Post on 12-Apr-2020
Павел Сотников | Управляющий Директор Восточная Европа, Кавказ и Центральная Азия
Построение процесса управления уязвимостями
20 ноября 2014
Обо мне
10+ лет в сфере ИБ
6 лет – в качестве CISO в General Electric и PricewaterhouseCoopers
Проекты по управлению уязвимостями: • PricewaterhouseCoopers: Выстраивание процесса управления уязвимостями для Центральной и Восточной Европы (PwC – 29 стран – 15 тысяч устройств)
• General Electric: Выстраивание процесса управления уязвимостями для России и СНГ
Сертификации: CISSP, ITILv3, Qualys, Citrix
Отчёт центра стратегических исследований США “Raising the Bar for Cybersecurity”
• 75% атак используют уже известные уязвимости, которые могли быть закрыты
• Более чем 90% успешных атак базируются на самых простых техниках
• 96% успешных взломов можно было бы избежать, если бы жертва внедрила ряд простых мер безопасности
James A. Lewis, Raising the Bar for Cybersecurity. Washington, DC: CSIS, 2013
20 Критических Контролей SANS
5 принципов, на которых построена эффективная кибер-защита на базе Критических Контролей: 1. Атакующие информируют защищающихся: использование информации об
актуальных атаках для построения защиты
2. Приоритезация: следует инвестировать в меры, которые принесут наибольший эффект и закроют основные угрозы
3. Метрики: необходимо понимать, как измерять прогресс
4. Непрерывный мониторинг: непрерывный мониторинг эффективности текущих мер безопасности
5. Автоматизация: автоматизация защиты и контроля установленных метрик
20 Критических Мер по ИБ SANS
••
••
Уязвимости
Системы и Приложения без установленных обновлений, закрывающих известные уязвимости: - Железо - Операционные системы - Приложения - Базы данных - Сетевое оборудование
Приложения и Операционные системы не сконфигурированные по защищённым стандартам: - Настройки по умолчанию - Неотслеженные изменения конфигурации
Уязвимости в Веб-приложениях и Веб-сервисах: - Небезопасный код - Неправильная обработка параметров - Необновлённые библиотеки
Уязвимости в браузерах и их плагинах
Отсутствие представления о своей инфраструктуре
7
• Управление Рисками
• Управление угрозами
• Понимание картины безопасности
• Аудит ИТ процессов
Цели Управления Уязвимостями
Сканирование VS Управление
10
Сканирование на уязвимости• Однократная операция
• Очень тяжело измерять процесс в долгосрочной перспективеo Снижаете ли Вы риски?o Какие процессы работают (или не работают) у Вас в организации?
o Соответствуете ли Вы требованиям?
• Избыточное количество данных без контекста
• Только в определённые моменты времени
11
Управление уязвимостями
• Контекст, контекст и ещё раз контекст
• Ответственность
• Не только про сканированиеo Обнаружениеo Приоритезация o Устранение o Отслеживание
• Должна существовать программа управления уязвимостямиo Целиo Критерии успехаo Параметры измеренийo Повторяемые процессыo Связь с другими программами
12
• Отсутствие формализованного процесса
• Люди не вовлечены и отсутствие поддержки руководства
• Неправильные Данныеo (false positives, false negatives и тд)
• Данные без контекстаo Чем отличается уязвимость 5 уровня на сервере и на рабочей станции?
o Нет смысла для людей, читающих отчёты об уязвимостях
• Не своевременное предоставление информацииo Редкое (ежегодное, ежеквартальное) сканированиеo Редкая отчётность
Почему программы Управления Уязвимостями не работают
Построение программыУправления Уязвимостями
Как достичь успеха
4 составляющих успеха
Люди
Процессы
Безопасность Политика
15
Люди
Цель/стратегияo Есть ли формализованное описание процесса?
o Каковы цели программы управления уязвимостями?
Их место в организации
o Руководствоo CIOo CISOo Администраторыo Бизнес
Что важно для людейo Uptimeo Выглядеть хорошо в организацииo Быть защищённымиo Быть Compliant
16
Процесс • Как часто Вы сканируете?
o Еженедельноo Ежедневноo Ежемесячно
• Как часто делаете отчёты?o Еженедельноo Ежедневноo Ежемесячно
• Что Вы измеряете?o Открытые уязвимостиo Закрытые уязвимостиo Не вовремя закрытые уязвимости
• Как Вы приоритезируете патчи?o Высокий рискo Низкий рискo CVSS
• Как Вы обновляете системы?o Windowso Unixo Сетевое оборудование
• Как Вы классифицируете ресурсы?
17
Безопасность Все ли уязвимости одинаковы?o Zero Dayo Уязвимости без патчей, но с
альтернативным решением
Сколько у вас уязвимостей?
Какой контекст у уязвимостей?o Как Вы классифицировали уявимости?o Как Вы классифицируете каждую
несоответствие требованиям?
Как Вы измеряете безопасность?o SLAo Инцидентыo Количество уязвимостейo Количество закрытых рисков
Каким требованиям Вы должны соответствовать?
o PCIo SOXo ISOo COBITo и тд
18
Политика
Вы не одниo Партнёры с ITo Отдел внутреннего аудитаo Руководство
Уважайте людейo Помогайте им достичь их целейo Эти процессы не про наказание, они
про улучшение и совершенствование
Отчётностьo Как можно более точно проверяйте
уязвимостиo Если Вы что-то написали, это должно быть
правдойo Всегда будут обиженные людиo Не показывайте то, что нельзя починитьo Делайте отчёты, которые рассказывают
историю
Как строить программу Управления Уязвимостями
Подготовка
Обязательная подготовка
Управление рисками/угрозами – Что важно именно для Вашей организации? – Какие риски Вы закрываете с помощью своей программы? – Какие угрозы закрываете? – Возможно ли посчитать ущерб от инцидента?
Классификация систем – Классификация по критичности – Классификация по типу и местоположению – Владельцы (owners & custodians)
Карта сети от ИТ службы
Политика по Управлению Уязвимостями Содержание
• Область применения политики и аудитория • Ответственные лица + участники процесса • Процесс обнаружения уязвимостей • Процесс проверки конфигураций оборудования / баз данных
• Описание процесса устранения уязвимостей • Процесс разработки • Процесс установке патчей • Тестирование обновлений • Ввод в эксплуатацию новых систем • Управление исключениями • Процесс изоляции систем
Как строить программу Управления Уязвимостями
Внедрение
Начинайте с малого
Увеличивайте область охвата по мере закрытия проблем
Не пытайтесь внедрить сразу несколько процессов (установка патчей, устранение уязвимостей, проверка конфигураций оборудования)
Обучение, обучение и ещё раз обучение
Решения Qualys
Установлен более чем в 103 странах в 7000+ организациях 1 миллиард+ сканирований в год & 400+ миллиардов событий безопасности
с низким уровнем false positives
Security & Compliance Cloud Platform
25
Облачная Архитектура
VMware ESX and ESXi
Физические сканеры Плагины для
браузера
Мобильные агенты
Виртуальные сканеры
Hypervisor
Решение для облака Amazon Внешнее
сканирование
26
27
Облачная платформа Qualys
*In Beta
Vulnerability Management
Policy Compliance
Customizable Questionnaires
PCI DSS
Web Application Scanning
Malware Detection
Web Application Firewall
Web Application Log Analysis
Continuous Monitoring
* * *
Asset Management
VMVMAMAMCMCM PCIPCI PCPC QSQS MDSMDS LMLMWASWAS WAFWAF* *
Интеграция Qualys со сторонними продуктами
Web App Firewall
IT GRC
SIEM/Log Management
Ticketing with Qualys TNE
IDS/IPS
Access Management
Risk Management
Pen Test
QualysG
uard APIs VMVM
PCPC
WASWAS
28
20 Критических Контролей SANS
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
VMVM
Vulnerability Management
PCPC
PolicyCompliance
PCIPCI
PCICompliance
Web ApplicationFirewall
*WAFWAFWASWAS
Web ApplicationScanning
MDSMDS
MalwareDetection Service
SECURESeal
••
••
Как строить программу Управления Уязвимостями
Резюмируя
Ни одна система не решит Ваши проблемы автоматом
Вы не сможете всё починить
Ищите причины проблем
95% работы будет связано с людьми
Подарок
Demo-‐версия Qualys на всю Вашу инфраструктуру на 30 дней
Спасибо! psotnikov@qualys.com