Menedżerowie ds. cyberbezpieczeństwa i ryzyka powinni powiązać praktyki zarządzania podatnościami na konkretne potrzeby swojej organizacji, a nie z mitycznym standardem. Chociaż technicznie możliwe jest załatanie wszystkich systemów Windows w dużym międzynarodowym banku w ciągu trzech dni, zakłócenia w działalności, które miałyby miejsce, prawdopodobnie sprawiłyby, że byłoby to rozwiązanie niezrównoważone. O autorze Craig Lawson jest wiceprezesem ds. badań w firmie Gartner. Powstaje zatem pytanie, jakie są realistyczne ramy czasowe na naprawę i usunięcie luk w zabezpieczeniach? Szwajcarski bank, brytyjski sprzedawca detaliczny i chińska agencja rządowa miałyby bardzo różne reakcje, ponieważ krajobraz zagrożeń jest zupełnie inny w przypadku każdej organizacji. Niestety, uznany „standard branżowy” dotyczący czasu usuwania luk w zabezpieczeniach rzadko uwzględnia ograniczenia specyficzne dla organizacji, względy współistnienia technologii, zasady wewnętrzne lub zewnętrzne wymagania dotyczące zgodności. Rzeczywistość jest znacznie bardziej zniuansowana. Ważną rzeczą jest przekształcenie „czy platforma została załatana” na „czy określone ryzyko podatności platformy zostało wystarczająco ograniczone”. Aby to osiągnąć, organizacje muszą przyjąć bardziej uporządkowane, oparte na ryzyku i dowodach podejście do zarządzania lukami w zabezpieczeniach w ramach ogólnego programu bezpieczeństwa.
Jak szybko jest wystarczająco szybko w zarządzaniu podatnościami?
Sama liczba zgłoszonych luk w zabezpieczeniach oznacza, że organizacje stoją przed wyzwaniem, aby je wyeliminować i zmodyfikować w odpowiedni i terminowy sposób. W zależności od tego, jak szybko można wykorzystać lukę, organizacje powinny być przygotowane do wdrożenia awaryjnych działań naprawczych w kluczowych systemach w ciągu kilku godzin po wydaniu łatki usuwającej lukę, a także „dużo inwestować w środki łagodzące”. Dostosowanie stopnia zaawansowania procesu naprawczego jest również kluczem do osiągnięcia niepilnej naprawy wszystkich typów systemów w ciągu tygodni, a nie miesięcy lub lat. Cztery najlepsze praktyki mogą zapewnić efektywny czas działań naprawczych:
1. Dostosuj zarządzanie podatnościami na zagrożenia do apetytu na ryzyko
Organizacje są ograniczone tym, jak szybko mogą naprawić lub zrekompensować luki. Ten górny limit jest ustalany na podstawie apetytu każdej firmy na ryzyko operacyjne, wydajności/możliwości operacyjnych IT oraz zdolności do absorpcji zakłóceń podczas prób naprawienia wrażliwych platform technologicznych. Menedżerowie ds. bezpieczeństwa mogą dostosować praktyki zarządzania podatnościami na zagrożenia do potrzeb i wymagań swojej organizacji, oceniając konkretne przypadki użycia, mierząc apetyt na ryzyko operacyjne w przypadku poszczególnych ryzyk lub ryzyka według ryzyka oraz określając możliwości i limity zaradcze.
2. Nadaj priorytet słabym punktom w oparciu o ryzyko
Organizacje powinny stosować wszechstronne ustalanie priorytetów podatności na zagrożenia w oparciu o ryzyko, w oparciu o takie czynniki, jak waga podatności, bieżąca działalność operacyjna, znaczenie biznesowe i narażenie systemu, którego to dotyczy. Jedną z najważniejszych zmian, jakie możesz wprowadzić, jest skupienie się na lukach wykorzystywanych w środowisku naturalnym. Powinien to być cel numer jeden, który zapewni szybkie i skuteczne zajęcie się najważniejszymi zagrożeniami. Przedsiębiorstwa mogą skuteczniej ograniczać powierzchnię ataku, wywierając jednocześnie mniejszy wpływ operacyjny na organizację, łącząc kompensujące kontrole, które mogą zapewnić rozwiązania wirtualne, takie jak systemy i bariery do wykrywania i zapobiegania włamaniom. Nowsze technologie, w tym narzędzia do symulacji naruszeń i ataków (BAS), mogą również zapewnić wgląd w konfigurację obecnych technologii zabezpieczeń i to, czy mogą chronić Cię przed różnymi zagrożeniami, podobnymi do oprogramowania ransomware. Po prostu nie jest możliwe załatanie systemu, jeśli sprzedawca nie dostarczył jeszcze łatki, a system nie jest już wspierany z innych powodów, takich jak kompatybilność oprogramowania. Należy zauważyć, że branże podlegające ścisłym regulacjom często mają mandaty, które mogą ograniczać ich zdolność do wykonywania takich funkcji, jak instalowanie poprawek. Jednak łatanie to nie wszystko: jest trudne, może zepsuć wszystko i wymaga czasu. Dlatego ważne jest, aby mieć plan B: potrzebujesz więcej strzał w kołczanie, niż tylko łatać. Jeśli lepiej poradzisz sobie z programem do zarządzania podatnościami, możesz znacznie zmniejszyć powierzchnię ataku. Dzięki temu możesz przedstawić trudniejszy cel atakującemu próbującemu wykorzystać Twoje środowisko. Dlatego jest to tak ważne.
4. Wykorzystaj technologie do automatyzacji analizy podatności.
Korzystając z technologii, które mogą zautomatyzować skanowanie podatności na zagrożenia, możesz skrócić okresy naprawcze i wydajność. Niezbędna jest również ocena bieżących rozwiązań do oceny podatności na zagrożenia i upewnienie się, że obsługują one najnowsze typy zasobów, takie jak chmura, kontenery i systemy cyberfizyczne w Twoim środowisku. W przeciwnym razie zwiększ lub wymień rozwiązanie.