Articles

Cum să construiți un program de management al vulnerabilităților

Un program de management al vulnerabilităților identifică, evaluează, prioritizează și atenuează sistematic vulnerabilitățile care pot reprezenta un risc pentru infrastructura și aplicațiile unei întreprinderi. Un program modern de gestionare a vulnerabilităților combină automatizarea, informațiile despre amenințări și știința datelor pentru a prezice ce vulnerabilități reprezintă cel mai mare risc pentru un anumit mediu.

De ce este esențial un program de gestionare a vulnerabilităților?

Numărul de vulnerabilități observate în dispozitive, rețele și aplicații a crescut dramatic în ultimii ani. O privire aruncată pe National Vulnerability Database (Baza de date națională privind vulnerabilitățile) arată că numărul de vulnerabilități și exploatări comune (CVE) s-a triplat din 2016.

De asemenea, în creștere: eforturile extrem de sofisticate de a exploata aceste vulnerabilități. Potrivit Identity Theft Resource Center (ITRC), numărul de încălcări ale securității datelor înregistrate a crescut cu 17% din 2018 până în 2019. Doar în primele două luni ale anului 2020, 1,66 miliarde de înregistrări au fost expuse în 11.476 de breșe.

Și totuși, majoritatea companiilor nu sunt încă pregătite în mod adecvat. În 2019, PwC a constatat că „mai puțin de jumătate dintre companiile la nivel global sunt suficient de pregătite pentru un atac de securitate cibernetică”. Infractorii cibernetici devin din ce în ce mai avansați, iar organizațiile se străduiesc să se asigure că seturile de competențe, instrumentele și procesele de securitate cibernetică ale echipei lor pot face față acestor amenințări.

Toate acestea au un cost real pentru întreprinderi. Până în 2021, Cybersecurity Ventures preconizează că daunele cauzate de criminalitatea cibernetică vor costa lumea 6.000 de miliarde de dolari anual (în creștere de la 3.000 de miliarde de dolari în 2015) – costuri pe care, într-o perioadă de perturbare economică istorică, întreprinderile abia dacă și le pot permite.

Pe măsură ce vulnerabilitățile și atacurile diversificate continuă să crească, aveți nevoie de un program de gestionare a vulnerabilităților pentru a vă proteja în mod corespunzător infrastructura, aplicațiile și datele.

Poate un program tradițional de gestionare a vulnerabilităților ține pasul?

Multe întreprinderi încă se bazează pe obiceiul de a aplica patch-uri la tot ceea ce depășește un anumit prag, cum ar fi scorurile Common Vulnerability Scoring System (CVSS) de șapte sau mai mult. Unele continuă să folosească foi de calcul uriașe cu vulnerabilități pe care le sortează apoi pe baza intuiției, a profilului public al unei vulnerabilități sau a numărului de active afectate. În cea mai mare parte, această abordare de bază a unui program de gestionare a vulnerabilităților a funcționat – asta până când atacatorii au devenit mai sofisticați, iar infrastructurile au devenit mai complicate, mai sensibile și mai extinse.

Problema pentru organizațiile de astăzi este că aceste modele tradiționale de programe de gestionare a vulnerabilităților le forțează să încerce să prioritizeze vulnerabilitățile fără contextul necesar pentru a evalua cu exactitate riscul pe care o vulnerabilitate îl reprezintă pentru organizația lor specifică. De exemplu, o vulnerabilitate poate fi pe prima pagină a ziarelor și poate provoca anxietate în rândul părților interesate și al directorilor. Multe vulnerabilități au fost remediate în aceste condiții. Dar, în multe cazuri, este posibil ca vulnerabilitatea să nu fie una care să fie exploatată în mod activ în cadrul sectorului dumneavoastră; cu alte cuvinte, aceasta prezintă un risc relativ scăzut pentru infrastructura dumneavoastră. Faptul de a avea acest context v-ar ajuta să determinați ce vulnerabilități merită reparate – și apoi să vă apărați în fața celorlalți decizia de a lipsi de prioritate remedierea vulnerabilităților care țin capul de afiș.

Considerați acum că doar 2%-5% din vulnerabilitățile unei organizații sunt susceptibile de a fi exploatate. Modalitățile tradiționale de gestionare a vulnerabilităților nu sunt susceptibile de a fi de mare ajutor în identificarea celor care au cea mai mare probabilitate de a fi transformate în arme. Scanerele de vulnerabilități și scorurile CVSS oferă echipelor IT și de securitate puține informații despre riscul specific pe care fiecare vulnerabilitate îl reprezintă pentru o organizație.

Aceasta lasă echipele de securitate să încerce să convingă IT și DevOps să remedieze un volum mare de vulnerabilități care, în cele din urmă, s-ar putea să nu reducă riscul și să irosească cicluri prețioase care ar putea fi dedicate unor inițiative mai strategice și mai semnificative. Fricțiunea dintre echipele de Securitate și IT este un lucru pe care organizațiile cu programe tradiționale de gestionare a vulnerabilităților îl cunosc prea bine.

Programe tradiționale vs. programe de gestionare a vulnerabilităților bazate pe risc

O alternativă mai modernă la metodele tradiționale se numește gestionarea vulnerabilităților bazată pe risc, care infuzează știința datelor, informații în timp real despre vulnerabilități și automatizare pentru a crea o abordare prioritară și eficientă pentru a izola și înțelege mai bine riscurile care reprezintă de fapt o amenințare reală pentru o organizație. Companiile care caută să economisească timp, să creeze fluxuri de remediere mai eficiente și să își reducă profilul de risc au apelat la gestionarea vulnerabilităților bazată pe risc.

Potrivit principalilor analiști, viitorul programelor de gestionare a vulnerabilităților este bazat pe risc. În ultimele luni, pe măsură ce vulnerabilitățile și amenințările continuă să crească și să evolueze, Gartner a recunoscut necesitatea prioritizării vulnerabilităților pe baza riscului. „Gartner a atras atenția asupra necesității critice de a evalua activele pentru probleme de configurare și vulnerabilități și de a putea prioritiza ceea ce faceți cu această evaluare, în funcție de riscul pentru organizația dumneavoastră.”

Și la sfârșitul anului trecut, Forrester a observat, de asemenea, că prioritizarea bazată pe risc va defini viitoarele programe moderne de gestionare a vulnerabilităților.

Care sunt pașii pentru crearea unui program de management al vulnerabilității?

Organizațiile care doresc să își stabilească sau să își consolideze programele de management al vulnerabilității ar trebui să înceapă prin a urma acești șase pași cheie.

  1. Reunește-ți echipa. Începeți să puneți bazele programului dumneavoastră prin identificarea tuturor actorilor cheie necesari. Organizațiile au adesea un director sau manager de securitate însărcinat cu gestionarea managementului vulnerabilităților și cel puțin un analist care identifică, urmărește și evaluează vulnerabilitățile din întregul mediu. Membrul echipei dumneavoastră de remediere, însărcinat cu remedierea vulnerabilităților, poate cuprinde mai multe departamente, cum ar fi IT, DevOps și AppSec.
  2. Achiziționați instrumentele potrivite. Instrumentele comune de căutare a vulnerabilităților utilizate de echipele de securitate descoperă vulnerabilități în cadrul mediului. Odată ce aceste vulnerabilități sunt localizate, o bază de date de gestionare a configurației oferă informații detaliate despre toate activele hardware și software dintr-o organizație. O soluție de gestionare a vulnerabilităților dă sens și sortează aceste date dobândite, care identifică principalele vulnerabilități care prezintă cel mai mare risc pentru organizație. Acestea sunt apoi introduse într-un flux de remediere (de obicei, folosind un sistem de ticketing), care este împărtășit cu IT și DevOps.
  3. Faceți trimiteri încrucișate între peisajul amenințărilor și mediul dumneavoastră. Luați înțelegerea activelor dvs. și a vulnerabilităților cunoscute în cadrul organizației dvs. și faceți referințe încrucișate cu informațiile despre amenințări. Acest lucru vă va ajuta să determinați impactul unei potențiale exploatări – un alt factor cheie în determinarea riscului. Instrumente precum listele CVE, informațiile CPE (enumerarea comună a platformelor) și CWE (enumerarea comună a punctelor slabe) oferă un început, dar pentru a face referințe încrucișate în mod eficient, aveți nevoie de date largi, din lumea reală, pe care doar un program modern de gestionare a vulnerabilităților le va încorpora.
  4. Cunoașteți-vă activele, aplicațiile și toleranța la risc. Înțelegerea activelor dvs. actuale și a nivelului de risc acceptabil al organizației dvs. este esențială pentru o prioritizare eficientă. Pentru a dezvolta un inventar detaliat al activelor, căutați instrumente automatizate care să vă ajute în această sarcină de descoperire, care vor scana organizația dvs. pentru a identifica active precum servere, stații de lucru, mașini virtuale, matrice de stocare și dispozitive de rețea. Toleranța dvs. la risc ar putea fi informată de industria dvs. sau de orientările specifice ale companiei. Căutați surse din cadrul companiei dvs. care să vă indice liniile directoare privind evaluarea riscurilor care implică alte aspecte ale activității. Pentru vulnerabilități specifice, este esențial să înțelegeți cât de mult risc puteți accepta și compromisurile care decurg fie din remedierea acum, fie din așteptare.
  5. Măsurați, evaluați și prioritizați vulnerabilitățile dumneavoastră. Aceasta este etapa în care alegerea platformei dvs. de gestionare a vulnerabilităților devine critică. Atunci când vă gândiți la platforma potrivită pentru organizația dumneavoastră, căutați una care integrează informații despre vulnerabilități din lumea reală, știința datelor, analiza automată a riscurilor, măsurători de risc personalizate și chiar SLA-uri bazate pe riscuri. Cele mai bune platforme moderne combină toate acestea într-o măsurătoare – sau scor – care este simplă, ușor de înțeles și repetabilă.
  6. Comunicați, remediați și raportați. Soluția dvs. de gestionare a vulnerabilităților ar trebui să vă ajute – nu să vă împiedice – comunicarea internă între echipele cheie. De asemenea, ar trebui să vă sprijine capacitatea de a remedia rapid și eficient, menținându-i în același timp pe toți la curent, și să facă raportarea progresului dumneavoastră simplă și intuitivă. Asigurați-vă că sunteți în căutarea unei platforme care să ofere integrare cu sistemele populare de ticketing și capacitatea de a dezvolta indicatori și tablouri de bord personalizate, astfel încât părțile interesate cheie să aibă o fereastră constantă și ușor de înțeles asupra progreselor înregistrate de compania dvs. în gestionarea riscurilor. Cele mai multe organizații utilizează o combinație de trei tactici comune de remediere, inclusiv patch-uri automate, instrumente de gestionare a patch-urilor și actualizări manuale.

Învățați cum să implementați un program modern de gestionare a vulnerabilităților, bazat pe riscuri

Nevoia unei întreprinderi de a stabili un program modern de gestionare a vulnerabilităților este clară. Sprijinirea pe metodele tradiționale de gestionare a vulnerabilităților lasă echipele de remediere să urmărească vulnerabilități care s-ar putea să nu le reducă riscul general și creează ineficiență în cadrul fluxurilor de lucru. Programele moderne de gestionare a vulnerabilităților permit organizațiilor să adopte o poziție proactivă, bazată pe date, împotriva amenințărilor și eficientizează operațiunile interne pentru a economisi timp și bani, pentru a reduce eforturile irosite, pentru a îmbunătăți colaborarea între echipe și pentru a avea un impact semnificativ asupra profilurilor lor de risc.

Pentru o privire în profunzime asupra modului de implementare a unui program de gestionare a vulnerabilităților bazat pe riscuri, descărcați How to Implement Risk-Based Vulnerability Management Now: Un ghid practic. Plină de sfaturi practice și bune practici, această carte electronică detaliază importanța unui program modern de gestionare a vulnerabilităților în contextul evoluției peisajului actual al amenințărilor și parcurge în detaliu cei șase pași cheie pentru stabilirea unui program de gestionare a vulnerabilităților bazat pe riscuri, descriși mai sus.

Download the eBook today, and start future-proofing your business.