Comments 3
Чем можно контролировать уязвимости?
Так все же чем их контролировать? Есть сотня-другая VMs. Как регулярно их проверять на наличие уязвимостей и получать "раз в неделю многостраничный отчет с найденными уязвимостями"?
Не идет речь об интеграции с CI/CD. Это совершенно другая тема и занимается этим команда разработки.
Нужны отчеты в т.ч. для PCI DSS. compliance.
Если задача просто получать отчет с уязвимостями, достаточно сканера, работающего по расписанию)
Но если говорить о всем процессе, то я бы начал с разложения задачи на этапы и выбора инструментария.
Могу рассказать на примере своей предпочитаемой связки: nmap, openvas, defectDojo, ZAP.
Инвентаризация активов.
Проводим discovery-сканирование openvas, получаем список хостов и хостнеймов в нашей сети. В качестве дополнительно инструмента можно использовать nmap.
Анализируем отчеты, если необходимо делим ресурсы на сегменты по критичности (пригодится на этапе 5).Сканирование и обнаружение уязвимостей.
Проводим сетевое сканирование на уязвимости с помощью openvas. Веб-приложения сканируем с помощью ZAP. Отчеты загружаем в DefectDojo.Классификация уязвимостей
У DefectDojo есть механизм скорринга уязвимостей. Но можем отдельно добавлять свои теги, например для более критичных сегментов или систем.Анализ угроз.
Номера CVE и NVT (в случае openvas) есть в отчетах. Для большинства уязвимостей описание есть тут же в интерфейсе DefectDojo.Приоритизация устранения.
Здесь я обычно тоже ориентируюсь на критичность уязвимостей (пункт 3) и бизнес-логику. Условно критичные системы с серьезными уязвимостями идут в приоритете.
Уязвимости, которые можно эксплуатировать извне, приоритетнее тех, что доступны только из внутреннего периметра.
Приоритеты стоит описать в политике.Устранение уязвимостей.
Здесь в ход идут СЗИ для "виртуального патчинга" (WAF, NGFW, HIPS -- в зависимости от уязвимости) и процесс по обновлению уязимых служб и фиксу кодовой базы.
Отслеживать процесс можно тут же, в DefectDojo. Есть поля для описания каждого этапа.
Если необходимо, можно интегрироваться с Jira. Ну или распараллелить процесс со своим SD.Отслеживание и мониторинг.
Повторяем все процедуры с регламентированной периодичностью и в случае необходимости.Обучение и осведомленность.
Это чаще решается все же административными методами, но есть и платформы для обучения персонала.Отчетность и документация.
Отчеты формируются в DefectDojo, процесс формализуется и документируется, видно в целом всю историю уязвимостей и работы с ними.
Для прохождения аудита по PCI DSS такой работы вполне достаточно. У аудиторов есть возможность проверить реализацию контроля уязвимостей и всю историю уязвимостей.
Хотя, по моему опыту, обычно достаточно подтверждения регулярности сканирования и зафиксированной в SD работы по их устранению.
По PCI DSS еще есть требование по ASV-сканированию. Но там никуда не денешься -- нужно идти к коммерческим сертифицированным партнерам.
Смотрим шире. Бесплатные инструменты для комплексной работы с уязвимостями