איך תדעו אם אתם מוכנים להתחיל תוכנית לגילוי נקודות חולשה (VDP)? יש הערכות חשובות שצריך לבצע לפני הטמעת VDP. האומדנים האלה עוזרים לזהות פערים בתשתית ולהכין את הצוות לשימוש בסטרימינג של דוחות על באגים נכנסים. VDP שהוטמע בצורה נכונה מספק זרימה רציפה של דוחות. אם הצוות שלכם עדיין לא מוכן לעומס העבודה הנוסף, לתוכנית החדשה עשויה להיות השפעה שלילית במקום שיפור האבטחה. הערכת תוכנית האבטחה לזיהוי פערים וטיפול בהם יכולים לתרום רבות לשיפור היכולת שלכם להתמודד עם תפוקת VDP. מענה מהיר לנקודות החולשה המדווחות עשוי לשפר את הקשר שלכם עם קהילת הפריצה, וכך לספק תוכנית בריאה יותר.
תקינות האבטחה הבסיסית
הדרך הטובה ביותר לזהות פערים באבטחת המידע היא ללא קשר לשכבת האבטחה של הארגון או למשאבים שעומדים לרשותם. בהמשך המאמר אנחנו מפרטים על פערים אפשריים בתחומים מרכזיים שהרבה אנשים מתעלמים מהם, כולל איתור באגים, תיקון באגים, ניתוח של שורש הבעיה, זיהוי של תגובות ותרבויות שקשורות לאבטחה.
איתור באגים
כשמתכוננים להפעלת VDP, חשוב להעריך את השיטות שהצוות משתמש בהן לזיהוי נקודות חולשה בסביבה שלכם. כחלק מההערכה וההכנה לקראת VDP, צריך להשקיע מאמץ ראשוני כדי למצוא נקודות חולשה ולתקן אותן.
אם לא תעשו זאת, הדבר עלול להוביל לעלייה אדירה בדוחות הנקודות החולשה כאשר ה-VDP שלכם יושק, באופן שעשוי להציף את הצוות שלכם. הגדרת תהליך בסיסי של בדיקת נקודות חולשה ובדיקת אבטחה תאפשר לארגון לבסס תהליכים יעילים לטיפול בבעיות אבטחה. כשתתחילו להשתמש ב-VDP, תהיו מוכנים טוב יותר להתמודדות עם דוחות של נקודות חולשה.
תיקון באגים
בנוסף לאיתור נקודות חולשה, נדרשים תהליכים ומשאבים מוגדרים היטב כדי לוודא שהפרצות אבטחה יתוקנו בזמן . מציאת באגים לא מספיקה, האבטחה משתפרת רק כשמתקנים באגים. האם יש לכם תהליכים ומשאבים לניהול נקודות חולשה? מהי התרבות הארגונית בתחום האבטחה? האם צוות האבטחה נתפס בתור הנייידים, החוסמים, או הקוצים בצד של ההנדסה? או שאת/ה נחשב/ת לשותף/ה משותף/ת? איך נותנים עדיפות לתיקון נקודות חולשה? האם יש לכם מושג כללי לגבי מידת החומרה ומידת החומרה של לוחות הזמנים? עד כמה קל או קשה למצוא בעלים כדי לתקן נקודות חולשה שזוהו? האם אתם עוקבים אחרי מדדים של נקודות חולשה שזוהו, כולל זמן תיקון? האם לארגון שלכם יש מלאי נכסים, או שהוא חלום רחוק בעתיד? שוב, אם אתם מרגישים שדברים כאלה מתרחשים היטב ויש לכם מושג ביכולת להבטיח באגים חמורים יתוקנו במהירות, עליכם לנהל קשרים יציבים עם הצוותים והאנשים שאחראים לתיקון נקודות חולשה, ויש לכם משאבים מתאימים לעיבוד באגים נכנסים באבטחה באופן חלק, אתם מוכנים לצאת לדרך. אם לא, נציע הנחיות ליישום של תוכנית טובה לניהול נקודות חולשה בפרק הבא. בכל מקרה, כדאי להשתמש בשיטות טיפול סטנדרטיות לניהול נקודות חולשה כדי לטפל בבאגים החדשים שתקבלו מ-VDP, ולוודא שאתם יכולים להגיב במהירות ולטפל בפרצות אבטחה.
ניתוח שורש הבעיה
מעבר לפעולה התפעולית של איתור ותיקון באגים באופן חד-פעמי, האם אתם מבצעים ניתוח של שורשי הבעיה (RCA) של בעיות וזיהוי סיבות מערכתיות להוספת נקודות חולשה לסביבתכם? זה נהדר שאפשר למצוא ולתקן באגים במהירות. עם זאת, כשמדובר ב-VDP מוצלח, כדאי שתהיה לך אפשרות לדעת איך הבאגים האלה מופיעים מלכתחילה. יכולות להופיע בצורות שונות, כגון:
- זיהוי נקודת חולשה באבטחת יישומים.
- האם מפתחים משתמשים בספריות ובמסגרות נפוצות ומפחיתים את הסיכון לפגיעות?
- ניתוח נתונים וזיהוי מגמות.
- האם שמתם לב לתשתית שמנוהלת על ידי צוות מסוים שלעולם אין עדכונים של אבטחה?
- תקריות אבטחה או פרצות אבטחה.
- לבצע סיכום של הסקת המסקנות מכל הגורמים הרלוונטיים כדי לנתח את מה שקרה, להסביר את הסיבה לכך וללמוד ממנה כדי להימנע מטעויות בעתיד.
בלי לבצע RCA, אפשר להשקיע הרבה מאמץ על עיבוד רב של דוחות על באגים דומים מה-VDP. אם בעתיד תשיקו תוכנית תגמול לפרצות אבטחה, היעדר RCA יהיה בעל השפעה פיננסית על הארגון שלכם. בפרק הבא נדון בעצות ספציפיות יותר לגבי אופן היישום של תהליכי RCA ותרבות של הסקת מסקנות לאחר האירוע.
זיהוי ותגובה
הזמנת חוקרים חיצוניים לבדיקת הנכסים שלכם תשפיע על מנגנוני הזיהוי והתגובה. אם יש לכם מערכות לזיהוי/פריצות של פריצות, כדאי שתבדקו מהם סוגי הבדיקות שתרצו לבצע על ידי חוקרי אבטחה. האם תגרמו לחריגות האלה למצוא נקודות חולשה "מאחורי" מערכות ההגנה האוטומטיות האלה? אם עשרה חוקרים מתחילים להריץ סריקות של נקודות חולשה בנכסים החיצוניים בשעה 2:00 ביום שבת, האם האזעקות יעירו את צוות האבטחה? איך אתם מזהים תנועה לגיטימית לבדיקה של חוקרי אבטחה לעומת מתקפה פוטנציאלית אמיתית נגד המערכות שלכם? האם אתם יודעים איך למנף נתונים שנוצרים על ידי בודקי אבטחה שבודקים את המערכות שלכם? אם חוקר אבטחה מנסה לאלץ ניחוש להשתמש בשמות משתמש ובסיסמאות, האם הוא יוכל לנעול את המשתמשים האמיתיים? לפני שמתחילים VDP, כדאי לקחת בחשבון את כל ההיבטים האלה. חשוב לדעת מהן הדרישות המקובלות לחוקרי אבטחה לגבי סוגי הבדיקות שמותר להשתמש בהן, ואיך לקבוע את המנגנונים הקיימים לזיהוי ולתגובה. בחלק הבא נסביר בפירוט איך לעשות זאת.
תרבות האבטחה
לתרבות הארגונית שלכם יש השפעה עצומה על היכולת ליצור ולתחזק VDP מצליח. כדאי לקחת צעד אחורה ולהבין מי הם בעלי העניין המרכזיים שיהיה צורך לקנות את היוזמה, ומה הקשר שלהם לצוות אבטחת המידע. בהתאם לגורמים הרלוונטיים השונים ולאופן שבו אתם מצפים מהם לטפל בהצעה להפעלת תוכנית לגילוי נקודות חולשה, תצטרכו לזהות שיטות וחומרים שנועדו לשכנע אותם לקנות את הרעיון הזה. אחד מבעלי העניין המרכזיים שלא נכלל בלוח הזמנים עשוי למנוע מ-VDP להתחיל להשתמש בו.