Чтобы предотвратить угрозы кибербезопасности, современные предприятия должны иметь в своем распоряжении политики, процессы и инструменты, чтобы не только защититься от атак, но и укрепить свою безопасность за счет снижения организационных рисков.
Ниже мы представили восемь лучших способов (практик), которые помогут управлять рисками безопасности и уязвимостями. Применение этих методов ускорит восстановление.
1. Воспользуйтесь книгами исправлений: чтобы соответствовать масштабируемости и скорости современной среды угроз, исправление уязвимостей должно быть максимально автоматизированным. Одним из наиболее эффективных способов достижения автоматизации является создание предопределенных игровых книжек, адаптированных к среде организации.
2. Дополните активное сканирование «без сканированными» методами. Используйте данные из существующих DevOps, систем безопасности и ИТ-хранилищ для проведения сканирования. Когда непрерывные результаты без сканирования объединяются с результатами периодического активного сканирования, организация может практически в режиме реального времени увидеть уязвимости без ущерба для производительности. Этот подход может быть реализован с использованием инструментов с открытым исходным кодом, таких как QRadar.
3. Другие подходы к исправлению включают управление конфигурацией и компенсационные средства управления (завершение процесса, сеанса или модуля). Оптимальный метод исправления будет отличаться от уязвимости к уязвимости. Для достижения этой практики важно поддерживать базу знаний о решениях и уязвимостях. Также можно воспользоваться сторонними базами знаний, основанными на очень больших наборах данных.
4. Используйте метрики управления уязвимостями, которые улучшают и настраивают процессы обнаружения, расстановки приоритетов и исправления. Количественные метрики не дают значимого представления об эффективности ваших усилий по управлению уязвимостями. Более значимыми являются качественные метрики. венные метрики. Например, охват, время ожидания уязвимости, среднее количество уязвимостей на актив в течение определенного периода времени, в какой степени выполняются соглашения об уровне обслуживания и т. д.
5. Определите приоритеты восстановления. Для этого используйте множественные факторы и контекстно-ориентированную оценку риска. Необходимо сопоставить множество внешних и внутренних источников, чтобы лучше понять серьезность конкретной уязвимости в уникальной среде организации. Примерами внешних источников могут служить баллы CVSS, а также репозитории аналитики угроз. Внутренними источниками будут системы управления активами и изменениями организации для понимания важности бизнеса и состояния безопасности.
6. Сканирование хостов чаще, чем сетей. Сетевые сканеры значительно увеличивают нагрузку при сканировании через сетевые службы. Они также требуют настройки параметров, открытия портов брандмауэра и так далее. Сканирование на хосте же не пересекает сеть. Так вы устраните нагрузку на сеть и проведете более непрерывное сканирование.
7. Сканируйте изображения, а не экземпляры. В современных облачных приложениях большинство экземпляров сервера устанавливаются из одного образа. Тестирование образа на наличие уязвимостей вместо сканирования экземпляров — еще один способ добиться непрерывного обнаружения без нагрузки на сетевые ресурсы.
8. Эффективное сотрудничество команд. На предприятиях обычно работают несколько групп, работающих над устранением уязвимостей. Например, группа безопасности отвечает за обнаружение уязвимостей, но исправлением занимаются ИТ-группы или команды DevOps. У каждой команды обычно есть специализированные стеки баз данных, процессов и инструментов, которые должны быть тесно интегрированы в централизованную платформу управления уязвимостями для организации исправлений. Эта практика может быть реализована внутри компании или с помощью сторонних решений.
#it-безопасность #оценка рисков #сканирование уязвимостей #уязвимости #кибербезопасность
