எங்களுக்கு ஒரு பெரிய ஜூலை 4 இருந்தது . குவாலிஸிலிருந்து ஆண்ட்ரி நோவிகோவின் உரையின் டிரான்ஸ்கிரிப்டை இன்று வெளியிடுகிறோம். பாதிப்பு மேலாண்மை பணிப்பாய்வுகளை உருவாக்க நீங்கள் என்ன படிகளைச் செய்ய வேண்டும் என்பதை அவர் உங்களுக்குக் கூறுவார். ஸ்பாய்லர்: ஸ்கேன் செய்வதற்கு முன் பாதியை மட்டுமே அடைவோம்.
படி #1: உங்கள் பாதிப்பு மேலாண்மை செயல்முறைகளின் முதிர்வு நிலையைத் தீர்மானிக்கவும்
ஆரம்பத்தில், உங்கள் நிறுவனம் அதன் பாதிப்பு மேலாண்மை செயல்முறைகளின் முதிர்ச்சியின் அடிப்படையில் எந்த நிலையில் உள்ளது என்பதை நீங்கள் புரிந்து கொள்ள வேண்டும். இதற்குப் பிறகுதான் எங்கு செல்ல வேண்டும், என்ன நடவடிக்கைகள் எடுக்க வேண்டும் என்பதை நீங்கள் புரிந்து கொள்ள முடியும். ஸ்கேன் மற்றும் பிற செயல்பாடுகளைத் தொடங்குவதற்கு முன், உங்கள் தற்போதைய செயல்முறைகள் IT மற்றும் தகவல் பாதுகாப்புக் கண்ணோட்டத்தில் எவ்வாறு கட்டமைக்கப்பட்டுள்ளன என்பதைப் புரிந்துகொள்ள நிறுவனங்கள் சில உள் வேலைகளைச் செய்ய வேண்டும்.
அடிப்படை கேள்விகளுக்கு பதிலளிக்க முயற்சிக்கவும்:
- சரக்கு மற்றும் சொத்து வகைப்பாட்டிற்கான செயல்முறைகள் உங்களிடம் உள்ளதா;
- IT உள்கட்டமைப்பு எவ்வளவு தவறாமல் ஸ்கேன் செய்யப்படுகிறது மற்றும் முழு உள்கட்டமைப்பும் உள்ளடக்கப்பட்டுள்ளது, நீங்கள் முழு படத்தையும் பார்க்கிறீர்களா;
- உங்கள் தகவல் தொழில்நுட்ப வளங்கள் கண்காணிக்கப்படுகிறதா?
- உங்கள் செயல்முறைகளில் ஏதேனும் KPIகள் செயல்படுத்தப்பட்டுள்ளனவா மற்றும் அவை எவ்வாறு சந்திக்கப்படுகின்றன என்பதை நீங்கள் எவ்வாறு புரிந்துகொள்கிறீர்கள்;
- இந்த செயல்முறைகள் அனைத்தும் ஆவணப்படுத்தப்பட்டதா?
படி #2: முழு உள்கட்டமைப்பு கவரேஜை உறுதி செய்யவும்
உங்களுக்குத் தெரியாததைப் பாதுகாக்க முடியாது. உங்களின் IT உள்கட்டமைப்பு எதனால் ஆனது என்பது பற்றிய முழுமையான படம் உங்களிடம் இல்லையென்றால், உங்களால் அதைப் பாதுகாக்க முடியாது. நவீன உள்கட்டமைப்பு சிக்கலானது மற்றும் தொடர்ந்து அளவு மற்றும் தரம் மாறுகிறது.
இப்போது தகவல் தொழில்நுட்ப உள்கட்டமைப்பு கிளாசிக் தொழில்நுட்பங்களின் (பணிநிலையங்கள், சேவையகங்கள், மெய்நிகர் இயந்திரங்கள்) அடுக்கை மட்டும் அடிப்படையாகக் கொண்டது, ஆனால் ஒப்பீட்டளவில் புதியவை - கொள்கலன்கள், மைக்ரோ சர்வீஸ்கள். தகவல் பாதுகாப்பு சேவை பிந்தையவற்றிலிருந்து சாத்தியமான எல்லா வழிகளிலும் இயங்குகிறது, ஏனெனில் தற்போதுள்ள கருவித் தொகுப்புகளைப் பயன்படுத்தி அவர்களுடன் பணியாற்றுவது மிகவும் கடினம், இதில் முக்கியமாக ஸ்கேனர்கள் உள்ளன. பிரச்சனை என்னவென்றால், எந்த ஸ்கேனரும் முழு உள்கட்டமைப்பையும் மறைக்க முடியாது. ஒரு ஸ்கேனர் உள்கட்டமைப்பில் உள்ள எந்த முனையையும் அடைய, பல காரணிகள் ஒத்துப்போக வேண்டும். ஸ்கேன் செய்யும் போது சொத்து நிறுவனத்தின் எல்லைக்குள் இருக்க வேண்டும். முழுமையான தகவலைச் சேகரிக்க ஸ்கேனருக்கு சொத்துக்கள் மற்றும் அவற்றின் கணக்குகளுக்கான பிணைய அணுகல் இருக்க வேண்டும்.
எங்கள் புள்ளிவிவரங்களின்படி, நடுத்தர அல்லது பெரிய நிறுவனங்களுக்கு வரும்போது, ஏறக்குறைய 15-20% உள்கட்டமைப்பு ஒரு காரணத்திற்காக அல்லது இன்னொரு காரணத்திற்காக ஸ்கேனரால் கைப்பற்றப்படவில்லை: சொத்து சுற்றளவுக்கு அப்பால் நகர்ந்துள்ளது அல்லது அலுவலகத்தில் தோன்றவே இல்லை. எடுத்துக்காட்டாக, தொலைதூரத்தில் பணிபுரியும் பணியாளரின் மடிக்கணினி, ஆனால் கார்ப்பரேட் நெட்வொர்க்கிற்கு இன்னும் அணுகல் உள்ளது அல்லது அமேசான் போன்ற வெளிப்புற கிளவுட் சேவைகளில் சொத்து உள்ளது. ஸ்கேனர், பெரும்பாலும், இந்த சொத்துக்களைப் பற்றி எதுவும் தெரியாது, ஏனெனில் அவை அதன் தெரிவுநிலை மண்டலத்திற்கு வெளியே உள்ளன.
முழு உள்கட்டமைப்பையும் உள்ளடக்குவதற்கு, ஸ்கேனர்கள் மட்டுமின்றி, உங்கள் உள்கட்டமைப்பில் உள்ள புதிய சாதனங்களைக் கண்டறிய செயலற்ற ட்ராஃபிக் கேட்கும் தொழில்நுட்பங்கள், தகவலைப் பெற ஏஜென்ட் தரவு சேகரிப்பு முறை உள்ளிட்ட முழு சென்சார்களையும் பயன்படுத்த வேண்டும். நற்சான்றிதழ்களை முன்னிலைப்படுத்தாமல் ஸ்கேன் செய்ய வேண்டிய அவசியம்.
படி #3: சொத்துக்களை வகைப்படுத்தவும்
அனைத்து சொத்துகளும் சமமாக உருவாக்கப்படவில்லை. எந்தச் சொத்துக்கள் முக்கியமானவை, எது இல்லை என்பதைத் தீர்மானிப்பது உங்கள் வேலை. ஸ்கேனர் போன்ற எந்த கருவியும் உங்களுக்காக இதைச் செய்யாது. வெறுமனே, தகவல் பாதுகாப்பு, தகவல் தொழில்நுட்பம் மற்றும் வணிகம் ஆகியவை வணிக-முக்கிய அமைப்புகளை அடையாளம் காண உள்கட்டமைப்பை பகுப்பாய்வு செய்ய ஒன்றாக வேலை செய்கின்றன. அவர்களுக்கு, கிடைக்கும் தன்மை, ஒருமைப்பாடு, ரகசியத்தன்மை, ஆர்டிஓ/ஆர்பிஓ போன்றவற்றிற்கான ஏற்றுக்கொள்ளக்கூடிய அளவீடுகளை அவர்கள் தீர்மானிக்கிறார்கள்.
இது உங்கள் பாதிப்பு மேலாண்மை செயல்முறைக்கு முன்னுரிமை அளிக்க உதவும். உங்கள் வல்லுநர்கள் பாதிப்புகள் குறித்த தரவைப் பெறும்போது, அது முழு உள்கட்டமைப்பு முழுவதும் ஆயிரக்கணக்கான பாதிப்புகளைக் கொண்ட தாளாக இருக்காது, ஆனால் கணினிகளின் முக்கியத்துவத்தை கணக்கில் எடுத்துக் கொள்ளும் சிறுமணித் தகவல்.
படி #4: உள்கட்டமைப்பு மதிப்பீட்டை நடத்தவும்
மற்றும் நான்காவது படியில் மட்டுமே பாதிப்புகளின் பார்வையில் இருந்து உள்கட்டமைப்பை மதிப்பிடுவதற்கு வருகிறோம். இந்த கட்டத்தில், நீங்கள் மென்பொருள் பாதிப்புகளுக்கு மட்டும் கவனம் செலுத்த பரிந்துரைக்கிறோம், ஆனால் உள்ளமைவு பிழைகள், இது ஒரு பாதிப்பாக இருக்கலாம். தகவல்களைச் சேகரிக்கும் முகவர் முறையை இங்கே பரிந்துரைக்கிறோம். சுற்றளவு பாதுகாப்பை மதிப்பிட ஸ்கேனர்கள் பயன்படுத்தப்படலாம் மற்றும் பயன்படுத்தப்பட வேண்டும். நீங்கள் கிளவுட் வழங்குநர்களின் வளங்களைப் பயன்படுத்தினால், அங்கிருந்து சொத்துக்கள் மற்றும் உள்ளமைவுகள் பற்றிய தகவலையும் சேகரிக்க வேண்டும். டோக்கர் கொள்கலன்களைப் பயன்படுத்தி உள்கட்டமைப்புகளில் உள்ள பாதிப்புகளை பகுப்பாய்வு செய்வதில் சிறப்பு கவனம் செலுத்துங்கள்.
படி #5: அறிக்கையிடலை அமைக்கவும்
பாதிப்பு மேலாண்மை செயல்முறையின் முக்கியமான கூறுகளில் இதுவும் ஒன்றாகும்.
முதல் புள்ளி: பாதிப்புகளின் சீரற்ற பட்டியல் மற்றும் அவற்றை எவ்வாறு அகற்றுவது என்பதற்கான விளக்கங்களுடன் பல பக்க அறிக்கைகளுடன் யாரும் வேலை செய்ய மாட்டார்கள். முதலில், நீங்கள் சக ஊழியர்களுடன் தொடர்பு கொள்ள வேண்டும் மற்றும் அறிக்கையில் என்ன இருக்க வேண்டும் மற்றும் அவர்கள் தரவைப் பெறுவது எப்படி மிகவும் வசதியானது என்பதைக் கண்டறிய வேண்டும். எடுத்துக்காட்டாக, சில நிர்வாகிகளுக்கு பாதிப்பு பற்றிய விரிவான விளக்கம் தேவையில்லை மற்றும் பேட்ச் பற்றிய தகவல் மற்றும் அதற்கான இணைப்பு மட்டுமே தேவை. நெட்வொர்க் உள்கட்டமைப்பில் காணப்படும் பாதிப்புகள் பற்றி மட்டுமே மற்றொரு நிபுணர் அக்கறை காட்டுகிறார்.
இரண்டாவது புள்ளி: அறிக்கை செய்வது என்பது காகித அறிக்கைகள் மட்டுமல்ல. இது தகவல்களைப் பெறுவதற்கான காலாவதியான வடிவம் மற்றும் நிலையான கதை. ஒரு நபர் ஒரு அறிக்கையைப் பெறுகிறார், மேலும் இந்த அறிக்கையில் தரவு எவ்வாறு வழங்கப்படும் என்பதை எந்த வகையிலும் பாதிக்க முடியாது. விரும்பிய படிவத்தில் அறிக்கையைப் பெற, IT நிபுணர், தகவல் பாதுகாப்பு நிபுணரைத் தொடர்பு கொண்டு, அறிக்கையை மீண்டும் உருவாக்குமாறு அவரிடம் கேட்க வேண்டும். காலப்போக்கில், புதிய பாதிப்புகள் தோன்றும். துறையிலிருந்து துறைக்கு அறிக்கைகளைத் தள்ளுவதற்குப் பதிலாக, இரு துறைகளிலும் உள்ள வல்லுநர்கள் ஆன்லைனில் தரவைக் கண்காணிக்கவும் அதே படத்தைப் பார்க்கவும் முடியும். எனவே, எங்கள் தளத்தில் தனிப்பயனாக்கக்கூடிய டாஷ்போர்டுகளின் வடிவத்தில் மாறும் அறிக்கைகளைப் பயன்படுத்துகிறோம்.
படி #6: முன்னுரிமை
இங்கே நீங்கள் பின்வருவனவற்றைச் செய்யலாம்:
1. அமைப்புகளின் தங்கப் படங்களுடன் ஒரு களஞ்சியத்தை உருவாக்குதல். தங்கப் படங்களுடன் பணிபுரியவும், பாதிப்புகள் உள்ளதா என அவற்றைச் சரிபார்த்து, தொடர்ந்து உள்ளமைவைச் சரிசெய்யவும். புதிய சொத்தின் தோற்றத்தை தானாகவே தெரிவிக்கும் மற்றும் அதன் பாதிப்புகள் பற்றிய தகவலை வழங்கும் முகவர்களின் உதவியுடன் இதைச் செய்யலாம்.
2. வணிகத்திற்கு முக்கியமான சொத்துகளில் கவனம் செலுத்துங்கள். ஒரேயடியாக பாதிப்புகளை அகற்றும் ஒரு அமைப்பு கூட உலகில் இல்லை. பாதிப்புகளை நீக்கும் செயல்முறை நீண்டது மற்றும் கடினமானது.
3. தாக்குதல் மேற்பரப்பைக் குறைத்தல். தேவையற்ற மென்பொருள் மற்றும் சேவைகளில் இருந்து உங்கள் உள்கட்டமைப்பை சுத்தம் செய்யவும், தேவையற்ற போர்ட்களை மூடவும். Mozilla உலாவியின் பழைய பதிப்பு தொடர்பான சுமார் 40 பாதிப்புகள் 100 சாதனங்களில் கண்டறியப்பட்ட ஒரு நிறுவனத்துடன் சமீபத்தில் ஒரு வழக்கு இருந்தது. அது பின்னர் மாறியது போல், Mozilla பல ஆண்டுகளுக்கு முன்பு தங்கப் படத்தில் அறிமுகப்படுத்தப்பட்டது, யாரும் அதைப் பயன்படுத்துவதில்லை, ஆனால் இது அதிக எண்ணிக்கையிலான பாதிப்புகளுக்கு ஆதாரமாக உள்ளது. கணினிகளில் இருந்து உலாவி அகற்றப்பட்டபோது (சில சேவையகங்களில் கூட இருந்தது), இந்த பல்லாயிரக்கணக்கான பாதிப்புகள் மறைந்துவிட்டன.
4. அச்சுறுத்தல் நுண்ணறிவின் அடிப்படையில் பாதிப்புகளை வரிசைப்படுத்துங்கள். பாதிப்பின் முக்கியத்துவத்தை மட்டும் கருத்தில் கொள்ளாமல், பொதுச் சுரண்டல், மால்வேர், பேட்ச் அல்லது பாதிப்புடன் கணினிக்கான வெளிப்புற அணுகல் இருப்பதையும் கருத்தில் கொள்ளுங்கள். முக்கியமான வணிக அமைப்புகளில் இந்த பாதிப்பின் தாக்கத்தை மதிப்பிடவும்: இது தரவு இழப்பு, சேவை மறுப்பு போன்றவற்றுக்கு வழிவகுக்கும்.
படி #7: KPI களில் உடன்படுங்கள்
ஸ்கேன் செய்வதற்காக ஸ்கேன் செய்ய வேண்டாம். கண்டறியப்பட்ட பாதிப்புகளுக்கு எதுவும் நடக்கவில்லை என்றால், இந்த ஸ்கேனிங் பயனற்ற செயலாக மாறும். பாதிப்புகளுடன் பணிபுரிவது ஒரு சம்பிரதாயமாக மாறுவதைத் தடுக்க, அதன் முடிவுகளை நீங்கள் எவ்வாறு மதிப்பிடுவீர்கள் என்பதைப் பற்றி சிந்தியுங்கள். பாதிப்புகளை அகற்றுவதற்கான பணிகள் எவ்வாறு கட்டமைக்கப்படும், எவ்வளவு அடிக்கடி ஸ்கேன்கள் மேற்கொள்ளப்படும், பேட்ச்கள் நிறுவப்படும் போன்றவற்றை தகவல் பாதுகாப்பு மற்றும் தகவல் தொழில்நுட்பம் ஒப்புக்கொள்ள வேண்டும்.
ஸ்லைடில் சாத்தியமான KPIகளின் உதாரணங்களைக் காணலாம். எங்கள் வாடிக்கையாளர்களுக்கு நாங்கள் பரிந்துரைக்கும் ஒரு நீட்டிக்கப்பட்ட பட்டியல் உள்ளது. நீங்கள் ஆர்வமாக இருந்தால், தயவுசெய்து என்னை தொடர்பு கொள்ளவும், இந்த தகவலை உங்களுடன் பகிர்ந்து கொள்கிறேன்.
படி #8: தானியங்கு
மீண்டும் ஸ்கேனிங்கிற்குத் திரும்பு. Qualys இல், இன்று பாதிப்பு மேலாண்மை செயல்பாட்டில் ஸ்கேனிங் மிகவும் முக்கியமற்ற விஷயம் என்று நாங்கள் நம்புகிறோம், மேலும் முதலில் இது ஒரு தகவல் பாதுகாப்பு நிபுணரின் பங்கேற்பு இல்லாமல் செய்யப்படும் வகையில் முடிந்தவரை தானியக்கமாக்கப்பட வேண்டும். இன்று இதைச் செய்ய உங்களை அனுமதிக்கும் பல கருவிகள் உள்ளன. அவர்கள் திறந்த API மற்றும் தேவையான எண்ணிக்கையிலான இணைப்பிகளைக் கொண்டிருப்பது போதுமானது.
நான் கொடுக்க விரும்பும் உதாரணம் DevOps. நீங்கள் அங்கு ஒரு பாதிப்பு ஸ்கேனரை செயல்படுத்தினால், நீங்கள் DevOps பற்றி மறந்துவிடலாம். உன்னதமான ஸ்கேனரான பழைய தொழில்நுட்பங்களுடன், இந்த செயல்முறைகளில் நீங்கள் அனுமதிக்கப்பட மாட்டீர்கள். நீங்கள் ஸ்கேன் செய்து, பல பக்கங்களைக் கொண்ட, சிரமமான அறிக்கையை வழங்க, டெவலப்பர்கள் காத்திருக்க மாட்டார்கள். டெவலப்பர்கள், பாதிப்புகள் பற்றிய தகவல்கள், பிழைத் தகவல் வடிவில் தங்கள் குறியீடு அசெம்பிளி அமைப்புகளில் நுழையும் என்று எதிர்பார்க்கிறார்கள். இந்த செயல்முறைகளில் பாதுகாப்பு தடையின்றி கட்டமைக்கப்பட வேண்டும், மேலும் இது உங்கள் டெவலப்பர்கள் பயன்படுத்தும் அமைப்பால் தானாகவே அழைக்கப்படும் அம்சமாக இருக்க வேண்டும்.
படி #9: அத்தியாவசியங்களில் கவனம் செலுத்துங்கள்
உங்கள் நிறுவனத்திற்கு உண்மையான மதிப்பைக் கொண்டுவருவதில் கவனம் செலுத்துங்கள். ஸ்கேன்கள் தானாக இருக்கலாம், அறிக்கைகள் தானாக அனுப்பப்படலாம்.
செயல்முறைகளை மேம்படுத்துவதில் கவனம் செலுத்துங்கள், அவை மிகவும் நெகிழ்வானதாகவும் சம்பந்தப்பட்ட அனைவருக்கும் வசதியாகவும் இருக்கும். எடுத்துக்காட்டாக, உங்களுக்கான இணையப் பயன்பாடுகளை உருவாக்கும் உங்கள் எதிர் கட்சிகளுடனான அனைத்து ஒப்பந்தங்களிலும் பாதுகாப்பு கட்டமைக்கப்பட்டிருப்பதை உறுதி செய்வதில் கவனம் செலுத்துங்கள்.
உங்கள் நிறுவனத்தில் பாதிப்பு மேலாண்மை செயல்முறையை எவ்வாறு உருவாக்குவது என்பது பற்றிய விரிவான தகவல் தேவைப்பட்டால், என்னையும் எனது சக ஊழியர்களையும் தொடர்பு கொள்ளவும். உதவுவதில் மகிழ்ச்சி அடைவேன்.
ஆதாரம்: www.habr.com