Urang kungsi badag 4 Juli . Dinten ieu kami nyebarkeun transkrip pidato Andrey Novikov ti Qualys. Anjeunna bakal nyarioskeun ka anjeun léngkah-léngkah anu anjeun kedah laksanakeun pikeun ngawangun alur kerja manajemén kerentanan. Spoiler: urang ngan bakal ngahontal satengahna titik saméméh scanning.
Lengkah #1: Nangtukeun tingkat kematangan prosés manajemén kerentanan anjeun
Dina awalna, anjeun kedah ngartos naon tahapan organisasi anjeun dina hal kematangan prosés manajemén kerentananna. Ngan saatos ieu anjeun bakal tiasa ngartos dimana ngalih sareng léngkah naon anu kedah dilakukeun. Sateuacan ngamimitian scan sareng kagiatan sanés, organisasi kedah ngalakukeun sababaraha padamelan internal pikeun ngartos kumaha prosés anjeun ayeuna terstruktur tina sudut pandang IT sareng kaamanan inpormasi.
Coba ngajawab patarosan dasar:
- Naha anjeun gaduh prosés pikeun klasifikasi inventaris sareng aset;
- Kumaha rutin infrastruktur IT discan jeung sakabéh infrastruktur katutupan, anjeun ningali sakabeh gambar;
- Naha sumberdaya IT anjeun diawaskeun?
- Dupi aya KPIs dilaksanakeun dina prosés anjeun sarta kumaha anjeun ngartos yen aranjeunna keur patepung;
- Naha sadayana prosés ieu didokumentasikeun?
Lengkah #2: Mastikeun Cakupan Infrastruktur Pinuh
Anjeun teu tiasa ngajaga naon anu anjeun henteu terang. Upami anjeun henteu gaduh gambaran lengkep ngeunaan naon infrastruktur IT anjeun didamel, anjeun moal tiasa ngajagi éta. Infrastruktur modern kompleks sareng terus-terusan robih sacara kuantitatif sareng kualitatif.
Ayeuna infrastruktur IT dumasar henteu ngan dina tumpukan téknologi klasik (workstations, server, mesin virtual), tapi ogé dina rélatif anyar - wadahna, microservices. Ladenan kaamanan inpormasi ngajalankeun jauh ti anu terakhir dina sagala cara anu mungkin, sabab sesah pisan pikeun damel sareng aranjeunna nganggo set alat anu tos aya, anu utamina diwangun ku scanner. Masalahna nyaéta yén scanner henteu tiasa nutupan sadayana infrastruktur. Pikeun panyeken ngahontal titik mana waé dina prasarana, sababaraha faktor kedah pas. Aset kedah aya dina perimeter organisasi dina waktos scanning. Panyeken kedah gaduh aksés jaringan kana aset sareng akunna pikeun ngumpulkeun inpormasi lengkep.
Numutkeun statistik urang, lamun datang ka organisasi sedeng atawa badag, kurang leuwih 15-20% tina infrastruktur teu kawengku ku scanner pikeun hiji alesan atawa sejen: asset geus dipindahkeun saluareun perimeter atawa pernah muncul di kantor pisan. Salaku conto, laptop karyawan anu damel jarak jauh tapi masih gaduh aksés ka jaringan perusahaan, atanapi asetna aya dina jasa awan éksternal sapertos Amazon. Sareng scanner, paling dipikaresep, moal terang nanaon ngeunaan aset ieu, sabab aya di luar jangkauan pisibilitas na.
Pikeun nutupan sakabéh infrastruktur, Anjeun kudu make teu ukur scanner, tapi sakabeh set sensor, kaasup téhnologi déngékeun lalulintas pasip pikeun ngadeteksi alat anyar dina infrastruktur anjeun, metoda pendataan agén pikeun nampa informasi - ngidinan Anjeun pikeun nampa data online, tanpa kabutuhan scanning, tanpa nyorot Kapercayaan.
Lengkah #3: Katégorikeun Aset
Henteu sakabéh aset dijieun sarua. Tugas anjeun pikeun nangtukeun mana aset anu penting sareng mana anu henteu. Teu aya alat, sapertos scanner, anu bakal ngalakukeun ieu pikeun anjeun. Ideally, kaamanan informasi, IT jeung bisnis gawé bareng pikeun nganalisis infrastruktur pikeun ngaidentipikasi sistem bisnis-kritis. Pikeun aranjeunna, aranjeunna nangtukeun metrics ditarima pikeun kasadiaan, integritas, karusiahan, RTO / RPO, jsb.
Ieu bakal ngabantosan anjeun prioritas prosés manajemén kerentanan anjeun. Nalika spesialis anjeun nampi data ngeunaan kerentanan, éta moal janten lambaran anu ngandung rébuan kerentanan dina sakumna infrastruktur, tapi inpormasi granular anu merhatikeun kritisitas sistem.
Lengkah #4: Ngalaksanakeun Penilaian Infrastruktur
Sarta ngan dina hambalan kaopat urang datang ka assessing infrastruktur ti sudut pandang vulnerabilities. Dina tahap ieu, kami nyarankeun yén anjeun nengetan teu ngan ka vulnerabilities software, tapi ogé kasalahan konfigurasi, nu ogé bisa jadi kerentanan a. Di dieu kami nyarankeun metode agén pikeun ngumpulkeun inpormasi. Scanner tiasa sareng kedah dianggo pikeun meunteun kaamanan perimeter. Upami anjeun nganggo sumberdaya panyadia awan, maka anjeun ogé kedah ngumpulkeun inpormasi ngeunaan aset sareng konfigurasi ti dinya. Perhatosan khusus pikeun nganalisa kerentanan dina infrastruktur nganggo wadah Docker.
Lengkah #5: Nyetél ngalaporkeun
Ieu mangrupikeun salah sahiji elemen penting dina prosés manajemén kerentanan.
Titik kahiji: teu saurang ogé bakal bisa dipaké jeung laporan multi-halaman kalawan daptar acak tina kerentanan jeung déskripsi ngeunaan kumaha carana ngaleungitkeun aranjeunna. Anu mimiti, anjeun kedah komunikasi sareng kolega sareng terang naon anu kedah aya dina laporan sareng kumaha éta langkung gampang pikeun aranjeunna nampi data. Salaku conto, sababaraha pangurus henteu peryogi katerangan rinci ngeunaan kerentanan sareng ngan ukur peryogi inpormasi ngeunaan patch sareng tautan ka éta. Spesialis anu sanés ngan ukur paduli ngeunaan kerentanan anu aya dina infrastruktur jaringan.
Poin kadua: ku ngalaporkeun maksudna mah lain ukur laporan kertas. Ieu mangrupikeun format kuno pikeun kéngingkeun inpormasi sareng carita statik. Hiji jalma nampi laporan sareng teu tiasa mangaruhan kumaha data anu bakal dibere dina laporan ieu. Pikeun kéngingkeun laporan dina bentuk anu dipikahoyong, spesialis IT kedah ngahubungi spesialis kaamanan inpormasi sareng naroskeun anjeunna ngawangun deui laporan. Sapanjang waktos, kerentanan anyar muncul. Gantina ngadorong laporan ti departemen ka departemen, spesialis dina duanana disiplin kudu bisa ngawas data online tur tingal gambar sarua. Ku alatan éta, dina platform kami kami nganggo laporan dinamis dina bentuk dasbor customizable.
Lengkah #6: Prioritaskeun
Di dieu anjeun tiasa ngalakukeun ieu:
1. Nyieun gudang kalayan gambar emas tina sistem. Gawé sareng gambar emas, pariksa aranjeunna pikeun kerentanan sareng konfigurasi anu leres sacara terus-terusan. Ieu tiasa dilakukeun kalayan bantosan agén anu otomatis bakal ngalaporkeun mecenghulna aset énggal sareng masihan inpormasi ngeunaan kerentananna.
2. Fokus kana aset anu penting pikeun bisnis. Henteu aya organisasi tunggal di dunya anu tiasa ngaleungitkeun kerentanan dina hiji waktos. Prosés ngaleungitkeun vulnerabilities panjang malah tedious.
3. Narrowing beungeut serangan. Bersihkeun infrastruktur anjeun tina parangkat lunak sareng jasa anu teu perlu, tutup palabuhan anu teu perlu. Kami nembe ngagaduhan pasualan sareng hiji perusahaan dimana kira-kira 40 rébu kerentanan anu aya hubunganana sareng versi lami browser Mozilla kapanggih dina 100 rébu alat. Sakumaha anu kabuktian engké, Mozilla diwanohkeun kana gambar emas sababaraha taun ka pengker, teu aya anu nganggo éta, tapi éta sumber seueur kerentanan. Nalika browser dihapus tina komputer (malah dina sababaraha server), puluhan rébu kerentanan ieu ngaleungit.
4. Rengking vulnerabilities dumasar kana kecerdasan anceman. Pertimbangkeun henteu ngan ukur kritisitas kerentanan, tapi ogé ayana eksploitasi umum, malware, patch, atanapi aksés éksternal kana sistem anu aya kerentanan. Evaluasi dampak kerentanan ieu dina sistem bisnis kritis: naha éta tiasa nyababkeun leungitna data, panolakan jasa, jsb.
Lengkah #7: Satuju kana KPIs
Tong nyeken demi nyeken. Upami teu aya anu kajantenan kana kerentanan anu kapendak, maka scanning ieu janten operasi anu teu aya gunana. Pikeun nyegah damel sareng kerentanan janten formalitas, pikirkeun kumaha anjeun bakal meunteun hasilna. Kaamanan inpormasi sareng IT kedah satuju kumaha padamelan pikeun ngaleungitkeun kerentanan bakal terstruktur, sabaraha sering scan bakal dilaksanakeun, patch bakal dipasang, jsb.
Dina slide anjeun ningali conto kamungkinan KPI. Aya ogé daptar nambahan anu kami nyarankeun ka klien kami. Mun anjeun kabetot, mangga ngahubungan kuring, Kuring baris babagi informasi ieu sareng anjeun.
Lengkah # 8: Otomatis
Balik deui ka scanning. Di Qualys, kami yakin yén scanning mangrupikeun hal anu paling teu penting anu tiasa kajantenan dina prosés manajemén kerentanan ayeuna, sareng anu mimitina kedah otomatis sabisa-gancang supados dilaksanakeun tanpa partisipasi spesialis kaamanan inpormasi. Kiwari, aya seueur alat anu ngamungkinkeun anjeun ngalakukeun ieu. Cukup aranjeunna gaduh API kabuka sareng jumlah panyambungna anu diperyogikeun.
Conto anu kuring resep masihan nyaéta DevOps. Upami anjeun nerapkeun panyeken kerentanan di dinya, anjeun ngan saukur tiasa hilap ngeunaan DevOps. Kalayan téknologi kuno, anu mangrupikeun scanner klasik, anjeun moal tiasa diidinan kana prosés ieu. Pamekar moal ngadagoan anjeun nyeken sareng masihan aranjeunna laporan multi-halaman anu teu merenah. Pamekar ngarepkeun yén inpormasi ngeunaan kerentanan bakal asup kana sistem rakitan kode dina bentuk inpormasi bug. Kaamanan kedah diwangun sacara lancar dina prosés ieu, sareng éta ngan ukur janten fitur anu otomatis disebat ku sistem anu dianggo ku pamekar anjeun.
Lengkah # 9: Fokus kana kabutuhan poko
Fokus kana naon anu mawa nilai nyata pikeun perusahaan anjeun. Scan tiasa otomatis, laporan ogé tiasa dikirim sacara otomatis.
Fokus kana ningkatkeun prosés pikeun ngajantenkeun aranjeunna langkung fleksibel sareng merenah pikeun sadayana anu kalibet. Fokus pikeun mastikeun yén kaamanan diwangun dina sadaya kontrak sareng mitra anjeun, anu, contona, ngembangkeun aplikasi wéb pikeun anjeun.
Upami anjeun peryogi inpormasi anu langkung rinci ngeunaan cara ngawangun prosés manajemén kerentanan di perusahaan anjeun, mangga ngahubungi kuring sareng kolega kuring. Abdi badé ngabantosan.
sumber: www.habr.com