Kishim një 4 korrik të madh . Sot po publikojmë një transkript të fjalimit të Andrey Novikov nga Qualys. Ai do t'ju tregojë se cilat hapa duhet të kaloni për të ndërtuar një rrjedhë pune të menaxhimit të cenueshmërisë. Spoiler: do të arrijmë vetëm në gjysmën e rrugës përpara skanimit.
Hapi #1: Përcaktoni nivelin e pjekurisë së proceseve tuaja të menaxhimit të cenueshmërisë
Që në fillim, ju duhet të kuptoni se në çfarë faze ndodhet organizata juaj për sa i përket pjekurisë së proceseve të saj të menaxhimit të cenueshmërisë. Vetëm pas kësaj do të jeni në gjendje të kuptoni se ku të lëvizni dhe çfarë hapash duhet të ndërmerren. Përpara se të nisin skanimet dhe aktivitetet e tjera, organizatat duhet të bëjnë disa punë të brendshme për të kuptuar se si proceset tuaja aktuale janë të strukturuara nga perspektiva e IT dhe sigurisë së informacionit.
Mundohuni t'u përgjigjeni pyetjeve themelore:
- A keni procese për inventarin dhe klasifikimin e aseteve;
- Sa rregullisht skanohet infrastruktura e TI-së dhe a mbulohet e gjithë infrastruktura, a e shihni pamjen e plotë;
- A monitorohen burimet tuaja të TI-së?
- A janë zbatuar ndonjë KPI në proceset tuaja dhe si e kuptoni se ato po përmbushen;
- A janë të dokumentuara të gjitha këto procese?
Hapi #2: Siguroni Mbulim të plotë të Infrastrukturës
Ju nuk mund të mbroni atë që nuk dini. Nëse nuk keni një pamje të plotë të asaj se nga është ndërtuar infrastruktura juaj e TI-së, nuk do të jeni në gjendje ta mbroni atë. Infrastruktura moderne është komplekse dhe vazhdimisht ndryshon në mënyrë sasiore dhe cilësore.
Tani infrastruktura e TI-së bazohet jo vetëm në një pirg teknologjish klasike (stacione pune, serverë, makina virtuale), por edhe në ato relativisht të reja - kontejnerë, mikroshërbime. Shërbimi i sigurisë së informacionit po i largohet në çdo mënyrë të mundshme këtyre të fundit, pasi është shumë e vështirë për të që të punojë me ta duke përdorur grupe mjetesh ekzistuese, të cilat përbëhen kryesisht nga skanerë. Problemi është se çdo skaner nuk mund të mbulojë të gjithë infrastrukturën. Në mënyrë që një skaner të arrijë çdo nyje në infrastrukturë, disa faktorë duhet të përkojnë. Aseti duhet të jetë brenda perimetrit të organizatës në momentin e skanimit. Skaneri duhet të ketë akses në rrjet në asetet dhe llogaritë e tyre në mënyrë që të mbledhë informacion të plotë.
Sipas statistikave tona, kur bëhet fjalë për organizata të mesme ose të mëdha, afërsisht 15–20% e infrastrukturës nuk kapet nga skaneri për një arsye ose një tjetër: aktivi ka kaluar përtej perimetrit ose nuk shfaqet fare në zyrë. Për shembull, një kompjuter portativ i një punonjësi që punon nga distanca, por ende ka akses në rrjetin e korporatës, ose aktivi ndodhet në shërbime të jashtme cloud si Amazon. Dhe skaneri, ka shumë të ngjarë, nuk do të dijë asgjë për këto asete, pasi ato janë jashtë gamës së tij të dukshmërisë.
Për të mbuluar të gjithë infrastrukturën, ju duhet të përdorni jo vetëm skanerë, por një grup të tërë sensorësh, duke përfshirë teknologjitë e dëgjimit pasiv të trafikut për të zbuluar pajisje të reja në infrastrukturën tuaj, metodën e mbledhjes së të dhënave të agjentëve për të marrë informacion - ju lejon të merrni të dhëna në internet, pa nevoja për skanim, pa theksuar kredencialet.
Hapi # 3: Kategorizoni asetet
Jo të gjitha pasuritë janë krijuar të barabarta. Është detyra juaj të përcaktoni se cilat asete janë të rëndësishme dhe cilat jo. Asnjë mjet, si një skaner, nuk do ta bëjë këtë për ju. Në mënyrë ideale, siguria e informacionit, IT dhe biznesi punojnë së bashku për të analizuar infrastrukturën për të identifikuar sistemet kritike për biznesin. Për ta, ata përcaktojnë metrika të pranueshme për disponueshmërinë, integritetin, konfidencialitetin, RTO/RPO, etj.
Kjo do t'ju ndihmojë t'i jepni përparësi procesit të menaxhimit të cenueshmërisë. Kur specialistët tuaj marrin të dhëna për dobësitë, nuk do të jetë një fletë me mijëra dobësi në të gjithë infrastrukturën, por informacion i grimcuar duke marrë parasysh kritikitetin e sistemeve.
Hapi # 4: Kryeni një Vlerësim të Infrastrukturës
Dhe vetëm në hapin e katërt arrijmë në vlerësimin e infrastrukturës nga pikëpamja e dobësive. Në këtë fazë, ju rekomandojmë t'i kushtoni vëmendje jo vetëm dobësive të softuerit, por edhe gabimeve të konfigurimit, të cilat gjithashtu mund të jenë një dobësi. Këtu ne rekomandojmë metodën e agjentit për mbledhjen e informacionit. Skanerët mund dhe duhet të përdoren për të vlerësuar sigurinë e perimetrit. Nëse përdorni burimet e ofruesve të reve kompjuterike, atëherë duhet gjithashtu të mbledhni informacione për asetet dhe konfigurimet nga atje. Kushtojini vëmendje të veçantë analizimit të dobësive në infrastrukturat që përdorin kontejnerët Docker.
Hapi # 5: Vendosni raportimin
Ky është një nga elementët e rëndësishëm brenda procesit të menaxhimit të cenueshmërisë.
Pika e parë: askush nuk do të punojë me raporte me shumë faqe me një listë të rastësishme dobësish dhe përshkrime se si t'i eliminoni ato. Para së gjithash, duhet të komunikoni me kolegët dhe të zbuloni se çfarë duhet të jetë në raport dhe si është më i përshtatshëm për ta që të marrin të dhëna. Për shembull, disa administratorë nuk kanë nevojë për një përshkrim të detajuar të cenueshmërisë dhe kanë nevojë vetëm për informacion në lidhje me patch-in dhe një lidhje me të. Një specialist tjetër kujdeset vetëm për dobësitë që gjenden në infrastrukturën e rrjetit.
Pika e dytë: me raportim nuk nënkuptoj vetëm raporte në letër. Ky është një format i vjetëruar për marrjen e informacionit dhe një histori statike. Një person merr një raport dhe nuk mund të ndikojë në asnjë mënyrë se si do të paraqiten të dhënat në këtë raport. Për të marrë raportin në formën e dëshiruar, specialisti i IT duhet të kontaktojë specialistin e sigurisë së informacionit dhe t'i kërkojë atij të rindërtojë raportin. Me kalimin e kohës, shfaqen dobësi të reja. Në vend që të shtyjnë raportet nga departamenti në departament, specialistët në të dy disiplinat duhet të jenë në gjendje të monitorojnë të dhënat në internet dhe të shohin të njëjtën pamje. Prandaj, në platformën tonë ne përdorim raporte dinamike në formën e tabelave të personalizueshme.
Hapi # 6: Prioritet
Këtu mund të bëni sa vijon:
1. Krijimi i një depoje me imazhe të arta të sistemeve. Punoni me imazhe të arta, kontrolloni ato për dobësi dhe korrigjoni konfigurimin në mënyrë të vazhdueshme. Kjo mund të bëhet me ndihmën e agjentëve që do të raportojnë automatikisht shfaqjen e një aseti të ri dhe do të japin informacion për dobësitë e tij.
2. Përqendrohuni në ato asete që janë kritike për biznesin. Nuk ka asnjë organizatë të vetme në botë që mund të eliminojë dobësitë me një lëvizje. Procesi i eliminimit të dobësive është i gjatë dhe madje i lodhshëm.
3. Ngushtimi i sipërfaqes së sulmit. Pastroni infrastrukturën tuaj nga programet dhe shërbimet e panevojshme, mbyllni portet e panevojshme. Së fundmi kemi pasur një rast me një kompani në të cilën janë gjetur rreth 40 mijë dobësi në 100 mijë pajisje që lidhen me versionin e vjetër të shfletuesit Mozilla. Siç doli më vonë, Mozilla u prezantua në imazhin e artë shumë vite më parë, askush nuk e përdor atë, por është burimi i një numri të madh dobësish. Kur shfletuesi u hoq nga kompjuterët (madje ishte në disa serverë), këto dhjetëra mijëra dobësi u zhdukën.
4. Renditni dobësitë bazuar në inteligjencën e kërcënimit. Merrni parasysh jo vetëm kritikën e cenueshmërisë, por edhe praninë e një shfrytëzimi publik, malware, patch ose akses të jashtëm në sistemin me cenueshmërinë. Vlerësoni ndikimin e kësaj dobësie në sistemet kritike të biznesit: a mund të çojë në humbje të të dhënave, mohim të shërbimit, etj.
Hapi # 7: Bini dakord për KPI
Mos skanoni për hir të skanimit. Nëse asgjë nuk ndodh me dobësitë e gjetura, atëherë ky skanim kthehet në një operacion të padobishëm. Për të parandaluar që puna me dobësitë të bëhet një formalitet, mendoni se si do t'i vlerësoni rezultatet e saj. Siguria e informacionit dhe TI duhet të bien dakord se si do të strukturohet puna për eliminimin e dobësive, sa shpesh do të kryhen skanimet, do të instalohen arnime, etj.
Në rrëshqitje shihni shembuj të KPI-ve të mundshme. Ekziston gjithashtu një listë e zgjeruar që ne ua rekomandojmë klientëve tanë. Nëse jeni të interesuar, ju lutem më kontaktoni, unë do ta ndaj këtë informacion me ju.
Hapi # 8: Automatizimi
Kthehu sërish te skanimi. Në Qualys, ne besojmë se skanimi është gjëja më e parëndësishme që mund të ndodhë sot në procesin e menaxhimit të cenueshmërisë dhe se para së gjithash ai duhet të automatizohet sa më shumë që të jetë e mundur, në mënyrë që të kryhet pa pjesëmarrjen e një specialisti të sigurisë së informacionit. Sot ka shumë mjete që ju lejojnë ta bëni këtë. Mjafton që ata të kenë një API të hapur dhe numrin e kërkuar të lidhësve.
Shembulli që më pëlqen të jap është DevOps. Nëse zbatoni një skaner dobësie atje, thjesht mund të harroni DevOps. Me teknologjitë e vjetra, që është një skaner klasik, thjesht nuk do të lejoheni në këto procese. Zhvilluesit nuk do të presin që ju të skanoni dhe t'u jepni atyre një raport të papërshtatshëm me shumë faqe. Zhvilluesit presin që informacioni rreth dobësive të hyjë në sistemet e tyre të montimit të kodit në formën e informacionit të gabimeve. Siguria duhet të ndërtohet pa probleme në këto procese dhe duhet të jetë thjesht një veçori që thirret automatikisht nga sistemi i përdorur nga zhvilluesit tuaj.
Hapi # 9: Përqendrohuni në gjërat thelbësore
Përqendrohuni në atë që sjell vlerë reale për kompaninë tuaj. Skanimet mund të jenë automatike, raportet gjithashtu mund të dërgohen automatikisht.
Përqendrohuni në përmirësimin e proceseve për t'i bërë ato më fleksibël dhe më të përshtatshëm për të gjithë të përfshirë. Përqendrohuni në sigurimin që siguria të jetë e integruar në të gjitha kontratat me palët tuaja, të cilët, për shembull, zhvillojnë aplikacione ueb për ju.
Nëse keni nevojë për informacion më të detajuar se si të ndërtoni një proces të menaxhimit të cenueshmërisë në kompaninë tuaj, ju lutemi më kontaktoni mua dhe kolegët e mi. Do të jem i lumtur të ndihmoj.
Burimi: www.habr.com