Articles

Hogyan építsünk ki egy sebezhetőségkezelési programot

A sebezhetőségkezelési program szisztematikusan azonosítja, értékeli, rangsorolja és mérsékli azokat a sebezhetőségeket, amelyek kockázatot jelenthetnek a vállalati infrastruktúrára és alkalmazásokra. Egy modern sebezhetőség-kezelő program kombinálja az automatizálást, a fenyegetésekkel kapcsolatos információkat és az adattudományt, hogy megjósolja, mely sebezhetőségek jelentik a legnagyobb kockázatot egy adott környezetre nézve.

Miért kritikus egy sebezhetőség-kezelő program?

Az eszközökben, hálózatokban és alkalmazásokban megfigyelt sebezhetőségek száma drámaian megnőtt az elmúlt években. A Nemzeti sebezhetőségi adatbázisra vetett pillantásból kiderül, hogy a közös sebezhetőségek és kihasználások (CVE-k) száma 2016 óta megháromszorozódott.

Szintén növekvőben vannak: az e sebezhetőségek kihasználására irányuló, rendkívül kifinomult erőfeszítések. Az Identity Theft Resource Center (ITRC) szerint a regisztrált adatlopások száma 2018-ról 2019-re 17%-kal ugrott meg. Csak 2020 első két hónapjában 1,66 milliárd adatot tártak fel 11 476 adatbetörés során.

Mégis a legtöbb vállalat még mindig nincs megfelelően felkészülve. A PwC 2019-ben megállapította, hogy “világszerte a vállalatok kevesebb mint fele van kellőképpen felkészülve egy kiberbiztonsági támadásra”. A kiberbűnözők egyre fejlettebbek, a szervezetek pedig küzdenek azért, hogy csapatuk kiberbiztonsági készségei, eszközei és folyamatai képesek legyenek kezelni ezeket a fenyegetéseket.

Mindez valós költségekkel jár a vállalkozások számára. A Cybersecurity Ventures előrejelzése szerint 2021-re a kiberbűnözés által okozott károk évente 6 billió dollárba fognak kerülni a világnak (a 2015-ös 3 billió dollárról) – olyan költségek, amelyeket a történelmi gazdasági zavarok idején a vállalkozások aligha engedhetnek meg maguknak.

Mivel a sebezhetőségek és a szerteágazó támadások száma egyre nő, az infrastruktúra, az alkalmazások és az adatok megfelelő védelméhez sebezhetőségkezelő programra van szükség.

A hagyományos sebezhetőségkezelő program képes lépést tartani?

Néhány vállalkozás még mindig abban a szokásban bízik, hogy egy bizonyos küszöbérték felett mindent foltoz, például a Common Vulnerability Scoring System (CVSS) hetes vagy annál magasabb pontszámát. Néhányan továbbra is hatalmas táblázatokat használnak a sebezhetőségekről, amelyeket aztán intuíció, a sebezhetőség nyilvános profilja vagy az érintett eszközök száma alapján rendeznek. A legtöbb esetben a sebezhetőség-kezelési programnak ez az alapvető megközelítése működött – egészen addig, amíg a támadók egyre kifinomultabbá nem váltak, és az infrastruktúrák egyre bonyolultabbá, érzékenyebbé és kiterjedtebbé nem váltak.

A mai szervezetek számára az a probléma, hogy ezek a hagyományos sebezhetőségkezelési programmodellek arra kényszerítik őket, hogy a sebezhetőségeket a szükséges kontextus nélkül próbálják meg rangsorolni, hogy pontosan fel tudják mérni, milyen kockázatot jelent egy sebezhetőség az adott szervezetre nézve. Például előfordulhat, hogy egy sebezhetőség a címlapokra kerül, és aggodalmat kelt az érdekeltek és a vezetők körében. Sok sebezhetőséget ilyen körülmények között foltoztak be. Sok esetben azonban előfordulhat, hogy a sebezhetőséget nem használják ki aktívan az Ön iparágában; más szóval viszonylag alacsony kockázatot jelent az Ön infrastruktúrájára nézve. Ennek a kontextusnak a birtokában könnyebben meghatározhatja, hogy mely sebezhetőségeket érdemes kijavítani, és megvédheti másokkal szemben azt a döntését, hogy a címlapokra kerülő sebezhetőségek javítását nem helyezi előtérbe.

Most gondoljon arra, hogy egy szervezet sebezhetőségének mindössze 2-5%-át használják ki. A sebezhetőségek kezelésének hagyományos módszerei valószínűleg nem sokat segítenek a legnagyobb valószínűséggel kihasználható sebezhetőségek azonosításában. A sebezhetőségi szkennerek és a CVSS-pontszámok kevés betekintést nyújtanak az IT- és biztonsági csapatoknak abba, hogy az egyes sebezhetőségek milyen konkrét kockázatot jelentenek egy szervezet számára.

Ez azt eredményezi, hogy a biztonsági csapatok megpróbálják rávenni az IT-t és a DevOps-ot, hogy nagy mennyiségű sebezhetőséget orvosoljanak, ami végső soron talán nem csökkenti a kockázatot, és olyan értékes ciklusokat pazarolnak el, amelyeket stratégiai és értelmesebb kezdeményezésekre lehetne fordítani. A biztonsági és az IT-csapatok közötti súrlódást a hagyományos sebezhetőségkezelési programokkal rendelkező szervezetek túlságosan jól ismerik.

Hagyományos vs. kockázatalapú sebezhetőségkezelési programok

A hagyományos módszerek modernebb alternatívája az úgynevezett kockázatalapú sebezhetőségkezelés, amely az adattudomány, a valós idejű sebezhetőségi intelligencia és az automatizálás segítségével prioritások szerinti és hatékony megközelítést hoz létre a szervezetet ténylegesen fenyegető kockázatok jobb elkülönítésére és megértésére. Azok a vállalatok, amelyek időt szeretnének megtakarítani, hatékonyabb javítási munkafolyamatokat szeretnének létrehozni, és csökkenteni a kockázati profiljukat, a kockázatalapú sebezhetőség-kezelés felé fordulnak.

Vezető elemzők szerint a sebezhetőségkezelési programok jövője a kockázatalapú. Az elmúlt hónapokban, ahogy a sebezhetőségek és fenyegetések folyamatosan növekednek és fejlődnek, a Gartner felismerte a sebezhetőségek kockázaton alapuló priorizálásának szükségességét. “A Gartner felhívta a figyelmet arra a kritikus szükségletre, hogy az eszközöket konfigurációs problémák és sebezhetőségek szempontjából értékelni kell, és képesnek kell lenni arra, hogy a szervezetet fenyegető kockázat alapján rangsorolja, hogy mit tesz az értékeléssel”.

A tavalyi év végén pedig a Forrester is megjegyezte, hogy a kockázatalapú priorizálás fogja meghatározni a jövőbeni modern sebezhetőségkezelési programokat.

Melyek a sebezhetőségkezelési program kiépítésének lépései?

A sebezhetőségkezelési programjukat létrehozni vagy megerősíteni kívánó szervezeteknek az alábbi hat kulcsfontosságú lépéssel kell kezdeniük.

  1. Állítsa össze a csapatát. Kezdje meg a program megalapozását a szükséges kulcsszereplők azonosításával. A szervezeteknek gyakran van egy biztonsági igazgatója vagy vezetője, akinek feladata a sebezhetőségkezelés kezelése, valamint legalább egy elemző, aki azonosítja, nyomon követi és értékeli a sebezhetőségeket a környezetében. A sebezhetőségek kijavításáért felelős csapat tagja több részlegre is kiterjedhet, például az IT, a DevOps és az AppSec területére.
  2. Szerezze be a megfelelő eszközöket. A biztonsági csapatok által használt gyakori sebezhetőség-kereső eszközök a környezeten belüli sebezhetőségeket tárják fel. Miután ezeket a sebezhetőségeket megtalálták, egy konfigurációkezelő adatbázis részletes információkat nyújt a szervezet összes hardver- és szoftvereszközéről. A sebezhetőség-kezelési megoldás értelmezi és rendszerezi ezeket a megszerzett adatokat, amelyek azonosítják a szervezet számára legnagyobb kockázatot jelentő legfontosabb sebezhetőségeket. Ezek aztán bekerülnek egy javítási munkafolyamatba (jellemzően egy jegyrendszer segítségével), amelyet megosztanak az IT-vel és a DevOps-szal.
  3. A fenyegetések és a környezet összevetése. Vegye alapul a szervezeten belüli eszközeiről és ismert sebezhetőségekről szerzett ismereteit, és kereszthivatkozza azokat a fenyegetésekkel kapcsolatos információkkal. Ez segít meghatározni egy potenciális exploit hatását – ez egy másik kulcsfontosságú tényező a kockázat meghatározásában. Az olyan eszközök, mint a CVE-listák, a CPE (common platform enumeration) és a CWE (common weakness enumeration) információk nyújtanak egy kezdetet, de a hatékony kereszthivatkozáshoz széles körű, valós adatokra van szükség, amelyeket egy csak modern sebezhetőségkezelési program tartalmaz.
  4. Ismerje eszközeit, alkalmazásait és kockázattűrő képességét. A jelenlegi eszközeinek és a szervezet elfogadható kockázati szintjének megértése kritikus fontosságú a hatékony priorizáláshoz. A részletes eszközleltár kialakításához keressen automatizált eszközöket, amelyek segítenek ebben a feltárási feladatban, és amelyek átvizsgálják szervezetét, hogy azonosítsák az olyan eszközöket, mint a szerverek, munkaállomások, virtuális gépek, tárolótömbök és hálózati eszközök. Az Ön kockázati toleranciáját az iparág vagy az adott vállalati irányelvek határozhatják meg. Keressen olyan forrásokat a vállalatán belül, amelyek rámutatnak az üzleti tevékenység más aspektusait érintő kockázatértékelési irányelvekre. Az egyes sebezhetőségek esetében kritikus fontosságú, hogy megértse, mekkora kockázatot tud vállalni, és hogy milyen kompromisszumokat kell kötnie a mostani vagy a várakozással járó helyreállítással.
  5. Mérje, értékelje és rangsorolja a sebezhetőségeket. Ez az a szakasz, amikor a sebezhetőség-kezelő platform kiválasztása kritikussá válik. A szervezetének megfelelő platform kiválasztásakor keressen olyat, amely integrálja a valós sebezhetőségi intelligenciát, az adattudományt, az automatizált kockázatelemzést, a testreszabott kockázati mérőszámokat, sőt a kockázatalapú SLA-kat is. A legjobb modern platformok mindezt egy egyszerű, érthető és megismételhető mérőszámban – vagy pontszámban – egyesítik.
  6. Kommunikálni, orvosolni és jelenteni. A sebezhetőség-kezelési megoldásnak segítenie – nem pedig akadályoznia – kell a kulcsfontosságú csapatok közötti belső kommunikációt. Támogatnia kell továbbá a gyors és hatékony orvoslás képességét, miközben mindenkit naprakészen tart, valamint egyszerűvé és intuitívvá kell tennie az előrehaladásról szóló jelentéstételt. Győződjön meg róla, hogy olyan platformot keres, amely integrációt kínál a népszerű jegyrendszerekhez, valamint lehetőséget biztosít mérőszámok és egyéni műszerfalak fejlesztésére, hogy a kulcsfontosságú érdekeltek folyamatosan és könnyen érthetően láthassák a vállalat kockázatkezelésének előrehaladását. A legtöbb szervezet három gyakori javítási taktika kombinációját alkalmazza, beleértve az automatikus javításokat, a javításkezelő eszközöket és a kézi frissítéseket.

Tanulja meg, hogyan kell modern, kockázatalapú sebezhetőségkezelési programot bevezetni

A modern sebezhetőségkezelési program létrehozásának szükségessége egyértelmű. A sebezhetőségkezelés hagyományos módszereire támaszkodva a javító csapatok olyan sebezhetőségek után kutatnak, amelyek nem feltétlenül csökkentik az általános kockázatot, és a munkafolyamatokon belül nem hatékonyak. A modern sebezhetőség-kezelési programok lehetővé teszik a szervezetek számára, hogy proaktív, adatvezérelt módon lépjenek fel a fenyegetésekkel szemben, és racionalizálják a belső műveleteket, hogy időt és pénzt takarítsanak meg, csökkentsék a felesleges erőfeszítéseket, javítsák a csapatok közötti együttműködést, és érdemi hatást gyakoroljanak a kockázati profiljukra.

A kockázatalapú sebezhetőségkezelési program megvalósításának részletes áttekintéséhez töltse le a Hogyan valósítsuk meg most a kockázatalapú sebezhetőségkezelést? A Practical Guide (Gyakorlati útmutató). A gyakorlati tippekkel és legjobb gyakorlatokkal teli e-könyv részletesen bemutatja a modern sebezhetőség-kezelési program fontosságát a mai változó fenyegetettségi környezet közepette, és részletesen végigveszi a kockázatalapú sebezhetőség-kezelési program létrehozásának fent vázolt hat kulcsfontosságú lépését.

Töltse le az e-könyvet még ma, és kezdje el vállalkozásának jövőbiztosítását.