Phương pháp & Tần suất quét Lỗ Hổng Bảo Mật Tốt

Trong vai trò chuyên gia an toàn thông tin , bạn quyết định thiết lập một chương trình quét lỗ hổng bảo mật cho tổ chức của mình. Đó là một trong những cách tốt nhất để tránh vi phạm dữ liệu hay bị hacker, virus xâm nhập trái phép. Tuy nhiên, chúng ta nên quét bao lâu một lần không phải là một câu hỏi đơn giản. Các câu trả lời không giống nhau cho mọi loại tổ chức hoặc mọi loại hệ thống bạn đang quét.

Bài hướng dẫn này sẽ giúp bạn tìm ra câu trả lời phù hợp nhất.

Tần suất quét lỗ hổng bảo mật

 Nếu bạn chưa chắc chắn về điều đó – hãy xem hướng dẫn quét lỗ hổng bảo mật toàn diện này .

Khi bạn đã quyết định hệ thống nào nằm trong phạm vi và công cụ cần thiết thì bạn đã sẵn sàng bắt đầu quét theo những kỹ thuật trong Moduel 3 Scanning của khóa học CEH v11 , hay Comptia PENTEST + .

Vậy lý chúng ta nên chạy quét lỗ hổng bảo mật bao lâu một lần?

Dưới đây là năm chiến lược cần xem xét v :

  • Dựa trên thay đổi
  • Dựa trên lỗi bảo mật
  • Dựa trên sự tuân thủ
  • Dựa trên tài nguyên
  • Dựa trên mối đe dọa mới nổi

Dựa trên thay đổi

Các công ty công nghệ phát triển nhanh thường triển khai các thay đổi về mã hoặc cơ sở hạ tầng nhiều lần trong khi các tổ chức khác có thể có thiết lập tương đối tĩnh và có thể không thường xuyên thay đổi đối với bất kỳ hệ thống nào của họ.

Sự phức tạp của công nghệ mà chúng ta sử dụng có nghĩa là mỗi thay đổi có thể mang đến một lỗi cấu hình nghiêm trọng hoặc việc vô tình đưa vào một thành phần có các lỗ hổng đã biết. Vì lý do này, chạy quét lỗ hổng bảo mật sau khi áp dụng những thay đổi nhỏ cho hệ thống của bạn là một cách tiếp cận hợp lý.

Vì dựa trên những thay đổi nên cách tiếp cận này phù hợp nhất với các nội dung thay đổi nhanh chóng, như ứng dụng web hoặc cơ sở hạ tầng đám mây như AWS, Azure và GCP, nơi các nội dung mới có thể được triển khai và phá hủy trên cơ sở từng phút. Nó cũng đặc biệt đáng làm trong trường hợp các hệ thống này được tiếp xúc với internet công cộng.

Vì lý do này, nhiều công ty chọn tích hợp các công cụ kiểm tra vào đường ống triển khai của họ một cách tự động thông qua một API với công cụ quét đã chọn .

Mặc dù các công cụ tự động là lựa chọn tuyệt vời để kiểm tra thường xuyên, nhưng thay đổi bạn đang thực hiện càng lớn thì bạn cần xem xét thực hiện thử nghiệm thâm nhập (pentest) để kiểm tra kỹ hơn.

Các ví dụ điển hình về điều này có thể là thực hiện các thay đổi lớn về cấu trúc đối với kiến ​​trúc của ứng dụng web, bất kỳ thay đổi xác thực hoặc ủy quyền sâu rộng nào hoặc các tính năng mới lớn có nhiều phức tạp. Về mặt cơ sở hạ tầng, điều tương tự có thể là một cuộc di chuyển lớn sang đám mây hoặc chuyển từ nhà cung cấp đám mây này sang nhà cung cấp đám mây khác.

Dựa trên tình hình lỗi bảo mật mới

Ngay cả khi bạn không thực hiện các thay đổi thường xuyên đối với hệ thống của mình, vẫn có một lý do cực kỳ quan trọng để quét hệ thống của bạn một cách thường xuyên và một lý do thường bị các tổ chức mới tham gia quét lỗ hổng bỏ qua.

Các nhà nghiên cứu bảo mật thường xuyên tìm thấy các lỗ hổng mới trong tất cả các loại phần mềm và mã khai thác công khai khiến việc khai thác chúng dễ dàng có thể bị tiết lộ công khai bất cứ lúc nào. Đây là nguyên nhân của một số vụ hack có ảnh hưởng lớn nhất trong lịch sử gần đây, từ vụ vi phạm Equifax đến mã độc tống tiền Wannacry, cả hai đều do các lỗ hổng mới được phát hiện trong phần mềm thông thường và bọn tội phạm nhanh chóng vũ khí hóa việc khai thác để đạt mục đích riêng.

Các lỗ hổng mới được phát hiện hàng ngày, vì vậy ngay cả khi không có thay đổi nào được triển khai cho hệ thống của bạn, chúng có thể trở nên dễ bị tấn công trong một đêm.

Điều đó có nghĩa là bạn nên chạy quét lỗ hổng bảo mật không ngừng? Không nhất thiết, vì điều đó có thể tạo ra sự cố do lưu lượng truy cập vượt quá hoặc che khuất bất kỳ sự cố nào xảy ra.

Để làm thước đo, cuộc tấn công mạng khét tiếng WannaCry cho chúng ta thấy rằng thời gian trong những tình huống như vậy rất chặt chẽ và các tổ chức không phản ứng kịp thời để phát hiện và khắc phục các vấn đề bảo mật của họ sẽ tự đặt mình vào nguy cơ. Microsoft đã phát hành một bản vá cho lỗ hổng mà WannaCry sử dụng để lây lan chỉ 59 ngày trước khi các cuộc tấn công diễn ra. Hơn nữa, những kẻ tấn công có thể tạo ra một khai thác và bắt đầu xâm nhập máy chỉ 28 ngày sau khi một khai thác công khai bị rò rỉ.

Xem xét các mốc thời gian trong trường hợp này, rõ ràng là việc không chạy quét lỗ hổng bảo mật và khắc phục sự cố trong khoảng thời gian 30-60 ngày là một rủi ro lớn và đừng quên rằng ngay cả sau khi bạn đã phát hiện ra vấn đề, nó có thể mất một thời gian để sửa chữa.

Khuyến nghị của chúng tôi về an ninh mạng tốt cho hầu hết các doanh nghiệp là sử dụng máy quét lỗ hổng bảo mật trên cơ sở hạ tầng bên ngoài của bạn ít nhất hàng tháng, để cho phép bạn đi trước một bước trước những bất ngờ khó chịu này. Đối với các tổ chức có mức độ nhạy cảm cao đối với an ninh mạng, việc quét hàng tuần hoặc thậm chí hàng ngày có thể có ý nghĩa hơn. Tương tự, việc quét cơ sở hạ tầng nội bộ mỗi tháng một lần giúp duy trì bảo mật mạng tốt.

Đối với các ứng dụng web, việc quét các thành phần cơ sở hạ tầng và khuôn khổ của chúng thường xuyên có ý nghĩa như nhau, nhưng nếu bạn đang tìm kiếm lỗi trong mã của riêng mình bằng cách quét được xác thực, thì phương pháp dựa trên thay đổi sẽ có ý nghĩa hơn nhiều.

Dựa trên sự tuân thủ

Nếu bạn đang chạy quét lỗ hổng bảo mật vì lý do tuân thủ, thì các quy định cụ thể thường nêu rõ tần suất quét lỗ hổng bảo mật nên được thực hiện. Ví dụ, PCI DSS yêu cầu quét từ bên ngoài hàng quý được thực hiện trên các hệ thống trong phạm vi của nó.

Tuy nhiên, bạn nên suy nghĩ cẩn thận về chiến lược quét của mình, vì các quy tắc quản lý có nghĩa là một hướng dẫn phù hợp với tất cả và có thể không phù hợp với doanh nghiệp của bạn.

Dựa trên tài nguyên

Máy quét lỗ hổng bảo mật có thể tạo ra một lượng lớn thông tin và tiết lộ rất nhiều lỗ hổng, một số lỗ hổng sẽ là rủi ro lớn hơn những lỗ hổng khác. Khi xem xét số lượng thông tin cần xử lý và khối lượng công việc cần thực hiện để khắc phục những sai sót này, bạn có thể nghĩ rằng chỉ cần quét thường xuyên là hợp lý khi bạn có thể xử lý tất cả kết quả đầu ra.

Mặc dù đó sẽ là một cách tốt để làm mọi việc, nhưng thật không may, các lỗ hổng bảo mật mới đang được phát hiện một cách thường xuyên hơn nhiều, vì vậy thay vì giới hạn số lần quét của bạn ở mức độ thường xuyên bạn có thể xử lý đầu ra, thì việc tìm kiếm sẽ hợp lý hơn nhiều. tìm ra một máy quét ít tạo ra tiếng ồn hơn ngay từ đầu và giúp bạn tập trung vào những vấn đề quan trọng nhất trước tiên; và cung cấp cho bạn hướng dẫn về loại thời gian mà những người khác nên được giải quyết.

Intruder là một ví dụ của một máy quét như vậy. Nó được thiết kế để tự động ưu tiên các vấn đề có ảnh hưởng thực sự đến bảo mật của bạn, lọc ra nhiễu thông tin từ các kết quả quét của bạn. Kết quả quét của Intruder được điều chỉnh cho phù hợp với hệ thống internet, có nghĩa là nó có thể giúp bạn theo dõi và giảm thiểu bề mặt tấn công.

Cũng có trường hợp là con người, chúng ta bắt đầu phớt lờ mọi thứ nếu chúng trở nên quá ồn ào. Cảnh báo mệt mỏi là một mối quan tâm thực sự trong an ninh mạng, vì vậy bạn nên đảm bảo rằng bạn đang làm việc với một công cụ không gửi spam thông tin cho bạn 24/7, vì điều này có thể khiến bạn ngừng chú ý và có nhiều khả năng bỏ lỡ các vấn đề quan trọng khi chúng xảy ra. Hãy đảm bảo yếu tố này khi chọn máy quét, vì bạn thường mắc sai lầm khi nghĩ rằng máy nào cung cấp cho bạn nhiều đầu ra nhất là máy tốt nhất!

Dựa trên mối đe dọa mới

Vì vậy, bây giờ bạn đã quyết định lịch trình nào để chạy quét của mình, bạn nên xem xét điều gì sẽ xảy ra trong khoảng trống khi bạn không chạy quét.

Ví dụ: giả sử bạn quyết định rằng việc quét hàng tháng là hợp lý để bạn nhận ra bất kỳ thay đổi nào bạn thực hiện một cách nửa thường xuyên. Điều đó thật tuyệt, nhưng theo thời gian của vi phạm Equifax cho thấy, bạn có thể gặp sự cố ngay cả trong khoảng thời gian ngắn như 30 ngày, nếu lỗ hổng được phát hiện vào ngày sau lần quét cuối cùng của bạn. Tuy nhiên, kết hợp những suy nghĩ của chúng tôi xung quanh sự mệt mỏi của cảnh giác ở trên, chỉ lên lịch quét hàng ngày có thể không phải là cách tốt nhất để tránh điều này.

Để giải quyết vấn đề này, một số trình quét lỗ hổng cung cấp các cách để che những lỗ hổng này – một số thực hiện bằng cách lưu trữ thông tin được truy xuất trong lần quét cuối cùng và cảnh báo cho bạn nếu thông tin đó có liên quan đến bất kỳ lỗ hổng mới nào khi chúng được phát hành.

Trong trường hợp của Intruder, cũng cung cấp một khái niệm tương tự, được gọi là “Quét mối đe dọa mới nổi”, phần mềm của họ chủ động quét khách hàng mỗi khi một lỗ hổng mới xuất hiện. Điều này cho phép đảm bảo tất cả thông tin đều được cập nhật và không có cảnh báo sai nào được đưa ra dựa trên thông tin cũ.

Tóm lại

Cũng như nhiều thứ trong lĩnh vực an ninh mạng, không có cách tiếp cận phù hợp với mọi kích thước để tìm ra tần số quét lý tưởng của bạn. Tùy thuộc vào loại tài sản mà bạn đang bảo vệ hoặc một ngành cụ thể mà bạn đang hoạt động, câu trả lời sẽ khác nhau. Chúng tôi hy vọng bài viết này đã giúp bạn đưa ra quyết định sáng suốt về tần suất quét lỗ hổng bảo mật phù hợp cho tổ chức của bạn.

Nền tảng đánh giá lỗ hổng Intruder

Intruder là một công cụ đánh giá lỗ hổng bảo mật hoàn toàn tự động được thiết kế để kiểm tra cơ sở hạ tầng của bạn xem có hơn 10.000 điểm yếu đã biết hay không. Nó được thiết kế để giúp bạn tiết kiệm thời gian bằng cách chủ động chạy quét bảo mật, theo dõi các thay đổi của mạng, đồng bộ hóa hệ thống đám mây, v.v. Intruder tạo một báo cáo nêu rõ các vấn đề và đưa ra lời khuyên khắc phục có thể hành động – để bạn có thể tìm và sửa các lỗ hổng bảo mật của mình trước khi tin tặc tiếp cận chúng.

Theo THN

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s