|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
300 Управление уязвимостями |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
значить ответственными за системы,которые они никогда ранее не использо- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
вали. Наконец, документация помогает при чрезвычайных ситуациях, чтобы избежать пропуска каких-либо шагов или не наделать ошибок.
Реализация управления уязвимостями
Реализация управления уязвимостями следует установленной стратегии. Она начинается с создания инвентаризации ресурсов. Это служит регистром всех хостов в сети, а также содержащегося в них программного обеспечения. На этом этапе организация должна дать определенному сотруднику IT-команды задачу по обновлению данного инвентаря. Инвентаризация ресурсов, как ми- нимум,должна показыватьаппаратные и программные ресурсы,принадлежа- щие организации, и соответствующие лицензии. В качестве необязательного дополнения инвентаризация также должна выявлять уязвимости,присутству- ющие в любом из этих ресурсов. Обновленный регистр пригодится, когда ор- ганизации придется реагировать на уязвимости, исправляя все свои ресурсы. Вышеупомянутые инструменты могут должным образом справляться с зада- чами, которые должны быть выполнены на этом этапе.
После реализации инвентаризации ресурсов организация должна обратить внимание на управление информацией. Целью должно стать создание эффек- тивного способа передачи информации об уязвимостях и инцидентах в обла- сти кибербезопасности соответствующим лицам в кратчайшие сроки. Подхо- дящими лицами, которым можно отправить информацию об инцидентах из первых рук, являются группы реагирования на инциденты в области компью- терной безопасности.Инструменты,которые были описаны как средства,спо- собные облегчить этот этап,требуют создания списков рассылки. Члены груп- пыреагирования наинцидентыдолжны бытьвэтом списке,которыйполучает оповещения от инструментов мониторинга безопасности организации.
Нужно создавать отдельные списки рассылки,чтобы другие заинтересован- ные стороны в организации могли получить доступ к этой информации пос ле того, как она будет подтверждена. О соответствующих действиях, которые должны предпринять другие заинтересованные стороны, также следует сооб- щать через списки рассылки.
Наиболеерекомендуемыйинструментвэтомслучае–Symantec–предостав- ляетпериодическиепубликациипользователямворганизации,чтобыдержать их в курсе глобальных инцидентов в области кибербезопасности. В общем, в конце этого этападолжен бытьналажен сложный канал связи с реагирующи- ми на инциденты лицами и другими пользователями,когда происходит взлом системы.
После реализации списков рассылки для управления информацией должна бытьпроведенаоценкарисков.Онадолжнаосуществлятьсяспособом,описан- ным в стратегии управления уязвимостями. Начинать следует с определения области действия. За этим должен последовать сбор данных о существующих
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Реализация управления уязвимостями 301to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
политиках и процедурах, которые использует организация. Данные относи- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
тельно их соответствиятакжедолжны быть собраны.После этогодолжны быть проанализированы существующие политики и процедуры, чтобы определить, были ли они адекватными при обеспечении безопасности организации.Затем следует провести анализ уязвимостей и угроз.Угрозы и уязвимости,с которы- ми сталкивается организация, следует классифицировать в соответствии с их серьезностью. Наконец, организация должна определить приемлемые риски,
скоторыми она может столкнуться, не испытывая глубоких последствий. Оценка рисков должна сопровождаться оценкой уязвимостей. Этап оцен-
ки уязвимостей, который не следует путать с анализом уязвимости на этапе управления рисками, направлен на выявление уязвимых ресурсов. Поэтому все хосты в сети должны быть проверены с помощью согласованного взлома или протестированы на предмет проникновения,чтобы определить,являются ли они уязвимыми. Этот процесс должен быть тщательным и точным. Любые уязвимыересурсы,неопределенныенаэтомэтапе,могутбытьслабымзвеном, которое хакеры будут использовать. Таким образом, инструменты, которые предполагаемые хакеры будутприменятьдля совершения атаки,должны быть использованы в полной мере своих возможностей.
За этапом оценки уязвимости должно следовать создание отчетов и отсле- живание исправлений. Необходимо сообщать заинтересованным сторонам организации о всех выявленных рисках и уязвимостях. Отчеты должны быть всеобъемлющими и касающимися всех аппаратных и программных ресурсов, принадлежащих организации. Также они должны быть доработаны, чтобы удовлетворитьпотребности различных групплиц.Естьлица,которые могутне разбираться в технической стороне уязвимостей, поэтому будет справедливо предоставить им упрощенную версию отчетов.После отчетов должно идти от- слеживание исправлений.После выявления рисков и уязвимостей,с которыми сталкиваетсяорганизация,следуетуказатьподходящихлиц,которыезаймутся их устранением. На них должна быть возложена ответственность за обеспече- ниеполногоустранениявсехрисковиуязвимостей.Долженсуществоватьпро- думанный способ отслеживания прогресса в устранении выявленных угроз. Инструменты, которые мы рассмотрели ранее, обладают этими функциями и могут гарантировать успешную реализацию данного шага.
Окончательной реализацией должно быть планирование реагирования. Именно здесь организация описывает действия по устранению уязвимостей и приступает к их принятию. Этот шаг подтвердит правильность предыдущих пяти шагов. При планировании реагирования организация должна предло- житьсредстваисправленияилиобновлениясистем,которыебылиопределены как имеющие определенные риски или уязвимости. Следует придерживаться иерархии серьезности угроз,определенной на этапах оценки риска и уязвимо- сти. Этот шаг должен быть реализован с помощью инвентаризации ресурсов, чтобы организация могла подтвердить, что были задействованы все ее ресур- сы,какаппаратные,такипрограммные.Данныйшагнедолжензаниматьмно-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
302 Управление уязвимостями |
|
|
|
|
to |
|
|
|
|
|
|
|||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
го времени, поскольку хакеры могут перейти к нападению, используя только |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
чтообнаруженныеуязвимости.Этаппланированияреагированиядолженбыть завершен с учетом того, когда системы мониторинга отправляют оповещения тем, кто реагирует на инциденты.
Передовые методы управления уязвимостями
Даже при наличии лучших инструментов выполнение – это все, что имеет значение в управлении уязвимостями. Поэтому все действия, которые были определены в разделе реализации, должны выполняться без нареканий. Для каждого шага реализации стратегии управления уязвимостями существует ряд рекомендаций. Начиная с инвентаризации ресурсов, организация должна установить единую точку власти. Должно быть одно лицо, которое может нес ти ответственность, если не были выполнены обновления или имеются несо- ответствия. Еще один метод заключается в поощрении использования одних и тех же сокращений при вводе данных. Если сокращения будут изменяться, это может сбить с толку другого человека, пытающегося пройти инвентари- зацию. Инвентаризация также должна проверяться не реже одного раза в год. Наконец, рекомендуется относиться к изменениям систем управления инвен- таризацией с той же степенью осторожности, что и к любым другим измене- ниям в процессе управления.
На этапе управления информацией самым большим достижением, которое может получить организация,является быстрое и эффективное распростране- ние информации среди соответствующей аудитории. Один из лучших спосо- бов сделать это – позволить сотрудникам сознательно подписаться на списки рассылки. Еще один способ – позволить группе реагирования на инциденты публиковать свои собственные отчеты, статистику и рекомендации для поль- зователей организации на сайте. Организация также должна периодически проводить конференции для обсуждения новых уязвимостей, вирусов, вредо- носных действий и методов социальной инженерии с пользователями. Лучше всего,если все пользователи будутпроинформированы об угрозах,с которыми они могут столкнуться, и о том, как эффективно с ними бороться. Это оказы- вает бóльшее влияние, нежели списки рассылки, которые говорят им делать вещи технического характера, о смысле которых они и представления не име- ют. Наконец, организация должна придумать стандартизированный шаблон того, как будут выглядеть все относящиеся к безопасности электронные пись- ма.Уних должно быть четко определенное оформление,отличное от обычной электронной почты, к которой привыкли пользователи.
Этап оценки рисков является одним из самых сложных этапов жизненного цикла управления уязвимостями, потому что здесь не так много коммерче- ских инструментов, которые можно использовать. Одним из передовых мето- дов является документирование способов проверки новых уязвимостей сра- зу после их появления. Это сэкономит много времени, когда дело доходит до нейтрализации, поскольку соответствующие контрмеры уже будут известны.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Передовые методы управления уязвимостями 303to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
Еще один метод – публикация рейтингов рисков для общественности или, по |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
крайней мере, для пользователей организации. Эта информация может рас- пространяться и в конечном итогедойтидотого,кто сочтетее более полезной. На этом этапе также рекомендуется убедиться, что инвентаризации ресурсов доступны и обновляются, чтобы можно было пройти все хосты в сети во вре- мя анализа рисков. Группа реагирования на инциденты в любой организации должна также опубликовать матрицу для каждого инструмента, развернутого
ворганизации,чтобы обезопаситьсебя.Наконец,организациядолжна обеспе- чить строгий процесс управления изменениями, обеспечивающий информи- рование входящих сотрудников о состоянии безопасности организации и ме- ханизмах ее защиты.
Этап оценки уязвимости не очень сильно отличается от этапа оценки рис ков,поэтому они могутзаимствоватькакие-то методыдругудруга (те, что мы обсуждали ранее). В дополнение к тому, что обсуждалось при оценке рисков, полезно получить разрешение, прежде чем тщательно тестировать сеть, по- тому что мы уже видели,что этотшагможетпривести к серьезным сбоям в ра- боте организации и нанести реальный ущерб хостам.Поэтому все необходимо заранее спланировать.Еще один передовой метод заключается в создании на- страиваемых политик для конкретных сред – это разные операционные си- стемы хостов организации.Наконец,организация должна определить инстру- менты сканирования,которые лучше всего подходятдля ее хостов.Некоторые методымогутбытьизлишними,еслионислишкоммногоиглубокосканируют. Другие инструменты слишком поверхностные и не обнаруживают уязвимости
всети.
Есть несколько советов, которые можно использовать на этапе составления отчетов и отслеживания исправлений.Одним из них является обеспечение на- дежного инструмента для отправки владельцам ресурсов отчетов об уязвимо- стях, которые были у них, и о том, были ли они полностью исправлены. Это уменьшает количество ненужных электронных писем, полученных от пользо- вателей,на компьютерах которых обнаружены уязвимости.IT-персонал также должен встретиться с руководством и другими заинтересованными сторона- ми, чтобы узнать, какие отчеты они хотят увидеть. Уровень техничности дол- жен быть согласован. Группа реагирования на инциденты должна согласовать с руководством сроки восстановления и требуемые ресурсы,а также сообщить о последствиях отсутствия восстановления. Наконец, исправление должно быть выполнено в соответствии с иерархией строгости угроз. Поэтому уязви- мости, которые представляют наибольшую опасность, должны быть отсорти- рованы в первую очередь.
Этап планирования реагирования завершает процесс управления уязви- мостями. Именно здесь реализуются ответы на различные уязвимости. На этом этапе можно использовать ряд передовых методов. Одним из них явля- ется обеспечение того, чтобы планы реагирования были задокументированы и хорошо известны группе реагирования на инциденты и обычным пользо- вателям. Также должен существовать быстрый и точный поток информации