Давайте будем честными, пришло время переосмыслить и переосмыслить подход к управлению уязвимыми.
Более десяти лет в качестве лингвиста и аналитика разведки, сначала в ВВС сша, а затем в Booz Allen Hamilton, я рассекал состязательную тактику и методы. Я отслеживал актеры угроз национального государства и помог организациям создавать и поддерживать программы безопасности, которые работают в эпоху современного облака. За последние три года в Sysdig я перешел от практического анализа с исследовательской группой Sysdig угрозы к усилению тенденций безопасности для более широкого сообщества. Я видел невероятные достижения, когда команды быстро адаптируются и выровняются. Управление уязвимостью просрочено для такого рода преобразования.
На протяжении более 20 лет управление уязвимостью является неотъемлемой, но разочаровывающей компонентом программ безопасности. Несмотря на эту организационную направленность и время, деньги и численность персонала, инвестировали в это, реальность такова, что большинство программ управления уязвимыми управлением не следили за состязательной тактикой и развивающимися технологиями. Наши команды безопасности были последовательно перегружены невременными уязвимостями. Те же темы эхо в каждой организации: слишком много шума, недостаточно сигнала. Если все важно, то ничто не важно. Есть причина, по которой мы все еще расстроены десятилетиями управления уязвимыми, и до сих пор оставались выставленными.
В то время как механика управления уязвимостью в основном одинакова — обнаружение активов, сканирование и анализ, оценка и приоритизация, а также восстановление — объем программ управления уязвимыми уязвимость значительно вырос. За последние два десятилетия мы увидели большой подъем и переход от локальной инфраструктуры к сервисам с использованием микросервисов и без серверов. Современная оперативная сложность подчеркивает текущие проблемы с приоритетом и восстановлением, которые мы никогда не решали в прутке.
Неудачи традиционного управления уязвимостью
Некоторые нынешние подходы к управлению уязвимыми по-прежнему остаются слишком зависящими от независимых и неэффективных практик прошлого. Слишком много уязвимостей, классифицированных как «критические» и «высокие», не требуют того внимания, которое мы предполагаем. Мы все видели результаты сканирования, показывающие серьезные риски, которые были впервые обнаружены в нашей операционной среде много лет назад и никогда не фиксировались. Они, очевидно, были не так критическими, как их оценка CVSS первоначально указал годы назад. И не то, чтобы эти результаты по своей сути не правы, им просто не хватало операционного контекста.
Фактическая вероятность и влияние уязвимостей были запутаны в неконтексуализированных базовых базах CVSS. Даже добавили усовершенствования к базовым оценкам CVSS, включая систему оценки прогнозирования эксплуатации (EPS) и известный каталог CISA (KEV), оставили нас в поисках истинного сена. Организации с уязвимостью в десятках тысяч не являются красными флагами. На самом деле, это обычный бизнес.
Командам, обвиняемым в приоритетах и исправлении уязвимостей, часто не хватало организационного контекста. Основная модель управления управлением уязвимость была оспорена с командами безопасности, проводящими сканирование накаменного времени и бросает плохо контекстуализированные результаты по забору, чтобы перегружать инфраструктуру и операции (I & O) и команды разработчиков. Это настроило всех на неудачу.
Следовательно, количество уязвимостей увеличилось с течением времени, и реальные, соответствующие риски для наших организаций были упущены. Эти цифры делают традиционные подходы к «сгоранию», эвфемизму для снижения риска, бесполезного. Это привело к указанию пальцев среди старших лидеров и заинтересованных сторон, в частности ИТ-директоров, CTO и CISO, когда что-то не так. С регулирующими мандатами и выводами аудита напряжение продолжалось.
Вот правда: статус -кво не служит никому, кроме угроз, которые, хотя и стремятся эксплуатировать наши организации.
Как восстановить программу управления уязвимыми
Нам нужно переосмыслить, как мы реализуем и управляем управлением уязвимыми в наших организациях. Управление уязвимость требует не только инструмента, который сканирует активы на предмет неправильных сборов, непрерывного программного обеспечения и воздействия.
Управление уязвимостью предназначено для стратегической программы, которая должна иметь свою определенную операционную модель. Модель должна включать ключевые переменные, включая:
- Правильное сочетание ресурсов, таких как персонал, инструменты и автоматизация.
- Четко определенные роли и обязанности для всех ресурсов.
- Основные функции и рабочие процессы программы.
- Желаемый технический и административный контроль программы.
Лидеры безопасности обязаны своим командам новый план игры, который делает организации более устойчивыми и безопасными. Установив четкое руководство и ожидания, команды могут двигаться быстрее и избежать режима кризиса позже, и заинтересованные стороны могут определить показатели и точки данных, необходимые для проверки статуса и эффективности программы.
Создание целевой операционной модели для управления уязвимостью является основополагающей, но мы все еще обязаны нашим командам лучше приоритетов. Это начинается с того, что отвергает идею о том, что все CVE заслуживают равного обращения. Нам нужны лучшие фильтры.
Использование современных инструментов для эффективного снижения риска
Однако есть надежда на достижение приоритетов приоритетов уязвимости с более высокой верностью. Хотя мы можем найти уязвимости от статического сканирования и других типов анализа, не все CVE представляют существенный риск, и мы должны помочь нашим командам идентифицировать, расставить приоритеты и устранение тех уязвимостей. Один из наиболее эффективных способов сделать это — сосредоточиться на контексте времени выполнения: те уязвимости, которые фактически работают в производстве.
Некоторые современные инструменты безопасности выводят приоритет и анализ данных уязвимости на следующий уровень. Например, с использованием запросов естественного языка аналитик может получить операционный контекст и A-A-A-Actisted Remediation обнаруженных уязвимостей и неправильных сборов, которые подвергают риску их организацию. Мгновенно доступный и контекст в реальном времени для уязвимостей является множителем силы для команд безопасности. В дополнение к AI-полученной информации с действенной интеллектом угроз помогает аналитикам безопасности и их коллегам в I & O и развитии сосредоточиться на том, что действительно важно, и помогает им продвинуться вперед.
Сейчас мы видим свет в конце туннеля управления уязвимостью. Мы можем выйти за рамки сканирования времени, которые были исторически изолированы от среды развития, до плотно интегрированного анализа, который становится частью интегрированной среды развития (IDE) и трубопровода непрерывной разработки/непрерывной доставки (CI/CD), предлагая непрерывное понимание и выравниваемое процесс исправление. От разработки до производства инженерные возможности, лежащие в основе современных инструментов управления уязвимостью для облачной нативной реальности.
Благодаря вариантам, включая как без агентов, так и легких агентов, наши команды теперь имеют доступ к телеметрии, необходимой для решения этих приоритетных уязвимостей и неправильных сборов, которые требуют немедленного внимания, независимо от того, где они существуют. Ценность хорошо информированных программ управления уязвимостью заключается в их способности быть настроенным в качестве обстоятельств. В случае управления уязвимостью гибкость и эффективность идут рука об руку.
Лидеры безопасности полагаются на свои команды и инструменты, которые они используют, чтобы обеспечить гарантию и устойчивость, которые требуют наши организации. Им не нужно выбирать между скоростью и безопасностью. Управление уязвимостью было переосмыслено, чтобы дать командам возможность принимать лучшие, ориентированные на риск решения. Современный подход сочетает в себе данные ИИ, интеллект угроз и уязвимости, чтобы предложить гибкие и контекстные рекомендации, гарантируя, что наше управление уязвимыми управлением выполнено правильно.
Пришло время сжечь старые способы управления уязвимостью. Нет больше шума. Больше нет догадок. Просто реальное снижение риска.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Crystal Morin — стратег кибербезопасности в Sysdig, ведущей компании облачной безопасности AI, основанной на инновациях с открытым исходным кодом. Она переводит сложные концепции безопасности и передовые исследования в четкое, действенное руководство как для лидеров, так и для практиков, помогая организациям защищаться против … Подробнее от Crystal Morin
