Kwestia zarządzanie podatnościami nakłada odpowiedzialność o różnym charakterze i stopniu w całej organizacji, w tym w jaki sposób, kiedy i co ujawnić (jeśli w ogóle), jeśli nadarzy się okazja.
Ale ostatecznie pierwszym obowiązkiem jest zapobieganie wykorzystywaniu luk w zabezpieczeniach i powodowaniu szkód – chociaż pierwszym krokiem w zarządzaniu lukami musi być uznanie, że nie ma łatwej naprawy.
Aby umieścić to w kontekście, wymaga to od CISO i jego zespołu naprawienia luk, których nie spowodowały, w aplikacjach i infrastrukturze, których nie są właścicielami, a także regularnego omijania procesów zarządzania zmianami w organizacji poprzez instalowanie poprawek, których nie • projektują i często nie mają wpływu na ich stosowanie.
Jednak firmy mogą działać skutecznie tylko w bezpiecznym środowisku – a to wymaga solidnego procesu identyfikowania, klasyfikowania, naprawiania i łagodzenia luk w zabezpieczeniach.
Zarządzanie aktywami
Warunkiem wstępnym tego procesu jest zarządzanie zasobami – przedsiębiorstwo, które nie ma rejestrowanych zasobów IT, jeszcze bardziej utrudnia trudne zadanie. Aby pomóc w tym działaniu, istnieje wiele narzędzi, które automatycznie przemieszczają się po sieci w celu identyfikacji aplikacji i infrastruktury oraz automatycznie katalogują je w systemie zarządzania zapasami.
Jednak zautomatyzowane narzędzia skanujące muszą być używane z ostrożnością w pobliżu technologii operacyjnej (OT) używanej w przemysłowych systemach sterowania ze względu na zróżnicowany charakter technologii i krytyczny charakter infrastruktury dla organizacji.
Mając spis wszystkiego, co może być do zdobycia dla atakującego, następnym krokiem jest zidentyfikowanie zasobów, które są faktycznie zagrożone – sieci, systemów operacyjnych, aplikacji itd. – wraz z możliwymi lukami.
Analiza zagrożeń
To oczywiście oznacza wiedzę o istniejących lukach w zabezpieczeniach, które są obecnie najprawdopodobniej wykorzystywane. W zasadzie jest to proste — dotyczy to skanowania aplikacji lub programów opracowanych wewnętrznie przed ich wdrożeniem lub podłączeniem do sieci oraz rejestrowania się na listach mailingowych dostawców w celu uzyskania aktualizacji w miarę ich pojawiania się.
Ale rzeczywistość jest taka, że łamanie luk zero-day często staje się powszechna wiedza w mediach społecznościowych zanim dostawca zgłosi potencjalny problem, co czyni go kluczowym źródłem ze względu na potrzebę szybkiego reagowania na nowe luki w zabezpieczeniach.
Ewentualnie sami atakujący mogą ujawnić informacje o luce w swoich sieciach, udostępniając exploity online, aby inni atakujący mogli z nich skorzystać. Czasami mogą ujawnić to szerszemu światu, na przykład, jeśli celem jest wymuszenie zmian w zachowaniu przez ich cele.
I rola systemów nagród za błędy, w którym osoby są wynagradzane za zgłaszanie błędów, w szczególności te dotyczące exploitów i luk w zabezpieczeniach, etycznych hakerów i testów penetracyjnych w identyfikowaniu exploitów, nie można nie docenić.
Priorytetyzacja
Dzięki informacjom zarówno o zasobach, jak i lukach w zabezpieczeniach, można utworzyć najważniejszą listę priorytetów, aby określić hierarchiczny system zasobów i rzeczywiste zagrożenia, z którymi mają do czynienia. To powiedziawszy, często wyzwaniem dla CISO, który będzie musiał stawić czoła stale wysoki poziom zagrożeń, jest kategoryzacja rodzajów ryzyka i realistyczne określenie, które luki są najbardziej prawdopodobne.
Narzędzia, które skanują i raportują luki w zabezpieczeniach, zwykle szokują i przytłaczają. CISO szukają jasności co do prostych środków, które mogą wyeliminować dużą liczbę prawdopodobnych lub najbardziej szkodliwych ataków, zamiast konieczności przedzierania się przez duże ilości danych, które nie uwzględniają tolerancji ryzyka, środków łagodzących lub zdolności do reagowania organizacji.
Łatanie
Zarządzanie poprawkami jest, co zrozumiałe, popularnym punktem odniesienia w dyskusjach na temat skutecznego zarządzania podatnościami i jest to ważna część. Jednak musi się to odbywać w połączeniu z zarządzaniem aktywami i być połączone z testami penetracyjnymi i ocenami podatności, jak wspomniano powyżej.
Rzeczywiście, plany reagowania są często lepiej poinformowane o zagrożeniach dotyczących tego, kto może atakować jakie systemy za pomocą jakich mechanizmów, podczas gdy SOAR (orkiestracja bezpieczeństwa, automatyzacja i reagowanie) może zapewnić skuteczniejszą ochronę w przypadku zidentyfikowania nowych luk w zabezpieczeniach.
Ponadto nie wszystkie luki w zabezpieczeniach mają łaty lub może być ona niewystarczająca. Czasami wymagana jest również ochrona warstwy sieciowej lub przebudowa modeli kontroli dostępu, co jest czasochłonne i żmudne, zwłaszcza jeśli jest to system krytyczny lub system skierowany do Internetu.
Praktyczne
Zarządzanie podatnością nie może być podejmowane przez jedną osobę lub zespół. Potrzebuje koordynacji ze strony wielu różnych jednostek w organizacji, wraz z wysoko i stale przeszkolonymi osobami, których koszt może uniemożliwić wejście na pokład. Wymaga również CISO z hybrydowymi umiejętnościami, które są w stanie zrównoważyć wymagania biznesowe z ciągle zmieniającym się krajobrazem bezpieczeństwa i w wielu kanałach.
Pewna forma przestoju lub zakłóceń w działalności jest zwykle wymagana, gdy wprowadzane są zmiany w systemie, z „oknami konserwacyjnymi” zwykle określanymi przez każdego oddzielnego właściciela aplikacji. Poruszanie się po wielu wymaganych zatwierdzeniach może być czasochłonne i potencjalnie może zająć więcej czasu niż identyfikacja wymaganej poprawki.
Ważne jest również, aby rozważyć, czy wprowadzenie zmian i usunięcie luki rzeczywiście zwiększy bezpieczeństwo organizacji. Na przykład luki niskiego poziomu są często ignorowane w celu nadania priorytetu podatnościom o wyższym ryzyku, które mogą mieć większy wpływ na biznes, jeśli zostaną wykorzystane.
Podobnie, łatanie może mieć nieoczekiwane konsekwencje, takie jak niedawna aktualizacja Microsoft Windows, która usunęła sieci drukowania wielu organizacji. Niepodejmowanie zmiany, a nawet jej wycofanie, wraz z pozostawieniem podatności na zagrożenia, należy rozważyć jako opcje.
Zespoły bezpieczeństwa współpracujące z OT – takich jak kontrola nadzorcza i akwizycja danych (SCADA) – prawdopodobnie jeszcze bardziej zaostrzą się ograniczenia związane z zarządzaniem podatnością. Skanowanie jest problematyczne, przestoje często nie istnieją i nie ma środowiska testowego, które potwierdzałoby brak wpływu. Często preferowaną opcją są mechanizmy kontroli na poziomie sieci, mające na celu ograniczenie dostępu do podatnych urządzeń, chociaż ich wdrożenie jest czasochłonne, jeśli jeszcze ich nie ma.
Ważna praca
Podsumowując, zarządzanie podatnościami wymaga pełnego zrozumienia zasobów organizacji, tego, z czego korzystają, czy mają bezpośredni dostęp do Internetu i jak ważne są dla firmy.
Zespoły muszą być czujne podczas skanowania w poszukiwaniu informacji, które mają wpływ na ich działania – przechwytując wiadomości o luce w ciągu dnia zero, jednocześnie nie unikając korzystania z niekonwencjonalnych metod pozyskiwania informacji, takich jak media społecznościowe.
To trudna praca w środowisku IT, w którym występuje coraz większa liczba i różnorodność zagrożeń, co sprawia, że każda organizacja musi traktować ją poważnie.