Vulnerability Management Process - Дмитрий Огородников
0 likes318 views
Документ описывает процесс управления уязвимостями в Angara Technologies Group, включая основные этапы: подготовка к сканированию, сканирование уязвимостей, определение способов устранения, устранение уязвимостей и проверка исправлений. Упоминается важность вовлечения различных специалистов для управления информационной безопасностью и устранения уязвимостей в IT-инфраструктуре. Основное внимание уделяется необходимости непрерывного мониторинга и регулярного обновления данных о безопасности.
Vulnerability Management Process - Дмитрий Огородников
- 1. www.angaratech.ru Vulnerability Management Process или как не поссорить Петю, Мишу и других сотрудников департаментов ИТ и ИБ в процессе анализа защищенности Дмитрий Огородников
- 2. Основные определения Angara Technologies Group Недокументированные (недекларированные) возможности Уязвимость Управление уязвимостями Обозначает недостаток в системе, используя который можно намеренно нарушить её целостность и вызвать неправильную работу Возможности программного обеспечения, не отраженные в документации Циклический процесс, включающий непрерывный мониторинг, приоритезацию и устранение уязвимостей в системах Определения 1 2 3 1 2 3
- 3. Классический подход Целью анализа защищенности информационных ресурсов является проверка выполнения требований законодательства РФ и внутренних локальных актов по защите информации Анализ защищенности информационных ресурсов как правило представляет собой разовый процесс, который выполняется обычно не более 1 раза в год (в лучшем случае) Ответственными и вовлеченными в процесс анализа защищенности в основном являются службы ИБ (в редких случаях привлекаются службы ИТ) Действующие инструкции как правило: • Устанавливают требования по проведению сканирования • Обязанность по исправлению выявленных уязвимостей • Использование конкретных программных продуктов и версий • Используемы метрики оценки – «Количество уязвимостей» Angara Technologies Group
- 4. В чем проблемы классического подхода? Angara Technologies Group Vulnerability Management ≠ Vulnerability Scanning Периодичность проведения анализа защищенности Вовлеченные службы в процесс анализа защищенности Vulnerability Scanning – используются только программные средства для идентификации уязвимостей в информационной инфраструктуре Vulnerability Management – процесс, который включает в себя как подпроцесс сканирования уязвимостей, так и другие подпроцессы, такие как определение плана сканирования, обработка рисков, формирование корректирующих действий и т.д. При поведении сканирования уязвимостей 1 раз в год, новые уязвимости, которые могут появляться в период между сканированиями, возможно обнаружить только после очередного сканирования уязвимостей Службы ИБ не обладают полной и достаточной информацией о степени критичности всех информационных ресурсов Служба ИБ очень часто не знают, что делает Служба ИТ в информационной инфраструктуре
- 5. Vulnerability management process Роли и ответственность в процессе
- 6. Angara Technologies Group Офицер безопасности является владельцем процесса. Он разрабатывает данный процесс и следит за его выполнением на каждом этапе процесса Инженер по сканированию уязвимостей является специалистом по уязвимостям. Он устанавливает порядок проведения сканирования, настройку соответствующих средств и разрабатывает расписание сканирования для различных ИТ ресурсов Владелец информационного ресурса является владельцем сканируемого ресурса со стороны бизнес подразделений. Он принимает решение о исправлении выявленных уязвимостях или о принятие соответствующего риска Инженер информационных систем – инженер ИТ службы, как правило обеспечивающий устранение выявленных уязвимостей
- 7. Vulnerability management process Этапы процесса
- 8. Этап 1. Подготовка к сканированию Подготовка к сканированию Angara Technologies Group Ответственный: Security Officer Определение границ процесса Vulnerability Management. • перечень сканируемых информационных систем – выделенный сегмент сети, информационная система, филиал/отделение. • перечень уязвимостей – только критичные или только те, для которых существуют экспойты или только относящиеся к определенному виду систем/узлов • тип сканирования (внешний/внутренний, глубина сканирования, права доступа и типы учетных записей) Информирование о процессе владельцев информационных ресурсов и служб ИТ Разработка плана сканирования (конфигурация сканирования, используемые средства) и согласование его со службой ИТ Общее правило: начинать с ограниченного перечня систем и потенциальных уязвимостей, что бы не быть перегруженными их количеством и совместно отработать все детали процесса. Решение о порядке сканирования и исправлении уязвимостей, бюджете и сроках – принимает владелец актива.
- 9. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Подготовительныемероприятия Определение процесса сканирования уязвимостей Начало Конец Информирование владельца ИР и инженера ИС Разработка плана сканирования Получение информации о сканировании Получение информации о сканировании 1 этап
- 10. Этап 2. Сканирование уязвимостей Angara Technologies Group Ответственный: Vulnerability Engineer и IT Engineer Проведение технического сканирования уязвимостей (VE) Отслеживание состояния информационных систем при сканировании (ITE) Регистрация недоступности систем Регистрация стабильности работы систем Регистрация снижения производительности систем Получение результатов сканирования и направление их владельцу ресурса Сферы интересов: Руководство и служба безопасности - риски, с которыми сталкивается организация в настоящее время. Этот риск включает в себя количество обнаруженных уязвимостей и степень серьезности / риска выявленных уязвимостей. Владельцы активов – отчет об уязвимостей в системах, за которые они несут ответственность. ИТ служба - обзор (по технологиям) технической информации об обнаруженных уязвимостях, а также рекомендации по их устранению.
- 11. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Сканированиеуязвимостей Старт сканирования уязвимостей Начало Проблемы обнаружены Конец да Мониторинг стабильности/ производительности ИС при сканировании Обработка проблем Информация о проблемах Получение результатов сканирования нет Результаты сканирования Результаты сканирования Результаты сканирования Результаты сканирования 2 этап
- 12. Этап 3. Определение способов устранения Angara Technologies Group Ответственный: Security Officer, IT Engineer и Asset Owner Анализ выявленных уязвимостей при сканировании Сотрудник службы безопасности анализирует выявленные уязвимости и определяет связанные с ними риски. Предоставляет информацию по способам устранения данных рисков (выявленных уязвимостях). Формирование рекомендаций по устранению выявленных уязвимостей ИТ служба должна проанализировать уязвимости с технической точки зрения и ответит на такие вопросы, как доступны ли обновления ПО, можно ли внести изменения в конфигурации. А также не приведет ли установка определенного обновления к снятию с поддержки ПО производителем. Обработка рисков, связанных с выявленными уязвимостями Владельцы активов должны принять риск или подтвердить необходимость устранения уязвимостей. В этом случае, должен быть определен план устранения уязвимостей или, если это невозможно, определение компенсирующих мер по снижению рисков (изоляция узла, изменение режима работы…) Определение плана корректирующих действий, направленных на устранение уязвимостей Владельцы активов должны согласовать график обновления своих систем
- 13. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Определениекорректирующихдействий Анализ уязвимостей Начало Риск принимается? Конец да Определение корректирующих действий Формирование рекомендаций по устранению рисков нет Результаты сканирования План корректирующих действий Анализ уязвимостей и их соотношение с рисками Анализ уязвимостей с технической стороны План корректирующих действий Результаты сканирования Результаты сканирования Формирование рекомендаций в технической части Отказ от процесса (для принятия риска) Конец 3 этап
- 14. Этап 4. Устранение уязвимостей Angara Technologies Group Ответственный: IT Engineer и Asset Owner Выполнение корректирующих действий для устранения уязвимостей Согласованные действия по устранению уязвимостей должны выполнятся в отведенное время по согласованию с владельцем ресурса. Если возникают какие-то проблемы, альтернативные действия должны также должны быть согласованы с владельцем ресурса Контроль успешности выполнения корректирующих действий Сотрудник службы безопасности должен отслеживать статус корректирующих действий.
- 15. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Выполнениекорректирующихдействий Начало Работы выполнены успешно? Конец да нет Информация о выполнении корректирующих действий Выполнение корректирующих действий Обсуждение альтернативных вариантов Информация о выполнении корректирующих действий 4 этап
- 16. Этап 5. Проверка исправлений Angara Technologies Group Ответственный: Security Officer и Vulnerability Engineer Повторное техническое сканирование уязвимостей Анализ результатов сканирования уязвимостей на предмет полноты и достаточности выполненных корректирующих действий Возврат к Этапу 3 «Определение корректирующих действий» (при выявлении недостаточности выполненных ранее корректирующих действий) Одной из практик проверки исправлений может быть процесс Penetration Testing, который также должен проводится периодически и быть синхронизированным с процессом Vulnerability Management
- 17. Процесс Vulnerability Management Офицер безопасности Инженер по сканированию уязвимостей Владелец информационного ресурса Инженер информационных систем Повторноесканированиеуязвимостей Начало Уязвимости компенсированы? Конец да нет Выполнение повторного сканирования Информация о результатах повторного сканирования Анализ результатов сканирования Информация о результатах повторного сканирования Инициация фазы «Определение корректирующих действий» 5 этап
- 19. Angara Technologies Group А также не стоит забыть, что все уязвимости являются следствием ошибок на этапе разработки и программирования систем. Поэтому одним из способов минимизации уязвимостей является процесс безопасноq разработки - SDLC
- 20. Спасибо за внимание. Ваши вопросы?
- 21. Контакты +7 (495) 269-26-06 Angara Professional Assistance 121987, г. Москва, ул. Барклая, д.6, стр. 3, БЦ Барклай Парк info@angaratech.ru Angara Technologies Group 121087, г. Москва, Багратионовский пр-д, д. 7, к.2 БЦ Рубин +7 (495) 269-26-07 support@angaratech.ru www.angaratech.ru