Articles

6 legfontosabb sebezhetőség-kezelő eszközök és azok prioritási kezelése

a sebezhetőség-kezelés mögött álló tudomány és technológia rövid idő alatt sokat változott. Amikor eredetileg telepítették, a sebezhetőséget kezelő vállalatok szinte úgy viselkedtek, mint a víruskereső gyártók, mivel megpróbálták elérni, hogy a szkennerek minél több potenciális fenyegetést fedezzenek fel. Még azzal is dicsekednének, hogy képesek több sebezhetőséget észlelni a tesztágyakban, mint versenytársaik.

ezzel a logikával az a baj, hogy a vírusokkal és más típusú rosszindulatú programokkal ellentétben a sebezhetőségek csak potenciálisan problémát jelentenek. Ahhoz, hogy egy sebezhetőség valóban veszélyes legyen, hozzáférhetőnek kell lennie a támadó számára, és viszonylag könnyen kihasználhatónak kell lennie. Tehát egy belső erőforráson található biztonsági rés nem jelent potenciális veszélyt, és nem igényel további összetevőket, például biztonságos hozzáférést más hálózati szolgáltatásokhoz. Fontos tudni, hogy mi az igazán veszélyes, hogy megtervezhesse, mit javítson most, és mit halasszon későbbre, vagy akár figyelmen kívül hagyja.

hasznos a sebezhetőségek kategorizálása a lehetséges hatások alapján, ha kihasználják őket. Ez magában foglalja a kihasználás lehetséges súlyosságát, például egy teljes adatbázis törlését, vagy egyetlen felhasználó kizárását, valamint az érintett erőforrások értékét. A nyilvános webhely megrongálása kínos, de a Bizalmas adatok ellopása kritikus lehet.

a legjobb sérülékenységkezelő programoknak kontextust kell hozzáadniuk a vizsgálatokhoz. Néhányan automatikus javításokat, képzést vagy megelőző segítséget is kínálnak a mesterséges intelligencia (AI) segítségével. A megfelelőségi szabványok, a jogi megbízások és a legjobb gyakorlatok megértése, amelyek a vizsgálatot elindító szervezetre vonatkoznak, szintén fontos. Mivel potenciálisan több ezer biztonsági rés rejtőzik bármely nagyvállalati hálózatban, csak így lehet megbízhatóan rangsorolni a javításokat.

a következő hat termék a biztonsági rés kezelésének legalább egy aspektusát érinti.

Kenna Security Vulnerability Management

a Kenna Security Vulnerability Management platform volt az egyik első, amely valós idejű fenyegetési adatokat épített be a sebezhetőségi kezelésbe néhány évvel ezelőtt. Azóta a platform kibővült, hogy több fenyegetési hírcsatornát tartalmazzon, beleértve azt is, amelyet a vállalat kifejezetten az ügyfél hálózatai alapján kezel. Emellett több sebezhetőségi szkennert is támogatott, és ma már szinte mindenkivel működik a piacon.

Kenna önmagában nem végez vizsgálatokat. Ehelyett olyan csatlakozó programokat biztosít, amelyek lehetővé teszik, hogy szinte bármilyen sérülékenységi szkenner adatait lenyelje, beleértve a Tripwire, a Qualys, a McAfee és a CheckMarx által készített adatokat is. Maga a platform szolgáltatásként van telepítve, az ügyfelek bejelentkeznek egy felhőportálba, hogy ellenőrizzék információikat, és engedélyt adjanak a Kenna-nak, hogy megismerje a védett hálózatot.

a Kenna ötlete az, hogy összegyűjti a szkennerek által küldött sok sebezhetőségi riasztást, majd valós időben összehasonlítja ezeket a fenyegetési adatokkal. A felfedezett sebezhetőséget visszakapcsolhatja egy aktív fenyegetési kampányhoz, amely kihasználja azt, és prioritásként kezeli a gyors javítást. A világon kihasznált sebezhetőségek automatikusan elsőbbséget élveznek, így a védők megoldhatják a legveszélyesebb problémákat, mielőtt a támadók felfedezik és kihasználják őket.

a platform jó munkát végez annak elmagyarázásában, hogy miért léteznek biztonsági rések egy védett hálózatban, és tippeket ad azok kijavításához. Rangsorolhatja a felfedezett hibákat annak alapján, hogy milyen eszközöket érinthetnek és a probléma súlyosságát. Ez jó tulajdonság, de az aktív fenyegetési kampányokon alapuló sebezhetőségek rangsorolása az ász a lyukban, ami a Kenna platformját az egyik legjobban kiemeli a kritikus kérdések kiemelésében, amelyeket először feltétlenül meg kell oldani.

Flexera Vulnerability Manager

míg sok sérülékenységkezelő olyan alkalmazásokra és kódokra koncentrál, amelyeket egy vállalat saját maga fejleszt, a Flexera platform inkább harmadik féltől származó szoftverprogramokkal foglalkozik, amelyeket szinte minden vállalkozás használ üzleti tevékenységéhez. A legtöbb esetben a vásárolt vagy licencelt szoftver biztonsági résének kijavítása javítás alkalmazásával történik. Egy vállalkozás számára ez óriási üzlet lehet, különösen, ha több ezer rendszert vagy kritikus szolgáltatást kell offline állapotba hozniuk a javítás alkalmazásához. Még az is lehetséges, hogy mivel manapság milyen szorosan integrálódik a szoftver, az egyik probléma kijavítása jó néhány másikat hozhat létre.

a Flexera szoftver sebezhetőség-kezelő szoftver segít megoldani ezt a problémát azáltal, hogy biztonságos javításkezelési folyamatot hoz létre egy egész vállalaton keresztül. Megtalálja a harmadik féltől származó szoftverek biztonsági réseit, és tanácsot ad a rendszergazdáknak a potenciális fenyegetés súlyosságáról. Lehet, hogy kevés nyerhet egy hatalmas javítás kihelyezésével több ezer felhasználó számára, hogy kijavítson egy kisebb biztonsági rést, vagy javítson egy olyan funkciót, amelyet a védett szervezet nem telepített vagy használt. Flexera segíthet ezeknek a döntéseknek a meghozatalában azáltal, hogy kontextust biztosít, majd telepíti a javítást, amikor szükségessé válik.

azt is fel lehet használni, hogy a horgony egy automatizált patch rendszer rögzítésével sebezhetőségek, ha szükséges oly módon, hogy nem fáj műveleteket. Végül testreszabott jelentéseket készíthet a sebezhetőségről és a javításkezelésről, valamint arról, hogy egy szervezet hogyan felel meg a vonatkozó kereteknek, törvényeknek és bevált gyakorlatoknak.

Tenable.io

a Tenable az iparban jól ismert biztonsági irányítópultok létrehozására bármilyen környezethez. Ugyanezt a diagnosztikai technológiát alkalmazzák a sebezhetőség-kezelési programjukban, Tenable.io. ezt a platformot a felhőben kezelik, így egy védett szervezeten belül kis helyigényű. Az aktív szkennelési ügynökök, a passzív megfigyelés és a felhőcsatlakozók kombinációját használja a sebezhetőségek keresésére. Tenable.io ezután alkalmazza a gépi tanulást, az adattudományt és az AI-t, hogy megjósolja, mely javításokat kell először elvégezni, mielőtt a támadó kihasználhatja őket.

az egyik legnagyobb erőssége Tenable.io az a tény, hogy mind az Irányítópultot, mind a testreszabott jelentéseket használja a sebezhetőségek bárki által érthető módon történő megjelenítésére. Függetlenül attól, hogy valaki fejlesztő, a műveleti csapat része vagy az informatikai biztonság tagja, könnyen megértheti a Tenable.io. Bizonyos értelemben, Tenable.io biztosítja a sebezhetőség kezelését mindenki számára, akinek nincs szüksége speciális képzésre vagy szakértelemre.

ZeroNorth

a zeronorth bevonása a sebezhetőség-kezelő programok összesítésébe kissé furcsának tűnhet, mivel a platform valójában semmit sem vizsgál. Ehelyett úgy tervezték, hogy megszilárdítsa a többi sebezhetőségi szkennert, és segítsen pótolni hiányosságaikat. Tekintettel a legtöbb nagyvállalat által tapasztalt sebezhetőségek lehetetlen számára, ez egy olyan eszköz, amely gyorsan megmutatja hasznosságát.

a ZeroNorth szolgáltatásként van telepítve, a felhasználók egy biztonságos webes platformra jelentkeznek be, hogy figyeljék környezetüket. A teszthálózatunkban lévő különböző Szkennerek csatlakoztatása a ZeroNorth platformhoz egyszerű volt, és pillanatok alatt működésbe léptünk. Természetesen a környezetben sebezhetőségi szkennerekkel kell rendelkeznie ahhoz, hogy elkezdhesse az adatok megszerzését a ZeroNorth segítségével, de képes kezelni a hálózat bármely részéről érkező adatokat, a fejlesztési környezettől a gyártásig. Ha nincs szkennere, a platform egyszerű módot kínál nyílt forráskódú vagy kereskedelmi Szkennerek hozzáadására a környezetéhez, amelyek ezután automatikusan kapcsolódnak a platformhoz.

a ZeroNorth platform sok munkát végez a szkennerekből származó adatok konszolidálásával és elemzésével. Az egyik szép tulajdonság az, hogy meg tudja mutatni, hogy a sebezhetőségek hogyan kapcsolódnak egymáshoz, sőt függenek egymástól. Például, míg a nyers vizsgálat 20 új sebezhetőséget tárhat fel, legtöbbször nem mondja el, hogy ezek közül 19 létezik az első hiba miatt. ZeroNorth fog. Ezután csak egy biztonsági rés kijavításával 20 másikat távolíthat el a hálózatáról. Teszthálózatunkban, minden olyan biztonsági rés, amelyet a ZeroNorth ajánlott kijavítani, átlagosan kiküszöbölte 14 mások.

nagyszerű munkát végez annak nyomon követésében is, hogy ki hozta létre a sebezhető erőforrásokat, és ki kezeli őket. Természetesen minden megállapítását jelentheti a rendszergazdáknak és a központi konzoljának, de riasztásokat és ajánlott javításokat is küldhet az alkalmazás tulajdonosainak. Így azok az emberek, akik a leginkább felelősek egy sérülékeny alkalmazásért, és valószínűleg a leginkább foglalkoznak a problémák kijavításával, azonnal elkezdhetnek dolgozni egy javításon.

azt is nem egy szép munkát a monitoring a sebezhetőség Szkennerek magukat. Például azt fogja mondani, ha egy szkenner hiányzik egy kritikus biztonsági rés, hogy mások felfedezni. Így meg tudja mondani, hogy megtérül-e az adott sebezhetőségi szkennerekbe történő befektetés. Mint ilyen, a ZeroNorth rendkívül értékes kiegészítő lenne minden olyan szervezet számára, amely megpróbálja megszelídíteni a szkenner terjeszkedési riasztásainak özönét, vagy új irányelvekkel vagy eszközökkel javítani szkennelési pontosságukat.

ThreadFix

az egyik legismertebb sérülékenységkezelő platform, a ThreadFix egy helyen és egy irányítópulton központosítja a különböző forrásokból származó tesztadatokat. A szkennelési eredményeket olyan formátumokban tudja bevinni, mint a sast, DAST, IAST és a Szoftverösszetétel-elemzés (SCA).

nem csak az eredményeket gyűjtheti és gyűjtheti össze, hanem lebontja őket, és segítséget nyújt a sebezhetőségek elemzésében és a javítások rangsorolásában. Ezt olyan fejlett módon teszi, amely ritka a sérülékenységkezelők számára. Például az alkalmazásszintű sebezhetőségek és az infrastruktúrába beépített biztonsági hiányosságok között korrelálhat. Az ilyen kritikus különbségek elkülönítése segíthet az informatikai csapatoknak a sérülékenységi javítások testreszabásában anélkül, hogy bármi újat törnének a folyamat során.

a több kereskedelmi és nyílt forráskódú sebezhetőségi szkenner eredményeinek kiegyensúlyozása és összehangolása mellett a ThreadFix segíthet a biztonsági rések szkennelésének és kijavításának automatizálásában is a biztonsági és fejlesztői csapatok közötti háttérfolyamat egyszerűsítésével. Az a tény, hogy valós időben képes működni, tökéletes eszköz a DevSecOps környezetben történő megvalósításhoz, ahol a fejlesztők már a kezdetektől felelősséget vállalhatnak a biztonságos kód létrehozásáért. A ThreadFix megtalálja a sebezhetőségeket a létrehozásuk során, és segít a fejlesztőknek kijavítani őket, mielőtt a termelési környezet közelébe kerülnének.

a ThreadFix számszerűsítheti a sebezhetőségi megoldási tevékenységeket és a felfedezett hibák kijavításához szükséges időt. Ezekkel az adatokkal felfegyverkezve a biztonsági csapatok jobb képet kaphatnak a windows valódi sebezhetőségéről, míg a menedzsment láthatja, hogy javul-e a helyzet az idő múlásával.

Infection Monkey

a Guardicore Infection Monkey programja egy másik furcsa választásnak tekinthető a sebezhetőségek összesítésében, de a biztonsági hibákkal és sebezhetőségekkel kapcsolatos részletessége szinte minden szervezet számára értékes. Ez is ingyenes, módosítható forráskóddal, így nincs mit veszítenie azzal, hogy kipróbálja.

Infection Monkey egy nagyszerű eszköz, mert nem csak azonosítja a biztonsági réseket, de megmutatja, hogy pontosan hogyan támadók potenciálisan kihasználni őket. Alkalmazhatja a programot, hogy ellenőrizze a biztonsági lyukakat a Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack és a Google Cloud Platform környezetben. Mivel a Python-alapú forráskód is rendelkezésre áll, a felhasználók konfigurálhatják, hogy bármilyen szabadalmaztatott vagy egyedi környezetben is működjenek.

a Program valós támadásokat és technikákat használ, amelyeket a Guardicore folyamatosan frissít és frissít. Valójában ez technikailag nem szimuláció, mert valójában egy hálózatot támad. Csak nincs rosszindulatú hasznos teher. Ha a meglévő biztonsági eszközök képes megállítani fertőzés majom, annál jobb, mert ez azt jelenti, hogy minden biztonsági rés mögé bújva, hogy a védelem tekinthető alacsony prioritású.

az igazi érték akkor jön, amikor az Infection Monkey sikeresen betör, ami a megtámadott hálózat összetettségétől függően néhány perctől sok óráig tarthat. Ha talál egy gyengeséget, és kihasználja azt, a program rögzíti minden lépést, amit az út mentén tett, beleértve azt is, hogy milyen sebezhetőségeket használt ki, és mely védekezéseket sikerült megkerülni vagy becsapni.

ha több ezer sebezhetőség listáját bámulja, használja az Infection Monkey alkalmazást, hogy megtudja, melyek a támadók által kihasználhatók. Ezután folt az első, és telepíteni a majom ismét, hogy ellenőrizze a munkát.