Основное ‎внимание‏ ‎в документе ‎«Health-ISAC: ‎Risk-Based ‎Approach ‎to‏ ‎Vulnerability ‎Prioritization» уделяется‏ ‎пропаганде‏ ‎более ‎тонкого ‎и‏ ‎риск-ориентированного ‎подхода‏ ‎к ‎бесполезно-полезной ‎задаче ‎управления‏ ‎уязвимостями.‏ ‎И ‎всё‏ ‎это ‎в‏ ‎мире, ‎где ‎количество ‎уязвимостей ‎настолько‏ ‎велико,‏ ‎что ‎это‏ ‎может ‎довести‏ ‎любого, ‎кто ‎попытается ‎их ‎все‏ ‎исправить,‏ ‎до‏ ‎нервного ‎срыва.‏ ‎Решение ‎видится‏ ‎«радикальным» ‎и‏ ‎инновационным‏ ‎— ‎расставлять‏ ‎приоритеты ‎на ‎основе ‎реального ‎риска,‏ ‎а ‎не‏ ‎просто‏ ‎бегать, ‎как ‎безголовый‏ ‎всадник, ‎пытаясь‏ ‎справиться ‎с ‎оценкой ‎CVSS‏ ‎пока‏ ‎с ‎неба‏ ‎падают ‎апокалиптичные‏ ‎коты.

В ‎документе ‎признается ‎абсурдность ‎традиционного‏ ‎подхода‏ ‎«это ‎надо‏ ‎было ‎исправить‏ ‎ещё ‎вчера», ‎учитывая, ‎что ‎только‏ ‎2–7%‏ ‎опубликованных‏ ‎уязвимостей ‎когда-либо‏ ‎эксплуатировались. ‎Это‏ ‎все ‎равно‏ ‎что‏ ‎каждый ‎день‏ ‎готовиться ‎ко ‎всем ‎возможным ‎стихийным‏ ‎бедствиям, ‎а‏ ‎не‏ ‎только ‎к ‎тем,‏ ‎которые, ‎скорее‏ ‎всего, ‎обрушатся ‎на ‎ваш‏ ‎район.‏ ‎В ‎документе‏ ‎представлен ‎набор‏ ‎методов, ‎в ‎том ‎числе ‎EPSS‏ ‎и‏ ‎SSVC, ‎которые‏ ‎призваны ‎помочь‏ ‎организациям ‎разобраться ‎в ‎хаосе ‎уязвимостей‏ ‎со‏ ‎снайперской‏ ‎точностью ‎(ну‏ ‎или ‎обесточить‏ ‎всё).

По ‎сути,‏ ‎документ‏ ‎представляет ‎собой‏ ‎призыв ‎к ‎организациям ‎принять ‎более‏ ‎стратегический, ‎целенаправленный‏ ‎подход,‏ ‎учитывающий ‎такие ‎факторы,‏ ‎как ‎фактическая‏ ‎возможность ‎использования ‎уязвимости, ‎стоимость‏ ‎активов,‏ ‎подверженных ‎риску,‏ ‎и ‎то,‏ ‎находится ‎ли ‎уязвимый ‎объект ‎в‏ ‎Интернете‏ ‎или ‎скрывается‏ ‎за ‎уровнями‏ ‎контроля ‎безопасности. ‎Документ ‎в ‎очередной‏ ‎раз‏ ‎пытается‏ ‎продать ‎идею‏ ‎работать ‎умнее,‏ ‎а ‎не‏ ‎усерднее,‏ ‎в ‎кибербезопасном‏ ‎эквиваленте ‎бесконечной ‎игры ‎в ‎тетрис,‏ ‎где ‎кубики‏ ‎просто‏ ‎летят ‎все ‎быстрее‏ ‎и ‎быстрее.

Ключевые‏ ‎выводы

Итак, ‎давайте ‎погрузимся ‎в‏ ‎захватывающий‏ ‎мир ‎управления‏ ‎уязвимостями. ‎Если‏ ‎вы ‎молодая ‎организация, ‎у ‎вас‏ ‎может‏ ‎возникнуть ‎соблазн‏ ‎устранить ‎все‏ ‎критические ‎и ‎близкие ‎к ‎ним‏ ‎уязвимости‏ ‎с‏ ‎помощью ‎системы‏ ‎оценки ‎в‏ ‎выбранном ‎инструменте‏ ‎сканирования.‏ ‎Это ‎все‏ ‎равно ‎что ‎пытаться ‎купить ‎весь‏ ‎фондовый ‎рынок‏ ‎в‏ ‎попытке ‎диверсифицироваться.

Не ‎всегда‏ ‎требуется ‎пользоваться‏ ‎самые ‎критичными ‎уязвимостями; ‎вместо‏ ‎этого‏ ‎набор ‎из‏ ‎менее ‎критичных‏ ‎уязвимостей ‎могут ‎объединить ‎в ‎цепочку‏ ‎эксплойтов,‏ ‎чтобы ‎получить‏ ‎доступ ‎к‏ ‎системам.

Документ ‎напоминает, ‎что ‎также ‎необходимо‏ ‎учитывать‏ ‎сетевое‏ ‎расположение ‎«активов».‏ ‎Уязвимости ‎и‏ ‎неправильные ‎настройки‏ ‎всегда‏ ‎должны ‎быть‏ ‎в ‎приоритете, ‎иначе ‎вашей ‎компании‏ ‎стоит ‎обратиться‏ ‎к‏ ‎дизайнерам ‎за ‎неоновой‏ ‎вывеской ‎приглашающей‏ ‎зайти ‎в ‎клуб ‎повеселиться.

Также‏ ‎не‏ ‎будем ‎забывать‏ ‎об ‎игре‏ ‎в ‎«Монополию», ‎т. ‎е. ‎о‏ ‎стоимости‏ ‎активов, ‎только‏ ‎вместо ‎собственности‏ ‎вы ‎имеете ‎дело ‎с ‎активами‏ ‎организации.‏ ‎Если‏ ‎устройство, ‎имеющее‏ ‎первостепенное ‎значение‏ ‎для ‎функционирования‏ ‎бизнеса‏ ‎или ‎содержащее‏ ‎критически ‎важную ‎информацию, ‎будет ‎скомпрометировано,‏ ‎вас ‎мало‏ ‎будут‏ ‎беспокоить ‎остальное ‎(поэтому‏ ‎уберите ‎бутылку‏ ‎виски ‎с ‎кнопки ‎DELETE).

В‏ ‎то‏ ‎же ‎время,‏ ‎важно ‎думать‏ ‎о ‎снижении ‎риска ‎в ‎случае‏ ‎применения‏ ‎уязвимости. ‎В‏ ‎идеале ‎—‏ ‎уязвимость ‎должна ‎сработать ‎в ‎песочнице‏ ‎и‏ ‎не‏ ‎оказать ‎никакого‏ ‎эффекта ‎на‏ ‎другие ‎узлы‏ ‎и‏ ‎устройства. ‎Так‏ ‎что ‎нанимайте ‎серьёзных ‎ребят, ‎которые‏ ‎будут ‎яростно‏ ‎выкидывать‏ ‎железо ‎из ‎окон‏ ‎в ‎качестве‏ ‎компенсационных ‎мер.

Наконец, ‎есть ‎система‏ ‎оценки‏ ‎прогнозирования ‎эксплойтов‏ ‎(EPSS) ‎и‏ ‎классификация ‎уязвимостей ‎для ‎конкретных ‎заинтересованных‏ ‎сторон‏ ‎(SSVC). ‎EPSS‏ ‎подобен ‎хрустальному‏ ‎шару, ‎предсказывающему ‎вероятность ‎того, ‎что‏ ‎уязвимость‏ ‎будет‏ ‎использована ‎в‏ ‎реальности. ‎SSVC,‏ ‎с ‎другой‏ ‎стороны,‏ ‎подобен ‎персонализированной‏ ‎дорожной ‎карте, ‎ориентированной ‎на ‎ценности,‏ ‎включая ‎статус‏ ‎использования‏ ‎уязвимости ‎в ‎системе‏ ‎безопасности, ‎её‏ ‎влияние ‎на ‎неё ‎и‏ ‎распространённость‏ ‎затронутых ‎продуктов.

Такой‏ ‎подход ‎позволяет‏ ‎высвободить ‎больше ‎времени ‎и ‎на‏ ‎другие‏ ‎задачи ‎и‏ ‎проблемы ‎организации‏ ‎ну, ‎или ‎же, ‎весело ‎провести‏ ‎время‏ ‎на‏ ‎американских ‎горках.

Подробный‏ ‎разбор

Health-ISAC Risk-Based Approach to Vulnerability Prioritization [RU].pdf

534,74 KB

Скачать

Документ ‎Microsoft‏ ‎под ‎названием ‎«Navigating ‎Incident ‎Response» содержит‏ ‎руководство ‎по‏ ‎эффективной‏ ‎стратегии ‎и ‎тактике‏ ‎реагирования ‎на‏ ‎инциденты ‎(IR). ‎В ‎нем‏ ‎подчёркивается‏ ‎важность ‎людей‏ ‎и ‎процессов‏ ‎при ‎реагировании ‎на ‎инцидент ‎в‏ ‎области‏ ‎кибербезопасности.

Инциденты ‎кибербезопасности‏ ‎так ‎же‏ ‎неизбежны, ‎как ‎разрядка ‎аккумулятора ‎телефона‏ ‎в‏ ‎самый‏ ‎неподходящий ‎момент.‏ ‎И ‎точно‏ ‎так ‎же,‏ ‎как‏ ‎нужен ‎план‏ ‎на ‎случай, ‎если ‎телефон ‎выйдет‏ ‎из ‎строя‏ ‎(может‏ ‎быть, ‎купить ‎power‏ ‎bank?), ‎нужен‏ ‎план ‎на ‎случай ‎возникновения‏ ‎кибератак.‏ ‎Данное ‎руководство‏ ‎полностью ‎посвящено‏ ‎этому ‎плану, ‎уделяя ‎особое ‎внимание‏ ‎людям‏ ‎и ‎процессам,‏ ‎задействованным ‎в‏ ‎эффективном ‎реагировании ‎на ‎инцидент.

Сейчас, ‎когда‏ ‎корпоративные‏ ‎сети‏ ‎увеличиваются ‎в‏ ‎размерах ‎и‏ ‎становятся ‎сложнее,‏ ‎обеспечить‏ ‎их ‎безопасность‏ ‎становится ‎довольно-таки ‎трудной ‎задачей ‎(а‏ ‎ведь ‎можно‏ ‎просто‏ ‎забить). ‎А ‎процесс‏ ‎реагирования ‎на‏ ‎инциденты ‎превращается ‎в ‎игру‏ ‎лабиринт‏ ‎из ‎которых,‏ ‎ну ‎вы‏ ‎поняли, ‎выход ‎— ‎это ‎руководство‏ ‎Microsoft‏ ‎(а ‎ведь‏ ‎только ‎у‏ ‎четверти ‎организаций ‎есть ‎план ‎реагирования‏ ‎на‏ ‎инциденты,‏ ‎и ‎вы‏ ‎ещё ‎не‏ ‎в ‎их‏ ‎числе).

Руководство,‏ ‎разработанное ‎группой‏ ‎реагирования ‎на ‎инциденты ‎Microsoft, ‎призвано‏ ‎помочь ‎избежать‏ ‎распространённых‏ ‎ошибок ‎и ‎предназначено‏ ‎не ‎для‏ ‎замены ‎комплексного ‎планирования ‎реагирования‏ ‎на‏ ‎инциденты, ‎а‏ ‎скорее ‎для‏ ‎того, ‎чтобы ‎служить ‎тактическим ‎руководством,‏ ‎помогающим‏ ‎как ‎группам‏ ‎безопасности, ‎так‏ ‎и ‎старшим ‎заинтересованным ‎сторонам ‎ориентироваться‏ ‎в‏ ‎расследовании‏ ‎реагирования ‎на‏ ‎инциденты.

В ‎руководстве‏ ‎также ‎описывается‏ ‎жизненный‏ ‎цикл ‎реагирования‏ ‎на ‎инциденты, ‎который ‎включает ‎подготовку,‏ ‎обнаружение, ‎локализацию,‏ ‎ликвидацию,‏ ‎восстановление ‎и ‎действия‏ ‎после ‎инцидента‏ ‎или ‎извлечённые ‎уроки. ‎Это‏ ‎как‏ ‎рецепт ‎борьбы‏ ‎со ‎стихийными‏ ‎бедствиями, ‎где ‎каждый ‎шаг ‎столь‏ ‎же‏ ‎важен, ‎как‏ ‎и ‎следующий.

В‏ ‎руководстве ‎также ‎подчёркивается ‎важность ‎управления‏ ‎и‏ ‎роли‏ ‎различных ‎заинтересованных‏ ‎сторон ‎в‏ ‎процессе ‎реагирования‏ ‎на‏ ‎инциденты.

Ключевые ‎выводы:

❇️Инциденты‏ ‎кибербезопасности ‎неизбежны: ‎Документ ‎начинается ‎с‏ ‎новаторского ‎заявления‏ ‎о‏ ‎том, ‎что ‎инциденты‏ ‎кибербезопасности, ‎по‏ ‎сути, ‎неизбежны. ‎Как ‎будто‏ ‎мы‏ ‎живём ‎в‏ ‎мире, ‎где‏ ‎киберугрозы ‎не ‎являются ‎ежедневным ‎явлением

❇️Только‏ ‎26%‏ ‎организаций ‎имеют‏ ‎постоянно ‎применяемый‏ ‎IR-план: ‎в ‎документе ‎приводится ‎исследование‏ ‎IBM‏ ‎согласно‏ ‎которому ‎у‏ ‎26% ‎организаций‏ ‎есть ‎постоянно‏ ‎применяемый‏ ‎план ‎реагирования‏ ‎на ‎инциденты. ‎Отрадно ‎сознавать, ‎что‏ ‎почти ‎три‏ ‎четверти‏ ‎организаций ‎решило ‎эффективно‏ ‎сэкономить ‎материальные‏ ‎ресурсы

❇️Важность ‎реагирования ‎на ‎инциденты,‏ ‎ориентированного‏ ‎на ‎людей:‏ ‎в ‎документе‏ ‎подчёркивается ‎важность ‎подхода ‎к ‎реагированию‏ ‎на‏ ‎инциденты. ‎Речь‏ ‎идёт ‎не‏ ‎только ‎о ‎технологиях, ‎но ‎и‏ ‎о‏ ‎людях,‏ ‎которые ‎их‏ ‎используют. ‎Хорошо,‏ ‎что ‎у‏ ‎нас‏ ‎есть ‎это‏ ‎руководство, ‎которое ‎напоминает ‎нам, ‎как‏ ‎люди ‎вовлечены‏ ‎в‏ ‎процессы ‎и ‎что‏ ‎всегда ‎найдётся‏ ‎чем ‎людей ‎занять ‎и‏ ‎HR-отдел‏ ‎для ‎поиска‏ ‎новых ‎людей‏ ‎под ‎новые ‎вовлечения

❇️Необходимость ‎чётких ‎ролей‏ ‎и‏ ‎обязанностей: ‎в‏ ‎документе ‎подчёркивается‏ ‎важность ‎чётких ‎ролей ‎и ‎обязанностей‏ ‎при‏ ‎реагировании‏ ‎на ‎инциденты.‏ ‎Люди ‎работают‏ ‎лучше, ‎когда‏ ‎знают,‏ ‎что ‎они‏ ‎должны ‎делать, ‎а ‎ведь ‎руководство‏ ‎до ‎сих‏ ‎пор‏ ‎верит, ‎что ‎сотрудники‏ ‎могут ‎обо‏ ‎всём ‎догадаться, ‎но ‎Microsoft‏ ‎учтиво‏ ‎напоминает ‎прописные‏ ‎истины.

❇️«Лабиринт ‎реагирования‏ ‎на ‎инциденты»: ‎в ‎документе ‎процесс‏ ‎реагирования‏ ‎на ‎инциденты‏ ‎сравнивается ‎с‏ ‎перемещением ‎по ‎лабиринту. ‎Потому ‎что‏ ‎ничто‏ ‎так‏ ‎не ‎говорит‏ ‎об ‎«эффективном‏ ‎процессе», ‎как‏ ‎структура,‏ ‎созданная ‎для‏ ‎того, ‎чтобы ‎сбивать ‎с ‎толку‏ ‎и ‎направлять‏ ‎по‏ ‎ложному ‎пути ‎(отдел‏ ‎продаж ‎уже‏ ‎получил ‎премию ‎за ‎IR-руководство,‏ ‎а‏ ‎вы?)

❇️Важность ‎сохранения‏ ‎доказательств: ‎в‏ ‎документе ‎подчёркивается ‎важность ‎сохранения ‎доказательств‏ ‎после‏ ‎нарушения. ‎Хорошо,‏ ‎что ‎они‏ ‎упомянули ‎об ‎этом, ‎иначе ‎мы‏ ‎могли‏ ‎бы‏ ‎просто ‎выбросить‏ ‎все ‎эти‏ ‎ценные ‎данные

❇️Необходимость‏ ‎в‏ ‎модели ‎реагирования:‏ ‎в ‎документе ‎предлагается, ‎чтобы ‎организации‏ ‎определили ‎модель‏ ‎реагирования‏ ‎для ‎управления ‎инцидентом‏ ‎(займитесь ‎делом‏ ‎уже).

❇️Потребность ‎в ‎выделенных ‎ресурсах:‏ ‎в‏ ‎документе ‎предлагается,‏ ‎чтобы ‎организации‏ ‎выделяли ‎ресурсы ‎для ‎реагирования ‎на‏ ‎инциденты.‏ ‎Потому ‎что,‏ ‎очевидно, ‎просить‏ ‎свою ‎ИТ-команду ‎разобраться ‎с ‎крупным‏ ‎инцидентом‏ ‎в‏ ‎сфере ‎кибербезопасности‏ ‎в ‎свободное‏ ‎время, ‎как‏ ‎подход,‏ ‎уже ‎не‏ ‎прокатывает.

❇️Важность ‎коммуникации: ‎В ‎документе ‎подчёркивается‏ ‎важность ‎коммуникации‏ ‎во‏ ‎время ‎инцидента ‎кибербезопасности.‏ ‎Людей ‎важно‏ ‎держать ‎в ‎курсе ‎событий‏ ‎во‏ ‎время ‎кризиса‏ ‎или ‎и‏ ‎других ‎значимых ‎событий ‎(но, ‎если‏ ‎бы‏ ‎они ‎хотели,‏ ‎они ‎бы‏ ‎сами ‎догадались).

Итак, ‎как ‎организации ‎могут‏ ‎гарантировать,‏ ‎что‏ ‎их ‎план‏ ‎реагирования ‎на‏ ‎инциденты ‎будет‏ ‎достаточно‏ ‎гибким, ‎чтобы‏ ‎адаптироваться ‎к ‎меняющимся ‎обстоятельствам? ‎Очевидно,‏ ‎что ‎никак,‏ ‎как‏ ‎с ‎погодой, ‎но‏ ‎вы ‎можете‏ ‎подготовиться ‎к ‎ней.

❇️Регулярно ‎пересматривать‏ ‎и‏ ‎обновлять ‎план:‏ ‎ландшафт ‎угроз‏ ‎меняется ‎быстрее, ‎чем ‎модные ‎тенденции.‏ ‎Регулярные‏ ‎проверки ‎и‏ ‎обновления ‎могут‏ ‎помочь ‎гарантировать, ‎что ‎план ‎остаётся‏ ‎актуальным,‏ ‎а‏ ‎вы ‎станете‏ ‎более ‎уверенным‏ ‎в ‎себе

❇️Протестировать‏ ‎план:‏ ‎регулярное ‎тестирование‏ ‎может ‎помочь ‎выявить ‎пробелы ‎и‏ ‎области ‎для‏ ‎последующего‏ ‎их ‎улучшения. ‎Это‏ ‎как ‎репетиция‏ ‎пьесы ‎— ‎нужно ‎знать‏ ‎свои‏ ‎реплики ‎до‏ ‎того, ‎как‏ ‎поднимется ‎занавес ‎(а ‎оправдываться ‎всё‏ ‎придётся,‏ ‎так ‎почему‏ ‎сразу ‎не‏ ‎придумать ‎ответы ‎на ‎все ‎случаи‏ ‎жизни)

❇️Вовлечение‏ ‎всех‏ ‎заинтересованных ‎участников:‏ ‎от ‎ИТ-специалистов‏ ‎до ‎юристов‏ ‎и‏ ‎пиарщиков, ‎каждый‏ ‎должен ‎знать ‎свою ‎роль ‎в‏ ‎IR-плане ‎(никто‏ ‎не‏ ‎уйдёт ‎от ‎сверхурочной‏ ‎работы).

Сохранение ‎улик‏ ‎во ‎время ‎реагирования ‎на‏ ‎инцидент‏ ‎похоже ‎категорически‏ ‎важно, ‎иначе‏ ‎зачем ‎вы ‎покупали ‎столько ‎дисков‏ ‎в‏ ‎RAID0 ‎решения‏ ‎(и ‎сотрите‏ ‎оттуда ‎уже ‎ваше ‎аниме).

❇️Непреднамеренное ‎уничтожение‏ ‎улик:‏ ‎В‏ ‎спешке ‎с‏ ‎исправлением ‎ситуации‏ ‎организации ‎часто‏ ‎(и‏ ‎не ‎случайно)‏ ‎уничтожают ‎улики.

❇️Отсутствие ‎криминалистики: ‎Сохранение ‎цифровых‏ ‎доказательств ‎требует‏ ‎специальных‏ ‎знаний ‎и ‎навыков‏ ‎(теперь, ‎очевидно,‏ ‎зачем ‎существует ‎RAID1)

❇️Несоблюдение ‎требований‏ ‎закона:‏ ‎В ‎зависимости‏ ‎от ‎характера‏ ‎инцидента ‎могут ‎существовать ‎юридические ‎требования‏ ‎к‏ ‎сохранности ‎доказательств‏ ‎(Microsoft ‎уже‏ ‎в ‎терминале ‎даже ‎встроила ‎хеш-функции)

Управление‏ ‎инцидентами‏ ‎это‏ ‎дикий, ‎сложный‏ ‎и ‎часто‏ ‎разочаровывающий ‎мир,‏ ‎но‏ ‎с ‎правильным‏ ‎планом ‎(только ‎от ‎Microsoft) ‎и‏ ‎людьми ‎вы‏ ‎сможете‏ ‎ориентироваться ‎в ‎нем‏ ‎как ‎профессионал.

Подробный‏ ‎разбор

Navigating Incident Response [RU].pdf

477,85 KB

Скачать