Qualys i IT infrastruktura: Put u središte resursa
Samo ukoliko ste neko duže vreme proveli u izolaciji u nekoj veoma dalekoj galaksiji, niste čuli o ogromnoj važnosti vođenja evidencije – „vidljivosti“ kompletne IT infrastrukture, koju bi organizacije trebalo da izgrađuju, rafiniraju, ojačavaju. Potpuna evidencija – vidljivost celokupne IT infrastrukture osnova je odakle kreće svaki proces: upravljanje IT infrastrukturom, bezbednost, usklađenost, nabavka, reagovanje na incidente itd.
Potreba za potpunom evidencijom svih IT resursa baš i nije nova: još 2014. NIST je objavio CyberSecurity Framework 1.0 koji je trebalo da posluži kao uputstvo, čije smernice bi pomogle organizacijama u izgradnji onoga što su stari Grci nazivali κυβερνητικὴ (vlada), a odnosilo se na umeće κυβερνήτη (komandanta) upravljanja brodom… Naravno, sve ovo danas posmatramo u kontekstu IT‑ja i upravljanja bezbednošću u savremenim preduzećima.
Revidiran 2018. i prihvaćen od nekoliko velikih organizacija širom planete, NIST CyberSecurity Framework (CSF) obrađuje pet glavnih funkcija: identifikaciju, zaštitu, detekciju, reagovanje i oporavak, od kojih je svaka dodatno razvijena u kategorije i potkategorije i na kraju u posebne kontrole. Svaka funkcija povezana je sa šest referenci koje pružaju informacije o tome gde se mogu pronaći precizne smernice. Upravo je prva faza NIST CSF – prepoznavanje, odnosno identifikacija, ta koja naglašava suštinski značaj vođenja evidencije – „vidljivosti“ IT infrastrukture, iz prostog razloga što ne možete obezbediti i zaštititi ono što ne vidite ili, još manje, ono što ne znate da postoji.
Posmatranje i opažanje
S obzirom na digitalnu raznolikost IT infrastrukture savremenih organizacija, Qualys predstavlja krajnje i najbolje rešenje za omogućavanje ove ključne sposobnosti i to uz pomoć SaaS platforme, napravljene od „očiju“ i „mozga“.
Oči predstavljaju raznovrsne senzore koji su specijalno napravljeni za osmatranje različitog okruženja IT infrastrukture: mrežne skenere, pasivne mrežne senzore, softverske agente, cloud konektore zasnovane na API‑u, senzore kontejnera, mobilne agente. Sve podatke koje prikupljaju na mestu nastanka, oči prosleđuju u mozak koji te podatke obrađuje kombinacijom raznih tehnologija i otprema ih u vidu skupa mikroservisa.
Mikroservisi su specijalizovani procesori koji preuređuju i detaljno analiziraju podatke kako bi se stvorio savršen način obrade ovog jedinstvenog izvora istine u zavisnosti od vrste publike, usklađujući potrebe različitih korisnika iz IT‑ja, bezbednosti, Compliance‑a, SecOps‑a, DevOps‑a itd.
Ovakav pristup proširuje koncept vođenja evidencije – vidljivosti IT infrastrukture u multidimenzionalni prikaz resursa, proizveden od sveobuhvatnog skupa podataka svih očiju koje su posmatrale resurs. Prednosti koje ovaj pristup donosi u pogledu operativne efikasnosti i efektivnosti su izuzetne, a ja ću pokušati da istaknem neke od njih u nastavku ovog članka.
Primer iz prakse
Zamislite na trenutak jedan server u vašem digitalnom okruženju. Razmislite samo koliko bi profila korisnika u vašoj organizaciji želelo da sazna neke detalje o tom serveru.
Prvo bi neko iz IT odeljenja želeo da vidi listu instaliranog softvera… ili možda gde je ovaj sistem lociran… ili da li postoji neki servis ili je možda konfigurisan neki korisnik koji ne bi trebalo da bude tu.
Potom bi neko iz sektora bezbednosti bio veoma zainteresovan da razume koliko je „ranjiv“ taj sistem; a budući da je sistem često „previše ranjiv da bi mogao odmah biti zakrpljen“, pravo pitanje zapravo postaje: „Koliko je taj sistem podložan zloupotrebi?“ Jer, kada je zadatak previše zahtevan, morate utvrditi prioritete. Odnosno, još preciznije, koliko sistema ima izložene RDP servise, ranjive na BlueKeep i čuveni Seven Monkeys.
Hajde sada da proširimo analizu na nekoga iz Compliance odeljenja. On bi mogao da pita: „Prema CIS Benchmark for Windows 10 v 1.4.0, trebalo bi da čuvamo istoriju najmanje 12 različitih lozinki pre nego što korisniku dozvolimo da se vrati na na već korišćenu. Kakva su naša trenutna podešavanja na datom XYZ perimetru?“
Dalje, tim za reagovanje u hitnim situacijama (CERT, Computer Emergency Response Team), mogao bi biti zainteresovan da proveri na koliko mašina u digitalnom okruženju je stigao hash fajl 200476f4438d3fe2002f7322137 93598ecaf3ee85e5349031ea99fec28470478, koji dolazi iz ThreatIntel feed‑a, a koji većina VirusTotal endžina prepoznaje kao maliciozan. Naravno, uključujući i onu mašinu prebačenu u cloud prošlog meseca… Ili da li bilo koja mašina komunicira sa Command and Control (C2C) serverom vezanim za taj napad.
U IT sektoru bi, s druge strane, bili veoma zahvalni kada bi neko mogao da im kaže koji je deo ogromne količine bitova objavljenih tokom prošlog „utorka zakrpi“ (Patch Tuesday) zaista potreban da bi se zakrpilo tih nekoliko uobičajenih ranjivosti koje bi mogle ugroziti Windows sistem, a da se pritom izbegne onesposobljavanje njihovog audio‑drajvera.
U potpuno drugom ritmu, sektor nabavke još uvek pokušava da preko 15 Excel tabela shvati koliko sistema koristi Javu i koliko je važno da nastave da je koriste; ili bi možda bilo isplativije da se ukloni sa onih sistema na kojima se JDK više ne koristi.
Sistem pod kontrolom
Taj jedan maleni server zaista je zanimljiv velikom broju ljudi, zar ne? Ali šta se dešava ako bi na neka od ovih pitanja trebalo odgovoriti u vezi s više servera? Ili još gore, šta ako bi se zahtevalo da se situacija u vezi s određenim pitanjem drži pod kontrolom? Ovo je taj opipljivi deo reči vidljivost!
Deo kada podaci dobiju upotrebnu vrednost i mogu se odmah primeniti, bilo iz perspektive pojedinačnog resursa ili gledajući širu sliku celog perimetra… Kada se promeni boja na dashboard‑u ili kada platforma proaktivno obaveštava relevantne timove kada se nešto novo, čudno, neobično dešava.
Ali hej, kroz ovu vrlo raznovrsnu i živopisnu digitalnu raznolikost, vođenje evidencije – „vidljivost“ kompletne IT infrastrukture vezana je i za ono što još ne znate da postoji. Vezana je za otkrivanje nepoznatog, za kategorizaciju ove nevidljive reči i za obogaćivanje konteksta kako bi se omogućilo brzo donošenje odgovarajućih odluka i adekvatno upravljanje. Ovo je razlog postojanja „tihog dela sile“ – Qualys pasivnog mrežnog senzora (Qualys PNS).
„Njuškajući“ portove za saobraćaj na kojima mogu da se pojave nepoznati entiteti, Qualys PNS prikuplja i daje informacije o mreži, operativnom sistemu i saobraćaju neidentifikovanih mrežnih objekata. Na taj način pruža sasvim dovoljno podataka da omogući IT sektoru da razume koju rupu treba da zakrpi i da li da ove objekte doda u program upravljanja životnim ciklusom ranjivosti ili ne.
Qualys ovu sposobnost naziva „platformom“ već dve decenije, s više od 11.000 korisnika koji su svedočili njenoj moći i više od tri biliona indeksiranih izvora podataka.
Qualys ovu sposobnost naziva VMDR, odnosno Vulnerability Management, Detection and Response.
Qualys ovu sposobnost naziva transparentnim upravljanjem, jer zahvaljujući bogatom RESTful API‑ju, podaci postaju bezbedni tokovi informacija širom platforme kako bi se omogućilo više procesa, bolje bezbednosno stanje i bolja operativna efikasnost… Sa bezbednošću koja je u osnovi ugrađena, a ne samo nadograđena!
Autor: Marco Rottigni
Korisna adresa: Qualys.com
