เรามีวันที่ 4 กรกฎาคมที่ยิ่งใหญ่ . วันนี้เรากำลังเผยแพร่บันทึกสุนทรพจน์ของ Andrey Novikov จาก Qualys เขาจะบอกคุณว่าคุณต้องดำเนินการขั้นตอนใดบ้างเพื่อสร้างเวิร์กโฟลว์การจัดการช่องโหว่ สปอยเลอร์: เราจะไปถึงจุดกึ่งกลางก่อนที่จะสแกนเท่านั้น
ขั้นตอนที่ #1: กำหนดระดับวุฒิภาวะของกระบวนการจัดการช่องโหว่ของคุณ
ในช่วงเริ่มต้น คุณต้องเข้าใจว่าองค์กรของคุณอยู่ในขั้นตอนใดในแง่ของความสมบูรณ์ของกระบวนการจัดการช่องโหว่ หลังจากนี้คุณจะสามารถเข้าใจได้ว่าควรย้ายไปที่ไหนและต้องดำเนินการขั้นตอนใด ก่อนที่จะเริ่มการสแกนและกิจกรรมอื่นๆ องค์กรจำเป็นต้องทำงานภายในบางอย่างเพื่อทำความเข้าใจว่ากระบวนการปัจจุบันของคุณมีโครงสร้างอย่างไรจากมุมมองด้านไอทีและความปลอดภัยของข้อมูล
พยายามตอบคำถามพื้นฐาน:
- คุณมีกระบวนการสำหรับการจัดประเภทสินค้าคงคลังและสินทรัพย์หรือไม่
- โครงสร้างพื้นฐานด้านไอทีมีการสแกนเป็นประจำเพียงใด และโครงสร้างพื้นฐานทั้งหมดครอบคลุมเพียงใด คุณเห็นภาพรวมทั้งหมดหรือไม่
- ทรัพยากรไอทีของคุณได้รับการตรวจสอบหรือไม่?
- มีการนำ KPI ไปใช้ในกระบวนการของคุณหรือไม่ และคุณเข้าใจได้อย่างไรว่าเป็นไปตามนั้น
- กระบวนการทั้งหมดนี้ได้รับการบันทึกไว้หรือไม่?
ขั้นตอนที่ #2: ตรวจสอบให้แน่ใจว่าโครงสร้างพื้นฐานครอบคลุมเต็มรูปแบบ
คุณไม่สามารถปกป้องสิ่งที่คุณไม่รู้ได้ หากคุณไม่มีภาพรวมว่าโครงสร้างพื้นฐานด้านไอทีของคุณประกอบด้วยอะไรบ้าง คุณจะไม่สามารถปกป้องโครงสร้างพื้นฐานดังกล่าวได้ โครงสร้างพื้นฐานสมัยใหม่มีความซับซ้อนและเปลี่ยนแปลงตลอดเวลาทั้งในเชิงปริมาณและเชิงคุณภาพ
ขณะนี้โครงสร้างพื้นฐานด้านไอทีไม่ได้ขึ้นอยู่กับเทคโนโลยีคลาสสิกเท่านั้น (เวิร์กสเตชัน เซิร์ฟเวอร์ เครื่องเสมือน) แต่ยังรวมถึงเทคโนโลยีที่ค่อนข้างใหม่ด้วย เช่น คอนเทนเนอร์ ไมโครเซอร์วิส บริการรักษาความปลอดภัยข้อมูลกำลังหนีจากบริการหลังในทุกวิถีทางเนื่องจากเป็นเรื่องยากมากที่จะทำงานร่วมกับพวกเขาโดยใช้ชุดเครื่องมือที่มีอยู่ซึ่งประกอบด้วยเครื่องสแกนเป็นหลัก ปัญหาคือสแกนเนอร์ไม่สามารถครอบคลุมโครงสร้างพื้นฐานทั้งหมดได้ เพื่อให้เครื่องสแกนเข้าถึงโหนดใดๆ ในโครงสร้างพื้นฐานได้ มีหลายปัจจัยที่ต้องเกิดขึ้นพร้อมกัน เนื้อหาจะต้องอยู่ภายในขอบเขตขององค์กรในขณะที่ทำการสแกน เครื่องสแกนจะต้องมีการเข้าถึงเครือข่ายไปยังทรัพย์สินและบัญชีเพื่อที่จะรวบรวมข้อมูลที่ครบถ้วน
ตามสถิติของเรา เมื่อพูดถึงองค์กรขนาดกลางหรือขนาดใหญ่ ประมาณ 15–20% ของโครงสร้างพื้นฐานไม่ได้ถูกสแกนเนอร์จับไว้ด้วยเหตุผลใดก็ตาม: สินทรัพย์เคลื่อนไปเกินขอบเขตหรือไม่เคยปรากฏในสำนักงานเลย ตัวอย่างเช่น แล็ปท็อปของพนักงานที่ทำงานจากระยะไกลแต่ยังคงสามารถเข้าถึงเครือข่ายองค์กรได้ หรือสินทรัพย์อยู่ในบริการคลาวด์ภายนอก เช่น Amazon และเครื่องสแกนมักจะไม่รู้อะไรเกี่ยวกับทรัพย์สินเหล่านี้เนื่องจากอยู่นอกเขตการมองเห็น
เพื่อให้ครอบคลุมโครงสร้างพื้นฐานทั้งหมด คุณไม่เพียงแต่จำเป็นต้องใช้เครื่องสแกนเท่านั้น แต่ต้องใช้เซ็นเซอร์ทั้งชุด รวมถึงเทคโนโลยีการฟังการรับส่งข้อมูลแบบพาสซีฟเพื่อตรวจจับอุปกรณ์ใหม่ในโครงสร้างพื้นฐานของคุณ วิธีการรวบรวมข้อมูลตัวแทนเพื่อรับข้อมูล - ช่วยให้คุณรับข้อมูลออนไลน์ได้โดยไม่ต้อง ความจำเป็นในการสแกนโดยไม่ต้องเน้นข้อมูลรับรอง
ขั้นตอนที่ #3: จัดหมวดหมู่สินทรัพย์
สินทรัพย์ทั้งหมดไม่ได้ถูกสร้างขึ้นเท่ากัน เป็นหน้าที่ของคุณในการพิจารณาว่าสินทรัพย์ใดมีความสำคัญและสิ่งใดไม่สำคัญ ไม่มีเครื่องมือใดเช่นสแกนเนอร์ที่จะทำสิ่งนี้ให้คุณได้ ตามหลักการแล้ว การรักษาความปลอดภัยของข้อมูล ไอที และธุรกิจจะทำงานร่วมกันเพื่อวิเคราะห์โครงสร้างพื้นฐานเพื่อระบุระบบที่มีความสำคัญต่อธุรกิจ สำหรับพวกเขา พวกเขากำหนดตัวชี้วัดที่ยอมรับได้สำหรับความพร้อมใช้งาน ความสมบูรณ์ การรักษาความลับ RTO/RPO ฯลฯ
สิ่งนี้จะช่วยให้คุณจัดลำดับความสำคัญของกระบวนการจัดการช่องโหว่ของคุณ เมื่อผู้เชี่ยวชาญของคุณได้รับข้อมูลเกี่ยวกับช่องโหว่ มันจะไม่ใช่เอกสารที่มีช่องโหว่หลายพันรายการในโครงสร้างพื้นฐานทั้งหมด แต่เป็นข้อมูลโดยละเอียดที่คำนึงถึงความสำคัญของระบบ
ขั้นตอนที่ #4: ดำเนินการประเมินโครงสร้างพื้นฐาน
และเฉพาะในขั้นตอนที่สี่เท่านั้นที่เราจะประเมินโครงสร้างพื้นฐานจากมุมมองของช่องโหว่ ในขั้นตอนนี้ เราขอแนะนำให้คุณใส่ใจไม่เฉพาะกับช่องโหว่ของซอฟต์แวร์เท่านั้น แต่ยังรวมถึงข้อผิดพลาดในการกำหนดค่าด้วย ซึ่งอาจเป็นช่องโหว่ได้เช่นกัน ที่นี่เราขอแนะนำวิธีการตัวแทนในการรวบรวมข้อมูล เครื่องสแกนสามารถและควรใช้เพื่อประเมินความปลอดภัยโดยรอบ หากคุณใช้ทรัพยากรของผู้ให้บริการคลาวด์ คุณจะต้องรวบรวมข้อมูลเกี่ยวกับสินทรัพย์และการกำหนดค่าจากที่นั่นด้วย ให้ความสนใจเป็นพิเศษกับการวิเคราะห์ช่องโหว่ในโครงสร้างพื้นฐานโดยใช้คอนเทนเนอร์ Docker
ขั้นตอนที่ #5: ตั้งค่าการรายงาน
นี่เป็นหนึ่งในองค์ประกอบสำคัญภายในกระบวนการจัดการช่องโหว่
ประเด็นแรก: จะไม่มีใครทำงานกับรายงานหลายหน้าพร้อมรายการช่องโหว่แบบสุ่มและคำอธิบายวิธีกำจัดช่องโหว่เหล่านี้ ก่อนอื่นคุณต้องสื่อสารกับเพื่อนร่วมงานและค้นหาสิ่งที่ควรอยู่ในรายงานและวิธีรับข้อมูลที่สะดวกยิ่งขึ้นสำหรับพวกเขา ตัวอย่างเช่น ผู้ดูแลระบบบางคนไม่ต้องการคำอธิบายโดยละเอียดเกี่ยวกับช่องโหว่ และต้องการเพียงข้อมูลเกี่ยวกับแพตช์และลิงก์ไปยังแพตช์เท่านั้น ผู้เชี่ยวชาญอีกคนสนใจเฉพาะช่องโหว่ที่พบในโครงสร้างพื้นฐานเครือข่ายเท่านั้น
ประเด็นที่สอง: โดยการรายงาน ฉันหมายถึงไม่ใช่แค่รายงานที่เป็นกระดาษเท่านั้น นี่เป็นรูปแบบที่ล้าสมัยในการรับข้อมูลและเรื่องราวแบบคงที่ บุคคลได้รับรายงานและไม่สามารถมีอิทธิพลต่อวิธีการนำเสนอข้อมูลในรายงานนี้ได้ในทางใดทางหนึ่ง หากต้องการรับรายงานในรูปแบบที่ต้องการ ผู้เชี่ยวชาญด้านไอทีจะต้องติดต่อผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและขอให้เขาสร้างรายงานใหม่ เมื่อเวลาผ่านไป ช่องโหว่ใหม่ก็ปรากฏขึ้น แทนที่จะส่งรายงานจากแผนกหนึ่งไปอีกแผนกหนึ่ง ผู้เชี่ยวชาญในทั้งสองสาขาวิชาควรสามารถตรวจสอบข้อมูลออนไลน์และเห็นภาพเดียวกันได้ ดังนั้นในแพลตฟอร์มของเรา เราจึงใช้รายงานแบบไดนามิกในรูปแบบของแดชบอร์ดที่ปรับแต่งได้
ขั้นตอนที่ #6: จัดลำดับความสำคัญ
ที่นี่คุณสามารถทำสิ่งต่อไปนี้:
1. การสร้างพื้นที่เก็บข้อมูลด้วยอิมเมจสีทองของระบบ ทำงานกับโกลเด้นอิมเมจ ตรวจสอบช่องโหว่และแก้ไขการกำหนดค่าอย่างต่อเนื่อง ซึ่งสามารถทำได้ด้วยความช่วยเหลือของตัวแทนที่จะรายงานการเกิดขึ้นของสินทรัพย์ใหม่โดยอัตโนมัติและให้ข้อมูลเกี่ยวกับช่องโหว่
2. มุ่งเน้นไปที่สินทรัพย์เหล่านั้นที่มีความสำคัญต่อธุรกิจ ไม่มีองค์กรใดในโลกที่สามารถกำจัดช่องโหว่ได้ในคราวเดียว กระบวนการกำจัดช่องโหว่นั้นยาวนานและน่าเบื่อด้วยซ้ำ
3. ปรับพื้นผิวการโจมตีให้แคบลง ทำความสะอาดโครงสร้างพื้นฐานของคุณด้วยซอฟต์แวร์และบริการที่ไม่จำเป็น ปิดพอร์ตที่ไม่จำเป็น เมื่อเร็ว ๆ นี้ เรามีกรณีของบริษัทแห่งหนึ่งซึ่งพบช่องโหว่ประมาณ 40 รายการที่เกี่ยวข้องกับเบราว์เซอร์ Mozilla เวอร์ชันเก่าบนอุปกรณ์ 100 เครื่อง เมื่อปรากฎในภายหลัง Mozilla ถูกนำเข้าสู่ภาพลักษณ์สีทองเมื่อหลายปีก่อนไม่มีใครใช้มัน แต่เป็นที่มาของช่องโหว่จำนวนมาก เมื่อเบราว์เซอร์ถูกลบออกจากคอมพิวเตอร์ (แม้แต่ในเซิร์ฟเวอร์บางแห่งด้วยซ้ำ) ช่องโหว่นับหมื่นเหล่านี้ก็หายไป
4. จัดอันดับช่องโหว่ตามข้อมูลภัยคุกคาม พิจารณาไม่เพียงแต่ความวิกฤตของช่องโหว่เท่านั้น แต่ยังรวมถึงการมีอยู่ของการแสวงหาผลประโยชน์สาธารณะ มัลแวร์ แพตช์ หรือการเข้าถึงระบบจากภายนอกที่มีช่องโหว่ด้วย ประเมินผลกระทบของช่องโหว่นี้ต่อระบบธุรกิจที่สำคัญ: สามารถนำไปสู่การสูญเสียข้อมูล การปฏิเสธการให้บริการ ฯลฯ
ขั้นตอนที่ #7: เห็นด้วยกับ KPI
อย่าสแกนเพื่อการสแกน หากไม่มีสิ่งใดเกิดขึ้นกับช่องโหว่ที่พบ การสแกนนี้จะกลายเป็นการดำเนินการที่ไม่มีประโยชน์ เพื่อป้องกันไม่ให้การทำงานกับจุดอ่อนกลายเป็นเรื่องปกติ ลองคิดว่าคุณจะประเมินผลลัพธ์ของมันอย่างไร ความปลอดภัยของข้อมูลและไอทีจะต้องตกลงเกี่ยวกับวิธีการจัดโครงสร้างงานเพื่อกำจัดช่องโหว่ ความถี่ในการสแกน การติดตั้งแพตช์ ฯลฯ
บนสไลด์ คุณจะเห็นตัวอย่างของ KPI ที่เป็นไปได้ นอกจากนี้ยังมีรายการเพิ่มเติมที่เราแนะนำให้แก่ลูกค้าของเรา หากคุณสนใจ โปรดติดต่อฉัน ฉันจะแบ่งปันข้อมูลนี้กับคุณ
ขั้นตอนที่ #8: อัตโนมัติ
กลับไปสแกนอีกครั้ง ที่ Qualys เราเชื่อว่าการสแกนเป็นสิ่งที่ไม่สำคัญที่สุดที่สามารถเกิดขึ้นได้ในกระบวนการจัดการช่องโหว่ในปัจจุบัน และอย่างแรกเลย การสแกนจะต้องเป็นอัตโนมัติให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อที่จะดำเนินการได้โดยไม่ต้องมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ปัจจุบันมีเครื่องมือมากมายที่ให้คุณทำเช่นนี้ได้ ก็เพียงพอแล้วที่จะมี API แบบเปิดและจำนวนตัวเชื่อมต่อที่ต้องการ
ตัวอย่างที่ฉันต้องการยกให้คือ DevOps หากคุณใช้เครื่องสแกนช่องโหว่ที่นั่น คุณก็สามารถลืม DevOps ได้เลย ด้วยเทคโนโลยีเก่าซึ่งเป็นเครื่องสแกนแบบคลาสสิก คุณจะไม่ได้รับอนุญาตให้เข้าสู่กระบวนการเหล่านี้ นักพัฒนาจะไม่รอให้คุณสแกนและจัดทำรายงานที่ไม่สะดวกหลายหน้าให้พวกเขา นักพัฒนาคาดหวังว่าข้อมูลเกี่ยวกับช่องโหว่จะเข้าสู่ระบบแอสเซมบลีของโค้ดในรูปแบบของข้อมูลข้อบกพร่อง การรักษาความปลอดภัยควรสร้างขึ้นในกระบวนการเหล่านี้ได้อย่างราบรื่น และควรเป็นคุณลักษณะที่ระบบเรียกใช้โดยอัตโนมัติโดยนักพัฒนาของคุณ
ขั้นตอนที่ #9: มุ่งเน้นไปที่สิ่งจำเป็น
มุ่งเน้นไปที่สิ่งที่นำมูลค่าที่แท้จริงมาสู่บริษัทของคุณ สแกนได้โดยอัตโนมัติ และยังสามารถส่งรายงานได้โดยอัตโนมัติอีกด้วย
มุ่งเน้นการปรับปรุงกระบวนการเพื่อให้มีความยืดหยุ่นและสะดวกยิ่งขึ้นสำหรับทุกคนที่เกี่ยวข้อง มุ่งเน้นที่การสร้างความมั่นใจว่ามีการรักษาความปลอดภัยในสัญญาทั้งหมดกับคู่สัญญาของคุณ ซึ่งพัฒนาแอปพลิเคชันเว็บสำหรับคุณ เป็นต้น
หากคุณต้องการข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการสร้างกระบวนการจัดการช่องโหว่ในบริษัทของคุณ โปรดติดต่อฉันและเพื่อนร่วมงานของฉัน ฉันยินดีที่จะช่วย
ที่มา: will.com