Svim korisnicima servisa QualysGuard (a i onima koji će to postati) preporučujem da pročitaju zanimljiv tekst na stranicama organizacije SANS. U tekstu se iznosi praktično iskustvo u izgradnji programa upravljanja ranjivostima, iz vizure korisnika servisa QualysGuard. Usput, svakako razgledajte Reading Room sekciju na stranicama organizacije SANS, ako do sada već niste to učinili. Na tom ćete mjestu naći niz zanimljivih tekstova o implementaciji mjera informacijske sigurnosti.
U čemu je razlika između procjene ranjivosti ("Vulnerability Assessment) i upravljanja ranjivostima ("Vulnerability Management")? Procjena ranjivosti je tehnička aktivnost koja se obično provodi ne prečesto, ponekad i neredovito. Obuhvaća provjeru prisutnosti eventualnih tehničkih nedostataka i ranjivosti na mrežnim resursima, a ponajprije se provodi na perimetarskom dijelu informacijskog sustava. Ako se provodi kako treba, procjena ranjivosti će u jednom trenutku dosegnuti kritičnu točku: broj resursa koje treba provjeriti naglo raste, učestalost provjere zauzima nerijetko i tjednu dinamiku, u provjeru se uključuju i druga mjesta u organizacijskoj hijerarhiji (ne samo mrežni tehničari već i voditelji sigurnosti, revizori, rukovoditelji, administratori nemrežnih sustava...), provjera se počinje provoditi i na internim resursima... Procjena ranjivosti kao tehnička aktivnost prelazi u proces i nastaje upravljanje ranjivostima. Izvještaji o utvrđenim ranjivostima prelaze u detaljan "workflow" koji uključuje i osobe nadležne za implementaciju popravaka, vlasnike resursa, a ponekad i revizore. Upravljanje ranjivostima reflektira se i na "compliance" proces (pogledajte i ovaj tekst).
Dokument na koji vas upućujem govori upravo o ovim elementima. Primjetiti ćete da postoje terminološke razlike između spomenutog dokumentu i ovog teksta, no suštinski pokriveni su svi bitni aspekti upravljanja ranjivostima.
Treba reći i da je tvrtka Qualys je pionir a danas i jedan od lidera poslovnog modela "Software-as-a-Service" (SaaS). Rekao bih da je upravo informacijska sigurnost idealan kandidat za primjenu ovog modela (naravno uz uvijet njegove dobre tehnička izvedbe). Naime, informacijska se sigurnost ne ubraja u "core" interese managementa i tvrtke za sada ulažu samo neophodne resurse. S druge strane, otkrivanje i upravljanje ranjivostima zahtjeva kontinuiranu predanost na različitim tehničkim i organizacijskim razinama, a dostignuća samog procesa nisu uvijek vidljiva. Dakle, mali je korak do zanemarivanja ovog procesa. Model izvedbe servisa QualysGuard u potpunosti rasterećuje organizaciju od rutinskih aktivnosti, jamči ažurnost i preciznost.
Nema komentara:
Objavi komentar