12 шагов к созданию первоклассной программы управления уязвимостями

12 шагов к созданию первоклассной программы управления уязвимостями
16.05.2022

Руководители службы безопасности давно знают о важности устранения уязвимостей в своих ИТ-средах.

И другие руководители высшего звена также признали важность этой задачи, учитывая количество громких нарушений, произошедших в результате неисправленной системы.

Последние новости должны развеять любые оставшиеся сомнения в важности этой задачи.

Федеральная торговая комиссия (FTC) США, например, в начале января уведомила бизнес-сообщество об обращении к Log4j, написав, что «обязанность предпринимать разумные шаги для устранения известных уязвимостей программного обеспечения опирается на законы, включая, среди прочего, Федеральный торговый кодекс, закон Комиссии и закон Грэмма Лича Блайли. Крайне важно, чтобы компании и их поставщики, полагающиеся на Log4j, начали действовать, чтобы снизить вероятность причинения вреда потребителям и избежать судебных исков со стороны FTC».

У FTC есть веские причины предупреждать о таких проблемах: в отчетах постоянно указывается, что неисправленные известные уязвимости остаются одним из главных векторов атак.

Рассмотрим цифры из отчета Ransomware Spotlight на конец 2021 года от фирм по безопасности Ivanti, Cyber ​​Security Works и Cyware. В отчете указывалось на 65 новых уязвимостей, связанных с программами-вымогателями в 2021 году, что на 29% больше, чем в предыдущем году, и было насчитано в общей сложности 288 известных уязвимостей, связанных с программами-вымогателями.

Несмотря на такие выводы, во многих организациях отсутствует официальная программа управления уязвимостями. Опрос 2020 года, проведенный Институтом SANS, организацией по обучению и сертификации в области кибербезопасности, показал, что почти 37% компаний используют либо только неформальный подход, либо вообще не имеют программы (управления уязвимостями).

Опытные лидеры в области информационной безопасности согласны с тем, что управление уязвимостями не должно осуществляться на разовой основе или с помощью неформальных методов. Скорее, это должно происходить программно, чтобы обеспечить действия, подотчетность и постоянное совершенствование.

С этой целью эксперты предложили 12 шагов для создания первоклассной программы управления уязвимостями, пишет издание CSO.

1. Соберите команду

«Прежде чем что-либо покупать, выполнять какие-либо процессы или создавать процедуры, вам необходимо создать команду», - говорит Дэниел Флойд, который в качестве директора по информационной безопасности Blackcloak курирует SOC, платформу анализа угроз, группы тестирования на проникновение и цифровой криминалистики.

В дополнение к назначению специалистов по безопасности и ИТ-специалистов, которые обычно занимаются управлением уязвимостями и установкой исправлений, Флойд рекомендует привлечь других ключевых заинтересованных лиц, таких как сотрудники бизнес-подразделений, которые могут рассказать о влиянии, с которым сталкивается организация, когда системы отключаются для перезагрузки, чтобы команда могла понимать, как их работа влияет на других.

2. Продолжайте вести имеющийся перечень активов

Еще одним основополагающим элементом любой эффективной программы управления уязвимостями является актуальная инвентаризация активов с процессом, гарантирующим, что она остается максимально актуальной и полной. «Это определенно то, о чем все знают, но это действительно сложная область», - говорит Флойд, особенно в современных современных средах с их физическими элементами, удаленными подключениями сотрудников и компонентами IoT, а также облачными технологиями, SaaS и элементами с открытым исходным кодом.

Но тяжелая работа имеет решающее значение, говорит Алекс Холден, директор по информационной безопасности Hold Security и член рабочей группы ISACA Emerging Trends. «Все это нужно учитывать, поэтому, когда появится что-то новое, вы будете знать, нужно ли что-то исправлять».

3. Развивайте «навязчивое внимание к видимости»

Имея всесторонний перечень активов, как говорит старший вице-президент Salesforce по информационной безопасности Уильям Макмиллан, необходимо сделать следующий шаг и развивать «навязчивое внимание к прозрачности, понимая взаимосвязь вашей среды, где находятся потоки данных и интеграции».

«Даже если вы еще не созрели на пути к программированию, начните с того, что сделает вас более заметным, - говорит он. - Самые большие деньги, которые вы можете потратить на кибербезопасность, - это на понимание вашей среды, знание того, что у вас есть. Для меня это фундамент вашего дома, и вы захотите строить на таком прочном фундаменте».

4. Будьте более агрессивны при сканировании

Сканирование уязвимостей - еще один основополагающий элемент надежной программы кибербезопасности, однако эксперты говорят, что многие организации, которые регулярно проводят сканирование, по-прежнему не могут выявить проблемы, потому что они недостаточно тщательны.

Следовательно, в высокопроизводительных программах управления уязвимостями используются более агрессивные методы сканирования, включающие несколько вариантов. Флойд, например, говорит, что, по его мнению, команды должны включать сканирование с учетными данными для более тщательного поиска слабых конфигураций и отсутствующих исправлений в дополнение к более часто используемому сканированию на основе агентов и сканированию сети.

5. Задокументируйте продуманные рабочие процессы

Макмиллан говорит, что зрелые, хорошо зарекомендовавшие себя программы управления уязвимостями задокументировали продуманные рабочие процессы, которые определяют, что происходит, и кто за что отвечает.

«Большие и сложные компании понимают, что [уязвимости в системе безопасности] представляют собой экзистенциальную угрозу, и что они должны довольно быстро пройти этап ad hoc (по ситуации) и преднамеренно и целенаправленно изложить, что должно произойти», - объясняет он.

Команды безопасности во всем мире могут извлечь выгоду из этого передового опыта и установить эти рабочие процессы, добавляя автоматизацию везде, где это возможно.

Кроме того, Макмиллан говорит, что команды должны разработать общую операционную картину, при которой одни и те же данные и сведения об угрозах должны быть доступны всем членам команды, работающим над управлением уязвимостями.

«Все должны работать, исходя из этой общей операционной картины, и все они должны синхронизироваться», - добавляет он.

6. Установите и отслеживайте KPI

«Чтобы подтвердить эффективность ваших средств контроля и доказать руководству, что они эффективны, полезно иметь показатели, которые сообщают о производительности вашей программы управления уязвимостями», - говорит Нил Харпер, член совета директоров ISACA и директор по информационной безопасности крупной международной компании.

Он отметил, что организации могут применять любой из широко используемых ключевых показателей эффективности, например, процент критических уязвимостей, устраненных во время, и процент критических уязвимостей, не устраненных вовремя, для измерения текущего состояния и отслеживания улучшений с течением времени.

Другие KPI, которые можно использовать, могут включать процент инвентаризированных активов, время обнаружения, среднее время восстановления, количество инцидентов из-за уязвимостей, скорость повторного открытия уязвимостей и количество предоставленных исключений.

Как объясняет Харпер: «Все это даст руководству представление о том, насколько хорошо работает ваша программа управления уязвимостями».

7. Ориентиры

По словам Харпера, отслеживание ключевых показателей эффективности может показать, улучшается ли ваша собственная программа управления уязвимостями с течением времени, но вам нужно будет сравнить усилия других компаний, чтобы определить, превосходит ли ваша программа другие или отстает от них.

«Бенчмаркинг (ориентир) помогает вам понять, насколько вы эффективны по сравнению с коллегами и конкурентами, а также дает руководству уверенность в том, что ваша программа управления уязвимостями эффективна, - говорит он. - Это также может служить отличительной чертой на рынке, которую вы можете использовать для увеличения выручки».

Харпер говорит, что у поставщиков управляемых услуг часто есть данные, которые службы безопасности могут использовать для этой цели.

8. Сделайте кого-то ответственным и отчитывающимся за успех

Многие эксперты говорят, что для того, чтобы иметь настоящую программу управления уязвимостями, организации должны возложить на кого-то ответственность за свою работу и, в конечном счете, за свои успехи и неудачи.

«Это должна быть именная должность, кто-то на руководящем посту, но отдельно от директора по информационной безопасности, потому что у директора по информационной безопасности нет времени на отслеживание ключевых показателей эффективности и управление командами», - говорит Фрэнк Ким, основатель ThinkSec, консультанта по вопросам безопасности и научного сотрудника компании SANS по вопросам информационной безопасности.

Ким говорит, что на крупных предприятиях часто достаточно работы по управлению уязвимостями, чтобы кто-то взял на себя эту роль на постоянной основе, но малые и средние компании, которым не требуется штатный менеджер, все же должны сделать эту подотчетность официальной частью чьей-то работы.

«Потому что, если вы не возложите ответственность на этого одного человека, - говорит Ким, - тогда все будут показывать пальцем друг на друга».

9. Совместите стимулы с улучшением программы, успехами

Назначение ответственных за программу - это один шаг, но Ким и другие говорят, что организациям следует также устанавливать стимулы, такие как бонусы, связанные с улучшением KPI.

«И поощряйте не только команды, ответственные за установку исправлений, но и всех заинтересованных лиц в организации», - говорит Флойд, независимо от того, являются ли эти стимулы дополнительной компенсацией, бонусными выходными или другими формами признания. 

«Речь идет о поощрении и праздновании успехов. Это показывает, что должно быть приоритетом», - отметил он.

10. Создайте программу вознаграждения за обнаружение ошибок

По словам Макмиллана, в 2021 году Salesforce вознаградила этичных хакеров более чем на 2,8 миллиона долларов за выявление проблем безопасности в своих продуктах, рассматривая эту награду за обнаружение ошибок как важную часть управления уязвимостями.

Макмиллан рекомендует другим организациям внедрять программы вознаграждения за обнаружение ошибок в рамках своих усилий по управлению уязвимостями. «Это эффективный способ выявить проблемы», - говорит он.

Другие эксперты согласились с ним. Холден, например, заявил, что небольшие организации могут создать внутреннюю программу вознаграждения за обнаружение ошибок, которая вознаграждает сотрудников, которые находят уязвимости или работают со сторонними сторонами или компаниями по кибербезопасности, предлагающими такие услуги, чтобы привлечь более широкий круг экспертов.

11. Убедитесь в своих ожиданиях, но со временем корректируйте их

Количество публично раскрытых недостатков компьютерной безопасности в списке общих уязвимостей и угроз (CVE) продолжает расти, а количество новых, добавляемых ежегодно, увеличивалось почти каждый год в течение последнего десятилетия. В 2011 г. было 4 813 CVE; согласно анализу Kenna Security, в 2020 году их было 11 463.

Учитывая объем, эксперты соглашаются, что организации должны расставить приоритеты, какие уязвимости представляют для них наибольший риск, чтобы они могли устранить их в первую очередь.

Например, если организация планирует устранять только уязвимости с высоким рейтингом, зачем вообще искать уязвимости с низким уровнем риска? Честна говорит, что такой подход может истощать ресурсы и отвлекать команды от высокоприоритетной работы, повышая вероятность того, что они упустят важные проблемы.

«Вместо этого установите правила, которым вы хотите следовать (это должны быть правила, которым вы действительно можете следовать), а затем следуйте им, - говорит он, добавляя, что это помогает организации лучше сосредоточиться на снижении рисков. - И когда мы действительно хорошо справимся с этими самыми высокими приоритетами, тогда поговорим об открытии шлюзов».

12. Отчет о результативности программы перед заинтересованными сторонами, советом

Эксперты говорят, что помимо информирования заинтересованных сторон внутри организации о любых работах по установке исправлений, которые могут повлиять на их доступ к системам, отдел безопасности должен отчитываться об общей производительности программы управления уязвимостями с точки зрения бизнеса, связанной с рисками и их снижением.

«Это то, о чем вы действительно должны сообщить своему совету директоров», - добавляет Флойд: - Берите на себя ответственность».

Автор: Mary K. Pratt

Комментарии 0