Vi hade en stor 4 juli . Idag publicerar vi en utskrift av talet av Andrey Novikov från Qualys. Han kommer att berätta för dig vilka steg du behöver gå igenom för att bygga ett arbetsflöde för sårbarhetshantering. Spoiler: vi når bara halvvägs innan vi skannar.
Steg #1: Bestäm mognadsnivån för dina processer för sårbarhetshantering
Allra i början måste du förstå vilket stadium din organisation befinner sig i när det gäller mognad av dess processer för sårbarhetshantering. Först efter detta kommer du att kunna förstå var du ska flytta och vilka åtgärder som måste vidtas. Innan de påbörjar skanningar och andra aktiviteter måste organisationer göra en del internt arbete för att förstå hur dina nuvarande processer är uppbyggda ur ett IT- och informationssäkerhetsperspektiv.
Försök att svara på grundläggande frågor:
- Har du processer för inventering och tillgångsklassificering;
- Hur regelbundet skannas IT-infrastrukturen och täcks hela infrastrukturen, ser du hela bilden;
- Övervakas dina IT-resurser?
- Är några nyckeltal implementerade i dina processer och hur förstår du att de uppfylls;
- Är alla dessa processer dokumenterade?
Steg #2: Säkerställ fullständig infrastrukturtäckning
Du kan inte skydda det du inte vet om. Om du inte har en fullständig bild av vad din IT-infrastruktur är gjord av kommer du inte att kunna skydda den. Modern infrastruktur är komplex och förändras ständigt kvantitativt och kvalitativt.
Nu är IT-infrastrukturen baserad inte bara på en hög med klassiska teknologier (arbetsstationer, servrar, virtuella maskiner), utan också på relativt nya - behållare, mikrotjänster. Informationssäkerhetstjänsten springer ifrån de sistnämnda på alla möjliga sätt, eftersom det är mycket svårt för den att arbeta med dem med hjälp av befintliga verktygsuppsättningar, som huvudsakligen består av skannrar. Problemet är att vilken skanner som helst inte kan täcka hela infrastrukturen. För att en skanner ska nå någon nod i infrastrukturen måste flera faktorer sammanfalla. Tillgången måste vara inom organisationens omkrets vid tidpunkten för skanning. Skannern måste ha nätverksåtkomst till tillgångar och deras konton för att kunna samla in fullständig information.
Enligt vår statistik, när det gäller medelstora eller stora organisationer, fångas cirka 15–20 % av infrastrukturen inte upp av skannern av en eller annan anledning: tillgången har flyttats utanför omkretsen eller dyker aldrig upp på kontoret alls. Till exempel en bärbar dator av en anställd som arbetar på distans men fortfarande har tillgång till företagets nätverk, eller tillgången finns i externa molntjänster som Amazon. Och skannern kommer troligen inte att veta något om dessa tillgångar, eftersom de är utanför dess synlighetszon.
För att täcka hela infrastrukturen behöver du inte bara använda skannrar, utan en hel uppsättning sensorer, inklusive passiv trafiklyssningsteknik för att upptäcka nya enheter i din infrastruktur, agentdatainsamlingsmetod för att ta emot information - gör att du kan ta emot data online, utan behovet av skanning, utan att markera referenser.
Steg #3: Kategorisera tillgångar
Alla tillgångar skapas inte lika. Det är ditt jobb att avgöra vilka tillgångar som är viktiga och vilka som inte är det. Inget verktyg, som en skanner, kommer att göra detta åt dig. Helst arbetar informationssäkerhet, IT och affärer tillsammans för att analysera infrastrukturen för att identifiera affärskritiska system. För dem bestämmer de acceptabla mätvärden för tillgänglighet, integritet, konfidentialitet, RTO/RPO, etc.
Detta hjälper dig att prioritera din process för sårbarhetshantering. När dina specialister får data om sårbarheter kommer det inte att vara ett ark med tusentals sårbarheter över hela infrastrukturen, utan detaljerad information som tar hänsyn till systemens kriticitet.
Steg #4: Utför en infrastrukturutvärdering
Och först i det fjärde steget kommer vi till att bedöma infrastrukturen ur sårbarhetssynpunkt. I det här skedet rekommenderar vi att du inte bara uppmärksammar programvarans sårbarheter utan även konfigurationsfel, som också kan vara en sårbarhet. Här rekommenderar vi agentmetoden för att samla in information. Skannrar kan och bör användas för att bedöma perimetersäkerhet. Om du använder resurserna hos molnleverantörer måste du också samla in information om tillgångar och konfigurationer därifrån. Var särskilt uppmärksam på att analysera sårbarheter i infrastrukturer med hjälp av Docker-containrar.
Steg #5: Ställ in rapportering
Detta är en av de viktiga delarna i processen för sårbarhetshantering.
Den första punkten: ingen kommer att arbeta med flersidiga rapporter med en slumpmässig lista över sårbarheter och beskrivningar av hur man eliminerar dem. Först och främst måste du kommunicera med kollegor och ta reda på vad som ska stå i rapporten och hur det är bekvämare för dem att ta emot data. En del administratörer behöver till exempel inte en detaljerad beskrivning av sårbarheten och behöver bara information om patchen och en länk till den. En annan specialist bryr sig bara om sårbarheter som finns i nätverksinfrastrukturen.
Andra punkten: med rapportering menar jag inte bara pappersrapporter. Detta är ett föråldrat format för att få information och en statisk historia. En person får en rapport och kan inte på något sätt påverka hur uppgifterna kommer att presenteras i denna rapport. För att få rapporten i önskad form måste IT-specialisten kontakta informationssäkerhetsspecialisten och be denne bygga om rapporten. Allt eftersom tiden går dyker nya sårbarheter upp. Istället för att driva rapporter från avdelning till avdelning borde specialister inom båda disciplinerna kunna övervaka data online och se samma bild. Därför använder vi i vår plattform dynamiska rapporter i form av anpassningsbara dashboards.
Steg #6: Prioritera
Här kan du göra följande:
1. Skapa ett arkiv med gyllene bilder av system. Arbeta med gyllene bilder, kontrollera dem för sårbarheter och korrekt konfiguration löpande. Detta kan göras med hjälp av agenter som automatiskt rapporterar uppkomsten av en ny tillgång och ger information om dess sårbarheter.
2. Fokusera på de tillgångar som är kritiska för verksamheten. Det finns inte en enda organisation i världen som kan eliminera sårbarheter på en gång. Processen att eliminera sårbarheter är lång och till och med tråkig.
3. Minskning av attackytan. Rensa din infrastruktur från onödig programvara och tjänster, stäng onödiga portar. Vi hade nyligen ett fall med ett företag där cirka 40 tusen sårbarheter relaterade till den gamla versionen av Mozilla-webbläsaren hittades på 100 tusen enheter. Som det visade sig senare introducerades Mozilla i den gyllene bilden för många år sedan, ingen använder den, men det är källan till ett stort antal sårbarheter. När webbläsaren togs bort från datorer (det var till och med på vissa servrar) försvann dessa tiotusentals sårbarheter.
4. Rangordna sårbarheter baserat på hotintelligens. Tänk inte bara på hur kritiskt sårbarheten är, utan även förekomsten av en offentlig exploatering, skadlig kod, patch eller extern åtkomst till systemet med sårbarheten. Bedöm effekten av denna sårbarhet på kritiska affärssystem: kan det leda till dataförlust, överbelastning av tjänster, etc.
Steg #7: Kom överens om nyckeltal
Skanna inte för att skanna. Om inget händer med de upptäckta sårbarheterna, förvandlas denna genomsökning till en värdelös operation. För att förhindra att arbetet med sårbarheter blir en formalitet, fundera på hur du kommer att utvärdera dess resultat. Informationssäkerhet och IT ska komma överens om hur arbetet med att eliminera sårbarheter ska struktureras, hur ofta skanningar ska utföras, patchar installeras mm.
På bilden ser du exempel på möjliga KPI:er. Det finns också en utökad lista som vi rekommenderar till våra kunder. Om du är intresserad, vänligen kontakta mig, jag delar denna information med dig.
Steg #8: Automatisera
Tillbaka till skanning igen. På Qualys anser vi att scanning är det mest oviktiga som kan hända i sårbarhetshanteringsprocessen idag och att det först och främst behöver automatiseras så mycket som möjligt så att det utförs utan medverkan av en informationssäkerhetsspecialist. Idag finns det många verktyg som låter dig göra detta. Det räcker att de har ett öppet API och det antal kontakter som krävs.
Exemplet jag gillar att ge är DevOps. Om du implementerar en sårbarhetsskanner där kan du helt enkelt glömma bort DevOps. Med gammal teknik, som är en klassisk skanner, kommer du helt enkelt inte att släppas in i dessa processer. Utvecklare väntar inte på att du ska skanna och ge dem en flersidig, obekväm rapport. Utvecklare förväntar sig att information om sårbarheter kommer in i deras kodmontagesystem i form av bugginformation. Säkerhet bör vara sömlöst inbyggd i dessa processer, och det bör bara vara en funktion som automatiskt anropas av systemet som används av dina utvecklare.
Steg #9: Fokusera på det väsentliga
Fokusera på det som ger verkligt värde för ditt företag. Skanningar kan vara automatiska, rapporter kan också skickas automatiskt.
Fokusera på att förbättra processer för att göra dem mer flexibla och bekväma för alla inblandade. Fokusera på att säkerställa att säkerheten är inbyggd i alla kontrakt med dina motparter, som till exempel utvecklar webbapplikationer åt dig.
Om du behöver mer detaljerad information om hur du bygger upp en sårbarhetshanteringsprocess i ditt företag, vänligen kontakta mig och mina kollegor. Jag hjälper gärna till.
Källa: will.com