Skąd wiesz, że chcesz rozpocząć program ujawniania luk w zabezpieczeniach (VDP)? Przed wdrożeniem platformy VDP należy wykonać ważne oceny. Oceny te pomagają zidentyfikować luki w infrastrukturze i przygotować zespół do strumieniowego przesyłania przychodzących raportów o błędach. Prawidłowo zaimplementowane VDP zapewnia systematyczny przepływ raportów. Jeśli zespół nie jest gotowy na dodatkowe zadanie, nowy program może negatywnie wpłynąć na jego bezpieczeństwo. Ocena programu zabezpieczeń w celu identyfikacji i wyeliminowania luk w zabezpieczeniach może być bardzo przydatna do zwiększenia możliwości obsługi VDP. Szybkie reagowanie na zgłaszane luki w zabezpieczeniach może poprawić Twoją relację ze społecznością hakerów, co przyczyni się do poprawy stanu programu.
Podstawowe zasady dbania o bezpieczeństwo
Niezależnie od poziomu bezpieczeństwa organizacji i dostępnych zasobów ocena stanu higieny to najlepszy sposób na wykrycie luk w zabezpieczeniach. Poniżej omawiamy identyfikowanie potencjalnych luk w najważniejszych obszarach, które często są pomijane, takich jak znajdowanie błędów, naprawianie błędów, analiza przyczyn źródłowych, wykrywanie i reagowanie oraz kultura bezpieczeństwa.
Znajdowanie błędów
Przygotowując się do wprowadzenia VDP, musisz ocenić metody, jakich Twój zespół używa do wykrywania luk w Twoich środowiskach. W ramach oceny i przygotowania do rozpoczęcia procesu VDP należy najpierw wykonać działania mające na celu wykrycie i naprawienie luk w zabezpieczeniach.
Jeśli tego nie zrobisz, liczba uruchomień raportów z lukami w zabezpieczeniach po uruchomieniu VDP może się znacznie zwiększyć. Skonfigurowanie podstawowego procesu skanowania pod kątem luk w zabezpieczeniach i sprawdzania zabezpieczeń umożliwi Twojej organizacji ustalenie solidnych procedur rozwiązywania problemów z zabezpieczeniami. Po uruchomieniu VDP możesz przygotować się do obsługi raportów o lukach w zabezpieczeniach.
Naprawianie błędów
Poza znajdowaniem luk w zabezpieczeniach potrzebujesz również zdefiniowanych procesów i zasobów, które umożliwiają szybkie usuwanie luk w zabezpieczeniach . Samo znalezienie błędów nie wystarcza, a poprawa bezpieczeństwa następuje tylko po usunięciu błędów. Czy dysponujesz procesami i zasobami do zarządzania lukami w zabezpieczeniach? Jak wygląda kultura w Twojej organizacji w kwestii bezpieczeństwa? Czy zespół ds. bezpieczeństwa jest jak nazwiscy, blokerzy i cierń na inżynierię? A może Twoja firma jest partnerem partnerskim? Jak ustalacie priorytety rozwiązywania problemów z lukami w zabezpieczeniach? Czy dysponujesz wspólną narracją i harmonogramami działań naprawczych? Oceń stopień trudności znalezienia właściciela luki w zabezpieczeniach. Czy śledzicie wskaźniki dotyczące wykrytych luk w zabezpieczeniach, w tym czas naprawiający problemy? Czy Twoja organizacja ma zasoby, czy ma marzenia o przyszłości? Jeśli dobrze radzisz sobie z sytuacją i masz dobre podstawy, aby szybko usuwać poważne błędy, masz trwałe relacje z zespołami i osobami odpowiedzialnymi za naprawę luk w zabezpieczeniach oraz dysponujesz zasobami do bezproblemowego przetwarzania strumieni błędów w zabezpieczeniach. W przeciwnym razie w następnym rozdziale omówimy sposoby wdrażania skutecznego programu do zarządzania lukami w zabezpieczeniach. W obu przypadkach musisz zastosować sprawdzone metody zarządzania lukami w zabezpieczeniach, aby móc odbierać nowe strumienie błędów otrzymywanych z VDP, co pozwoli Ci szybko reagować na wykryte luki w zabezpieczeniach i je usuwać.
Analiza przyczyn źródłowych
Czy oprócz jednorazowych operacji skupiasz się na wykrywaniu i naprawianiu błędów? Czy przeprowadzasz analizę głównych przyczyn i wykrywasz systemowe przyczyny wprowadzania luk w zabezpieczeniach? Świetnie jest szybko naprawiać i usuwać błędy. Jeśli chodzi o wydajne korzystanie z VDP, warto jednak w pierwszej kolejności określić, jak te błędy są wyświetlane. Mogą mieć różne formy, na przykład:
- W jaki sposób wprowadzono lukę w zabezpieczeniach aplikacji.
- Czy deweloperzy korzystają z popularnych bibliotek i platform, które zmniejszają ryzyko wprowadzenia tych luk w zabezpieczeniach?
- Analiza danych i identyfikacja trendów.
- Czy widzisz, że infrastruktura zarządzana przez konkretny zespół nigdy nie jest aktualizowana przez aktualizacje zabezpieczeń?
- Incydenty lub naruszenia bezpieczeństwa.
- Przeprowadź pośmiertny post razem ze wszystkimi powiązanymi stronami, aby przeanalizować, co się stało i dlaczego, i wyciągnąć z niego wnioski, aby uniknąć podobnych błędów w przyszłości.
Bez wykonywania RCA wiele pracy może się wiązać z marnowaniem wielu podobnych raportów o błędach z Twojego VDP. Jeśli w przyszłości rozpoczniesz program nagradzania za lukę w zabezpieczeniach, brak RCA ma również wpływ na finanse Twojej organizacji. W kolejnym rozdziale skupimy się na bardziej szczegółowych wskazówkach na temat wdrażania procedur RCA oraz kultury po ich opuszczeniu.
Wykrywanie i reagowanie
Zapraszanie zewnętrznych badaczy do ataku na Twoje zasoby wpłynie na mechanizmy wykrywania i reagowania. Jeśli dysponujesz systemami do wykrywania/zapobiegania włamaniami, zastanów się, jakie typy testów mają wykonać badacze zabezpieczeń. Czy zrobicie w nich wyjątki, żeby znaleźć luki w zabezpieczeniach „zalegające” przez te automatyczne systemy ochrony? Jeśli 10 badaczy zacznie w sobotę skanować zewnętrzne zasoby pod kątem luk w zabezpieczeniach o 2:00, czy wbudzą się alarmy? W jaki sposób identyfikujesz autentyczne testowanie ruchu przez badaczy zabezpieczeń w porównaniu z potencjalnym atakem na Twoje systemy? Czy wiesz, jak wykorzystać dane wygenerowane przez badaczy zabezpieczeń pod kątem Twoich systemów? Jeśli osoba badająca bezpieczeństwo próbuje oszukać użytkownika przy użyciu nazwy użytkownika i hasła, może zablokować konkretnych użytkowników? Zanim uruchomisz VDP, warto wziąć pod uwagę wszystkie te aspekty. Musisz dokładnie określić, czego oczekujesz po badaniu bezpieczeństwa, i potwierdzić, które typy testów są dozwolone, a także jak skonfigurować obecne mechanizmy wykrywania i reagowania. W następnym rozdziale dowiesz się, jakie podejście do niego zastosować.
Kultura bezpieczeństwa
Kultura w organizacji ma ogromny wpływ na możliwość rozpoczęcia i utrzymywania VDP. Warto się cofnąć i zrozumieć, jakie najważniejsze zainteresowane osoby będą musiały kupić te inicjatywy i jaka jest ich obecna relacja w zespole ds. bezpieczeństwa informacji. Biorąc pod uwagę różne zainteresowane strony i sposób, w jaki przewidujesz, jak przygotują się do wdrożenia programu ujawniania luk w zabezpieczeniach, musisz określić metody i materiały, które zachęcą ich do skorzystania z takiego podejścia. Jedna z głównych zainteresowanych osób może potencjalnie uniemożliwić VDP rozpoczęcie działalności.