Jak zbudować program zarządzania podatnościami
Program zarządzania podatnościami systematycznie identyfikuje, ocenia, nadaje priorytety i łagodzi podatności, które mogą stanowić zagrożenie dla infrastruktury i aplikacji przedsiębiorstwa. Nowoczesny program zarządzania podatnościami łączy automatyzację, inteligencję zagrożeń i naukę o danych, aby przewidzieć, które podatności stanowią największe ryzyko dla danego środowiska.
Dlaczego program zarządzania podatnościami jest krytyczny?
Liczba podatności zaobserwowanych w urządzeniach, sieciach i aplikacjach dramatycznie wzrosła w ostatnich latach. Rzut oka na National Vulnerability Database ujawnia, że liczba Common Vulnerabilities and Exploits (CVEs) potroiła się od 2016 roku.
Również na fali wzrostu: Wysoce wyrafinowane wysiłki mające na celu wykorzystanie tych podatności. Według Identity Theft Resource Center (ITRC), liczba zarejestrowanych przypadków naruszenia danych skoczyła o 17% od 2018 do 2019 roku. W ciągu zaledwie dwóch pierwszych miesięcy 2020 roku 1,66 miliarda rekordów zostało narażonych w 11 476 naruszeniach.
Ale większość firm nadal nie jest odpowiednio przygotowana. W 2019 r. firma PwC stwierdziła, że „mniej niż połowa firm na świecie jest wystarczająco przygotowana na atak cyberbezpieczeństwa.” Cyberprzestępcy stają się coraz bardziej zaawansowani, a organizacje zmagają się z zapewnieniem, że zestawy umiejętności, narzędzia i procesy cyberbezpieczeństwa ich zespołów są w stanie sprostać tym zagrożeniom.
Wszystko to wiąże się z realnymi kosztami dla firm. Firma Cybersecurity Ventures przewiduje, że do 2021 r. szkody spowodowane przez cyberprzestępczość będą kosztować świat 6 bilionów dolarów rocznie (wzrost z 3 bilionów dolarów w 2015 r.) – koszty, na które w czasach historycznych zaburzeń gospodarczych firmy mogą sobie pozwolić.
Ponieważ podatności i zróżnicowane ataki wciąż rosną, potrzebny jest program zarządzania podatnościami, aby odpowiednio chronić infrastrukturę, aplikacje i dane.
Czy tradycyjny program zarządzania podatnościami nadąża?
Wiele przedsiębiorstw wciąż polega na zwyczaju łatania wszystkiego, co przekracza pewien próg, taki jak Common Vulnerability Scoring System (CVSS) o punktacji siedem lub więcej. Niektóre z nich nadal używają ogromnych arkuszy kalkulacyjnych z podatnościami, które następnie sortują w oparciu o intuicję, publiczny profil podatności lub liczbę zasobów, których dotyczy dana podatność. W większości przypadków, to podstawowe podejście do programu zarządzania podatnościami sprawdzało się – to znaczy, do czasu, gdy napastnicy stali się bardziej wyrafinowani, a infrastruktury stały się bardziej skomplikowane, wrażliwe i rozbudowane.
Problemem dla dzisiejszych organizacji jest to, że te tradycyjne modele programów zarządzania podatnościami zmuszają je do prób nadawania priorytetów błędom bez kontekstu niezbędnego do dokładnej oceny ryzyka, jakie dany błąd stanowi dla ich konkretnej organizacji. Na przykład, luka może trafić na pierwsze strony gazet i wywołać niepokój wśród interesariuszy i kadry zarządzającej. Wiele luk zostało załatanych w takich warunkach. Jednak w wielu przypadkach, luka może nie być aktywnie wykorzystywana w danej branży; innymi słowy, stanowi ona stosunkowo niskie ryzyko dla infrastruktury. Posiadanie takiego kontekstu pomoże określić, które luki są warte załatania – a następnie obronić przed innymi swoją decyzję o odłożeniu na bok naprawiania luk, które trafiają na pierwsze strony gazet.
Teraz weź pod uwagę, że tylko 2%-5% podatności w organizacji może zostać wykorzystanych. Tradycyjne metody zarządzania podatnościami nie są w stanie pomóc w zidentyfikowaniu tych, które najprawdopodobniej mogą zostać wykorzystane. Skanery podatności i punktacja CVSS oferują zespołom IT i bezpieczeństwa niewielki wgląd w konkretne ryzyko, jakie każda podatność stanowi dla organizacji.
Tradycyjne vs. oparte na ryzyku programy zarządzania podatnościami
Najnowszą alternatywą dla tradycyjnych metod jest zarządzanie podatnościami oparte na ryzyku, które wykorzystuje naukę o danych, inteligencję w zakresie podatności w czasie rzeczywistym i automatyzację w celu stworzenia priorytetowego i wydajnego podejścia do lepszego wyodrębnienia i zrozumienia ryzyka, które faktycznie stanowi realne zagrożenie dla organizacji. Firmy, które chcą zaoszczędzić czas, stworzyć bardziej efektywne procesy naprawcze i obniżyć profil ryzyka, zwracają się ku zarządzaniu podatnościami opartemu na analizie ryzyka.
Według czołowych analityków, przyszłością programów zarządzania podatnościami jest zarządzanie oparte na ryzyku. W ostatnich miesiącach, gdy podatności i zagrożenia wciąż rosną i ewoluują, Gartner dostrzegł konieczność priorytetyzacji podatności w oparciu o ryzyko. „Gartner zwrócił uwagę na krytyczną potrzebę oceny aktywów pod kątem problemów z konfiguracją i podatności, a także na możliwość ustalenia priorytetów dla działań podejmowanych w ramach tej oceny, w oparciu o ryzyko dla organizacji.”
A pod koniec ubiegłego roku, Forrester również zauważył, że priorytetyzacja oparta na ryzyku zdefiniuje przyszłe nowoczesne programy zarządzania podatnościami.
Jakie są kroki do zbudowania programu zarządzania podatnościami?
Organizacje, które chcą stworzyć lub wzmocnić swoje programy zarządzania podatnościami powinny zacząć od wykonania tych sześciu kluczowych kroków.
- Zbierz swój zespół. Rozpocznij tworzenie podstaw swojego programu, identyfikując wszystkich kluczowych graczy. Organizacje często posiadają dyrektora lub kierownika ds. bezpieczeństwa, którego zadaniem jest zarządzanie podatnościami oraz co najmniej jednego analityka, który identyfikuje, śledzi i ocenia podatności w całym środowisku. Członek zespołu naprawczego, odpowiedzialny za usuwanie luk, może obejmować wiele działów, takich jak IT, DevOps i AppSec.
- Zdobądź odpowiednie narzędzia. Powszechne narzędzia do wyszukiwania podatności używane przez zespoły bezpieczeństwa odkrywają podatności w środowisku. Po zlokalizowaniu tych podatności, baza danych zarządzania konfiguracją dostarcza szczegółowych informacji o wszystkich zasobach sprzętowych i programowych w organizacji. Rozwiązanie do zarządzania podatnościami wykorzystuje i sortuje te dane, co pozwala na zidentyfikowanie najważniejszych podatności, które stanowią największe ryzyko dla organizacji. Są one następnie wprowadzane do procesu naprawczego (zazwyczaj przy użyciu systemu biletowego), który jest współdzielony z IT i DevOps.
- Porównaj krajobraz zagrożeń z własnym środowiskiem. Wykorzystaj swoją wiedzę na temat aktywów i znanych podatności w organizacji i porównaj je z informacjami o zagrożeniach. Pomoże to w określeniu wpływu potencjalnego exploita – kolejnego kluczowego czynnika w określaniu ryzyka. Narzędzia takie jak listy CVE, CPE (Common Platform Enumeration) i CWE (Common Weakness Enumeration) stanowią dobry początek, ale do skutecznego porównania potrzebne są szerokie, rzeczywiste dane, które uwzględni tylko nowoczesny program zarządzania podatnościami.
- Poznaj swoje zasoby, aplikacje i tolerancję na ryzyko. Zrozumienie obecnych aktywów i akceptowalnego poziomu ryzyka organizacji jest krytyczne dla efektywnego ustalania priorytetów. Aby opracować szczegółową inwentaryzację aktywów, należy skorzystać z zautomatyzowanych narzędzi pomagających w tym zadaniu, które przeskanują organizację w celu zidentyfikowania aktywów, takich jak serwery, stacje robocze, maszyny wirtualne, macierze pamięci masowej i urządzenia sieciowe. Twoja tolerancja na ryzyko może wynikać z branży lub konkretnych wytycznych firmy. Poszukaj źródeł w swojej firmie, które wskażą Ci wytyczne dotyczące oceny ryzyka w innych aspektach działalności. W przypadku konkretnych podatności, kluczowe jest zrozumienie, jak duże ryzyko możesz zaakceptować i jakie kompromisy wiążą się z naprawą teraz lub na poczekaniu.
- Zmierz, oceń i ustal priorytety dla swoich podatności. To jest etap, na którym wybór platformy do zarządzania podatnościami staje się krytyczny. Rozważając właściwą platformę dla swojej organizacji, należy szukać takiej, która integruje rzeczywiste informacje o podatnościach, naukę o danych, zautomatyzowaną analizę ryzyka, zindywidualizowane metryki ryzyka, a nawet oparte na ryzyku umowy SLA. Najlepsze nowoczesne platformy łączą to wszystko w metrykę – lub wynik – która jest prosta, zrozumiała i powtarzalna.
- Komunikacja, remediacja i raportowanie. Twoje rozwiązanie do zarządzania podatnościami powinno pomagać – a nie utrudniać – wewnętrzną komunikację między kluczowymi zespołami. Powinno również wspierać Twoją zdolność do szybkiego i skutecznego usuwania błędów, utrzymując wszystkich na bieżąco, a także sprawić, że raportowanie postępów będzie proste i intuicyjne. Upewnij się, że szukasz platformy oferującej integrację z popularnymi systemami biletowymi oraz możliwość tworzenia metryk i niestandardowych pulpitów, dzięki czemu kluczowi interesariusze będą mieli stały, łatwy do zrozumienia wgląd w postępy w zarządzaniu ryzykiem w Twojej firmie. Większość organizacji stosuje kombinację trzech popularnych taktyk naprawczych, w tym zautomatyzowane łatki, narzędzia do zarządzania łatkami i ręczne aktualizacje.
Dowiedz się, jak wdrożyć nowoczesny, oparty na ryzyku program zarządzania podatnościami
Potrzeba ustanowienia przez firmę nowoczesnego programu zarządzania podatnościami jest oczywista. Opieranie się na tradycyjnych metodach zarządzania podatnościami sprawia, że zespoły zajmujące się ich usuwaniem ścigają się z podatnościami, które mogą nie zmniejszyć ogólnego ryzyka, i powoduje nieefektywność przepływu pracy. Nowoczesne programy zarządzania podatnościami umożliwiają organizacjom przyjęcie proaktywnej, opartej na danych postawy wobec zagrożeń i usprawniają wewnętrzne operacje, co pozwala zaoszczędzić czas i pieniądze, ograniczyć marnowanie wysiłków, poprawić współpracę między zespołami i znacząco wpłynąć na ich profile ryzyka.
Aby uzyskać dogłębne spojrzenie na to, jak wdrożyć program zarządzania podatnością na zagrożenia, pobierz How to Implement Risk-Based Vulnerability Management Now: A Practical Guide. Wypełniony praktycznymi wskazówkami i najlepszymi praktykami, ten eBook szczegółowo opisuje znaczenie nowoczesnego programu zarządzania podatnościami wśród dzisiejszego zmieniającego się krajobrazu zagrożeń i szczegółowo przedstawia sześć kluczowych kroków do ustanowienia programu zarządzania podatnościami opartego na ryzyku, opisanego powyżej.
Ściągnij eBook już dziś i zacznij zabezpieczać swoją firmę na przyszłość.