Alauda Security Service
  • Русский

    • Процесс управления уязвимостями

    Содержание

    ОбзорКлючевые этапы управления уязвимостямиОценка активовКлючевые активы для мониторингаСканирование и оценка уязвимостейПриоритизация уязвимостейОценка экспозицииПринятие мерСпособы устраненияНепрерывная переоценка

    Обзор

    Управление уязвимостями — это непрерывный процесс выявления, приоритизации и устранения уязвимостей. Alauda Security Service поддерживает этот процесс, объединяя результаты сканирования, контекстные данные о рисках, обработку исключений и рабочие процессы отчетности.

    Ключевые этапы управления уязвимостями

    Успешная программа управления уязвимостями обычно включает следующие основные задачи:

    • Оценка активов
    • Приоритизация уязвимостей
    • Оценка экспозиции
    • Принятие мер
    • Непрерывная переоценка

    Alauda Security Service позволяет организациям непрерывно оценивать среды Kubernetes и предоставляет контекстную информацию, необходимую для более эффективной приоритизации и устранения уязвимостей.

    В текущем UI основные рабочие процессы по уязвимостям организованы в разделах:

    • Vulnerability Management > Results
    • Vulnerability Management > Exception Management
    • Vulnerability Management > Vulnerability Reporting

    Оценка активов

    Чтобы оценить активы вашей организации, выполните следующие действия:

    • Определите активы в вашей среде
    • Просканируйте эти активы для выявления известных уязвимостей
    • Сообщите об уязвимостях заинтересованным сторонам

    Когда вы устанавливаете Alauda Security Service в cluster, он агрегирует активы, работающие внутри этого cluster, чтобы помочь вам их идентифицировать. Это дает командам контекст, необходимый для более эффективной приоритизации и устранения уязвимостей.

    Ключевые активы для мониторинга

    Ключевые активы, которые следует отслеживать в процессе управления уязвимостями с использованием Alauda Security Service, включают:

    • Components: Программные пакеты, используемые как часть image или выполняющиеся на node. Components — это самый низкий уровень, на котором существуют уязвимости. Организациям необходимо обновлять, изменять или удалять программные components, чтобы устранить уязвимости.
    • Images: Наборы программных components и кода, которые создают среду для выполнения исполняемого кода. Именно в images выполняется обновление components для устранения уязвимостей.
    • Nodes: Серверы, используемые для управления и запуска applications с помощью Alauda Container Platform или Kubernetes, включая components, из которых состоит platform или service.

    Alauda Security Service организует эти активы в следующие структуры:

    • Deployment: Определение application в Kubernetes, которое может запускать pods с containers на основе одного или нескольких images.
    • Namespace: Группа resources, таких как Deployments, которая поддерживает и изолирует application.
    • Cluster: Группа nodes, используемых для запуска applications с помощью Alauda Container Platform или Kubernetes.

    Сканирование и оценка уязвимостей

    Alauda Security Service сканирует assets на наличие известных уязвимостей и использует данные Common Vulnerabilities and Exposures (CVE) для оценки их влияния.

    Для ежедневной первичной сортировки начните с Results и выберите представление, соответствующее типу asset, который вы анализируете:

    • User Workloads
    • Platform
    • Nodes
    • More Views

    Приоритизация уязвимостей

    Чтобы приоритизировать уязвимости для принятия мер и исследования, рассмотрите следующие вопросы:

    • Насколько важен затронутый asset для вашей организации?
    • Насколько серьезной должна быть уязвимость, чтобы требовалось ее исследование?
    • Можно ли устранить уязвимость с помощью исправления затронутого программного component?
    • Нарушает ли уязвимость какие-либо политики безопасности вашей организации?

    Ответы на эти вопросы помогают командам безопасности и разработки определить степень экспозиции и необходимую реакцию на уязвимость.

    Alauda Security Service предоставляет данные, необходимые для приоритизации уязвимостей в ваших applications и components. Например, при просмотре результатов по уязвимостям на основе CVE учитывайте следующие сигналы:

    • CVE severity: Количество images, затронутых CVE, и уровень ее серьезности (например, low, moderate, important или critical).
    • Top CVSS: Наивысшая оценка Common Vulnerability Scoring System (CVSS) из источников вендора для этой CVE среди всех images.
    • Top NVD CVSS: Наивысшая оценка CVSS из National Vulnerability Database для этой CVE среди всех images. Для просмотра этих данных необходимо включить Scanner V4.
    • EPSS probability: Вероятность того, что уязвимость будет эксплуатироваться, согласно Exploit Prediction Scoring System (EPSS). Это дает процентную оценку вероятности того, что эксплуатация будет зафиксирована в следующие 30 дней. Данные EPSS следует использовать вместе с другой информацией, например возрастом CVE, чтобы помочь приоритизировать уязвимости.

    Оценка экспозиции

    Чтобы оценить вашу экспозицию к уязвимости, задайте себе следующие вопросы:

    • Подвержено ли ваше application воздействию этой уязвимости?
    • Смягчается ли уязвимость другими факторами?
    • Есть ли известные угрозы, которые могут привести к эксплуатации?
    • Используете ли вы уязвимый software package?
    • Стоит ли тратить время на устранение этой конкретной уязвимости и package?

    Принятие мер

    На основе вашей оценки вы можете предпринять следующие действия:

    • Пометить уязвимость как false positive, если экспозиции нет или она не применима в вашей среде.
    • Решить, следует ли устранить, смягчить или принять риск, если экспозиция есть.
    • Удалить или изменить software package, чтобы уменьшить поверхность атаки.

    После того как вы решили предпринять действия по уязвимости, вы можете:

    • Устранить уязвимость
    • Смягчить риск и принять его
    • Принять риск
    • Пометить уязвимость как false positive

    В текущем рабочем процессе обработка отложенных запросов и false-positive выполняется через Exception Management, а запланированные или доступные для загрузки результаты — через Vulnerability Reporting.

    Способы устранения

    Чтобы устранить уязвимости, вы можете:

    • Удалить software package
    • Обновить software package до версии без уязвимости

    Непрерывная переоценка

    Управление уязвимостями — это не разовая проверка. По мере изменения images, публикации новых definitions и изменения уровня риска возвращайтесь к следующим разделам:

    • Results для новых обнаруженных результатов
    • Exception Management для отложенных запросов или запросов на false positive
    • Vulnerability Reporting для повторяющихся отчетов, предназначенных для заинтересованных сторон