🏹 Реагирование на 0-day
Реагирование на новые трендовые уязвимости часто затруднено из-за нехватки информации. Важно вовремя узнать об уязвимости ⏳ и быстро определить, затронута ли инфраструктура, какие сервисы уязвимы и доступны ли они злоумышленникам.
Сегодня хотел бы описать полный цикл реагирования на новую уязвимость: от подготовки ее обнаружения до проверки устранения.
Шаг 0. Инвентаризация внешнего периметра
Используем CMDB для учета и описания активов. Мы должны знать все торчащие наружу сервисы. Возможно применение внешних EASM-платформ для выявления уязвимых сервисов. EASM (External Attack Surface Management) платформы сканируют внешний периметр и могут выявлять уязвимости.
Шаг 1. Узнаем о новой уязвимости
Создаем свой процесс мониторинга бюллетеней безопасности, NVD, БДУ ФСТЭК, социальных сетей, СМИ и Telegram🌌. Возможно использование внешнего сервиса.
Шаг 2. Анализ уязвимости
Определяем продукт 🔎, функциональность, условия проявления, версии, способы входа и меры исправления. Мониторим наличие рабочих средств реализации уязвимости (PoC).
Шаг 3. Подтверждение наличия уязвимости
Определение наличия уязвимого продукта в ландшафте и применимость уязвимости для конкретной конфигурации 👨💻.
Шаг 4. Непосредственное устранение уязвимости
Применяем необходимые патчи и временные меры на период тестирования🐳. Временные меры могут включать настройку WAF, ограничение подключений, усиление логирования и др.
Шаг 6. Проверка устранения уязвимости
Проверяем установленные версии и артефакты деплоя 📝, сканируем внешние активы и анализируем логи.
Шаг 7. Оценка процесса
Оцениваем процесс с 0 по 6 шаг для анализа узких мест и его совершенствования, так как скорость массовой эксплуатации 0-day уязвимости уже очень быстрая.
💬 Реагирование на уязвимости потребует от нас комплексного подхода и постоянного мониторинга появления новых уязвимостей. При наличии финансирования можно положиться на внешние EASM-платформы, но выстраивание полного процесса внутри компании позволит также реагировать и на уязвимости внутри периметра.
