איך יודעים אם אתם מוכנים להתחיל תוכנית חשיפה של נקודות חולשה (VDP)? יש הערכות חשובות שצריך לבצע לפני שמיישמים VDP. ההערכות האלה עוזרות לזהות פערים בתשתית ולהכין את הצוות לקראת הדוחות על איתור באגים. VDP שמיושם כראוי מוביל לזרימה קבועה של דוחות. אם הצוות שלכם לא מוכן לעומס העבודה הנוסף, לתוכנית החדשה עלולה להיות השפעה שלילית על האבטחה במקום שיפור האבטחה. הערכת תוכנית האבטחה כדי לזהות פערים ולטפל בהם יכולה לתרום רבות לשיפור היכולת שלכם להתמודד עם התפוקה של VDP. תגובה מהירה לדיווחים על נקודות חולשה יכולה לשפר את הקשר שלכם עם קהילת הפריצה, וכך ליצור תוכנית בריאה יותר.
תקינות האבטחה הבסיסית
לא משנה מהו בשלות האבטחה של הארגון או למשאבים הזמינים, כדאי לבדוק את תקינות האבטחה הנוכחית כדי לזהות פערים. בהמשך נדון בזיהוי פערים פוטנציאליים בתחומים מרכזיים שאנחנו בדרך כלל נוטים להתעלם מהם, כולל, איתור באגים, תיקון באגים, ניתוח שורשים, זיהוי ותגובה ותרבות אבטחה.
איתור באגים
כשמתכוננים להשקת VDP, חשוב להעריך את השיטות שבהן הצוות משתמש כדי לזהות נקודות חולשה בסביבה. כחלק מההערכה וההכנה להתחלת השימוש ב-VDP, יש לבצע מאמץ ראשוני כדי לאתר נקודות חולשה ולתקן אותן.
אם לא תעשו זאת, ייתכן שהדבר יוביל לעלייה משמעותית בדוחות נקודות חולשה כשה-VDP ייפתח, וכתוצאה מכך הצוות שלכם עשוי להציף את הצוות. באמצעות הגדרה של תהליך בסיסי של סריקת נקודות חולשה ובדיקת אבטחה, הארגון שלכם יוכל ליצור תהליכים יציבים לטיפול בבעיות אבטחה. כשתפעילו את ה-VDP, תהיו מוכנים יותר לטפל בדיווחים נכנסים על נקודות חולשה.
תיקון באגים
נוסף על איתור נקודות חולשה, צריך תהליכים ומשאבים מוגדרים היטב כדי לוודא שנקודות החולשה יתוקנו בזמן . לא מספיק רק לאתר באגים, האבטחה משתפרת רק כשמתקנים באגים. האם יש לכם תהליכים ומשאבים לניהול נקודות חולשה? מהי התרבות בארגון שלכם כשמדובר באבטחה? האם צוות האבטחה נתפס בתור המקדימים, החוסמים, הקוצב בצד של ההנדסה? או האם אתם נתפסים כשותפים לעבודה משותפת? איך אתם נותנים עדיפות לתיקון נקודות חולשה? יש לכם כינוי משותף והבנה לגבי מידת החומרה ולוחות הזמנים לתיקון? עד כמה קל או קשה למצוא בעלים כדי לתקן נקודת חולשה שזוהתה? האם אתם עוקבים אחרי מדדים לגבי נקודות חולשה שזוהו, כולל זמן לתיקון? האם לארגון שלך יש מלאי נכסים, או האם זה חלום לעתיד? שוב, אם אתם מרגישים די טוב בנושא הזה ואתם מבינים היטב איך להבטיח תיקון מיידי של באגים חמורים, יש לכם קשר יציב עם הצוותים והאנשים האחראים לתיקון נקודות החולשה, וכן יש לכם משאבים לעיבוד חלק של באגים נכנסים באבטחה, כך תוכלו לעשות זאת. אם לא, בפרק הבא נדריך אתכם איך ליישם תוכנית מוצלחת לניהול נקודות חולשה. בכל מקרה, מומלץ ליישם שיטות מוצדקות לניהול נקודות חולשה, כדי להתמודד עם רצף הבאגים החדש שתקבלו מה-VDP, וכך להבטיח שתוכלו להגיב לנקודות החולשה שזוהו ולטפל בהן בהקדם.
ניתוח שורש הבעיה
בנוסף לעבודה האופרטיבית של איתור ותיקון באגים כשלב חד-פעמי, האם אתם מבצעים ניתוח שורש (root) של בעיות (RCA) וזיהוי גורמים שיטתיים להוספת נקודות חולשה לסביבה שלכם? זה נהדר למצוא ולתקן באגים במהירות. עם זאת, כשמדובר בהרצה של VDP מצליח, כדאי להיות מסוגלים לזהות איך הבאגים האלה מופיעים מלכתחילה. הוא יכול להופיע בצורות שונות, למשל:
- זיהוי האופן שבו נוספה נקודת חולשה באבטחת אפליקציות.
- האם מפתחים משתמשים בספריות ובמסגרות נפוצות שמפחיתים את הסיכון לחדירת נקודות חולשה?
- ניתוח נתונים וזיהוי מגמות.
- האם הבחנתם בתשתית שמנוהלת על ידי צוות מסוים אף פעם לא כוללת עדכוני אבטחה?
- תקריות או פרצות באבטחה.
- לבצע פוסט-מורטם עם כל הגורמים הרלוונטיים כדי לנתח את מה שקרה, ללמוד מה הסיבה לכך וללמוד ממנו, כדי לא לחזור על אותן טעויות בעתיד.
בלי להריץ RCA, עלול להיות בזבוז מאמץ רב על עיבוד דוחות על באגים דומים מה-VDP. אם בעתיד תתחילו ליצור תוכנית תגמולים על נקודות חולשה, גם חוסר ב-RCA ישפיע פיננסי על הארגון שלכם. בפרק הבא נפרט עצות ספציפיות יותר לגבי הטמעת תהליכי RCA ותרבות פוסט-מורטם.
זיהוי ותגובה
הזמנת חוקרים חיצוניים לפרוץ לנכסים שלכם תשפיע על מנגנוני הזיהוי והתגובה שלכם. אם יש לכם מערכות לזיהוי או למניעת פריצות, מומלץ לשקול אילו סוגי בדיקות תרצו שחוקרי אבטחה יבצעו. האם תיצרו חריגים כדי שהם יאתרו נקודות חולשה "מאחורי" מערכות ההגנה האוטומטיות האלה? אם עשרה חוקרים יתחילו לבצע סריקות של נקודות חולשה בנכסים שגלויים לגורמים חיצוניים בשעה 02:00 ביום שבת, האם ההתראות יעירו את צוות האבטחה? איך מזהים תנועת בדיקה לגיטימית מחוקרי אבטחה לעומת מתקפה אמיתית אפשרית נגד המערכות שלכם? האם אתם יודעים איך למנף נתונים שנוצרו על ידי חוקרי אבטחה שבודקים את המערכות שלכם? אם חוקר אבטחה מנסה לנחש שמות משתמשים וסיסמאות בכוחות עצמו, האם הוא יכול לנעול משתמשים אמיתיים? לפני שמתחילים ביצירת תיאור מפורט של סרטון, מומלץ להביא בחשבון את כל ההיבטים האלה. חשוב להגדיר ציפיות ברורות לחוקרי אבטחה לגבי סוגי הבדיקות המותרים והאסורים, ולקבוע איך להגדיר את מנגנוני הזיהוי והתגובה הקיימים. הפרק הבא יוסבר בפירוט רב יותר איך לגשת לכך.
תרבות האבטחה
לתרבות הארגון יש השפעה עצומה על היכולת להתחיל ולתחזק VDP מוצלח. כדאי לקחת צעד לאחור ולהבין מיהם בעלי העניין המרכזיים שיצטרכו לקנות את היוזמה, ומה הקשר הקיים שלהם עם צוות אבטחת המידע. בהתאם לבעלי העניין השונים ולאופן שבו אתם מצפים שהם יטפלו בהצעה לפתיחת תוכנית לגילוי נקודות חולשה, תצטרכו לזהות שיטות וחומרים כדי לשכנע אותם להצטרף לקונספט הזה. בעל עניין מרכזי אחד שלא נמצא בעניינים עלול למנוע מ-VDP להתחיל בעבודה.