Nagkaroon kami ng malaking ika-4 ng Hulyo . Ngayon ay naglalathala kami ng isang transcript ng talumpati ni Andrey Novikov mula sa Qualys. Sasabihin niya sa iyo kung anong mga hakbang ang kailangan mong gawin para makabuo ng workflow sa pamamahala ng kahinaan. Spoiler: mararating lang natin ang kalahating punto bago mag-scan.
Hakbang #1: Tukuyin ang antas ng maturity ng iyong mga proseso sa pamamahala ng kahinaan
Sa simula pa lang, kailangan mong maunawaan kung anong yugto na ang iyong organisasyon sa mga tuntunin ng maturity ng mga proseso ng pamamahala sa kahinaan nito. Pagkatapos lamang nito ay mauunawaan mo kung saan lilipat at kung anong mga hakbang ang kailangang gawin. Bago simulan ang mga pag-scan at iba pang aktibidad, kailangang gumawa ng ilang panloob na gawain ang mga organisasyon upang maunawaan kung paano nakabalangkas ang iyong mga kasalukuyang proseso mula sa pananaw ng IT at seguridad ng impormasyon.
Subukang sagutin ang mga pangunahing tanong:
- Mayroon ka bang mga proseso para sa pag-uuri ng imbentaryo at asset;
- Gaano kadalas na-scan ang imprastraktura ng IT at sakop ang buong imprastraktura, nakikita mo ba ang buong larawan;
- Sinusubaybayan ba ang iyong mga mapagkukunan ng IT?
- Mayroon bang anumang mga KPI na ipinatupad sa iyong mga proseso at paano mo nauunawaan na ang mga ito ay natutugunan;
- Nakadokumento ba ang lahat ng mga prosesong ito?
Hakbang #2: Tiyakin ang Buong Saklaw ng Imprastraktura
Hindi mo mapoprotektahan ang hindi mo alam. Kung wala kang kumpletong larawan kung saan ginawa ang iyong imprastraktura ng IT, hindi mo ito mapoprotektahan. Ang modernong imprastraktura ay kumplikado at patuloy na nagbabago sa dami at husay.
Ngayon ang imprastraktura ng IT ay nakabatay hindi lamang sa isang stack ng mga klasikong teknolohiya (mga workstation, server, virtual machine), kundi pati na rin sa mga medyo bago - mga lalagyan, microservice. Ang serbisyo ng seguridad ng impormasyon ay tumatakbo palayo sa huli sa lahat ng posibleng paraan, dahil napakahirap para dito na magtrabaho sa kanila gamit ang mga umiiral nang tool set, na pangunahing binubuo ng mga scanner. Ang problema ay hindi masakop ng anumang scanner ang buong imprastraktura. Upang maabot ng isang scanner ang anumang node sa imprastraktura, maraming mga kadahilanan ang dapat magkasabay. Ang asset ay dapat nasa loob ng perimeter ng organisasyon sa oras ng pag-scan. Ang scanner ay dapat magkaroon ng access sa network sa mga asset at kanilang mga account upang mangolekta ng kumpletong impormasyon.
Ayon sa aming mga istatistika, pagdating sa katamtaman o malalaking organisasyon, humigit-kumulang 15β20% ng imprastraktura ang hindi nakukuha ng scanner para sa isang dahilan o iba pa: ang asset ay lumipat sa kabila ng perimeter o hindi kailanman lumalabas sa opisina. Halimbawa, isang laptop ng isang empleyado na nagtatrabaho nang malayuan ngunit may access pa rin sa corporate network, o ang asset ay matatagpuan sa mga external na serbisyo sa cloud gaya ng Amazon. At ang scanner, malamang, ay walang alam tungkol sa mga asset na ito, dahil nasa labas sila ng visibility zone nito.
Upang masakop ang buong imprastraktura, kailangan mong gumamit hindi lamang ng mga scanner, ngunit isang buong hanay ng mga sensor, kabilang ang mga passive na teknolohiya sa pakikinig sa trapiko upang makita ang mga bagong device sa iyong imprastraktura, paraan ng pangongolekta ng data ng ahente upang makatanggap ng impormasyon - nagbibigay-daan sa iyong makatanggap ng data online, nang walang ang pangangailangan para sa pag-scan, nang walang pag-highlight ng mga kredensyal.
Hakbang #3: Ikategorya ang Mga Asset
Hindi lahat ng asset ay ginawang pantay. Trabaho mong tukuyin kung aling mga asset ang mahalaga at alin ang hindi. Walang tool, tulad ng scanner, ang gagawa nito para sa iyo. Sa isip, ang seguridad ng impormasyon, IT at negosyo ay nagtutulungan upang pag-aralan ang imprastraktura upang matukoy ang mga sistemang kritikal sa negosyo. Para sa kanila, tinutukoy nila ang mga katanggap-tanggap na sukatan para sa availability, integridad, pagiging kumpidensyal, RTO/RPO, atbp.
Makakatulong ito sa iyo na bigyang-priyoridad ang iyong proseso ng pamamahala ng kahinaan. Kapag nakatanggap ang iyong mga espesyalista ng data sa mga kahinaan, hindi ito magiging isang sheet na may libu-libong mga kahinaan sa buong imprastraktura, ngunit granular na impormasyon na isinasaalang-alang ang pagiging kritikal ng mga system.
Hakbang #4: Magsagawa ng Infrastructure Assessment
At sa ika-apat na hakbang lamang natin natatasa ang imprastraktura mula sa punto ng view ng mga kahinaan. Sa yugtong ito, inirerekumenda namin na bigyang pansin mo hindi lamang ang mga kahinaan ng software, kundi pati na rin ang mga error sa pagsasaayos, na maaari ding maging isang kahinaan. Dito inirerekumenda namin ang paraan ng ahente ng pagkolekta ng impormasyon. Ang mga scanner ay maaari at dapat gamitin upang masuri ang perimeter security. Kung gagamitin mo ang mga mapagkukunan ng mga cloud provider, kailangan mo ring mangolekta ng impormasyon sa mga asset at configuration mula doon. Bigyang-pansin ang pagsusuri ng mga kahinaan sa mga imprastraktura gamit ang mga container ng Docker.
Hakbang #5: I-set up ang pag-uulat
Ito ay isa sa mga mahahalagang elemento sa loob ng proseso ng pamamahala ng kahinaan.
Ang unang punto: walang sinuman ang gagana sa mga ulat sa maraming pahina na may random na listahan ng mga kahinaan at mga paglalarawan kung paano aalisin ang mga ito. Una sa lahat, kailangan mong makipag-usap sa mga kasamahan at alamin kung ano ang dapat na nasa ulat at kung paano ito mas maginhawa para sa kanila na makatanggap ng data. Halimbawa, hindi kailangan ng ilang administrator ng detalyadong paglalarawan ng kahinaan at kailangan lang ng impormasyon tungkol sa patch at isang link dito. Ang isa pang espesyalista ay nagmamalasakit lamang sa mga kahinaan na makikita sa imprastraktura ng network.
Pangalawang punto: sa pamamagitan ng pag-uulat ang ibig kong sabihin ay hindi lamang mga ulat sa papel. Ito ay isang lumang format para sa pagkuha ng impormasyon at isang static na kwento. Ang isang tao ay tumatanggap ng isang ulat at hindi sa anumang paraan makakaimpluwensya kung paano ipapakita ang data sa ulat na ito. Upang makuha ang ulat sa nais na anyo, dapat makipag-ugnayan ang espesyalista sa IT sa espesyalista sa seguridad ng impormasyon at hilingin sa kanya na itayo muli ang ulat. Habang tumatagal, lumilitaw ang mga bagong kahinaan. Sa halip na itulak ang mga ulat mula sa departamento patungo sa departamento, ang mga espesyalista sa parehong mga disiplina ay dapat na masubaybayan ang data online at makita ang parehong larawan. Samakatuwid, sa aming platform gumagamit kami ng mga dynamic na ulat sa anyo ng mga nako-customize na dashboard.
Hakbang #6: Unahin
Dito maaari mong gawin ang mga sumusunod:
1. Paglikha ng repositoryo na may mga gintong larawan ng mga system. Makipagtulungan sa mga ginintuang larawan, suriin ang mga ito para sa mga kahinaan at tamang configuration sa isang patuloy na batayan. Magagawa ito sa tulong ng mga ahente na awtomatikong mag-uulat ng paglitaw ng isang bagong asset at magbibigay ng impormasyon tungkol sa mga kahinaan nito.
2. Tumutok sa mga asset na kritikal sa negosyo. Walang isang organisasyon sa mundo na maaaring mag-alis ng mga kahinaan sa isang pagkakataon. Ang proseso ng pag-aalis ng mga kahinaan ay mahaba at nakakapagod pa nga.
3. Pagpapaliit sa ibabaw ng pag-atake. Linisin ang iyong imprastraktura ng hindi kinakailangang software at mga serbisyo, isara ang mga hindi kinakailangang port. Kamakailan ay nagkaroon kami ng kaso sa isang kumpanya kung saan ang humigit-kumulang 40 libong mga kahinaan na nauugnay sa lumang bersyon ng browser ng Mozilla ay natagpuan sa 100 libong mga aparato. Tulad ng nangyari sa ibang pagkakataon, ipinakilala ang Mozilla sa ginintuang imahe maraming taon na ang nakalilipas, walang gumagamit nito, ngunit ito ang pinagmumulan ng isang malaking bilang ng mga kahinaan. Kapag ang browser ay inalis mula sa mga computer (ito ay kahit na sa ilang mga server), ang libu-libong mga kahinaan ay nawala.
4. I-rank ang mga kahinaan batay sa threat intelligence. Isaalang-alang hindi lamang ang pagiging kritikal ng kahinaan, kundi pati na rin ang pagkakaroon ng pampublikong pagsasamantala, malware, patch, o panlabas na pag-access sa system na may kahinaan. Tayahin ang epekto ng kahinaang ito sa mga kritikal na sistema ng negosyo: maaari ba itong humantong sa pagkawala ng data, pagtanggi sa serbisyo, atbp.
Hakbang #7: Sumang-ayon sa mga KPI
Huwag i-scan para sa kapakanan ng pag-scan. Kung walang nangyari sa mga kahinaan na natagpuan, ang pag-scan na ito ay nagiging isang walang silbi na operasyon. Upang maiwasang maging pormalidad ang pagtatrabaho sa mga kahinaan, isipin kung paano mo susuriin ang mga resulta nito. Ang seguridad ng impormasyon at IT ay dapat magkasundo sa kung paano itatayo ang gawain upang maalis ang mga kahinaan, gaano kadalas isasagawa ang mga pag-scan, mai-install ang mga patch, atbp.
Sa slide makikita mo ang mga halimbawa ng mga posibleng KPI. Mayroon ding pinahabang listahan na inirerekomenda namin sa aming mga kliyente. Kung interesado ka, mangyaring makipag-ugnay sa akin, ibabahagi ko ang impormasyong ito sa iyo.
Hakbang #8: I-automate
Bumalik sa pag-scan muli. Sa Qualys, naniniwala kami na ang pag-scan ay ang pinakamahalagang bagay na maaaring mangyari sa proseso ng pamamahala ng kahinaan ngayon, at una sa lahat, kailangan itong maging awtomatiko hangga't maaari upang maisagawa ito nang walang partisipasyon ng isang espesyalista sa seguridad ng impormasyon. Ngayon maraming mga tool na nagbibigay-daan sa iyo upang gawin ito. Ito ay sapat na mayroon silang isang bukas na API at ang kinakailangang bilang ng mga konektor.
Ang halimbawang gusto kong ibigay ay ang DevOps. Kung magpapatupad ka ng isang vulnerability scanner doon, maaari mong kalimutan ang tungkol sa DevOps. Sa mga lumang teknolohiya, na isang klasikong scanner, hindi ka lang papayagan sa mga prosesong ito. Hindi hihintayin ng mga developer na mag-scan ka at bigyan sila ng maraming pahina, hindi maginhawang ulat. Inaasahan ng mga developer na ang impormasyon tungkol sa mga kahinaan ay papasok sa kanilang mga sistema ng pagpupulong ng code sa anyo ng impormasyon ng bug. Ang seguridad ay dapat na walang putol na binuo sa mga prosesong ito, at dapat lang itong isang tampok na awtomatikong tinatawag ng system na ginagamit ng iyong mga developer.
Hakbang #9: Tumutok sa Mga Mahahalaga
Tumutok sa kung ano ang nagdudulot ng tunay na halaga sa iyong kumpanya. Maaaring awtomatiko ang mga pag-scan, maaari ding awtomatikong ipadala ang mga ulat.
Tumutok sa pagpapabuti ng mga proseso upang gawing mas flexible at maginhawa ang mga ito para sa lahat ng kasangkot. Tumutok sa pagtiyak na ang seguridad ay binuo sa lahat ng mga kontrata sa iyong mga katapat, na, halimbawa, ay bumuo ng mga web application para sa iyo.
Kung kailangan mo ng mas detalyadong impormasyon kung paano bumuo ng proseso ng pamamahala ng kahinaan sa iyong kumpanya, mangyaring makipag-ugnayan sa akin at sa aking mga kasamahan. Ikalulugod kong tumulong.
Pinagmulan: www.habr.com