Odstraňovanie zraniteľností: Praktický sprievodca opravou toho, na čom záleží

Triage: Nie všetko je potrebné opraviť

Nie každé zistenie si vyžaduje okamžitú akciu. Informačné zistenia zvyšujú povedomie, ale nevyžadujú nápravu. Zistenia s nízkou závažnosťou v nekritických systémoch môžu počkať do nasledujúceho cyklu údržby. Zistenia s účinnými kompenzačnými kontrolami môžu byť akceptované s rizikom s náležitou dokumentáciou. Zamerajte energiu na nápravu na zistenia, ktoré predstavujú skutočné, zneužiteľné riziko pre vaše kritické aktíva.

Časové osi podľa závažnosti

Definujte časové osi nápravy podľa závažnosti: Kritické – začnite s nápravou do 24 hodín, vyriešte do 7 dní. Vysoké – začnite do 48 hodín, vyriešte do 14 dní. Stredné – začnite do 7 dní, vyriešte do 30 dní. Nízke – vyriešte do 90 dní alebo do nasledujúceho cyklu údržby. Dokumentujte tieto časové osi vo svojej bezpečnostnej politike a presadzujte ich prostredníctvom systému sledovania problémov.

Zodpovednosť za nápravu

Každé zistenie potrebuje ľudského vlastníka – niekoho, kto je zodpovedný za jeho vyriešenie. Bezpečnostné tímy triážujú a priraďujú. Inžinierske tímy vykonávajú nápravu. Bezpečnostný tím by nemal písať záplaty; inžiniersky tím by nemal rozhodovať o závažnosti. Jasné oddelenie úloh predchádza prekážkam a obviňovaniu.

Overenie opravy

'Opravené' zistenie bez dôkazu o overení je predpoklad, nie fakt. Po náprave znova skenujte, aby ste potvrdili, že zraniteľnosť bola vyriešená. Toto overenie vyžadujú rámce dodržiavania predpisov a skutočne znižuje riziko. Penetrify zahŕňa retesting v každom projekte – takže overenie opravy si nevyžaduje samostatný projekt ani dodatočné náklady.

Metriky nápravy

Sledujte priemerný čas do nápravy (MTTR) podľa úrovne závažnosti, percento zistení napravených v rámci časových osí politiky, úspešnosť opakovaného skenovania (percento opráv potvrdených pri prvom overení) a frekvenciu opakovania zistení (rovnaká zraniteľnosť sa znova objaví v nasledujúcich hodnoteniach). Klesajúca MTTR a frekvencia opakovania demonštrujú vyspelosť programu.

Záver

Nájdenie zraniteľností bez ich opravy je bezpečnostné divadlo. Účinná náprava si vyžaduje prioritizáciu, zodpovednosť, časové osi, overenie a metriky. Vstavaný retesting Penetrify uzatvára kruh od objavu až po overenú opravu.

Často kladené otázky

Ako mám prioritizovať nápravu, keď máme príliš veľa zistení?

Zamerajte sa na zistenia s vysokým skóre EPSS (pravdepodobnosť zneužitia), v kritických aktívach / aktívach vystavených internetu, bez kompenzačných kontrol. Použite kontextovú prioritizáciu – nielen CVSS – na identifikáciu 10 – 15 % zistení, ktoré predstavujú 80 % vášho skutočného rizika.

Mala by sa každá zraniteľnosť napraviť?

Nie. Zistenia s nízkym rizikom v nekritických systémoch je možné akceptovať s rizikom s dokumentáciou. Informačné zistenia poskytujú povedomie bez toho, aby si vyžadovali nápravu. Zamerajte úsilie na skutočne zneužiteľné zraniteľnosti v kritických aktívach.