Решения Kenna для эффективного управления уязвимостями - и их партия в оркестре безопасности Cisco
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Решения Kenna для эффективного управления уязвимостями и их партия в оркестре безопасности Cisco Василий Томилин Ведущий архитектор по информационной безопасности Security-request@cisco.com 20.01.2022
Миссия компании Kenna Эффективное снижение рисков в области кибербезопасности благодаря трансформирующей мощи data science. Мы управляем сведениями, Разработанные нами модели Мы помогаем работать умнее определяем приоритеты и помогают предоставлять (а не больше), повышаем ROI прогнозируем релевантные данные с для существующих систем использование уязвимостей прогнозами, на основании и позволяем вам в вашей инфраструктуре которых можно принимать сконцентрироваться на рисках, решения имеющих высокое значение © 2021 Cisco and/or its affiliates. All rights reserved. 2
Решения Kenna ⏤ это … НЕ НЕ НЕ сканер уязвимостей очередная очередное решение для скоринговая формирования отчетов платформа © 2021 Cisco and/or its affiliates. All rights reserved. 3
Современная модель управления уязвимостями “все представляет собой риск” вредит бизнесу Безумное Ставим патчи для Трения между ИТ количество всего, а не для и ИБ патчей нужных уязвимостей
Управление уязвимостями – это камень преткновения (Безопасность) (ИТ) ЦУНАМИ ЖЕСТКОЕ ТРЕБОВАНИЕ известных уязвимостей "Патчить всё!» Постоянные трения по поводу списков и приоритетов закрытия уязвимостей © 2021 Cisco and/or its affiliates. All rights reserved. 9
И лучше не будет… Разработка приложений в темпеDevOps Миллионы устройств Тысячи приложений, контейнеров, микросервисов Инфраструктура © 2021 Cisco and/or its affiliates. All rights reserved. 10
Сдвиг УСТАРЕВАЕТ -> СОВРЕМЕННОСТЬ • Ограниченные данные: только • Весь стек: инфраструктура + приложения + IoT инфраструктура • Концентрация на 5% (самых важных) уязвимостей • Патчить все, «по площадям» • Никаких догадок: только наука и факты • Трения ИБ и ИТ: игра-угадайка • Консолидация аналитики по уязвимостям • Концентрация на некоторых • 2,5-кратное ускорение нейтрализации новых уязвимостей уязвимостях • Польза для ИБ, ИТ и бизнеса в целом • Запаздывание реакции на новые угрозы • ИБ-инструмент © 2021 Cisco and/or its affiliates. All rights reserved. 11
Рост зрелости управления уязвимостями Оптимизации • Упорядоченное по рискам «следующее оптимальное действие» по консолидированной Операционный подход VI и data science при заданном уровне допуска рисков и SLA • Упорядоченное по рискам • Совместные поощрения по «следующее оптимальное показателям риска и SLA. На базе аналитики действие» по TI в реальном Согласованность App Dev времени и data science и AppSec. ИБ концентрируется на • Приоритет и критерии на • Совместные поощрения по отчетах, контроле и исключениях. Вход основании TI в дополнение показателям риска. • Успех = систематическая к рейтингу сканера/CVSS Устранение с помощью непрерывная реакция на самообслуживания (ИТ). обнаруженные риски в пределах • Приоритет и критерии действий на • ИБ как стимул, ИТ сопротивляется, ИБ концентрируется на отчетах, заданных временных рамок базе CVSS или рейтинга сканера улучшенное обоснование контроле и исключениях. • ИБ как стимул, ИТ сопротивляется, исправлений • Успех = показатель риска как ограниченное обоснование • Успех = снижение показателя риска общая метрика в компании (в исправлений для уязвимости соответствии с целями) • Успех = снижение числа «высокорисковых» уязвимостей © 2021 Cisco and/or its affiliates. All rights reserved. 12
Как работает Kenna Руководство Бенчмарки Композитные и тренды показатели 700 Глобальная TI True Risk Scores Собственные курируемые ИБ фиды на базе активных Data science Решения на Показатели эксплойтов базе данных 820 True Risk Scores в рамках компании Масштаб Корпор. данные Действия ИТ Лидерство в отрасли с указанием Функциональные Результаты сканирования, приоритета показатели 650 CMDB, обнаружение True Risk Scores ресурсов и т.п. Повышение ROI за счет Снижение риска и сохранение Переход на один язык при оптимизации ресурсов проактивного подхода к обсуждении рисков © 2021 Cisco and/or its affiliates. All rights reserved. 13 обеспечению ИБ
Новая модель, интересные результаты 75% 90% 80% 97% ускорение по времени на снижение снижение рисков для соответствие анализ и устранение времени на критически важных нормативам уязвимостей подготовку систем в течение отчетов 3 недель © 2021 Cisco and/or its affiliates. All rights reserved. 14
Что необходимо Kenna Security СОВРЕМЕННАЯ ПЛАТФОРМА VM Полный стек Ролевая модель доступа интеграция данных об Наглядные рекомендации по действиям инфраструктуре, приложениях Персональные рекомендации по роли и IoT разных производителей Взаимная координация Модель (Data Science) ИБ и ИТ за счет общих приоритетов и Исчерпывающая + проприетарная, практик самообслуживания обеспечивает агрегацию и анализ Неоспоримые факты Неограниченная масштабируемость TI реального времени сконцентрирована на решение корпоративного класса по масштабу активных эксплойтах и функционалу © 2021 Cisco and/or its affiliates. All rights reserved. 15
Наша цель: улучшить соотношение «сигнал/шум» CVE-2021-37222 CVE-2021-37222 CVE-2021-38593 CVE-2021-34527 CVE-2021-38569 1-37627 CVE-2021-38586 CVE-2020-28165 CVE-2020-24576 CVE-2021-38574 CVE CVE-2021-38565 CVE-2021-37699 CVE-2021-1675 CVE-2021-38592 CVE-2021-38586 7626 CVE-2021-38569 CVE-2020-24576 CVE-2020-28165 CVE-2021-37222 CVE-202 CVE-2021-37627 CVE-2021-38584 CVE-2021-35211 CVE-2021-38591 CVE-2021-37697 © 2021 Cisco and/or its affiliates. All rights reserved. 16
Наша цель: улучшить соотношение «сигнал/шум» CVE-2021-37222 CVE-2021-37222 CVE-2021-38593 CVE-2021-34527 CVE-2021-38569 1-37627 CVE-2021-38586 CVE-2020-28165 CVE-2020-24576 CVE-2021-38574 CVE CVE-2021-38565 CVE-2021-37699 CVE-2021-1675 CVE-2021-38592 CVE-2021-38586 7626 CVE-2021-38569 CVE-2020-24576 CVE-2020-28165 CVE-2021-37222 CVE-202 CVE-2021-37627 CVE-2021-38584 CVE-2021-35211 CVE-2021-38591 CVE-2021-37697 © 2021 Cisco and/or its affiliates. All rights reserved. 17
Фильтрация шума Все уязвимости в вашей среде CVSS CVSS • Статический • Не отражает риск — отражает технические параметры Вендор • Не связан с прогнозированием использования ПОКАЗАТЕЛЬ ВЕНДОРА • Некоторое улучшение CVSS (возможно) • Ограничения по TI • Не связан с прогнозированием использования ПОКАЗАТЕЛЬ РИСКА KENNA • Динамический, прогнозный • Основан на широком спектре TI, включая уникальные данные об объемах и скорости распространения • Результат использования data science Важные уязвимости © 2021 Cisco and/or its affiliates. All rights reserved. 18
Приоритеты – сравнение стратегий Данные: усилия для покрытия 50% ОТЛИЧНЫЙ СКАНЕР © 2021 Cisco and/or its affiliates. All rights reserved. 19 17 279 уязвимостей 15 215 уязвимостей 627 уязвимостей
Common Vulnerability Scoring System (CVSS) Серьезность Диапазон Нет 0.0 Низкая 0.1-3.9 Средняя 4.0-6.9 Высокая 7.0-8.9 Критическая 9.0-10.0 Открытый отраслевой стандарт для ОГРАНИЧЕНИЯ отражения уровня • Статическая метрика серьезности • Это не риск — это техническая серьезность уязвимостей. • Нет связи с прогнозом возможности использования © 2021 Cisco and/or its affiliates. All rights reserved. 20
При работе на базе CVSS, вы вероятно…. Потратите Можете пропустить колоссальное время на уязвимости, которым устранение соответствует высокий риск «низкорисковых» уязвимостей © 2021 Cisco and/or its affiliates. All rights reserved. 21
#целиустраненияуязвимостей ✓ 2-5% уязвимостей снабжаются (обнаруживаемыми) эксплойтами факты ✓ Организации могут устранить не более 10% уязвимостей в своей инфраструктуре В совершенном мире мы бы концентрировались на этом. Эксплуатируемые CVE Опубликованные CVE © 2021 Cisco and/or its affiliates. All rights reserved. 22
Приоритезация по CVSS CVSS v3: количество CVE по уровню серьезности Данные: август 2021 г. 8 379 1 238 5 800 13 715 15 092 24 862 12 598 12 552 233 1 2 3 4 5 6 7 8 9 10 Получается, что CVSS большинства уязвимостей высокий. © 2021 Cisco and/or its affiliates. All rights reserved. 23
#целиустраненияуязвимостей — НЕ ТАК Если выбрана стратегия CVSS 7+, у нас может получиться: Устранить достаточно много уязвимостей, большинство с низким риском Ложноположительные срабатывания! CVSS 7+ Эксплуатируемые CVE Возможно, пропустить уязвимости Опубликованные с высоким риском CVE Ложноотрицательные (не)срабатывания! © 2021 Cisco and/or its affiliates. All rights reserved. 24
Оптимизация приоритетов Показатель риска Kenna: количество CVE по оценке риска Данные: август 2021 г. 5 191 18 750 81 924 34 474 13 902 1 933 540 351 991 471 282 0 10 20 30 40 50 60 70 80 90 100 Профиль риска большинства уязвимостей низкий. © 2021 Cisco and/or its affiliates. All rights reserved. 25
Или другой формат представления (Kenna RS vs CVSS, другой период) Kenna Risk Score CVSS Score
Три уровня скоринга Kenna Группа Группа • Средний показатель для каждой группы ресурсов в 800 диапазоне 0 – 1000 (1000 наиболее критичныйl) • Цветовое кодирование (высокий, средний, низкий) – красный, (риск) желтый, зеленый • Предназначен для представления рисков бизнесу, эксплуатанту или аналитикам Ресурсы • Показатель для каждого ресурса 0 – 1000 (1000 наиболее критичный) Asset – 1 Asset – 2 Asset – 3 • Приоритет ресурса в диапазоне 1 -10 (10 самый важный) Priority 10 Priority 7 Priority 5 • Все, что задано заказчиком или пришло из его систем, имеет приоритет 10 по умолчаниюt • По умолчанию 200 баллов прибавляется для всех ресурсов с невнутренними IP Internet Facing Internet Facing Not - Internet Facing (до 1000 на ресурсt) Kenna Score: 1000 Kenna Score: 900 Kenna Score: 500 • Риск ресурса = (высший показатель уязвимости * приоритет ресурса) + 200 баллов за внешний IP Уязвимости Vulnerabilities Vulnerabilities • Гранулярная оценка 0 – 100 (100 наиболее критична) Vulnerabilities • Более 15 фидов об угрозах/эксплойтах для RBVM CVE1 - Score: 32 CVE1 - Score: 32 CVE1 - Score: 32 • Факторы: CVSS, комплекты ПО (weaponizing), ВПО, zero-day, CVE2 - Score: 65 CVE2 - Score: 65 CVE2 - Score: 65 популярные цели, нарушения безопасности с весовыми CVE3 - Score: 100 CVE3 - Score: 100 CVE3 - Score: 100 показателями по объему и скорости • Современные модели прогнозирования • Алгоритмы контролируемого машинного обучения
Классификация уязвимостей • Классификация в Kenna основана на стандартных для отрасли идентификаторах. • CVE • CWE • WASC • Если идентификатора нет: • Informational
Жизненный цикл уязвимости Создание Обнаружение Раскрытие Код Эксплуатация Сигнатура эксплойта для обнаружения
Фиды Kenna Эксплойты: Угрозы: Metasploit Alienvault OTX Exploit DB Alienvault Reputation ReversingLabs Secureworks CTU Proofpoint Emerging Threats Secureworks CTU ReversingLabs D2 Elliot Exodus Intelligence Contagio Sans Internet Storm Centre Black Hat (AlphaPack, Blackhole, X-Force Exchange Phoenix, …)
Научная база для прогнозирования Технология Cyber Risk Context™ Technology использует предиктивное моделирование, машинное обучение и экспертный анализ данных в реальном времени для оценки рисков, связанных с уязвимостями. Ground Truth Telemetry (GTT) Risk Scoring Engine Billions of pieces of information Algorithmically determine risk that tell us about what attackers scores of vulns and assets are doing, how, and what tools they based on GTT, customer vulns, are using, to exploit vulns in the wild and customer asset data Remediation Intelligence Engine Predictive Modeling Prioritize remediation based Machine learning algorithms on maximum impact of Risk that predict the probability of score reduction an increase in exploitation based on historical efficacy across all vulnerabilities attacker behavior and preferences
CVSS, сканеры и Kenna Если в приоритете все, то в приоритете ничто. Всего уязвимостей: 468 954 Резюме Низкий Средний Высокий 1-3 4-6 7 - 10 CVSS CVSS 247 507: больше важных CVE, 32 734 180 202 256 018 чем у Kenna 1 2-3 4-5 Сканер Сканер 360 551: больше важных CVE, 6,753 93,139 369 062 чем у Kenna 0 - 33 34 - 66 67 - 100 Kenna Kenna Важны только 1,8% уязвимостей 321 249 139 194 8 511 651 важная (по версии Kenna) уязвимость проигнорированы сканером 604 важных (по версии Kenna) уязвимостей с невысоким CVSS
Векторы угроз – векторы скоринга • 4 важных показателя для скоринга • Active Net Breaches – отражение факта активного использования в одном или нескольких аналитических источников • Easily Exploitable – доступность эксплойта на ExploitDB • Malware Exploitable – доступность модуля эксплойта в типовом решении, например Metasploit или Angular • Popular Targets – использование уязвимости в средах разных клиентов • Для формирования показателя Kenna используется и CVSS • Следите за общим показателем, а не за параметрами угрозы! • Для некоторых уязвимостей пара параметров будет активна, но показатель Kenna будет средним/низким
Уведомления (Alerts) • Функционал уведомлений в Kenna полезен для оперативного информирования • В приложении или Email • Контроль статуса сервиса: http://status.kennasecurity.com/
Векторы угроз – прогноз эксплуатации У нас есть несколько моделей…
Входные переменные
Прогнозирование эксплуатации Kenna • Непрерывный мониторинг тенденций злоумышленников (CRCT™) Cyber Risk Context Technology • Прогнозирование эксплуатации/рисков, связанных с новыми уязвимостями • Незамедлительные уведомления • Подтвержденная 95%-я точность модели • Не требует действий пользователя
Оценка качества предиктивной модели Precision 0.6121 Accuracy 0.9403
Эффективность моделей
Векторы угроз – приоритет • Предназначен для пометки «Топ 10%» CVE в среде заказчика 1. Не поддерживается непрерывно. Если показатель риска падает, признак Top Priority не уходит 2. Может редактироваться пользователем 3. Результат, а не фактор анализа
Exodus Detail Page
Сканеры Исчерпывающий список коннекторов SAST и DAST Баг-баунти 55+ коннекторов готовых Системы тикетинга CMDB 30+ вендоров …и многое другое © 2021 Cisco and/or its affiliates. All rights reserved. 43
Абсолютная гибкость: Kenna Data Importer • Коннектор общего назначения для импорта из пользовательских источников данных • Поддержка именно вашей стратегии VM © 2021 Cisco and/or its affiliates. All rights reserved. 44
Продукты Kenna RBVM VI Безопасность приложений Kenna.VM Kenna.VI+ Kenna.AppSec ● Консолидированная ● Централизация управления ● Внимание значимым аналитика по RESTful API безопасностью приложений уязвимостям или UI ● Поддержка существующих ● TI из реального мира и ● Запрос информации об процессов предиктивное уязвимостях и показателей ● Анализ фактов о моделирование приложениях в контексте риска Kenna ● Упрощение нейтрализации, рисков ● Обогащение процессов и сокращение количества ● Максимальная систем VM ошибок при установке эффективность при ● Исследование CVE, исправлений ограниченных ресурсах конвейер CI/CD, data lake 18+ © 2021 Cisco and/or its affiliates. All rights reserved. Более 12,7 млрд Более 1 млрд 45 фидов об угрозах и эксплойтах уязвимостей событий безопасности в месяц
Kenna.VM
Kenna.VM Трансформация управления уязвимостями Консолидация сведений об уязвимостях инфраструктуры и выделение тех, которые представляют собой реальный риск для организации. ✓ Поддержка эффективных решений с помощью показателей риска, основанных на предиктивных моделях ✓ Снижение риска за счет аналитики нейтрализации ✓ Повышение ROI за счет оптимизации ограниченных ресурсов и ускорения нейтрализации © 2021 Cisco and/or its affiliates. All rights reserved. 47
Зачем заказчикам Kenna.VM Эффективность решений Централизация управления ИТ в режиме самообслуживания Выделяйте уязвимости, которые Объединяйте данные из разных Помощь ИТ-командам понять, что сильно влияют на риски. источников (сканеров, CMDB и требует устранения. т.п.). Отчеты по метрикам Сравнительный анализ SLA на базе рисков Четкие эффективные отчеты с Сравнение вашего профиля Задавайте SLA количественными метриками. риска с профилем коллег по в соответствии с заданным отрасли. уровнем принятия рисков. © 2021 Cisco and/or its affiliates. All rights reserved. 48
Базовая телеметрия Kenna Обширные данные об угрозах и уязвимостях Data Science ✓ 18+ фидов об угрозах и эксплойтах ✓ Более 12,7 млрд уязвимостей ✓ Более 1 млрд событий безопасности в месяц Эксплойты Угрозы • Canvas Exploitation Framework • Alienvault OTX Машинное • Contagio • Alienvault Reputation обучение • D2 Elliot • Emerging Threats • Exploit DB • Exodus Intelligence • Github Exploit Feed: Cyentia Institute • ReversingLabs • Metasploit • Sans Internet Storm Centre • ReversingLabs • Secureworks CTU • Proofpoint • Silobreaker • Secureworks CTU • X-Force Exchange Предиктивное • Black Hat Kits on rotation моделирование © 2021 Cisco and/or its affiliates. All rights reserved. 49
Kenna.VI+
Kenna.VI+ Консолидированное представление данных об уязвимостях через API Повышение информированности аналитиков Запрос и экспорт данных, помогающих понять варианты использования CVE Пример данных CVE и актуальный риск, связанный с уязвимостями, для выделения наиболее приоритетных. ✓ Активный Интернет-взлом ✓ CVSS Обогащение данных об уязвимостях ✓ CVSS v3 Дополнение ваших сведений уникальной аналитикой Kenna, чтобы сформировать дополнительный контекст, связанный с CVE. ✓ Простота использования ✓ Эксплойты ✓ Исправления Повышение интеллектуальности платформы VM ✓ Дата изменения Дополнение существующего процесса VM подробными сведениями ✓ Активность до регистрации о CVE/уязвимости без развертывания дополнительной платформы. в NVD ✓ RCE Data Science в действии ✓ Дата публикации Оценивайте показатель риска Kenna и спрогнозированную вероятность возможности ✓ Уязвимые продукты использования (predicted exploitability) CVE — уникальные результаты, полученные с ✓ И многое другое… помощью машинного обучения, — для определения приоритетов. © 2021 Cisco and/or its affiliates. All rights reserved. 51
Kenna.VI+ …или простой UI Оценка CVE, которых пока нет в вашей среде Получайте аналитику о CVE, чтобы оценивать риски для организации и правильно расставлять приоритеты при исправлении. Планируйте защиту Отвечайте на критически важные вопросы о CVE: “есть ли исправление?”, “есть ли рабочий эксплойт?” и т.п. Data Science в действии Оценивайте показатель риска Kenna и спрогнозированную вероятность возможности использования (predicted exploitability) CVE — уникальные результаты, полученные с помощью машинного обучения, — для определения приоритетов. © 2021 Cisco and/or its affiliates. All rights reserved. 52
Kenna.AppSec
Kenna.AppSec Предварительно! Централизованное управление уязвимостями ваших приложений ✓ Формирование полного контекста безопасности приложений ✓ Поддержка существующий процессов AppSec ✓ Концентрация внимания на важных аспектах ✓ Эффективное использование ограниченных ресурсов © 2021 Cisco and/or its affiliates. All rights reserved. 54
Зачем заказчикам Kenna.AppSec Предварительно! Нейтральность к данным Унификация Проверка выводов Потребление данных о представлений Проверка выводов после анализа безопасности приложений от Обзор и подробные срезы в воздействия и оценки контекста. разных вендоров. единой консоли. Сортировка и фильтрация Автоматизация (API) Показатели риска Сужение результатов с помощью Использование API для приложений встроенных и пользовательских автоматизации в рамках Отчеты о профилях риска фильтров. среды AppSec. приложений с использованием метрик риска Kenna’. © 2021 Cisco and/or its affiliates. All rights reserved. 55
Почему стоит рассмотреть Kenna УВЕРЕННОСТЬ АНАЛИТИКА СОГЛАСОВАНИЕ Полный стек, Рекомендации на Приоритеты, представление основании фактов действия, меры в реальном времени Прогнозирование Сотрудничество с использованием data science ИБ + ИТ + App Dev интеграция, множество вендоров для наиболее требовательных сред масштабирование без ограничений © 2021 Cisco and/or its affiliates. All rights reserved. 56
ИНТЕГРАЦИЯ, МНОЖЕСТВО ВЕНДОРОВ • Расширение охвата: инфраструктура + приложения + IoT УВЕРЕН- • Осведомленность и возможность применения к вашей сети, серверам и оконечным устройствам НОСТЬ • Подробные сведения об уязвимостях из любого источника для вашей растущей мультивендорной инфраструктуры Полный стек, • Рекомендации по устранению в соответствии с заданным уровнем представление принятия риска и вашей уникальной средой в реальном времени 55+ 14+ 96+ готовых коннекторов млн ресурсов млрд записей об для решений заказчиков под уязвимостях 30+ вендоров нашей защитой обрабатываются ежедневно © 2021 Cisco and/or its affiliates. All rights reserved. 57
ПРОГНОЗИРОВАНИЕ С ИСПОЛЬЗОВАНИЕМ DATA SCIENCE • Реальные угрозы, не теория и не догадка – дополненные унифицированной БД уязвимостей с метаданными об эксплойтах и векторах угроз • Достоверная информация об угрозах: «хакерские» ресурсы, исходные коды АНАЛИТИКА эксплойт-китов, сведения о взломах Рекомендации • Уникальные кастомизированные и курированные датасеты, средства машинного обучения и NLP – аналитика, которая есть только у нас на основании • Оценка каждой уязвимости на каждом ресурсе с учетом особенностей фактов среды и целей по рискам 18+ 150+ 1 час источников данных млн записей об период обновления об использовании эксплойтах эксплойтов еженедельно © 2021 Cisco and/or its affiliates. All rights reserved. 58 58
СОТРУДНИЧЕСТВО ИБ + ИТ + APP DEV • Конфликт ИТ и ИБ по патчам предотвращен: покрытие лучше, работы меньше и она осмысленнее • Безопасность приложений со дня 1 – анализ новых угроз в течение жизненного цикла приложения СОГЛАСО- • Risk Score позволяет сопоставить поощрения, действия и метрики успеха ВАНИЕ • • Общий язык для обсуждения и оценки рисков Партнерство, прозрачность, ролевая модель доступа и отчеты – преимущества Приоритеты, для всех участников действия, меры ИБ ИТ + App Dev не загружается вооружены рутинными операциями средствами самообслуживания © 2021 Cisco and/or its affiliates. All rights reserved. 59
Вы также можете почитать