Dyrektorzy ds. bezpieczeństwa od dawna wiedzą, jak ważne jest zajmowanie się podatnościami w ich środowiskach IT.

Inni członkowie kadry kierowniczej również zdali sobie sprawę z krytycznego znaczenia tego zadania, biorąc pod uwagę liczbę głośnych przypadków naruszenia bezpieczeństwa, do których doszło w wyniku niezałatania systemu.

Zobacz również:

• Cyberobrona? Mamy w planach

Ostatnie doniesienia powinny rozwiać wszelkie wątpliwości co do znaczenia tego zadania.

Na przykład, na początku stycznia Federalna Komisja Handlu USA poinformowała społeczność biznesową o konieczności zajęcia się problemem Log4j, pisząc w poście internetowym, że „obowiązek podjęcia rozsądnych kroków w celu zniwelowania znanych luk w oprogramowaniu wiąże się z przepisami prawnymi, w tym między innymi z ustawą o Federalnej Komisji Handlu (Federal Trade Commission Act) USA oraz ustawą Gramm Leach Bliley Act. Jest niezwykle ważne, aby firmy i ich dostawcy polegający na Log4j podjęli działania już teraz, w celu zmniejszenia prawdopodobieństwa wyrządzenia szkody konsumentom oraz w celu uniknięcia działań prawnych ze strony FKH.”

FKH ma dobry powód, by ostrzegać o takich problemach: Raporty konsekwentnie stwierdzają, że niezałatane znane luki pozostają jednym z głównych wektorów ataków.

Weźmy pod uwagę dane z raportu Ransomware Spotlight Year End 2021 opracowanego przez firmy Ivanti, Cyber Security Works i Cyware. W raporcie odnotowano 65 nowych luk związanych z oprogramowaniem ransomware w 2021 r., co stanowi wzrost o 29% w stosunku do poprzedniego roku, oraz 288 znanych luk związanych z oprogramowaniem ransomware.

Pomimo takich wyników, wiele organizacji nie posiada formalnego programu zarządzania podatnościami. Badanie przeprowadzone w 2020 roku przez SANS Institute, organizację zajmującą się szkoleniami i certyfikacją w zakresie bezpieczeństwa cybernetycznego, wykazało, że prawie 37% z nich stosuje jedynie nieformalne podejście lub nie posiada żadnego programu.

Doświadczeni liderzy bezpieczeństwa zgadzają się, że zarządzanie podatnościami nie powinno być prowadzone ad hoc lub metodami nieformalnymi. Powinno być ono raczej programowe, aby wymusić działanie, odpowiedzialność i ciągłe doskonalenie.

W tym celu eksperci zaproponowali 12 kroków do zbudowania najwyższej klasy programu zarządzania podatnościami:

1. Zbierz zespół

„Zanim cokolwiek kupisz, przeprowadzisz jakiekolwiek procesy lub stworzysz procedury, musisz zbudować zespół” - radzi Daniel Floyd, który jako dyrektor ds. bezpieczeństwa wewnętrznego w firmie Blackcloak nadzoruje jej SOC, platformę analizy zagrożeń, zespoły ds. testów penetracyjnych i cyfrowego kryminalistyki.

Oprócz wyznaczenia pracowników zajmujących się bezpieczeństwem i informatyką, którzy zazwyczaj zajmują się zarządzaniem podatnościami i łataniem, Floyd zaleca włączenie do zespołu innych kluczowych interesariuszy, takich jak pracownicy biznesowi, którzy mogą opowiedzieć o wpływie, jaki wywiera na organizację wyłączenie systemów w celu ponownego uruchomienia, aby zespół mógł zrozumieć, w jaki sposób ich praca wpływa na innych.

2. Prowadzenie aktualnej, kompleksowej inwentaryzacji zasobów

Kolejnym fundamentalnym elementem każdego skutecznego programu zarządzania podatnościami jest aktualna inwentaryzacja zasobów wraz z procesem zapewniającym, że będzie ona jak najbardziej aktualna i kompleksowa. „Jest to zdecydowanie coś, o czym wszyscy wiedzą, ale to naprawdę trudny obszar” - mówi Floyd, szczególnie w dzisiejszych nowoczesnych środowiskach, w których występują fizyczne przedmioty, zdalne połączenia pracowników, elementy IoT, a także elementy chmury, SaaS i open source.

Jednak kluczowa jest ciężka praca, mówi Alex Holden, CISO z Hold Security i członek ISACA Emerging Trends Working Group. „Wszystko to musi być brane pod uwagę, więc kiedy pojawi się coś nowego, będziesz wiedział, czy jest to coś, co musisz naprawić”.

3. Obsesyjne skupienie się na widoczności

William MacMillan, dyrektor ds. bezpieczeństwa informacji w firmie Salesforce, po przeprowadzeniu kompleksowej inwentaryzacji zasobów, zaleca zrobienie kolejnego kroku i „obsesyjne skupienie się na widoczności” poprzez „zrozumienie wzajemnych powiązań środowiska, przepływu danych i integracji”.

„Nawet jeśli nie jesteś jeszcze dojrzały w swojej podróży do bycia programistą, zacznij od widoczności” - mówi. „Najmocniejszy dolar, jaki można wydać na bezpieczeństwo cybernetyczne, to zrozumienie swojego środowiska i poznanie wszystkich jego elementów. Według mnie jest to fundament domu i na tym mocnym fundamencie należy budować”.

4. Skanuj bardziej agresywnie

Skanowanie podatności jest kolejnym podstawowym elementem solidnego programu cyberbezpieczeństwa, jednak eksperci twierdzą, że wiele organizacji, które regularnie przeprowadzają skanowanie, nadal nie jest w stanie zidentyfikować problemów, ponieważ nie są wystarczająco dokładne. „Myślę, że ludzie zawodzą, jeśli chodzi o zasięg skanowania” - mówi Floyd.

W związku z tym, wydajne programy zarządzania podatnościami przyjęły bardziej agresywne praktyki skanowania, obejmujące wiele opcji skanowania. Floyd, na przykład, twierdzi, że jego zdaniem zespoły powinny włączyć skanowanie z uwierzytelnieniem, aby dokładniej wyszukiwać słabe konfiguracje i brakujące łaty, oprócz powszechnie stosowanego skanowania opartego na agencie i skanowania sieciowego.

5. Udokumentowane, przemyślane procesy robocze

Dojrzałe, dobrze ugruntowane programy zarządzania podatnościami mają udokumentowane, przemyślane procesy robocze, które określają, co się dzieje i kto jest za co odpowiedzialny – uważa MacMillan.

„Większe, złożone firmy rozumieją, że [luki w zabezpieczeniach] są zagrożeniem egzystencjalnym i że muszą dość szybko przejść przez etap ad hoc i określić, co należy zrobić w sposób celowy i skoncentrowany” - wyjaśnia.

Zespoły ds. bezpieczeństwa na całym świecie mogą skorzystać na naśladowaniu tych najlepszych praktyk i ustanowieniu takich przepływów pracy, dodając automatyzację tam, gdzie jest to możliwe.

Ponadto, MacMillan twierdzi, że zespoły powinny opracować wspólny obraz operacyjny, z tymi samymi danymi i informacjami o zagrożeniach dostępnymi dla wszystkich członków zespołu zajmujących się zarządzaniem podatnościami.

„Wszyscy powinni działać w oparciu o ten wspólny obraz operacyjny i wszyscy powinni być zsynchronizowani” - dodaje.

6. Ustanowienie i śledzenie KPI

„Aby potwierdzić skuteczność kontroli i udowodnić kierownictwu, że jest ona efektywna, dobrze jest mieć wskaźniki, które informują o wydajności programu zarządzania podatnościami” - mówi Niel Harper, dyrektor zarządu ISACA i CISO w dużej globalnej firmie.

Mówi on, że organizacje mogą wykorzystać dowolny z powszechnie stosowanych kluczowych wskaźników wydajności - takich jak procent krytycznych podatności naprawionych na czas i procent krytycznych podatności, które nie zostały naprawione na czas - aby zmierzyć aktualny stan i śledzić poprawę w czasie.

Inne KPI mogą obejmować procent zinwentaryzowanych aktywów, czas do wykrycia, średni czas do naprawy, liczbę incydentów związanych z podatnościami, wskaźnik ponownego otwarcia podatności oraz liczbę przyznanych wyjątków.

Jak wyjaśnia Harper: „Wszystkie te wskaźniki dadzą kierownictwu pogląd na to, jak dobrze funkcjonuje program zarządzania podatnościami”.

7. Analiza porównawcza

Śledzenie kluczowych wskaźników wydajności (KPI) może wskazać, czy nasz własny program zarządzania podatnościami poprawia się z biegiem czasu, ale aby określić, czy nasz program jest lepszy czy gorszy od innych, należy porównać go z działaniami innych firm - mówi Harper.

„Benchmarking pomaga zrozumieć, jak wypadamy na tle rówieśników i konkurencji, a także daje kierownictwu pewność, że nasz program zarządzania podatnościami jest skuteczny - wyjaśnia Harper. „Może również służyć jako czynnik wyróżniający na rynku, który można wykorzystać do zwiększenia przychodów”.

Harper twierdzi, że dostawcy usług zarządzanych często dysponują danymi, które zespoły ds. bezpieczeństwa mogą wykorzystać do tego zadania.

8. Wyznacz osobę odpowiedzialną za sukces

Wielu ekspertów twierdzi, że aby stworzyć prawdziwy program zarządzania podatnościami, organizacje muszą wyznaczyć osobę odpowiedzialną za jego pracę, a w konsekwencji za sukcesy i porażki.

„Musi to być wyznaczone stanowisko, osoba pełniąca funkcje kierownicze, ale oddzielona od CISO, ponieważ CISO nie ma czasu na śledzenie KPI i zarządzanie zespołami” - mówi Frank Kim, założyciel ThinkSec, firmy konsultingowej i doradczej w zakresie bezpieczeństwa oraz SANS Fellow.

Kim twierdzi, że większe firmy często mają wystarczająco dużo pracy związanej z zarządzaniem podatnościami, aby ktoś mógł objąć tę rolę w pełnym wymiarze godzin, ale mniejsze i średnie przedsiębiorstwa, które nie potrzebują pełnoetatowego menedżera, powinny uczynić tę pracę odpowiedzialną za bezpieczeństwo oficjalną częścią czyjejś pracy.

„Ponieważ jeśli nie powierzy się odpowiedzialności tej jednej osobie” - mówi Kim – „to wszyscy będą wskazywać na siebie nawzajem”.

9. Dostosuj zachęty do ulepszeń i sukcesów programu

Przydzielenie odpowiedzialności za program to jeden krok, ale Kim i inni twierdzą, że organizacje powinny również wprowadzić zachęty, takie jak premie związane z poprawą kluczowych wskaźników efektywności.

Floyd mówi: „Zachęcaj do działania nie tylko zespoły odpowiedzialne za łatanie, ale także interesariuszy w całej organizacji”, niezależnie od tego, czy zachęty te polegają na dodatkowym wynagrodzeniu, dniach wolnych od pracy czy innych formach uznania. „Chodzi o motywowanie i świętowanie sukcesów. To pokazuje, że to musi być priorytet”.

10. Stwórz program bug bounty

Firma Salesforce nagrodziła etycznych hakerów kwotą ponad 2,8 miliona dolarów w 2021 roku za zidentyfikowanie błędów bezpieczeństwa w swoich produktach, traktując bug bounty jako ważny element zarządzania podatnościami - mówi MacMillan, który zaleca organizacjom wdrożenie programów bug bounty jako części ich wysiłków związanych z zarządzaniem podatnościami. „Jest to skuteczny sposób na ujawnienie problemów” - mówi.

Inni się z tym zgadzają. Holden, na przykład, twierdzi, że mniejsze organizacje mogą stworzyć wewnętrzny program bug bounty, w ramach którego nagradzani będą pracownicy znajdujący luki w zabezpieczeniach, lub współpracować z zewnętrznymi podmiotami lub firmami zajmującymi się bezpieczeństwem cybernetycznym, oferującymi takie usługi, w celu wykorzystania większej puli wiedzy specjalistycznej.

11. Określ oczekiwania i dostosuj je w miarę upływu czasu

Liczba publicznie ujawnionych błędów w zabezpieczeniach komputerowych znajdujących się na liście Common Vulnerabilities and Exposures (CVE) stale rośnie, a liczba nowych błędów dodawanych corocznie wzrastała niemal co roku w ciągu ostatniej dekady. W 2011 roku było 4 813 CVE, w 2020 roku będzie ich 11 463 - wynika z analizy przeprowadzonej przez Kenna Security.

Biorąc pod uwagę ich ilość, eksperci są zgodni, że organizacje muszą ustalić priorytety, które podatności stanowią dla nich największe ryzyko, aby móc zająć się nimi w pierwszej kolejności.

Peter Chestna, CISO na Amerykę Północną w firmie Checkmarx, zgadza się z tym stwierdzeniem, ale twierdzi również, że organizacje powinny jasno i wyraźnie określić swoje priorytety i skoncentrować swój program zarządzania podatnościami na tych podatnościach, które rzeczywiście planują usunąć.

Na przykład, jeśli organizacja planuje zająć się tylko podatnościami, które zostały ocenione jako wysokie, po co w ogóle skanować w poszukiwaniu tych o niskim ryzyku? Chestna twierdzi, że takie podejście może wyczerpać zasoby i odciągnąć uwagę zespołów od pracy o wysokim priorytecie, zwiększając prawdopodobieństwo przeoczenia krytycznych problemów. "Zamiast tego należy ustalić zasady, których chcemy przestrzegać (muszą to być zasady, których faktycznie można przestrzegać), a następnie ich przestrzegać" - mówi, dodając, że pomaga to organizacji lepiej skupić się na redukcji ryzyka. „A kiedy już naprawdę dobrze poradzimy sobie z tymi najwyższymi priorytetami, wtedy porozmawiajmy o otwarciu wrót powodzi”.

12. Informowanie interesariuszy i zarządu o wynikach programu

Oprócz informowania interesariuszy w organizacji o wszelkich poprawkach, które mogą mieć wpływ na ich dostęp do systemów, eksperci twierdzą, że dział bezpieczeństwa powinien informować o ogólnych wynikach programu zarządzania podatnościami - w kategoriach biznesowych, związanych z ryzykiem i jego redukcją.

Floyd konkluduje: „To jest coś, co powinno być raportowane do zarządu. Bądźcie odpowiedzialni”.

Źródło: CSO