Bizda 4 iyulning katta bayrami bor edi . Bugun biz Andrey Novikovning Qualysdagi nutqining stenogrammasini nashr etmoqdamiz. U sizga zaifliklarni boshqarish ish jarayonini yaratish uchun qanday bosqichlardan o'tishingiz kerakligini aytib beradi. Spoyler: biz skanerlashdan oldin faqat yarmiga etib boramiz.
1-qadam: Zaiflikni boshqarish jarayonlarining etuklik darajasini aniqlang
Eng boshida, tashkilotingiz zaifliklarni boshqarish jarayonlarining etukligi nuqtai nazaridan qaysi bosqichda ekanligini tushunishingiz kerak. Shundan keyingina siz qaerga ko'chib o'tish kerakligini va qanday choralar ko'rish kerakligini tushunishingiz mumkin. Skanerlash va boshqa tadbirlarni boshlashdan oldin, tashkilotlar sizning joriy jarayonlaringiz IT va axborot xavfsizligi nuqtai nazaridan qanday tuzilganligini tushunish uchun ba'zi ichki ishlarni bajarishlari kerak.
Asosiy savollarga javob berishga harakat qiling:
- Sizda inventarizatsiya va aktivlarni tasniflash jarayonlari bormi;
- IT infratuzilmasi qanchalik muntazam ravishda skanerdan o'tkaziladi va butun infratuzilma qamrab olinadi, siz butun rasmni ko'rasizmi;
- Sizning IT resurslaringiz nazorat qilinadimi?
- Jarayonlaringizda KPIlar amalga oshirilganmi va ular bajarilayotganini qanday tushunasiz;
- Bu jarayonlarning barchasi hujjatlashtirilganmi?
2-qadam: Infratuzilmani to'liq qamrab olishni ta'minlash
Siz bilmagan narsangizni himoya qila olmaysiz. Agar IT infratuzilmangiz nimadan iboratligi haqida toΚ»liq tasavvurga ega boΚ»lmasangiz, uni himoya qila olmaysiz. Zamonaviy infratuzilma murakkab va doimiy ravishda miqdoriy va sifat jihatidan o'zgarib turadi.
Endilikda IT infratuzilmasi nafaqat klassik texnologiyalar (ish stantsiyalari, serverlar, virtual mashinalar), balki nisbatan yangilari β konteynerlar, mikroservislar stekiga ham asoslangan. Axborot xavfsizligi xizmati ikkinchisidan har tomonlama qochib ketadi, chunki ular bilan asosan skanerlardan tashkil topgan mavjud asboblar to'plamidan foydalangan holda ishlash juda qiyin. Muammo shundaki, har qanday skaner butun infratuzilmani qamrab ololmaydi. Skaner infratuzilmaning istalgan tuguniga etib borishi uchun bir nechta omillar mos kelishi kerak. Skanerlash vaqtida aktiv tashkilotning perimetri ichida bo'lishi kerak. To'liq ma'lumot to'plash uchun skaner aktivlar va ularning hisoblariga tarmoqqa kirish huquqiga ega bo'lishi kerak.
Bizning statistik ma'lumotlarimizga ko'ra, o'rta yoki yirik tashkilotlar haqida gap ketganda, infratuzilmaning taxminan 15-20 foizi u yoki bu sabablarga ko'ra skaner tomonidan ushlanmaydi: aktiv perimetrdan tashqariga chiqdi yoki hech qachon ofisda ko'rinmaydi. Masalan, masofadan turib ishlaydigan, lekin korporativ tarmoqqa kirish imkoniga ega bo'lgan xodimning noutbuki yoki aktivi Amazon kabi tashqi bulut xizmatlarida joylashgan. Va skaner, ehtimol, bu aktivlar haqida hech narsa bilmaydi, chunki ular ko'rinadigan zonadan tashqarida.
Butun infratuzilmani qamrab olish uchun siz nafaqat skanerlardan, balki infratuzilmangizdagi yangi qurilmalarni aniqlash uchun passiv trafikni tinglash texnologiyalarini o'z ichiga olgan butun sensorlar to'plamidan, ma'lumot olish uchun agent ma'lumotlarini to'plash usulidan foydalanishingiz kerak - ma'lumotlarni onlayn qabul qilish imkonini beradi. hisobga olish ma'lumotlarini ta'kidlamasdan, skanerlash zarurati.
3-qadam: Aktivlarni turkumlash
Hamma aktivlar teng yaratilmagan. Qaysi aktivlar muhim va qaysi biri muhim emasligini aniqlash sizning vazifangizdir. Skaner kabi hech qanday vosita siz uchun buni qilmaydi. Ideal holda, axborot xavfsizligi, IT va biznes biznes uchun muhim tizimlarni aniqlash uchun infratuzilmani tahlil qilish uchun birgalikda ishlaydi. Ular uchun ular mavjudlik, yaxlitlik, maxfiylik, RTO/RPO va boshqalar uchun maqbul ko'rsatkichlarni aniqlaydi.
Bu zaiflikni boshqarish jarayoniga ustuvor ahamiyat berishga yordam beradi. Mutaxassislaringiz zaifliklar to'g'risidagi ma'lumotlarni olganlarida, bu butun infratuzilma bo'ylab minglab zaifliklar mavjud varaq emas, balki tizimlarning muhimligini hisobga olgan holda batafsil ma'lumot bo'ladi.
4-qadam: Infratuzilmani baholashni o'tkazish
Va faqat to'rtinchi bosqichda biz infratuzilmani zaifliklar nuqtai nazaridan baholashga o'tamiz. Ushbu bosqichda biz nafaqat dasturiy ta'minotning zaifliklariga, balki zaiflik bo'lishi mumkin bo'lgan konfiguratsiya xatolariga ham e'tibor berishingizni tavsiya qilamiz. Bu erda ma'lumot to'plashning agent usulini tavsiya qilamiz. Skanerlar perimetr xavfsizligini baholash uchun ishlatilishi mumkin va kerak. Agar siz bulutli provayderlarning resurslaridan foydalansangiz, u erdan aktivlar va konfiguratsiyalar haqida ma'lumot to'plashingiz kerak. Docker konteynerlaridan foydalangan holda infratuzilmalardagi zaifliklarni tahlil qilishga alohida e'tibor bering.
5-qadam: Hisobotni sozlash
Bu zaiflikni boshqarish jarayonining muhim elementlaridan biridir.
Birinchi nuqta: zaifliklarning tasodifiy ro'yxati va ularni yo'q qilish tavsiflari bilan ko'p sahifali hisobotlar bilan hech kim ishlamaydi. Avvalo, siz hamkasblar bilan muloqot qilishingiz va hisobotda nima bo'lishi kerakligini va ular uchun ma'lumotlarni olish qanday qulayroq ekanligini bilib olishingiz kerak. Misol uchun, ba'zi administrator zaiflikning batafsil tavsifiga muhtoj emas va faqat yamoq haqida ma'lumot va unga havola kerak. Boshqa mutaxassis faqat tarmoq infratuzilmasida topilgan zaifliklar haqida qayg'uradi.
Ikkinchi nuqta: hisobot deganda men nafaqat qog'oz hisobotlarni nazarda tutyapman. Bu ma'lumot va statik hikoyani olish uchun eskirgan formatdir. Bir kishi hisobot oladi va ma'lumotlar ushbu hisobotda qanday taqdim etilishiga hech qanday ta'sir ko'rsata olmaydi. Hisobotni kerakli shaklda olish uchun IT mutaxassisi axborot xavfsizligi bo'yicha mutaxassis bilan bog'lanib, undan hisobotni qayta tiklashni so'rashi kerak. Vaqt o'tishi bilan yangi zaifliklar paydo bo'ladi. Hisobotlarni bo'limdan bo'limga o'tkazish o'rniga, ikkala fan bo'yicha mutaxassislar ma'lumotlarni onlayn kuzatib borishlari va bir xil rasmni ko'rishlari kerak. Shuning uchun bizning platformamizda biz sozlanishi boshqaruv paneli ko'rinishidagi dinamik hisobotlardan foydalanamiz.
6-qadam: ustuvorlikni belgilang
Bu erda siz quyidagilarni qilishingiz mumkin:
1. Tizimlarning oltin tasvirlari bilan omborni yaratish. Oltin tasvirlar bilan ishlang, ularni zaifliklarni tekshiring va doimiy ravishda to'g'ri konfiguratsiya qiling. Buni yangi aktivning paydo bo'lishi haqida avtomatik ravishda xabar beradigan va uning zaif tomonlari haqida ma'lumot beradigan agentlar yordamida amalga oshirish mumkin.
2. Biznes uchun muhim bo'lgan aktivlarga e'tibor qarating. Dunyoda zaifliklarni bir vaqtning o'zida yo'q qiladigan bironta ham tashkilot yo'q. Zaifliklarni bartaraf etish jarayoni uzoq va hatto zerikarli.
3. Hujum yuzasini toraytirish. Infratuzilmangizni keraksiz dasturiy ta'minot va xizmatlardan tozalang, keraksiz portlarni yoping. Yaqinda bizda bitta kompaniya bilan ish bo'ldi, unda Mozilla brauzerining eski versiyasiga tegishli 40 ming qurilmada 100 mingga yaqin zaifliklar topildi. Keyinchalik ma'lum bo'lishicha, Mozilla oltin tasvirga ko'p yillar oldin kiritilgan, uni hech kim ishlatmaydi, lekin u juda ko'p zaifliklarning manbai. Brauzer kompyuterlardan olib tashlanganida (hatto ba'zi serverlarda ham bo'lgan), bu o'n minglab zaifliklar yo'qoldi.
4. Tahdid razvedkasi asosida zaifliklarni tartiblang. Zaiflikning nafaqat tanqidiyligini, balki umumiy foydalanish, zararli dastur, yamoq yoki zaiflik bilan tizimga tashqi kirish mavjudligini ham hisobga oling. Ushbu zaiflikning muhim biznes tizimlariga ta'sirini baholang: bu ma'lumotlarning yo'qolishiga, xizmat ko'rsatishning rad etilishiga va hokazolarga olib kelishi mumkinmi?
7-qadam: KPI bo'yicha kelishib oling
Skanerlash uchun skanerlamang. Agar topilgan zaifliklarga hech narsa bo'lmasa, bu skanerlash foydasiz operatsiyaga aylanadi. Zaifliklar bilan ishlash rasmiyatchilikka aylanib qolmasligi uchun uning natijalarini qanday baholashingiz haqida o'ylab ko'ring. Axborot xavfsizligi va IT zaifliklarni bartaraf etish bo'yicha ishlar qanday tuzilishi, skanerlash qanchalik tez-tez amalga oshirilishi, yamoqlar o'rnatilishi va hokazolar bo'yicha kelishib olishlari kerak.
Slaydda siz mumkin bo'lgan KPI misollarini ko'rasiz. Shuningdek, mijozlarimizga tavsiya etadigan kengaytirilgan ro'yxat mavjud. Agar qiziqsangiz, men bilan bog'laning, men bu ma'lumotni siz bilan baham ko'raman.
8-qadam: Avtomatlashtirish
Yana skanerlashga qayting. Qualys kompaniyasida biz skanerlash bugungi kunda zaifliklarni boshqarish jarayonida yuz berishi mumkin bo'lgan eng ahamiyatsiz narsa ekanligiga ishonamiz va birinchi navbatda uni axborot xavfsizligi bo'yicha mutaxassis ishtirokisiz amalga oshirish uchun imkon qadar avtomatlashtirish kerak. Bugungi kunda buni amalga oshirishga imkon beradigan ko'plab vositalar mavjud. Ularda ochiq API va kerakli miqdordagi ulagichlar bo'lishi kifoya.
Men keltirmoqchi bo'lgan misol bu DevOps. Agar siz u yerda zaiflik skanerini qo'llasangiz, DevOps haqida shunchaki unutishingiz mumkin. Klassik skaner bo'lgan eski texnologiyalar yordamida siz ushbu jarayonlarga ruxsat berilmaydi. Ishlab chiquvchilar sizning skanerlashingizni va ularga ko'p sahifali, noqulay hisobot berishingizni kutishmaydi. Ishlab chiquvchilar zaifliklar haqidagi ma'lumotlar ularning kodlarini yig'ish tizimlariga xato ma'lumotlari ko'rinishida kirishini kutishadi. Xavfsizlik ushbu jarayonlarga uzluksiz tarzda o'rnatilishi kerak va u faqat ishlab chiquvchilaringiz foydalanadigan tizim tomonidan avtomatik ravishda chaqiriladigan xususiyat bo'lishi kerak.
9-qadam: Essentialsga e'tibor qarating
Sizning kompaniyangizga haqiqiy qiymat keltiradigan narsaga e'tibor qarating. Skanerlar avtomatik bo'lishi mumkin, hisobotlar avtomatik ravishda yuborilishi mumkin.
Jarayonlarni barcha ishtirokchilar uchun yanada moslashuvchan va qulay qilish uchun takomillashtirishga e'tibor qarating. Masalan, siz uchun veb-ilovalarni ishlab chiqadigan kontragentlaringiz bilan tuzilgan barcha shartnomalarda xavfsizlikni ta'minlashga e'tibor qarating.
Agar sizga kompaniyangizda zaifliklarni boshqarish jarayonini qanday yaratish haqida batafsil ma'lumot kerak bo'lsa, men va mening hamkasblarim bilan bog'laning. Men yordam berishdan xursand bo'laman.
Manba: www.habr.com