我們度過了一個重要的 4 月 XNUMX 日 。 今天,我們發布了來自 Qualys 的安德烈·諾維科夫 (Andrey Novikov) 的演講稿。 他將告訴您建置漏洞管理工作流程需要執行哪些步驟。 劇透:在掃描之前我們只會到達一半。
步驟#1:確定漏洞管理流程的成熟度級別
首先,您需要了解您的組織在漏洞管理流程的成熟度方面處於哪個階段。 只有在此之後,您才能了解要移動到哪裡以及需要採取哪些步驟。 在開始掃描和其他活動之前,組織需要做一些內部工作,從 IT 和資訊安全的角度了解當前流程的結構。
試回答基本問題:
- 您是否有庫存和資產分類流程?
- IT基礎架構多久掃描一次,整個基礎架構是否被覆蓋,你是否看到了全貌;
- 您的 IT 資源是否受到監控?
- 您的流程中是否實施了任何 KPI?您如何理解這些 KPI 得到了滿足;
- 所有這些過程都有記錄嗎?
步驟#2:確保基礎設施全面覆蓋
你無法保護你不知道的東西。 如果您無法全面了解 IT 基礎架構的組成,您將無法保護它。 現代基礎設施非常複雜,並且在數量和質量上不斷變化。
現在的IT基礎架構不僅基於一系列經典技術(工作站、伺服器、虛擬機器),而且還基於相對較新的技術—容器、微服務。 資訊安全服務正在以各種可能的方式逃離後者,因為它很難使用主要由掃描器組成的現有工具集與它們合作。 問題是任何掃描器都無法覆蓋整個基礎設施。 為了使掃描器能夠到達基礎設施中的任何節點,幾個因素必須一致。 掃描時資產必須位於組織的範圍內。 掃描器必須能夠透過網路存取資產及其帳戶,才能收集完整的資訊。
根據我們的統計,對於中型或大型組織,大約 15-20% 的基礎設施由於這樣或那樣的原因而未被掃描器捕獲:資產已移出邊界或根本沒有出現在辦公室中。 例如,遠端工作但仍可以存取公司網路的員工的筆記型電腦,或資產位於 Amazon 等外部雲端服務中。 掃描器很可能對這些資產一無所知,因為它們超出了其可見範圍。
要涵蓋整個基礎設施,您不僅需要使用掃描儀,還需要使用一整套感測器,包括用於檢測基礎設施中新設備的被動流量監聽技術、用於接收資訊的代理資料收集方法- 允許您在線上接收數據,而無需需要掃描,而不突出顯示憑證。
步驟#3:將資產分類
並非所有資產都是生而平等的。 您的工作是確定哪些資產重要,哪些資產不重要。 沒有任何工具(例如掃描器)可以為您執行此操作。 理想情況下,資訊安全、IT 和業務部門共同分析基礎設施,以識別關鍵業務系統。 對他們來說,他們確定可接受的可用性、完整性、機密性、RTO/RPO 等指標。
這將幫助您確定漏洞管理流程的優先順序。 當您的專家收到有關漏洞的數據時,它不會是一張包含整個基礎設施中數千個漏洞的表,而是考慮到系統重要性的精細資訊。
步驟#4:進行基礎設施評估
只有到了第四步,我們才會從漏洞的角度評估基礎設施。 現階段,我們建議您不僅要關注軟體漏洞,還要關注配置錯誤,這也可能是漏洞。 這裡我們推薦代理商收集資訊的方法。 掃描器可以而且應該用於評估週邊安全。 如果您使用雲端提供者的資源,那麼您還需要從那裡收集有關資產和配置的資訊。 特別注意使用 Docker 容器分析基礎架構中的漏洞。
步驟#5:設定報告
這是漏洞管理流程中的重要元素之一。
第一點:沒有人會使用隨機漏洞清單和如何消除漏洞的描述的多頁報告。 首先,你需要與同事溝通,以了解報告中應該包含哪些內容以及如何更方便他們接收資料。 例如,某些管理員不需要漏洞的詳細描述,只需要有關補丁的資訊及其連結。 另一位專家只關心網路基礎設施中發現的漏洞。
第二點:我所說的報告不只是紙本報告。 這是獲取資訊和靜態故事的過時格式。 一個人收到一份報告後,不能以任何方式影響該報告中數據的呈現方式。 為了獲得所需形式的報告,IT 專家必須聯繫資訊安全專家並要求他重建報告。 隨著時間的推移,新的漏洞會出現。 這兩個學科的專家應該能夠在線上監控數據並看到相同的圖片,而不是從一個部門推送到另一個部門的報告。 因此,在我們的平台中,我們使用可自訂儀表板形式的動態報告。
步驟#6:確定優先級
在這裡您可以執行以下操作:
1. 建立包含系統黃金映像的儲存庫。 使用黃金映像,檢查它們是否存在漏洞並持續修正配置。 這可以在代理的幫助下完成,代理將自動報告新資產的出現並提供有關其漏洞的資訊。
2. 專注於對業務至關重要的資產。 世界上沒有任何一個組織能夠一次消除漏洞。 消除漏洞的過程是漫長甚至乏味的。
3. 縮小攻擊面。 清除基礎設施中不必要的軟體和服務,關閉不必要的連接埠。 我們最近遇到了一個案例,一家公司在 40 萬台設備上發現了大約 100 萬個與舊版 Mozilla 瀏覽器相關的漏洞。 後來事實證明,Mozilla 多年前就引入了黃金鏡像,沒有人使用它,但卻是大量漏洞的根源。 當瀏覽器從電腦上刪除(甚至在某些伺服器上)時,這些數以萬計的漏洞就消失了。
4. 根據威脅情報對漏洞進行排名。 不僅要考慮漏洞的嚴重性,還要考慮是否存在公共漏洞、惡意軟體、修補程式或對具有漏洞的系統的外部存取。 評估漏洞對關鍵業務系統的影響:是否會導致資料遺失、拒絕服務等。
步驟#7:就 KPI 達成一致
不要為了掃描而掃描。 如果發現的漏洞沒有任何變化,那麼這次掃描就變成了無用的操作。 為了防止處理漏洞成為一種形式,請考慮如何評估其結果。 資訊安全和 IT 必須就如何建立消除漏洞的工作、執行掃描的頻率、安裝修補程式等達成協議。
在投影片上您可以看到可能的 KPI 範例。 我們也向客戶推薦了一份擴充清單。 如果您有興趣,請聯繫我,我將與您分享此資訊。
步驟#8:自動化
再次返回掃描。 在 Qualys,我們認為掃描是當今漏洞管理流程中最不重要的事情,首先需要盡可能自動化,以便在沒有資訊安全專家參與的情況下執行掃描。 如今有很多工具可以幫助您做到這一點。 他們擁有開放的 API 和所需數量的連接器就足夠了。
我喜歡舉的例子是 DevOps。 如果您在那裡實施漏洞掃描程序,您就可以忘記 DevOps。 使用舊技術(即經典掃描器),您根本不會被允許進入這些過程。 開發人員不會等你掃描並給他們一份多頁的、不方便的報告。 開發人員期望有關漏洞的資訊能夠以錯誤訊息的形式進入他們的程式碼彙編系統。 安全性應該無縫地建置到這些流程中,並且它應該只是由開發人員使用的系統自動呼叫的功能。
步驟#9:專注於要點
專注於為您的公司帶來真正價值的事物。 掃描可以自動進行,報告也可以自動發送。
專注於改進流程,使其對每個參與者來說都更加靈活和方便。 重點確保安全性融入與您的交易對手(例如為您開發 Web 應用程式)的所有合約中。
如果您需要有關如何在公司中建立漏洞管理流程的更多詳細信息,請聯繫我和我的同事。 我很樂意提供協助。
來源: www.habr.com