ersilh0x Aug 5 at 04:03

Управление уязвимостями с помощью no-code решения на Budibase

Medium

11 min

940

Information Security *

Case

Comments 6

CloudlyNosound Aug 5 at 05:59

Управления уязвимостями вместо устранения их. Где-то далеко заплакал маленький аутсорс.

ersilh0x Aug 5 at 11:24

На самом деле управление уязвимостями — это следующий этап развития, который необходим всем крупным компаниям. В таких организациях количество уязвимостей может достигать миллионов, но реальную угрозу например представляют лишь 3% из них. Логично в первую очередь сфокусироваться именно на этих 3%, а не тратить ресурсы и время на устранение оставшихся 97% прямо сейчас.

Помню, когда я работал в одной из крупнейших компаний, была проблема обновить критические системы в сжатые сроки — это было крайне сложно. А если попытаться обновить всё подряд — это просто невозможно. Ну и нужно ли трогать бизнес критическую систему сейчас, если уязвимость не представляет угрозы.

И вот тут возникает главный вопрос: как отделить эти 3% от остальных 97%? Как раз на этот вопрос я и отвечу в своих следующих статьях.

CloudlyNosound Aug 5 at 12:08

Меня больше греет прогнозирование и избегание уязвимостей. Но если уж наломали дров, то нужен и этот шаг.

ersilh0x Aug 5 at 13:04

Думаю без ИИ человечеству с этим не справиться)

paluri4 Aug 5 at 12:39

копируем .csv файл с уязвимостями в каталог, доступный для docker контейнера с СУБД. Замечу что у меня файл весит более 5Гб.

Вот начало всех начал при управлении уязвимостями, а оно упомянуто вскользь. Где берёте, как берёте, какая структура файла, как решили проблему с различиями в наименование вендора/ПО у вас в организации и источнике уязвимостей. Очень интересует Ваш подход.

ersilh0x Aug 5 at 12:47

Да согласен учёт активов и нормализация это первое с чего начинают. У меня ситуация такая, что есть MaxpatrolVM, который позволяет инвентаризировать почти все и так же задавать динамически определенные параметры для активов, например критичность.
Данные скачиваются по API в формате .csv А так как активы разные я просто подогнал PDQL-запросы в MaxpatrolVM для выгрузки разных типов активов под единую структуру: VulnDiscoveryTime, AuditTime, IpAddress, Hostname, OsName, OsVersion, Release, VulnerableEntity, VulnerableEntityVersion, EntityPath, Vulnerability, VulnerabilityIssueTime, CVE, VulnDescription, HowToFix, Patch, PatchPublishDate, Severity, CVSS3, Metrics, VulnerIsTrend, HostImportance, Status

Но есть вещи которые отсутствуют в MaxpatrolVM, например наименование системы, наименование сегмента сети и другие. Вот это можно взять из других IT или ИБ систем, где они уже учитываются(например IPAM) и потом совмещать через Python-обработку перед загрузкой в базу. Но для всех это будет разная история, может быть опишу потом как выгружать по API из MaxpatrolVM.