Chúng ta đã có một ngày 4 tháng XNUMX tuyệt vời . Hôm nay chúng tôi xuất bản bản ghi lại bài phát biểu của Andrey Novikov từ Qualys. Anh ấy sẽ cho bạn biết những bước bạn cần trải qua để xây dựng quy trình quản lý lỗ hổng. Tiết lộ nội dung: chúng tôi sẽ chỉ đi được nửa chặng đường trước khi quét.
Bước #1: Xác định mức độ hoàn thiện của quy trình quản lý lỗ hổng bảo mật của bạn
Ngay từ đầu, bạn cần hiểu tổ chức của mình đang ở giai đoạn nào về mức độ trưởng thành của các quy trình quản lý lỗ hổng bảo mật. Chỉ sau đó, bạn mới có thể hiểu nơi cần di chuyển và những bước cần thực hiện. Trước khi bắt tay vào quét và các hoạt động khác, các tổ chức cần thực hiện một số công việc nội bộ để hiểu cách cấu trúc các quy trình hiện tại của bạn từ góc độ bảo mật thông tin và CNTT.
Cố gắng trả lời các câu hỏi cơ bản:
- Bạn có quy trình kiểm kê và phân loại tài sản không;
- Cơ sở hạ tầng CNTT được quét thường xuyên như thế nào và toàn bộ cơ sở hạ tầng có được bao phủ không, bạn có nhìn thấy toàn cảnh không;
- Tài nguyên CNTT của bạn có được giám sát không?
- Có bất kỳ KPI nào được triển khai trong các quy trình của bạn không và làm thế nào để bạn hiểu rằng chúng đang được đáp ứng;
- Tất cả các quy trình này có được ghi chép lại không?
Bước #2: Đảm bảo phủ sóng cơ sở hạ tầng đầy đủ
Bạn không thể bảo vệ những gì bạn không biết. Nếu bạn không có bức tranh hoàn chỉnh về cơ sở hạ tầng CNTT của mình được tạo thành từ đâu, bạn sẽ không thể bảo vệ nó. Cơ sở hạ tầng hiện đại rất phức tạp và liên tục thay đổi về số lượng và chất lượng.
Giờ đây, cơ sở hạ tầng CNTT không chỉ dựa trên nhiều công nghệ cổ điển (máy trạm, máy chủ, máy ảo) mà còn dựa trên những công nghệ tương đối mới - container, microservice. Dịch vụ bảo mật thông tin đang tránh xa dịch vụ sau bằng mọi cách có thể, vì rất khó để làm việc với họ bằng các bộ công cụ hiện có, chủ yếu bao gồm máy quét. Vấn đề là bất kỳ máy quét nào cũng không thể bao quát toàn bộ cơ sở hạ tầng. Để máy quét có thể tiếp cận bất kỳ nút nào trong cơ sở hạ tầng, một số yếu tố phải trùng khớp. Tài sản phải nằm trong chu vi của tổ chức tại thời điểm quét. Máy quét phải có quyền truy cập mạng vào tài sản và tài khoản của họ để thu thập thông tin đầy đủ.
Theo thống kê của chúng tôi, khi nói đến các tổ chức vừa hoặc lớn, khoảng 15–20% cơ sở hạ tầng không được máy quét nắm bắt vì lý do này hay lý do khác: tài sản đã di chuyển ra ngoài phạm vi hoặc hoàn toàn không xuất hiện trong văn phòng. Ví dụ: máy tính xách tay của nhân viên làm việc từ xa nhưng vẫn có quyền truy cập vào mạng công ty hoặc tài sản được đặt trong các dịch vụ đám mây bên ngoài như Amazon. Và máy quét rất có thể sẽ không biết gì về những nội dung này vì chúng nằm ngoài phạm vi hiển thị của nó.
Để bao phủ toàn bộ cơ sở hạ tầng, bạn không chỉ cần sử dụng máy quét mà còn cả bộ cảm biến, bao gồm các công nghệ nghe lưu lượng truy cập thụ động để phát hiện các thiết bị mới trong cơ sở hạ tầng của bạn, phương pháp thu thập dữ liệu tác nhân để nhận thông tin - cho phép bạn nhận dữ liệu trực tuyến mà không cần nhu cầu quét mà không làm nổi bật thông tin xác thực.
Bước # 3: Phân loại tài sản
Không phải tất cả tài sản đều được tạo ra như nhau. Công việc của bạn là xác định tài sản nào quan trọng và tài sản nào không. Không có công cụ nào, như máy quét, có thể làm được việc này cho bạn. Lý tưởng nhất là bảo mật thông tin, CNTT và kinh doanh cùng nhau phân tích cơ sở hạ tầng để xác định các hệ thống quan trọng trong kinh doanh. Đối với họ, họ xác định các số liệu có thể chấp nhận được về tính sẵn sàng, tính toàn vẹn, tính bảo mật, RTO/RPO, v.v.
Điều này sẽ giúp bạn ưu tiên quá trình quản lý lỗ hổng của mình. Khi các chuyên gia của bạn nhận được dữ liệu về các lỗ hổng, đó sẽ không phải là một bảng với hàng nghìn lỗ hổng trên toàn bộ cơ sở hạ tầng mà là thông tin chi tiết có tính đến mức độ quan trọng của hệ thống.
Bước #4: Tiến hành đánh giá cơ sở hạ tầng
Và chỉ ở bước thứ tư, chúng ta mới tiến tới đánh giá cơ sở hạ tầng từ quan điểm về các lỗ hổng. Ở giai đoạn này, chúng tôi khuyên bạn không chỉ chú ý đến các lỗ hổng phần mềm mà còn chú ý đến các lỗi cấu hình, đây cũng có thể là một lỗ hổng. Ở đây chúng tôi đề xuất phương pháp thu thập thông tin đại lý. Máy quét có thể và nên được sử dụng để đánh giá an ninh vành đai. Nếu bạn sử dụng tài nguyên của nhà cung cấp đám mây thì bạn cũng cần thu thập thông tin về nội dung và cấu hình từ đó. Đặc biệt chú ý đến việc phân tích các lỗ hổng trong cơ sở hạ tầng bằng cách sử dụng bộ chứa Docker.
Bước #5: Thiết lập báo cáo
Đây là một trong những yếu tố quan trọng trong quy trình quản lý lỗ hổng.
Điểm đầu tiên: không ai sẽ làm việc với các báo cáo nhiều trang với danh sách ngẫu nhiên các lỗ hổng và mô tả về cách loại bỏ chúng. Trước hết, bạn cần trao đổi với đồng nghiệp và tìm hiểu những gì cần có trong báo cáo và cách nhận dữ liệu thuận tiện hơn cho họ. Ví dụ: một số quản trị viên không cần mô tả chi tiết về lỗ hổng mà chỉ cần thông tin về bản vá và liên kết tới nó. Một chuyên gia khác chỉ quan tâm đến các lỗ hổng được tìm thấy trong cơ sở hạ tầng mạng.
Điểm thứ hai: khi nói đến báo cáo, ý tôi không chỉ là báo cáo trên giấy. Đây là một định dạng lỗi thời để lấy thông tin và một câu chuyện tĩnh. Một người nhận được báo cáo và không thể ảnh hưởng đến cách trình bày dữ liệu trong báo cáo này bằng bất kỳ cách nào. Để có được báo cáo theo đúng mẫu mong muốn, chuyên gia CNTT phải liên hệ với chuyên gia bảo mật thông tin và yêu cầu anh ta xây dựng lại báo cáo. Thời gian trôi qua, những lỗ hổng mới xuất hiện. Thay vì đẩy các báo cáo từ bộ phận này sang bộ phận khác, các chuyên gia ở cả hai lĩnh vực sẽ có thể theo dõi dữ liệu trực tuyến và xem cùng một bức tranh. Do đó, trong nền tảng của mình, chúng tôi sử dụng báo cáo động dưới dạng trang tổng quan có thể tùy chỉnh.
Bước # 6: Ưu tiên
Tại đây bạn có thể làm như sau:
1. Tạo kho lưu trữ hình ảnh vàng của hệ thống. Làm việc với hình ảnh vàng, liên tục kiểm tra lỗ hổng và sửa cấu hình. Điều này có thể được thực hiện với sự trợ giúp của các đại lý sẽ tự động báo cáo sự xuất hiện của một nội dung mới và cung cấp thông tin về các lỗ hổng của nó.
2. Tập trung vào những tài sản quan trọng đối với doanh nghiệp. Không có một tổ chức nào trên thế giới có thể loại bỏ các lỗ hổng trong một lần. Quá trình loại bỏ các lỗ hổng kéo dài và thậm chí tẻ nhạt.
3. Thu hẹp bề mặt tấn công. Dọn dẹp cơ sở hạ tầng của bạn khỏi những phần mềm và dịch vụ không cần thiết, đóng các cổng không cần thiết. Gần đây chúng tôi đã gặp trường hợp với một công ty trong đó khoảng 40 nghìn lỗ hổng liên quan đến phiên bản cũ của trình duyệt Mozilla được tìm thấy trên 100 nghìn thiết bị. Hóa ra sau này, Mozilla đã được đưa vào hình ảnh vàng từ nhiều năm trước, không ai sử dụng nhưng nó lại là nguồn gốc của một số lượng lớn lỗ hổng. Khi trình duyệt bị xóa khỏi máy tính (thậm chí còn có trên một số máy chủ), hàng chục nghìn lỗ hổng này đã biến mất.
4. Xếp hạng các lỗ hổng dựa trên thông tin về mối đe dọa. Xem xét không chỉ mức độ nghiêm trọng của lỗ hổng bảo mật mà còn xem xét sự hiện diện của một hoạt động khai thác công khai, phần mềm độc hại, bản vá hoặc quyền truy cập bên ngoài vào hệ thống có lỗ hổng bảo mật. Đánh giá tác động của lỗ hổng này đối với các hệ thống kinh doanh quan trọng: nó có thể dẫn đến mất dữ liệu, từ chối dịch vụ, v.v.
Bước #7: Thống nhất về KPI
Đừng quét chỉ vì mục đích quét. Nếu không có gì xảy ra với các lỗ hổng được tìm thấy thì quá trình quét này sẽ trở thành một hoạt động vô ích. Để tránh việc xử lý các lỗ hổng trở thành một hình thức, hãy nghĩ đến cách bạn sẽ đánh giá kết quả của nó. Bảo mật thông tin và CNTT phải thống nhất về cách thức cấu trúc công việc loại bỏ các lỗ hổng, tần suất thực hiện quét, cài đặt các bản vá, v.v.
Trên trang trình bày, bạn sẽ thấy các ví dụ về các KPI có thể có. Ngoài ra còn có một danh sách mở rộng mà chúng tôi giới thiệu cho khách hàng của mình. Nếu bạn quan tâm thì liên hệ với tôi, tôi sẽ chia sẻ thông tin này cho bạn.
Bước # 8: Tự động hóa
Quay lại quét lần nữa. Tại Qualys, chúng tôi tin rằng quét là điều không quan trọng nhất có thể xảy ra trong quy trình quản lý lỗ hổng hiện nay và trước hết, quá trình này cần được tự động hóa nhiều nhất có thể để được thực hiện mà không cần sự tham gia của chuyên gia bảo mật thông tin. Ngày nay có rất nhiều công cụ cho phép bạn làm điều này. Chỉ cần họ có API mở và số lượng trình kết nối cần thiết là đủ.
Ví dụ tôi muốn đưa ra là DevOps. Nếu bạn triển khai trình quét lỗ hổng ở đó, bạn có thể quên DevOps đi. Với các công nghệ cũ, là một máy quét cổ điển, bạn sẽ không được phép thực hiện các quy trình này. Các nhà phát triển sẽ không đợi bạn quét và cung cấp cho họ một báo cáo dài nhiều trang, bất tiện. Các nhà phát triển mong đợi rằng thông tin về các lỗ hổng sẽ xâm nhập vào hệ thống lắp ráp mã của họ dưới dạng thông tin lỗi. Bảo mật phải được tích hợp liền mạch trong các quy trình này và nó chỉ phải là một tính năng được hệ thống mà nhà phát triển của bạn sử dụng tự động gọi.
Bước # 9: Tập trung vào những điều cần thiết
Tập trung vào những gì mang lại giá trị thực sự cho công ty của bạn. Quét có thể được tự động, báo cáo cũng có thể được gửi tự động.
Tập trung vào việc cải tiến các quy trình để làm cho chúng linh hoạt và thuận tiện hơn cho mọi người tham gia. Tập trung vào việc đảm bảo rằng tính bảo mật được đưa vào tất cả các hợp đồng với các đối tác của bạn, chẳng hạn như những người phát triển ứng dụng web cho bạn.
Nếu bạn cần thông tin chi tiết hơn về cách xây dựng quy trình quản lý lỗ hổng trong công ty của mình, vui lòng liên hệ với tôi và các đồng nghiệp của tôi. Tôi rất sẵn lòng giúp đỡ.
Nguồn: www.habr.com