«ИБ всегда должна думать об IT. Иначе процесса менеджмента не будет»
©️ Максим Бронзинский, руководитель направления Vulnerability Management.
Какие роли/квалификации есть в Vulnerability Management процессе со стороны ИБ:
Инженер
- Отвечает за инвентаризацию активов, стремится к максимальному охвату активов VM процессом.
- Правильно настраивает сканирование, стремится к тому, чтобы мы имели полную актуальную информацию об уязвимостях активов.
Аналитик
- Описывает, категоризирует, приоритизирует уязвимости.
- Составляет план на устранение уязвимостей. Собирает несколько мнений, делает вывод на основе экспертности – это сложнее, чем выгрузить TOП-50 уязвимостей из сканера.
- Подготавливает отчёты.
- Отчёт для бизнеса – отражает как угрозы влияют на бизнес-процессы.
- Отчёт для IT, его критерии: понятность, удобность (в т.ч. машиночитаемость), решение о приоритизации.
🔀 Рекомендации к внедрению в организации:
- Защищать сразу только самые критичные хосты неправильно (пропускаем точки, где злоумышленник может закрепиться).
- Защищать сразу всё не получится, т.к. будет слишком сложно добиться исправлений.
- Рекомендуется заходить постепенно, начиная с критических хостов, затем постепенно ужесточать SLA.
- Нужно отслеживать сколько уязвимостей IT готовы взять в работу (в зависимости от типа уязвимых хостов) с согласованным SLA (в зависимости от типа и критичности уязвимости), и вгружать в IT правильный объём работы.
🛒 Рекомендации для продажи VM-процесса бизнесу:
- Бизнесу рекомендуется показать потенциальные потери от успешной атаки в деньгах.
- Можно рассказать, что VM это фундамент ИБ. "Лечить зуб правильнее, чем пить обезболивающее" (например, использовать WAF вместо исправления уязвимости).
👀 Аутсорсить VM можно, но нельзя отдавать функцию принятия решения об исправлении, т.к. из организации это видно всегда лучше.
Смотреть интервью прямо в ТГ 👇
©️ Максим Бронзинский, руководитель направления Vulnerability Management.
Какие роли/квалификации есть в Vulnerability Management процессе со стороны ИБ:
Инженер
- Отвечает за инвентаризацию активов, стремится к максимальному охвату активов VM процессом.
- Правильно настраивает сканирование, стремится к тому, чтобы мы имели полную актуальную информацию об уязвимостях активов.
Аналитик
- Описывает, категоризирует, приоритизирует уязвимости.
- Составляет план на устранение уязвимостей. Собирает несколько мнений, делает вывод на основе экспертности – это сложнее, чем выгрузить TOП-50 уязвимостей из сканера.
- Подготавливает отчёты.
- Отчёт для бизнеса – отражает как угрозы влияют на бизнес-процессы.
- Отчёт для IT, его критерии: понятность, удобность (в т.ч. машиночитаемость), решение о приоритизации.
🔀 Рекомендации к внедрению в организации:
- Защищать сразу только самые критичные хосты неправильно (пропускаем точки, где злоумышленник может закрепиться).
- Защищать сразу всё не получится, т.к. будет слишком сложно добиться исправлений.
- Рекомендуется заходить постепенно, начиная с критических хостов, затем постепенно ужесточать SLA.
- Нужно отслеживать сколько уязвимостей IT готовы взять в работу (в зависимости от типа уязвимых хостов) с согласованным SLA (в зависимости от типа и критичности уязвимости), и вгружать в IT правильный объём работы.
🛒 Рекомендации для продажи VM-процесса бизнесу:
- Бизнесу рекомендуется показать потенциальные потери от успешной атаки в деньгах.
- Можно рассказать, что VM это фундамент ИБ. "Лечить зуб правильнее, чем пить обезболивающее" (например, использовать WAF вместо исправления уязвимости).
👀 Аутсорсить VM можно, но нельзя отдавать функцию принятия решения об исправлении, т.к. из организации это видно всегда лучше.
Смотреть интервью прямо в ТГ 👇