Tulikuwa na tarehe 4 Julai kubwa . Leo tunachapisha nakala ya hotuba ya Andrey Novikov kutoka Qualys. Atakuambia ni hatua gani unahitaji kupitia ili kuunda mtiririko wa usimamizi wa mazingira magumu. Mharibifu: tutafika tu nusu hatua kabla ya kuchanganua.
Hatua #1: Bainisha kiwango cha ukomavu cha michakato yako ya usimamizi wa athari
Mwanzoni kabisa, unahitaji kuelewa ni hatua gani shirika lako liko katika suala la ukomavu wa michakato yake ya usimamizi wa kuathirika. Tu baada ya hii utakuwa na uwezo wa kuelewa wapi kuhamia na hatua gani zinahitajika kuchukuliwa. Kabla ya kuanza ukaguzi na shughuli zingine, mashirika yanahitaji kufanya kazi ya ndani ili kuelewa jinsi michakato yako ya sasa inavyoundwa kutoka kwa mtazamo wa IT na usalama wa habari.
Jaribu kujibu maswali ya msingi:
- Je! una michakato ya hesabu na uainishaji wa mali;
- Je, miundombinu ya TEHAMA huchanganuliwa mara kwa mara na miundombinu yote inafunikwa, unaona picha nzima;
- Je, rasilimali zako za IT zinafuatiliwa?
- Je, KPIs zozote zinatekelezwa katika michakato yako na unaelewaje kuwa zinatimizwa;
- Je, taratibu hizi zote zimeandikwa?
Hatua #2: Hakikisha Ufikiaji Kamili wa Miundombinu
Huwezi kulinda usichokijua. Ikiwa huna picha kamili ya miundombinu yako ya TEHAMA imeundwa na nini, hutaweza kuilinda. Miundombinu ya kisasa ni ngumu na inabadilika kila wakati kwa kiwango na ubora.
Sasa miundombinu ya IT haitegemei tu safu ya teknolojia za hali ya juu (vituo vya kazi, seva, mashine za kawaida), lakini pia kwenye mpya - vyombo, huduma ndogo. Huduma ya usalama wa habari inakimbia mwisho kwa kila njia iwezekanavyo, kwa kuwa ni vigumu sana kufanya kazi nao kwa kutumia seti za zana zilizopo, ambazo zinajumuisha hasa scanners. Shida ni kwamba skana yoyote haiwezi kufunika miundombinu yote. Ili scanner kufikia node yoyote katika miundombinu, mambo kadhaa lazima sanjari. Kipengee lazima kiwe ndani ya eneo la shirika wakati wa kuchanganua. Kichanganuzi lazima kiwe na ufikiaji wa mtandao kwa mali na akaunti zao ili kukusanya taarifa kamili.
Kulingana na takwimu zetu, linapokuja suala la mashirika ya kati au kubwa, takriban 15-20% ya miundombinu haijachukuliwa na skana kwa sababu moja au nyingine: mali imehamia zaidi ya mzunguko au haionekani kamwe ofisini. Kwa mfano, kompyuta ya mkononi ya mfanyakazi ambaye anafanya kazi kwa mbali lakini bado anaweza kufikia mtandao wa shirika, au kipengee kinapatikana katika huduma za wingu za nje kama vile Amazon. Na scanner, uwezekano mkubwa, haitajua chochote kuhusu mali hizi, kwa kuwa ziko nje ya eneo lake la kujulikana.
Ili kufunika miundombinu yote, unahitaji kutumia si skana tu, bali pia seti nzima ya vihisi, ikiwa ni pamoja na teknolojia ya kusikiliza trafiki ili kugundua vifaa vipya kwenye miundombinu yako, njia ya kukusanya data ya wakala ili kupokea taarifa - hukuruhusu kupokea data mtandaoni, bila hitaji la skanning, bila kuangazia sifa.
Hatua #3: Panga Mali
Si mali zote zinaundwa sawa. Ni kazi yako kuamua ni mali gani ni muhimu na ambayo si muhimu. Hakuna zana, kama skana, itakufanyia hivi. Kimsingi, usalama wa habari, TEHAMA na biashara hufanya kazi pamoja kuchanganua miundombinu ili kutambua mifumo muhimu ya biashara. Kwao, huamua vipimo vinavyokubalika vya upatikanaji, uadilifu, usiri, RTO/RPO, n.k.
Hii itakusaidia kutanguliza mchakato wako wa usimamizi wa athari. Wataalamu wako wanapopokea data kuhusu udhaifu, haitakuwa laha iliyo na maelfu ya athari kwenye miundombinu yote, lakini taarifa ya punjepunje ikizingatia umuhimu wa mifumo.
Hatua #4: Fanya Tathmini ya Miundombinu
Na tu katika hatua ya nne tunakuja kutathmini miundombinu kutoka kwa mtazamo wa udhaifu. Katika hatua hii, tunapendekeza uzingatie sio tu udhaifu wa programu, lakini pia makosa ya usanidi, ambayo yanaweza pia kuwa hatarini. Hapa tunapendekeza mbinu ya wakala ya kukusanya taarifa. Vichanganuzi vinaweza na vinapaswa kutumiwa kutathmini usalama wa mzunguko. Ikiwa unatumia rasilimali za watoa huduma za wingu, basi unahitaji pia kukusanya taarifa juu ya mali na usanidi kutoka hapo. Zingatia sana kuchambua udhaifu katika miundombinu kwa kutumia vyombo vya Docker.
Hatua #5: Sanidi kuripoti
Hiki ni mojawapo ya vipengele muhimu katika mchakato wa usimamizi wa mazingira magumu.
Jambo la kwanza: hakuna mtu atafanya kazi na ripoti za kurasa nyingi zilizo na orodha isiyo ya kawaida ya udhaifu na maelezo ya jinsi ya kuziondoa. Kwanza kabisa, unahitaji kuwasiliana na wenzako na kujua nini kinapaswa kuwa katika ripoti na jinsi inavyofaa zaidi kwao kupokea data. Kwa mfano, msimamizi fulani hahitaji maelezo ya kina ya athari na anahitaji tu maelezo kuhusu kiraka na kiungo kwake. Mtaalamu mwingine anajali tu udhaifu unaopatikana katika miundombinu ya mtandao.
Jambo la pili: kwa kuripoti simaanishi tu ripoti za karatasi. Huu ni umbizo la kizamani la kupata taarifa na hadithi tuli. Mtu hupokea ripoti na hawezi kwa njia yoyote kushawishi jinsi data itawasilishwa katika ripoti hii. Ili kupata ripoti katika fomu inayotakiwa, mtaalamu wa IT lazima awasiliane na mtaalamu wa usalama wa habari na kumwomba kujenga upya ripoti hiyo. Kadiri muda unavyosonga, udhaifu mpya huonekana. Badala ya kusukuma ripoti kutoka idara hadi idara, wataalamu katika taaluma zote mbili wanapaswa kuwa na uwezo wa kufuatilia data mtandaoni na kuona picha sawa. Kwa hivyo, katika jukwaa letu tunatumia ripoti zinazobadilika kwa njia ya dashibodi zinazoweza kugeuzwa kukufaa.
Hatua #6: Weka kipaumbele
Hapa unaweza kufanya yafuatayo:
1. Kuunda hifadhi yenye picha za dhahabu za mifumo. Fanya kazi na picha za dhahabu, ziangalie kwa udhaifu na usanidi sahihi kwa msingi unaoendelea. Hili linaweza kufanywa kwa usaidizi wa mawakala ambao wataripoti kiotomatiki kuibuka kwa kipengee kipya na kutoa taarifa kuhusu udhaifu wake.
2. Zingatia zile mali ambazo ni muhimu kwa biashara. Hakuna shirika hata moja ulimwenguni ambalo linaweza kuondoa udhaifu kwa wakati mmoja. Mchakato wa kuondoa udhaifu ni mrefu na hata wa kuchosha.
3. Kupunguza uso wa mashambulizi. Safisha miundombinu yako ya programu na huduma zisizo za lazima, funga bandari zisizo za lazima. Hivi majuzi tulikuwa na kesi na kampuni moja ambayo karibu udhaifu elfu 40 unaohusiana na toleo la zamani la kivinjari cha Mozilla ulipatikana kwenye vifaa elfu 100. Kama ilivyotokea baadaye, Mozilla ilianzishwa katika picha ya dhahabu miaka mingi iliyopita, hakuna mtu anayeitumia, lakini ni chanzo cha idadi kubwa ya udhaifu. Wakati kivinjari kilipoondolewa kwenye kompyuta (ilikuwa hata kwenye seva zingine), makumi ya maelfu ya udhaifu huu ulitoweka.
4. Kiwango cha udhaifu kulingana na akili tishio. Zingatia sio tu umuhimu wa athari, lakini pia uwepo wa matumizi ya umma, programu hasidi, kiraka, au ufikiaji wa nje wa mfumo ulio na athari. Tathmini athari za athari hii kwenye mifumo muhimu ya biashara: inaweza kusababisha upotezaji wa data, kunyimwa huduma, n.k.
Hatua #7: Kubali kuhusu KPIs
Usichanganue kwa ajili ya kuchanganua. Ikiwa hakuna kinachotokea kwa udhaifu uliopatikana, basi skanning hii inageuka kuwa operesheni isiyo na maana. Ili kuzuia kufanya kazi na udhaifu kutoka kuwa utaratibu, fikiria jinsi utakavyotathmini matokeo yake. Usalama wa habari na IT lazima zikubaliane juu ya jinsi kazi ya kuondoa udhaifu itaundwa, mara ngapi scans itafanywa, viraka vitawekwa, nk.
Kwenye slaidi unaona mifano ya KPI zinazowezekana. Pia kuna orodha iliyopanuliwa ambayo tunapendekeza kwa wateja wetu. Ikiwa una nia, tafadhali wasiliana nami, nitashiriki habari hii na wewe.
Hatua #8: Otomatiki
Rudi kwenye kuchanganua tena. Katika Qualys, tunaamini kuwa kuchanganua ndilo jambo lisilo muhimu zaidi linaloweza kutokea katika mchakato wa usimamizi wa athari leo, na kwamba kwanza kabisa inahitaji kuendeshwa kiotomatiki iwezekanavyo ili itekelezwe bila ushiriki wa mtaalamu wa usalama wa habari. Leo kuna zana nyingi zinazokuwezesha kufanya hivyo. Inatosha kuwa wana API wazi na nambari inayotakiwa ya viunganisho.
Mfano ninaopenda kutoa ni DevOps. Ukitekeleza kichanganuzi cha hatari hapo, unaweza kusahau kuhusu DevOps. Kwa teknolojia za zamani, ambazo ni skana ya kawaida, hutaruhusiwa tu katika michakato hii. Wasanidi hawatakungoja uchanganue na uwape ripoti ya kurasa nyingi na isiyofaa. Wasanidi programu wanatarajia kuwa maelezo kuhusu udhaifu yataingia kwenye mifumo yao ya kuunganisha misimbo kwa njia ya maelezo ya hitilafu. Usalama unapaswa kujengwa kwa urahisi katika michakato hii, na inapaswa kuwa tu kipengele ambacho kinaitwa kiotomatiki na mfumo unaotumiwa na wasanidi wako.
Hatua #9: Zingatia Mambo Muhimu
Zingatia kile kinacholeta thamani halisi kwa kampuni yako. Uchanganuzi unaweza kuwa otomatiki, ripoti pia zinaweza kutumwa kiotomatiki.
Lenga katika kuboresha michakato ili kuifanya iwe rahisi kubadilika na kufaa kila mtu anayehusika. Lenga katika kuhakikisha kuwa usalama umejumuishwa katika mikataba yote na wenzako, ambao, kwa mfano, wanakuundia programu za wavuti.
Iwapo unahitaji maelezo zaidi kuhusu jinsi ya kuunda mchakato wa usimamizi wa uwezekano katika kampuni yako, tafadhali wasiliana nami na wafanyakazi wenzangu. Nitafurahi kusaidia.
Chanzo: mapenzi.com