Ads 468x60px

keskiviikko 25. tammikuuta 2012

Haavoittuvuuksien hallintaa isommassa ympäristössä

Organisaatioiden on tärkeää tiedostaa, mitä teknisiä haavoittuvuuksia omassa IT-ympäristössä on, jotta ne pystytään riittävän nopeasti ja oikealla priorisoinnilla korjaamaan. Haavoittuvuuksien hallinta sisältää ainakin seuraavat vaiheet
  1. Omien verkossa kiinni olevien laitteiden luettelointi
  2. Haavoittuvuuksien ja konfigurointipuutteiden skannaus
  3. Havaittujen puutteiden riskiluokittelu ja priorisointi
  4. Korjausvastuiden määrittely ja seuranta
  5. Korjauksen jälkeen poikkeuksen merkitseminen korjatuksi / poikkeuskäsittely
  6. Haavoittuvuushallinnan raportointi ja seuranta
Monissa organisaatioissa haavoittuvuuksien hallinta voidaan tehdä hyvinkin manuaalisesti hyödyntämällä erikoisohjelmia vain skannausvaiheessa. Organisaation ja IT -ympäristön koon kasvaessa manuaalisen työn määrä kasvaa. Tällöin saattaa olla hyödyllistä automatisoida eri työvaiheita mahdollisimman pitkälle. KPMG on tehnyt julkaisun, jossa kuvataan haavoittuvuuksien hallintaprosessin automatisointi käyttäen kolmea erilaista teknologiaa:
  1. Haavoittuuvuuksien skannausohjelma(t)
  2. Security Posture Management (SPM) -ohjelmisto
  3. IT –Governance, Risk Management, and Compliance (GRC) -ohjelmisto
Keskeinen automatisoinnin astetta lisäävä ohjelma on SPM -ohjelmisto. Sen vastuulla on verkossa kiinni olevien laitteiden inventointi ja haavoittuvuuksien riskiluokittelu. SPM -ohjelmisto luokittelee järjestelmiä esimerkiksi sillä perusteella, onko järjestelmä saavutettavissa Internetistä tai minkälainen laite on kyseessä, esim. domain controller. Lisäksi ohjelmistolle voi kertoa, mikäli järjestelmään kohdistuu erilaisia vaatimuksia, kuten PCI-DSS.

GRC -järjestelmän vastuulla on tikettien luonti skannausohjelmista tulevien haavoittuvuuksien perusteella. Kuitenkin ennen tikettien luomista SPM -ohjelmisto luokittelee haavoittuvuudet ympäristön mukaisiksi.

Yllä kuvattu malli vaatii järjestelmien, prosessien ja alustakonfiguraatioiden kehitystä hyvin määritellylle tasolle, mutta tarjoaa haavoittuvuuksien hallinnan automatisoinnin ja raportoinnin, jolloin siitä tulee seurattavaa ja manuaalisen työn määrä vähenee.

KPMG:n julkaisun voi ladata osoitteesta http://www.kpmg.com/FI/fi/Ajankohtaista/Uutisia-ja-julkaisuja/Neuvontapalvelut/Sivut/Enhanced-vulnerability-management-process.aspx

Ei kommentteja:

Lähetä kommentti