Vậy là bạn đã quyết định thiết lập một chương trình quét lỗ hổng bảo mật, thật tuyệt. Đó là một trong những cách tốt nhất để tránh vi phạm dữ liệu. Tuy nhiên, bạn nên quét bao lâu một lần, không phải là một câu hỏi đơn giản. Các câu trả lời không giống nhau cho mọi loại tổ chức hoặc mọi loại hệ thống bạn đang quét.
Hướng dẫn này sẽ giúp bạn hiểu những câu hỏi bạn nên hỏi và giúp bạn tìm ra câu trả lời phù hợp với mình.
Tần suất nên quét lỗ hổng bảo mật
Nhiều lời khuyên bên dưới phụ thuộc vào chính xác những gì bạn đang quét. Nếu bạn chưa chắc chắn về điều đó – hãy xem hướng dẫn quét lỗ hổng bảo mật toàn diện này.
Khi bạn đã quyết định hệ thống nào sẽ nằm trong phạm vi và loại máy quét nào bạn cần, bạn đã sẵn sàng bắt đầu quét. Vậy lý tưởng nhất là bạn nên chạy quét lỗ hổng bảo mật bao lâu một lần?
Dưới đây là năm chiến lược cần xem xét và chúng ta sẽ thảo luận về những tình huống nào chúng hoạt động tốt nhất:
Dựa trên sự thay đổi dựa trên sự thay đổi dựa trên sự tuân thủ dựa trên nguồn lực dựa trên mối đe dọa đang phát sinh dựa trên sự thay đổi dựa trên sự thay đổi
Các công ty công nghệ phát triển nhanh thường triển khai các thay đổi về mã hoặc cơ sở hạ tầng nhiều lần trong ngày, trong khi các tổ chức khác có thể có thiết lập tương đối tĩnh và có thể không thực hiện các thay đổi thường xuyên đối với bất kỳ hệ thống nào của họ.
Sự phức tạp của công nghệ mà chúng tôi sử dụng có nghĩa là mỗi thay đổi có thể mang đến một lỗi cấu hình nghiêm trọng hoặc việc vô tình đưa vào một thành phần có các lỗ hổng đã biết. Vì lý do này, chạy quét lỗ hổng bảo mật sau khi áp dụng những thay đổi nhỏ cho hệ thống của bạn là một cách tiếp cận hợp lý.
Vì dựa trên những thay đổi nên cách tiếp cận này phù hợp nhất với các nội dung thay đổi nhanh chóng, như ứng dụng web hoặc cơ sở hạ tầng đám mây như AWS, Azure và GCP, nơi các nội dung mới có thể được triển khai và phá hủy trên cơ sở từng phút. Nó cũng đặc biệt đáng làm trong trường hợp các hệ thống này được tiếp xúc với internet công cộng.
Vì lý do này, nhiều công ty chọn tích hợp các công cụ kiểm tra vào đường ống triển khai của họ một cách tự động thông qua một API với công cụ quét đã chọn của họ.
Nó cũng đáng xem xét mức độ phức tạp của thay đổi bạn đang thực hiện.
Mặc dù các công cụ tự động là lựa chọn tuyệt vời để kiểm tra thường xuyên, nhưng thay đổi bạn đang thực hiện càng lớn hoặc ấn tượng hơn thì bạn càng có thể muốn xem xét thử nghiệm thâm nhập để kiểm tra kỹ không có vấn đề nào được đưa ra.
Các ví dụ điển hình về điều này có thể là thực hiện các thay đổi lớn về cấu trúc đối với kiến trúc của các ứng dụng web, bất kỳ thay đổi xác thực hoặc ủy quyền sâu rộng nào hoặc các tính năng mới lớn có nhiều phức tạp. Về mặt cơ sở hạ tầng, điều tương tự có thể là một cuộc di chuyển lớn sang đám mây hoặc chuyển từ nhà cung cấp đám mây này sang nhà cung cấp đám mây khác.
Dựa trên vệ sinh
Ngay cả khi bạn không thực hiện các thay đổi thường xuyên đối với hệ thống của mình, vẫn có một lý do cực kỳ quan trọng để quét hệ thống của bạn một cách thường xuyên và một lý do thường bị các tổ chức mới làm quen với việc quét lỗ hổng bỏ qua.
Các nhà nghiên cứu bảo mật thường xuyên tìm thấy các lỗ hổng mới trong tất cả các loại phần mềm và mã khai thác công khai khiến việc khai thác chúng dễ dàng có thể bị tiết lộ công khai bất cứ lúc nào. Đây là nguyên nhân của một số vụ hack có ảnh hưởng lớn nhất trong lịch sử gần đây, từ vụ vi phạm Equifax đến mã độc tống tiền Wannacry, cả hai đều do các lỗ hổng mới được phát hiện trong phần mềm thông thường và bọn tội phạm nhanh chóng vũ khí hóa việc khai thác để đạt mục đích riêng.
Không có phần mềm nào được miễn trừ khỏi quy tắc ngón tay cái này. Cho dù đó là máy chủ web, hệ điều hành, khung phát triển cụ thể mà bạn sử dụng, VPN làm việc từ xa hay tường lửa của bạn. Kết quả cuối cùng là ngay cả khi bạn đã quét ngày hôm qua cho biết rằng bạn đã an toàn, thì điều đó không nhất thiết sẽ trở thành sự thật vào ngày mai.
Các lỗ hổng bảo mật mới được phát hiện hàng ngày, vì vậy ngay cả khi không có thay đổi nào được triển khai cho hệ thống của bạn, chúng có thể trở nên dễ bị tấn công trong một sớm một chiều.
Điều đó có nghĩa là bạn nên chạy quét lỗ hổng bảo mật không ngừng? Không nhất thiết, vì điều đó có thể tạo ra sự cố do lưu lượng truy cập vượt quá hoặc che khuất bất kỳ sự cố nào xảy ra.
Để làm thước đo, cuộc tấn công mạng khét tiếng WannaCry cho chúng ta thấy rằng thời gian trong những tình huống như vậy rất chặt chẽ và các tổ chức không phản ứng kịp thời để phát hiện và khắc phục các vấn đề bảo mật của họ sẽ tự đặt mình vào nguy cơ. Microsoft đã phát hành một bản vá cho lỗ hổng mà WannaCry được sử dụng để lây lan chỉ 59 ngày trước khi các cuộc tấn công diễn ra. Hơn nữa, những kẻ tấn công có thể tạo ra một khai thác và bắt đầu xâm nhập máy chỉ 28 ngày sau khi một khai thác công khai bị rò rỉ.
Chỉ nhìn vào các mốc thời gian trong trường hợp này, rõ ràng là việc không chạy quét lỗ hổng bảo mật và khắc phục sự cố trong khoảng thời gian 30-60 ngày là một rủi ro lớn và đừng quên rằng ngay cả sau khi bạn đã phát hiện ra vấn đề, nó có thể mất một thời gian để sửa chữa.
Khuyến nghị của chúng tôi về vệ sinh mạng tốt cho hầu hết các doanh nghiệp là sử dụng máy quét lỗ hổng bảo mật trên cơ sở hạ tầng bên ngoài của bạn ít nhất hàng tháng, để cho phép bạn đi trước một bước trước những bất ngờ khó chịu này. Đối với các tổ chức có mức độ nhạy cảm cao đối với an ninh mạng, việc quét hàng tuần hoặc thậm chí hàng ngày có thể có ý nghĩa hơn. Tương tự, việc quét cơ sở hạ tầng nội bộ mỗi tháng một lần giúp duy trì vệ sinh mạng tốt.
Đối với các ứng dụng web, việc quét các thành phần cơ sở hạ tầng và khuôn khổ của chúng thường xuyên có ý nghĩa bình đẳng, nhưng nếu bạn đang tìm kiếm lỗi trong mã của riêng mình bằng cách quét được xác thực, thì phương pháp dựa trên thay đổi sẽ có ý nghĩa hơn nhiều.
Dựa trên sự tuân thủ
Nếu bạn đang chạy quét lỗ hổng bảo mật vì lý do tuân thủ, thì các quy định cụ thể thường nêu rõ tần suất quét lỗ hổng bảo mật nên được thực hiện. Ví dụ, PCI DSS yêu cầu quét bên ngoài hàng quý được thực hiện trên các hệ thống trong phạm vi của nó.
Tuy nhiên, bạn nên suy nghĩ cẩn thận về chiến lược quét của mình, vì các quy tắc quản lý có nghĩa là một hướng dẫn phù hợp với tất cả và có thể không phù hợp với doanh nghiệp của bạn.
Đơn giản chỉ cần so sánh quy định 90 ngày này với các mốc thời gian được thấy trong ví dụ về WannaCry ở trên cho chúng ta thấy rằng các hướng dẫn như vậy không phải lúc nào cũng cắt được cải. Nếu bạn thực sự muốn giữ an toàn thay vì chỉ đơn giản là đánh dấu vào một ô, thì bạn nên vượt qua và vượt ra ngoài các quy định này, theo những cách được mô tả ở trên.
Dựa trên tài nguyên
Máy quét lỗ hổng bảo mật có thể tạo ra một lượng lớn thông tin và tiết lộ rất nhiều lỗ hổng, một số lỗ hổng sẽ là rủi ro lớn hơn những lỗ hổng khác. Khi xem xét số lượng thông tin cần xử lý và khối lượng công việc cần thực hiện để khắc phục những sai sót này, bạn có thể nghĩ rằng chỉ cần quét thường xuyên là hợp lý khi bạn có thể xử lý tất cả kết quả đầu ra, chẳng hạn như một lần. một phần tư.
Mặc dù đó sẽ là một cách tốt để làm mọi việc, nhưng thật không may, các lỗ hổng bảo mật mới đang được phát hiện một cách thường xuyên hơn nhiều, vì vậy thay vì giới hạn số lần quét của bạn ở mức độ thường xuyên bạn có thể xử lý đầu ra, thì việc tìm kiếm sẽ hợp lý hơn nhiều. tìm ra một máy quét ít tạo ra tiếng ồn hơn ngay từ đầu và giúp bạn tập trung vào những vấn đề quan trọng nhất trước tiên; và cung cấp cho bạn hướng dẫn về loại thời gian mà những người khác nên được giải quyết.
Intruder là một ví dụ của một máy quét như vậy. Nó được thiết kế để tự động ưu tiên các vấn đề có ảnh hưởng thực sự đến bảo mật của bạn, lọc ra nhiễu thông tin từ các kết quả quét của bạn. Kết quả quét của Intruder được điều chỉnh cho phù hợp với hệ thống internet, có nghĩa là nó có thể giúp bạn theo dõi và giảm thiểu bề mặt tấn công.
Ảnh chụp màn hình trang Sự cố của Intruder giúp nhóm kỹ thuật nhanh chóng xem những gì họ cần chú ý ngay lập tức.
Cũng có trường hợp là con người, chúng ta bắt đầu phớt lờ mọi thứ nếu chúng trở nên quá ồn ào. Cảnh báo mệt mỏi là một mối quan tâm thực sự trong an ninh mạng, vì vậy bạn nên đảm bảo rằng bạn đang làm việc với một công cụ không gửi spam thông tin cho bạn 24/7, vì điều này có thể khiến bạn ngừng chú ý và có nhiều khả năng bỏ lỡ các vấn đề quan trọng khi chúng xảy ra. Hãy đảm bảo yếu tố này khi chọn máy quét, vì bạn thường mắc sai lầm khi nghĩ rằng máy nào cung cấp cho bạn nhiều đầu ra nhất là máy tốt nhất!
Dựa trên mối đe dọa mới nổi
Vì vậy, bây giờ bạn đã quyết định lịch trình nào để chạy quét của mình, bạn nên xem xét điều gì sẽ xảy ra trong khoảng trống khi bạn không chạy quét.
Ví dụ: giả sử bạn quyết định rằng việc quét hàng tháng là hợp lý để bạn nhận ra bất kỳ thay đổi nào bạn thực hiện một cách nửa thường xuyên. Điều đó thật tuyệt, nhưng theo thời gian cho thấy vi phạm Equifax, bạn có thể gặp sự cố ngay cả trong khoảng thời gian ngắn như 30 ngày, nếu lỗ hổng được phát hiện vào ngày sau lần quét cuối cùng của bạn. Tuy nhiên, kết hợp những suy nghĩ của chúng tôi xung quanh sự mệt mỏi của cảnh giác ở trên, chỉ lên lịch quét hàng ngày có thể không phải là cách tốt nhất để tránh điều này.
Để giải quyết vấn đề này, một số trình quét lỗ hổng cung cấp các cách để che những lỗ hổng này – một số thực hiện bằng cách lưu trữ thông tin được truy xuất trong lần quét cuối cùng và cảnh báo cho bạn nếu thông tin đó có liên quan đến bất kỳ lỗ hổng mới nào khi chúng được phát hành.
Trong trường hợp của Intruder, công ty cũng cung cấp một khái niệm tương tự, được gọi là “Quét mối đe dọa mới nổi”, phần mềm của họ chủ động quét khách hàng mỗi khi một lỗ hổng mới xuất hiện. Điều này cho phép đảm bảo tất cả thông tin đều được cập nhật và không có cảnh báo sai nào được đưa ra dựa trên thông tin cũ.
Ngay khi phát hiện ra các lỗ hổng mới, Intruder sẽ chủ động quét hệ thống của bạn và tự động cảnh báo cho bạn. Tóm lại
Cũng như nhiều thứ trong lĩnh vực an ninh mạng, không có cách tiếp cận phù hợp với mọi kích thước để tìm ra tần số quét lý tưởng của bạn. Tùy thuộc vào loại tài sản mà bạn đang bảo vệ hoặc một ngành cụ thể mà bạn đang hoạt động, câu trả lời sẽ khác nhau. Chúng tôi hy vọng bài viết này đã giúp bạn đưa ra quyết định sáng suốt về tần suất quét lỗ hổng bảo mật phù hợp cho tổ chức của bạn.
Nền tảng đánh giá lỗ hổng Intruder
Intruder là một công cụ đánh giá lỗ hổng bảo mật hoàn toàn tự động được thiết kế để kiểm tra cơ sở hạ tầng của bạn xem có hơn 10.000 điểm yếu đã biết hay không. Nó được thiết kế để giúp bạn tiết kiệm thời gian bằng cách chủ động chạy quét bảo mật, theo dõi các thay đổi của mạng, đồng bộ hóa hệ thống đám mây, v.v. Intruder tạo một báo cáo nêu rõ các vấn đề và đưa ra lời khuyên khắc phục có thể hành động – để bạn có thể tìm và sửa các lỗ hổng bảo mật của mình trước khi tin tặc tiếp cận chúng.
Intruder cung cấp bản dùng thử miễn phí 30 ngày đối với nền tảng đánh giá lỗ hổng bảo mật của họ. Hãy truy cập trang web của họ ngay hôm nay để thử một vòng!
.
