Skąd wiesz, czy możesz rozpocząć program ujawniania luk w zabezpieczeniach (VDP)? Przed wdrożeniem VDP warto dokonać ważnych ocen. Te oceny pomagają zidentyfikować luki w infrastrukturze i przygotować zespół na otrzymywanie przychodzących raportów o błędach. Prawidłowo wdrożony VDP zapewnia stały przepływ raportów. Jeśli Twój zespół nie jest gotowy na dodatkowe zadania, nowy program może mieć negatywny wpływ na jego bezpieczeństwo, zamiast poprawić bezpieczeństwo. Ocena programu zabezpieczeń pod kątem wykrywania i rozwiązywania luk może znacznie zwiększyć możliwości obsługi przepustowości VDP. Szybkie reagowanie na zgłoszone luki w zabezpieczeniach może poprawić Twoje relacje ze społecznością hakerów, a w rezultacie zapewnić lepszą skuteczność programu.
Podstawowe zasady bezpieczeństwa
Niezależnie od stopnia dojrzałości zabezpieczeń organizacji i dostępnych zasobów ocena aktualnej higieny bezpieczeństwa jest najlepszym sposobem wykrywania luk. Poniżej omawiamy identyfikowanie potencjalnych luk w kluczowych obszarach, które są często pomijane, takich jak znajdowanie błędów i naprawianie błędów, analiza przyczyn problemów, wykrywanie i reagowanie oraz kultura bezpieczeństwa.
Znajdowanie błędów
Przygotowując się do uruchomienia VDP, musisz ocenić metody, których Twój zespół używa do identyfikowania luk w zabezpieczeniach środowiska. W ramach procesu oceny i przygotowań do uruchomienia VDP musisz najpierw podjąć działania, aby znaleźć i usunąć luki w zabezpieczeniach.
Jeśli tego nie zrobisz, po uruchomieniu środowiska VDP może być dużo raportów o lukach w zabezpieczeniach, co może przytłoczyć Twój zespół. Skonfigurowanie podstawowego procesu skanowania pod kątem luk w zabezpieczeniach i weryfikacji bezpieczeństwa pozwoli organizacji opracować solidne procesy rozwiązywania problemów z zabezpieczeniami. Gdy uruchomisz VDP, będziesz mieć lepsze przygotowanie do obsługi przychodzących raportów o lukach w zabezpieczeniach.
Naprawianie błędów
Oprócz wykrywania luk w zabezpieczeniach potrzebne są dobrze zdefiniowane procesy i zasoby, które zapewnią szybkie usuwanie luk w zabezpieczeniach . Znalezienie błędów to nie wszystko. Bezpieczeństwo poprawia się tylko po naprawieniu błędów. Czy dysponujesz procesami i zasobami do zarządzania lukami w zabezpieczeniach? Jaka jest kultura bezpieczeństwa w Twojej organizacji? Czy zespół ds. bezpieczeństwa jest postrzegany jako negatywy, kłopotki, ciernie stanowiące przeszkodę dla inżynierów? Czy postrzegasz ją jako partnera do współpracy? Jak traktować priorytetowo usuwanie luk w zabezpieczeniach? Czy stosujecie wspólną nazwę i harmonogramy działań naprawczych? Jak łatwo – lub jak trudno – znaleźć właściciela usunięty w zabezpieczeniach? Czy śledzi Pan/Pani dane dotyczące wykrytych luk w zabezpieczeniach, w tym czas ich naprawy? Czy Twoja organizacja ma magazyn zasobów, czy to odległa przyszłość? Jeśli dobrze się czujesz i wiesz, jak zadbać o szybkie naprawianie poważnych błędów, masz solidne relacje z zespołami i osobami odpowiedzialnymi za usuwanie luk w zabezpieczeniach oraz dysponujesz zasobami, które pozwalają sprawnie przetwarzać napływające strumienie błędów w zabezpieczeniach, jesteś na dobrej drodze. Jeśli nie, w następnym rozdziale podamy wskazówki, jak wdrożyć skuteczny program zarządzania lukami w zabezpieczeniach. W obu przypadkach musisz wdrożyć sprawdzone metody zarządzania lukami w zabezpieczeniach, aby móc obsługiwać nowy strumień błędów otrzymywanych z VDP. Umożliwi Ci to szybkie reagowanie na wykryte luki w zabezpieczeniach i odpowiednie rozwiązywanie problemów.
Analiza przyczyn źródłowych
Czy poza operacyjnymi działaniami w zakresie znajdowania i naprawiania błędów przeprowadzasz analizę głównych przyczyn problemów i identyfikujesz systemowe przyczyny wprowadzania luk do środowiska w Twoim środowisku? Cieszymy się, że mogę szybko znajdować i naprawiać błędy. Jednak w przypadku skutecznego VDP musisz wiedzieć, w jaki sposób powstawały te błędy. Mogą one mieć różne formy, na przykład:
- Ustalenie, jak wprowadzono lukę w zabezpieczeniach aplikacji.
- Czy deweloperzy używają popularnych bibliotek i platform, które zmniejszają ryzyko wprowadzenia luk w zabezpieczeniach?
- Analizowanie danych i identyfikowanie trendów.
- Widzisz, że infrastruktura zarządzana przez dany zespół nie jest nigdy dodawana aktualizacjami zabezpieczeń?
- Incydenty lub naruszenia bezpieczeństwa.
- Przeprowadź pomortem ze wszystkimi powiązanymi stronami, aby przeanalizować, co i dlaczego się stało, oraz wyciągnąć z nich wnioski, aby nie popełniać tych samych błędów w przyszłości.
Bez RCA można zmarnować wiele wysiłku na przetwarzanie wielu podobnych raportów o błędach z VDP. Jeśli w przyszłości rozpoczniesz program nagradzania za wykryte luki w zabezpieczeniach, brak RCA będzie miał również wpływ finansowy na Twoją organizację. W następnym rozdziale omówimy bardziej szczegółowe porady dotyczące wdrażania procedur RCA i kultury post-mortem.
Wykrywanie i reagowanie
Zaproszenie zewnętrznych badaczy do hakowania Twoich zasobów wpłynie na mechanizmy wykrywania i reagowania. Jeśli korzystasz z systemów wykrywania włamań lub zapobiegania włamaniom, zastanów się, jakiego rodzaju testy powierzysz badaczom zabezpieczeń. Czy utworzycie wyjątki, które wskażą luki w zabezpieczeniach „za” tymi automatycznymi systemami ochrony? Jeśli 10 badaczy zacznie skanować zasoby dostępne zewnętrznie o godzinie 2:00 w sobotę, czy alarmy obudzą zespół ds. bezpieczeństwa? Jak odróżniacie rzetelne testy dokonywanych przez badaczy ds. bezpieczeństwa od potencjalnych ataków na Twoje systemy? Czy wiesz, jak wykorzystać dane wygenerowane przez badaczy bezpieczeństwa, które testują Twoje systemy? Czy jeśli specjalista ds. bezpieczeństwa usiłuje odgadnąć nazwy użytkowników i hasła za pomocą brute-force, może zablokować prawdziwych użytkowników? Przed rozpoczęciem korzystania z VDP warto wziąć pod uwagę wszystkie te aspekty. Musisz dokładnie ustalić, czego mogą oczekiwać badacze zabezpieczeń, co jest dozwolone, a jakie nie. Musisz też ustalić, jak skonfigurować obecne mechanizmy wykrywania i reagowania. W następnym rozdziale bardziej szczegółowo omówimy takie podejście.
Kultura bezpieczeństwa
Kultura firmy w organizacji ma ogromny wpływ na możliwość rozpoczęcia i utrzymania skutecznego VDP. Warto zrobić krok w tył i dowiedzieć się, kim są kluczowe zainteresowane osoby, które będą musiały zakupić tę inicjatywę, i jakie są ich aktualne relacje z zespołem ds. bezpieczeństwa informacji. Biorąc pod uwagę różne zainteresowane osoby i Twoje przewidywania dotyczące przyjęcia propozycji uruchomienia programu ujawniania luk w zabezpieczeniach, musisz określić metody i materiały, które przekonają je do przyjęcia tej koncepcji. Jedna z kluczowych zainteresowanych osób, która nie dołączyła do programu, może potencjalnie zablokować VDP już od samego początku.