korake je treba sprejeti. Preden se lotijo skeniranja in drugih dejavnosti, morajo organizacije opraviti nekaj internega dela, da razumejo, kako so strukturirani vaši trenutni procesi z vidika IT in informacijske varnosti.
Poskusite odgovoriti na osnovna vprašanja:
- Ali imate postopke za popis in klasifikacijo sredstev;
- Kako redno se pregleduje IT infrastruktura in ali je pokrita celotna infrastruktura, ali vidite celotno sliko;
- Ali se spremljajo vaši viri IT?
- Ali so v vaše procese implementirani kakršni koli KPI-ji in kako razumete, da so izpolnjeni?
- Ali so vsi ti procesi dokumentirani?
2. korak: Zagotovite popolno pokritost infrastrukture
Ne moreš zaščititi tistega, česar ne veš. Če nimate popolne slike o tem, iz česa je sestavljena vaša IT infrastruktura, je ne boste mogli zaščititi. Sodobna infrastruktura je kompleksna in se nenehno kvantitativno in kakovostno spreminja.
Zdaj IT infrastruktura ne temelji le na nizu klasičnih tehnologij (delovne postaje, strežniki, virtualni stroji), ampak tudi na relativno novih - kontejnerjih, mikrostoritvah. Pred slednjimi služba za informacijsko varnost na vse načine beži, saj z obstoječimi nabori orodij, ki jih sestavljajo predvsem skenerji, zelo težko dela z njimi. Težava je v tem, da noben skener ne more pokriti celotne infrastrukture. Da skener doseže katero koli vozlišče v infrastrukturi, mora sovpadati več dejavnikov. Sredstvo mora biti v času skeniranja znotraj območja organizacije. Optični bralnik mora imeti omrežni dostop do sredstev in njihovih računov, da zbere popolne informacije.
Po naših statističnih podatkih, ko gre za srednje ali velike organizacije, približno 15–20 % infrastrukture ni zajeto s skenerjem iz enega ali drugega razloga: sredstvo se je premaknilo izven obsega ali se sploh nikoli ne pojavi v pisarni. Na primer prenosni računalnik zaposlenega, ki dela na daljavo, vendar ima še vedno dostop do omrežja podjetja, ali pa se sredstvo nahaja v zunanjih storitvah v oblaku, kot je Amazon. In skener najverjetneje ne bo vedel ničesar o teh sredstvih, saj so zunaj njegovega vidnega območja.
Če želite pokriti celotno infrastrukturo, morate uporabiti ne le optične bralnike, temveč celoten nabor senzorjev, vključno s tehnologijami za pasivno poslušanje prometa za zaznavanje novih naprav v vaši infrastrukturi, metodo zbiranja podatkov agentov za prejemanje informacij – omogoča vam prejemanje podatkov na spletu, brez potrebo po skeniranju, brez poudarjanja poverilnic.
3. korak: Kategorizirajte sredstva
Vsa sredstva niso ustvarjena enaka. Vaša naloga je, da ugotovite, katera sredstva so pomembna in katera ne. Nobeno orodje, kot je skener, tega ne bo storilo namesto vas. V idealnem primeru informacijska varnost, IT in podjetje sodelujejo pri analizi infrastrukture za prepoznavanje poslovno kritičnih sistemov. Zanje določijo sprejemljive metrike za razpoložljivost, celovitost, zaupnost, RTO/RPO itd.
To vam bo pomagalo pri določanju prioritet pri procesu upravljanja ranljivosti. Ko vaši strokovnjaki prejmejo podatke o ranljivostih, to ne bo list s tisoči ranljivosti v celotni infrastrukturi, temveč podrobne informacije ob upoštevanju kritičnosti sistemov.
4. korak: Izvedite oceno infrastrukture
In šele na četrtem koraku pridemo do ocene infrastrukture z vidika ranljivosti. Na tej stopnji priporočamo, da ste pozorni ne le na ranljivosti programske opreme, ampak tudi na konfiguracijske napake, ki so prav tako lahko ranljivost. Tukaj priporočamo agentsko metodo zbiranja informacij. Skenerji se lahko in morajo uporabljati za ocenjevanje varnosti perimetra. Če uporabljate vire ponudnikov v oblaku, morate od tam zbirati tudi informacije o sredstvih in konfiguracijah. Posebno pozornost posvetite analizi ranljivosti v infrastrukturah, ki uporabljajo vsebnike Docker.
5. korak: Nastavite poročanje
To je eden od pomembnih elementov v procesu upravljanja ranljivosti.
Prva točka: nihče ne bo delal z večstranskimi poročili z naključnim seznamom ranljivosti in opisi, kako jih odpraviti. Najprej morate komunicirati s kolegi in ugotoviti, kaj bi moralo biti v poročilu in kako jim je bolj priročno prejemati podatke. Na primer, nekateri skrbniki ne potrebujejo podrobnega opisa ranljivosti in potrebujejo le informacije o popravku in povezavo do njega. Drugi strokovnjak skrbi samo za ranljivosti, ki jih najdemo v omrežni infrastrukturi.
Druga točka: s poročanjem ne mislim le na papirna poročila. To je zastarel format za pridobivanje informacij in statična zgodba. Oseba prejme poročilo in na noben način ne more vplivati na to, kako bodo podatki v tem poročilu predstavljeni. Za pridobitev poročila v želeni obliki se mora informatik obrniti na strokovnjaka za informacijsko varnost in ga prositi, da ponovno sestavi poročilo. S časom se pojavljajo nove ranljivosti. Namesto potiskanja poročil od oddelka do oddelka bi morali imeti strokovnjaki obeh disciplin možnost spremljati podatke na spletu in videti isto sliko. Zato v naši platformi uporabljamo dinamična poročila v obliki prilagodljivih nadzornih plošč.
6. korak: Določite prednost
Tukaj lahko storite naslednje:
1. Ustvarjanje repozitorija z zlatimi slikami sistemov. Delajte z zlatimi slikami, jih preverjajte glede ranljivosti in sproti popravljajte konfiguracijo. To je mogoče storiti s pomočjo agentov, ki bodo samodejno poročali o pojavu novega sredstva in posredovali informacije o njegovih ranljivostih.
2. Osredotočite se na tista sredstva, ki so kritična za podjetje. Na svetu ni niti ene organizacije, ki bi lahko odpravila ranljivosti naenkrat. Postopek odpravljanja ranljivosti je dolgotrajen in celo dolgočasen.
3. Zoženje napadalne površine. Očistite svojo infrastrukturo nepotrebne programske opreme in storitev, zaprite nepotrebna vrata. Pred kratkim smo imeli primer z enim podjetjem, v katerem je bilo najdenih približno 40 tisoč ranljivosti na 100 tisoč napravah, povezanih s staro različico brskalnika Mozilla. Kot se je kasneje izkazalo, je bila Mozilla pred mnogimi leti predstavljena v zlati podobi, nihče je ne uporablja, vendar je vir velikega števila ranljivosti. Ko so brskalnik odstranili iz računalnikov (bil je celo na nekaterih strežnikih), je teh deset tisoč ranljivosti izginilo.
4. Razvrstite ranljivosti na podlagi podatkov o grožnjah. Ne upoštevajte samo kritičnosti ranljivosti, temveč tudi prisotnost javnega izkoriščanja, zlonamerne programske opreme, popravka ali zunanjega dostopa do sistema z ranljivostjo. Ocenite vpliv te ranljivosti na kritične poslovne sisteme: ali lahko povzroči izgubo podatkov, zavrnitev storitve itd.
7. korak: Dogovorite se o KPI-jih
Ne skenirajte zaradi skeniranja. Če se z najdenimi ranljivostmi ne zgodi nič, se to skeniranje spremeni v neuporabno operacijo. Da preprečite, da bi delo z ranljivostmi postalo formalnost, razmislite o tem, kako boste ovrednotili njegove rezultate. Informacijska varnost in IT se morata dogovoriti, kako bo strukturirano delo pri odpravljanju ranljivosti, kako pogosto se bodo izvajala skeniranja, nameščali popravki itd.
Na prosojnici vidite primere možnih KPI-jev. Obstaja tudi razširjen seznam, ki ga priporočamo našim strankam. Če te zanima me kontaktiraj, te podatke bom delil z vami.
Korak #8: Avtomatizirajte
Ponovno nazaj na skeniranje. V Qualysu menimo, da je skeniranje najbolj nepomembna stvar, ki se danes lahko zgodi v procesu upravljanja ranljivosti, in da ga je treba najprej čim bolj avtomatizirati, da se izvaja brez sodelovanja strokovnjaka za informacijsko varnost. Danes obstaja veliko orodij, ki vam to omogočajo. Dovolj je, da imajo odprt API in potrebno število priključkov.
Primer, ki ga rad dam, je DevOps. Če tam implementirate pregledovalnik ranljivosti, lahko preprosto pozabite na DevOps. S starimi tehnologijami, kar je klasični skener, v te procese preprosto ne boste smeli. Razvijalci ne bodo čakali, da jih pregledate in jim pošljete večstransko, neprijetno poročilo. Razvijalci pričakujejo, da bodo informacije o ranljivostih vstopile v njihove sisteme za sestavljanje kode v obliki informacij o hroščih. Varnost bi morala biti brezhibno vgrajena v te procese in bi morala biti samo funkcija, ki jo samodejno kliče sistem, ki ga uporabljajo vaši razvijalci.
9. korak: Osredotočite se na bistvo
Osredotočite se na tisto, kar vašemu podjetju prinaša pravo vrednost. Skeni so lahko samodejni, poročila se lahko pošiljajo tudi samodejno.
Osredotočite se na izboljšanje procesov, da bodo bolj prilagodljivi in priročni za vse vpletene. Osredotočite se na zagotavljanje, da je varnost vgrajena v vse pogodbe z vašimi nasprotnimi strankami, ki na primer za vas razvijajo spletne aplikacije.
Če potrebujete podrobnejše informacije o tem, kako zgraditi proces upravljanja ranljivosti v vašem podjetju, se obrnite name in moje sodelavce. z veseljem ti bom pomagal.
Vir: www.habr.com