Büyük bir 4 Temmuz yaşadık . Bugün Qualys'ten Andrey Novikov'un konuşmasının metnini yayınlıyoruz. Bir güvenlik açığı yönetimi iş akışı oluşturmak için hangi adımları uygulamanız gerektiğini size söyleyecektir. Spoiler: Taramadan önce sadece yarı noktaya ulaşacağız.
Adım #1: Güvenlik açığı yönetimi süreçlerinizin olgunluk düzeyini belirleyin
Başlangıçta kuruluşunuzun zafiyet yönetimi süreçlerinin olgunluğu açısından hangi aşamada olduğunu anlamanız gerekir. Ancak bundan sonra nereye taşınacağınızı ve hangi adımların atılması gerektiğini anlayabilirsiniz. Taramalara ve diğer faaliyetlere başlamadan önce kuruluşların mevcut süreçlerinizin BT ve bilgi güvenliği perspektifinden nasıl yapılandırıldığını anlamak için bazı iç çalışmalar yapması gerekir.
Temel soruları yanıtlamaya çalışın:
- Envanter ve varlık sınıflandırmasına yönelik süreçleriniz var mı;
- BT altyapısı ne kadar düzenli taranıyor ve tüm altyapı kapsanıyor, resmin tamamını görüyor musunuz;
- BT kaynaklarınız izleniyor mu?
- Süreçlerinizde herhangi bir KPI uygulandı mı ve bunların karşılandığını nasıl anlıyorsunuz;
- Bütün bu süreçler belgeleniyor mu?
Adım #2: Tam Altyapı Kapsamını Sağlayın
Bilmediğiniz şeyi koruyamazsınız. BT altyapınızın nelerden oluştuğuna dair tam bir resme sahip değilseniz onu koruyamazsınız. Modern altyapı karmaşıktır ve niceliksel ve niteliksel olarak sürekli değişmektedir.
Artık BT altyapısı yalnızca bir dizi klasik teknolojiye (iş istasyonları, sunucular, sanal makineler) değil, aynı zamanda nispeten yeni olanlara da (konteynerler, mikro hizmetler) dayanıyor. Bilgi güvenliği hizmeti, esas olarak tarayıcılardan oluşan mevcut araç setlerini kullanarak onlarla çalışmak çok zor olduğundan, ikincisinden mümkün olan her şekilde kaçıyor. Sorun şu ki, herhangi bir tarayıcı altyapının tamamını kapsayamıyor. Bir tarayıcının altyapıdaki herhangi bir düğüme ulaşabilmesi için birçok faktörün örtüşmesi gerekir. Varlık, tarama sırasında kuruluşun sınırları içerisinde olmalıdır. Tam bilgi toplamak için tarayıcının varlıklara ve hesaplarına ağ erişiminin olması gerekir.
İstatistiklerimize göre, orta veya büyük kuruluşlar söz konusu olduğunda, altyapının yaklaşık %15-20'si şu veya bu nedenle tarayıcı tarafından yakalanmıyor: varlık çevrenin dışına taşınmış veya ofiste hiç görünmüyor. Örneğin, uzaktan çalışan ancak yine de kurumsal ağa erişimi olan bir çalışanın dizüstü bilgisayarı veya varlığın Amazon gibi harici bulut hizmetlerinde bulunması. Ve tarayıcı, görünürlük aralığının dışında oldukları için büyük olasılıkla bu varlıklar hakkında hiçbir şey bilmeyecek.
Tüm altyapıyı kapsamak için yalnızca tarayıcıları değil, altyapınızdaki yeni cihazları tespit etmek için pasif trafik dinleme teknolojileri, bilgi almak için aracı veri toplama yöntemi de dahil olmak üzere bir dizi sensör kullanmanız gerekir; Kimlik bilgilerini vurgulamadan tarama ihtiyacı.
Adım #3: Varlıkları Sınıflandırın
Tüm varlıklar eşit yaratılmamıştır. Hangi varlıkların önemli, hangilerinin önemsiz olduğunu belirlemek sizin işiniz. Tarayıcı gibi hiçbir araç bunu sizin için yapamaz. İdeal durumda bilgi güvenliği, BT ve iş dünyası, iş açısından kritik sistemleri belirlemek amacıyla altyapıyı analiz etmek için birlikte çalışır. Onlar için kullanılabilirlik, bütünlük, gizlilik, RTO/RPO vb. için kabul edilebilir ölçütleri belirlerler.
Bu, güvenlik açığı yönetimi sürecinize öncelik vermenize yardımcı olacaktır. Uzmanlarınız güvenlik açıklarına ilişkin verileri aldığında, bu, tüm altyapıdaki binlerce güvenlik açığını içeren bir sayfa değil, sistemlerin kritikliğini dikkate alan ayrıntılı bilgiler olacaktır.
Adım #4: Altyapı Değerlendirmesi Yapın
Ve ancak dördüncü adımda altyapıyı güvenlik açıkları açısından değerlendirmeye geliyoruz. Bu aşamada sadece yazılım açıklarına değil aynı zamanda bir zafiyet olabilecek konfigürasyon hatalarına da dikkat etmenizi öneririz. Burada bilgi toplamak için aracı yöntemini öneriyoruz. Tarayıcılar çevre güvenliğini değerlendirmek için kullanılabilir ve kullanılmalıdır. Bulut sağlayıcılarının kaynaklarını kullanıyorsanız, varlıklar ve konfigürasyonlarla ilgili bilgileri de oradan toplamanız gerekir. Docker konteynerlerini kullanarak altyapılardaki güvenlik açıklarını analiz etmeye özellikle dikkat edin.
Adım #5: Raporlamayı ayarlayın
Bu, güvenlik açığı yönetimi sürecinin önemli unsurlarından biridir.
İlk nokta: Hiç kimse, rastgele bir güvenlik açıkları listesi ve bunların nasıl ortadan kaldırılacağına dair açıklamalar içeren çok sayfalı raporlarla çalışmayacaktır. Öncelikle meslektaşlarınızla iletişim kurarak raporda ne olması gerektiğini ve veri almanın onlar için nasıl daha uygun olduğunu öğrenmeniz gerekiyor. Örneğin, bazı yöneticilerin güvenlik açığının ayrıntılı bir açıklamasına ihtiyacı yoktur ve yalnızca yama hakkında bilgiye ve yamayla ilgili bir bağlantıya ihtiyaç duyarlar. Başka bir uzman ise yalnızca ağ altyapısında bulunan güvenlik açıklarıyla ilgileniyor.
İkinci nokta: Raporlama derken sadece kağıt üzerindeki raporları kastetmiyorum. Bu, bilgi edinmek ve statik bir hikaye elde etmek için eski bir formattır. Bir kişi bir rapor alır ve bu raporda verilerin nasıl sunulacağını hiçbir şekilde etkileyemez. Raporun istenilen formda alınabilmesi için BT uzmanının bilgi güvenliği uzmanıyla iletişime geçerek raporu yeniden oluşturmasını istemesi gerekir. Zaman geçtikçe yeni güvenlik açıkları ortaya çıkıyor. Raporları departmandan departmana aktarmak yerine, her iki disiplindeki uzmanlar verileri çevrimiçi olarak izleyebilmeli ve aynı resmi görebilmelidir. Bu nedenle platformumuzda özelleştirilebilir gösterge tabloları biçiminde dinamik raporlar kullanıyoruz.
Adım #6: Öncelik Verin
Burada aşağıdakileri yapabilirsiniz:
1. Sistemlerin altın görüntülerini içeren bir depo oluşturmak. Altın görüntülerle çalışın, güvenlik açıklarını kontrol edin ve sürekli olarak doğru yapılandırmayı yapın. Bu, yeni bir varlığın ortaya çıkışını otomatik olarak bildirecek ve onun güvenlik açıkları hakkında bilgi sağlayacak aracıların yardımıyla yapılabilir.
2. İş için kritik olan varlıklara odaklanın. Dünyada zafiyetleri tek seferde ortadan kaldırabilecek tek bir kuruluş yok. Güvenlik açıklarını ortadan kaldırma süreci uzun ve hatta sıkıcıdır.
3. Saldırı yüzeyini daraltmak. Altyapınızı gereksiz yazılım ve hizmetlerden temizleyin, gereksiz portları kapatın. Geçtiğimiz günlerde bir şirketle, 40 bin cihazda Mozilla tarayıcısının eski sürümüyle ilgili yaklaşık 100 bin güvenlik açığının bulunduğu bir vaka yaşadık. Daha sonra ortaya çıktığı gibi, Mozilla yıllar önce altın görüntüye dahil edildi, kimse onu kullanmıyor, ancak çok sayıda güvenlik açığının kaynağı. Tarayıcı bilgisayarlardan kaldırıldığında (hatta bazı sunucularda da vardı), bu onbinlerce güvenlik açığı ortadan kalktı.
4. Güvenlik açıklarını tehdit istihbaratına göre sıralayın. Yalnızca güvenlik açığının kritikliğini değil, aynı zamanda genel bir istismarın, kötü amaçlı yazılımın, yamanın veya güvenlik açığının bulunduğu sisteme dışarıdan erişimin varlığını da göz önünde bulundurun. Bu güvenlik açığının kritik iş sistemleri üzerindeki etkisini değerlendirin: veri kaybına, hizmet reddine vb. yol açabilir mi?
Adım #7: KPI'lar üzerinde anlaşın
Tarama yapmak için tarama yapmayın. Bulunan zafiyetlere bir şey olmazsa bu tarama faydasız bir işleme dönüşüyor. Güvenlik açıklarıyla çalışmanın formaliteye dönüşmesini önlemek için sonuçlarını nasıl değerlendireceğinizi düşünün. Bilgi güvenliği ve BT, güvenlik açıklarını ortadan kaldırmaya yönelik çalışmanın nasıl yapılandırılacağı, taramaların ne sıklıkta gerçekleştirileceği, yamaların kurulacağı vb. konularda anlaşmaya varmalıdır.
Slaytta olası KPI örneklerini görüyorsunuz. Müşterilerimize önerdiğimiz genişletilmiş bir liste de bulunmaktadır. Eğer ilgileniyorsanız lütfen benimle iletişime geçin, bu bilgiyi sizinle paylaşacağım.
Adım #8: Otomatikleştirin
Tekrar taramaya dönelim. Qualys olarak, günümüzde güvenlik açığı yönetimi sürecinde olabilecek en önemsiz şeyin tarama olduğuna ve öncelikle bir bilgi güvenliği uzmanının katılımı olmadan gerçekleştirilebilmesi için mümkün olduğunca otomatikleştirilmesi gerektiğine inanıyoruz. Bugün bunu yapmanıza izin veren birçok araç var. Açık bir API'ye ve gerekli sayıda bağlayıcıya sahip olmaları yeterlidir.
Vermeyi sevdiğim örnek DevOps. Oraya bir güvenlik açığı tarayıcısı uygularsanız DevOps'u kolayca unutabilirsiniz. Klasik bir tarayıcı olan eski teknolojilerle bu süreçlere girmenize izin verilmeyecektir. Geliştiriciler sizin taramanızı ve onlara çok sayfalı, uygunsuz bir rapor vermenizi beklemezler. Geliştiriciler, güvenlik açıklarıyla ilgili bilgilerin kod derleme sistemlerine hata bilgileri biçiminde girmesini bekliyor. Güvenlik bu süreçlere sorunsuz bir şekilde dahil edilmeli ve geliştiricilerinizin kullandığı sistem tarafından otomatik olarak çağrılan bir özellik olmalıdır.
Adım #9: Esaslara Odaklanın
Şirketinize gerçek değer katan şeylere odaklanın. Taramalar otomatik olabileceği gibi raporlar da otomatik olarak gönderilebilir.
Süreçleri, katılan herkes için daha esnek ve kullanışlı hale getirecek şekilde iyileştirmeye odaklanın. Güvenliğin, örneğin sizin için web uygulamaları geliştiren karşı taraflarınızla yaptığınız tüm sözleşmelere dahil edilmesini sağlamaya odaklanın.
Şirketinizde zafiyet yönetimi sürecinin nasıl oluşturulacağı konusunda daha detaylı bilgiye ihtiyaç duyarsanız lütfen benimle ve meslektaşlarımla iletişime geçin. Yardımcı olmaktan memnuniyet duyarım.
Kaynak: habr.com