Jak vytvořit program správy zranitelností
Program správy zranitelností systematicky identifikuje, vyhodnocuje, určuje priority a zmírňuje zranitelnosti, které mohou představovat riziko pro podnikovou infrastrukturu a aplikace. Moderní program správy zranitelností kombinuje automatizaci, zpravodajství o hrozbách a datovou vědu s cílem předpovědět, které zranitelnosti představují pro konkrétní prostředí největší riziko.
Proč je program správy zranitelností kritický?
Počet zranitelností pozorovaných v zařízeních, sítích a aplikacích v posledních letech dramaticky vzrostl. Pohled do Národní databáze zranitelností ukazuje, že počet běžných zranitelností a zneužití (CVE) se od roku 2016 ztrojnásobil.
Roste také: Vysoce sofistikované snahy o zneužití těchto zranitelností. Podle organizace Identity Theft Resource Center (ITRC) vyskočil počet zaznamenaných narušení bezpečnosti dat od roku 2018 do roku 2019 o 17 %. Jen za první dva měsíce roku 2020 bylo při 11 476 narušeních odhaleno 1,66 miliardy záznamů.
Většina společností však stále není dostatečně připravena. V roce 2019 společnost PwC zjistila, že „méně než polovina společností na celém světě je dostatečně připravena na kybernetický bezpečnostní útok“. Kybernetičtí zločinci jsou stále vyspělejší a organizace se snaží zajistit, aby dovednosti, nástroje a procesy jejich týmů v oblasti kybernetické bezpečnosti dokázaly těmto hrozbám čelit.
To vše přináší podnikům skutečné náklady. Společnost Cybersecurity Ventures předpovídá, že do roku 2021 budou škody způsobené kyberkriminalitou stát svět 6 bilionů dolarů ročně (oproti 3 bilionům dolarů v roce 2015) – náklady, které si v době historického narušení ekonomiky mohou podniky jen stěží dovolit.
S rostoucím počtem zranitelností a diverzifikovaných útoků potřebujete k řádné ochraně infrastruktury, aplikací a dat program správy zranitelností.
Může tradiční program správy zranitelností držet krok?“
Mnoho podniků stále spoléhá na zvyk záplatovat vše, co přesahuje určitou hranici, například skóre CVSS (Common Vulnerability Scoring System) sedm nebo více. Některé nadále používají obrovské tabulky zranitelností, které pak třídí na základě intuice, veřejného profilu zranitelnosti nebo počtu zasažených prostředků. Tento základní přístup k programu správy zranitelností většinou fungoval – tedy dokud útočníci nebyli sofistikovanější a infrastruktury složitější, citlivější a rozsáhlejší.
Problém dnešních organizací spočívá v tom, že tyto tradiční modely programu správy zranitelností je nutí snažit se stanovit priority zranitelností bez kontextu potřebného k přesnému posouzení rizika, které daná zranitelnost představuje pro jejich konkrétní organizaci. Například zranitelnost se může dostat na titulní stránky novin a vyvolat znepokojení mezi zúčastněnými stranami a vedoucími pracovníky. Za těchto podmínek bylo opraveno mnoho zranitelností. V mnoha případech se však nemusí jednat o zranitelnost, která je ve vašem odvětví aktivně zneužívána; jinými slovy, představuje pro vaši infrastrukturu relativně nízké riziko. Mít tento kontext by vám pomohlo určit, které zranitelnosti stojí za opravu – a pak obhájit před ostatními své rozhodnutí upřednostnit nápravu zranitelností, které jsou na titulních stránkách.
Nyní si uvědomte, že pouze 2-5 % zranitelností organizace bude pravděpodobně zneužito. Tradiční způsoby správy zranitelností pravděpodobně příliš nepomohou při určování těch, které budou s největší pravděpodobností zneužity. Skenery zranitelností a skóre CVSS nabízejí IT a bezpečnostním týmům jen malý přehled o konkrétním riziku, které jednotlivé zranitelnosti pro organizaci představují.
Týmy zabezpečení se tak snaží přimět IT a DevOps k nápravě velkého množství zranitelností, které v konečném důsledku nemusí snížit riziko a plýtvají drahocennými cykly, které by mohly být věnovány strategičtějším a smysluplnějším iniciativám. Třenice mezi týmy zabezpečení a IT jsou něco, co organizace s tradičními programy správy zranitelností znají až příliš dobře.
Tradiční vs. programy správy zranitelností založené na rizicích
Modernější alternativou k tradičním metodám je tzv. správa zranitelností založená na rizicích, která využívá datovou vědu, informace o zranitelnostech v reálném čase a automatizaci k vytvoření prioritizovaného a efektivního přístupu k lepší izolaci a pochopení rizik, která pro organizaci skutečně představují reálnou hrozbu. Společnosti, které chtějí ušetřit čas, vytvořit efektivnější pracovní postupy nápravy a snížit svůj rizikový profil, se obracejí ke správě zranitelností založené na rizicích.
Podle předních analytiků je budoucnost programů správy zranitelností založena na rizicích. V posledních měsících, kdy zranitelností a hrozeb stále přibývá a vyvíjejí se, společnost Gartner uznala nutnost stanovení priorit zranitelností na základě rizika. „Společnost Gartner upozornila na zásadní potřebu vyhodnocovat aktiva z hlediska problémů s konfigurací a zranitelností a umět stanovit priority toho, co s tímto vyhodnocením uděláte, na základě rizika pro vaši organizaci.“
A na konci loňského roku společnost Forrester také poznamenala, že prioritizace na základě rizika bude definovat budoucí moderní programy správy zranitelností.
Jaké jsou kroky k vytvoření programu správy zranitelností?
Organizace, které chtějí vytvořit nebo posílit svůj program správy zranitelností, by měly začít těmito šesti klíčovými kroky.
- Sestavte svůj tým. Začněte pokládat základy svého programu tím, že určíte všechny potřebné klíčové hráče. Organizace mají často bezpečnostního ředitele nebo manažera, který má za úkol zabývat se správou zranitelností, a alespoň jednoho analytika, který identifikuje, sleduje a vyhodnocuje zranitelnosti v celém prostředí. Člen vašeho nápravného týmu, který má na starosti opravu zranitelností, může zahrnovat více oddělení, například IT, DevOps a AppSec.
- Pořiďte si správné nástroje. Běžné nástroje pro vyhledávání zranitelností používané bezpečnostními týmy odhalují zranitelnosti v prostředí. Jakmile jsou tyto zranitelnosti lokalizovány, databáze správy konfigurace poskytuje podrobné informace o všech hardwarových a softwarových prostředcích v organizaci. Řešení pro správu zranitelností dává těmto získaným datům smysl a třídí je, čímž identifikuje hlavní zranitelnosti, které představují pro organizaci největší riziko. Ty jsou pak zaneseny do pracovního postupu nápravy (obvykle pomocí systému ticketingu), který je sdílen s IT a DevOps.
- Křížová vazba prostředí hrozeb s vaším prostředím. Vezměte své znalosti o prostředcích a známých zranitelnostech ve vaší organizaci a porovnejte je s informacemi o hrozbách. To vám pomůže určit dopad potenciálního zneužití – další klíčový faktor pro určení rizika. Nástroje, jako jsou seznamy CVE, informace CPE (common platform enumeration) a CWE (common weakness enumeration), nabízejí začátek, ale pro efektivní křížovou referenci potřebujete rozsáhlá reálná data, která bude zahrnovat pouze moderní program správy zranitelností.
- Znáte svá aktiva, aplikace a toleranci k riziku. Pochopení vašich současných aktiv a přijatelné míry rizika vaší organizace je pro efektivní stanovení priorit klíčové. Chcete-li vytvořit podrobný soupis aktiv, sáhněte po automatizovaných nástrojích, které vám s tímto úkolem zjišťování pomohou a které prověří vaši organizaci a identifikují aktiva, jako jsou servery, pracovní stanice, virtuální počítače, úložná pole a síťová zařízení. Vaše tolerance k riziku se může odvíjet od vašeho odvětví nebo specifických podnikových směrnic. Vyhledejte ve své společnosti zdroje, které vás odkáží na pokyny pro hodnocení rizik zahrnující jiné aspekty podnikání. U konkrétních zranitelností je důležité pochopit, jak velké riziko můžete akceptovat a jaké kompromisy přináší buď okamžitá náprava, nebo vyčkávání.
- Změřte, vyhodnoťte a stanovte priority zranitelností. V této fázi se výběr platformy pro správu zranitelností stává rozhodujícím. Při zvažování vhodné platformy pro vaši organizaci hledejte takovou, která integruje reálné informace o zranitelnostech, datovou vědu, automatizovanou analýzu rizik, přizpůsobené metriky rizik a dokonce i smlouvy SLA založené na rizicích. Nejlepší moderní platformy toto vše spojují do metriky – neboli skóre -, které je jednoduché, srozumitelné a opakovatelné.
- Komunikujte, napravujte a podávejte zprávy. Vaše řešení pro správu zranitelností by mělo pomáhat – nikoli bránit – interní komunikaci mezi klíčovými týmy. Mělo by také podporovat vaši schopnost rychle a efektivně odstraňovat chyby a zároveň udržovat všechny v obraze a umožnit jednoduché a intuitivní podávání zpráv o vašem pokroku. Ujistěte se, že hledáte platformu, která nabízí integraci s populárními systémy ticketingu a možnost vývoje metrik a vlastních řídicích panelů, aby klíčové zúčastněné strany měly neustálý a snadno pochopitelný přehled o pokroku v řízení rizik ve vaší společnosti. Většina organizací používá kombinaci tří běžných taktik nápravy včetně automatických záplat, nástrojů pro správu záplat a ručních aktualizací.
Zjistěte, jak zavést moderní program správy zranitelností založený na rizicích
Potřeba podniku zavést moderní program správy zranitelností je zřejmá. Opírání se o tradiční metody správy zranitelností nechává týmy pro nápravu honit se za zranitelnostmi, které nemusí snižovat jejich celkové riziko, a vytváří neefektivitu v rámci pracovních postupů. Moderní programy správy zranitelností umožňují organizacím zaujmout proaktivní, na datech založený postoj k hrozbám a zefektivňují interní operace, čímž šetří čas a peníze, omezují zbytečné úsilí, zlepšují spolupráci mezi týmy a mají smysluplný dopad na jejich rizikové profily.
Pokud se chcete podrobně seznámit s tím, jak zavést program správy zranitelností založený na rizicích, stáhněte si článek Jak zavést program správy zranitelností založený na rizicích nyní: Praktický průvodce. Tato elektronická kniha, plná praktických tipů a osvědčených postupů, podrobně popisuje význam moderního programu správy zranitelností na pozadí dnešního vyvíjejícího se prostředí hrozeb a podrobně prochází šest klíčových kroků k zavedení výše uvedeného programu správy zranitelností založeného na rizicích.
Stáhněte si elektronickou knihu ještě dnes a začněte chránit své podnikání před budoucností.