Giám sát an ninh liên tục: Kinh nghiệm từ MỸ và giải pháp của Rapid7
Đây là một cách để tránh rủi ro và nắm bắt tình hình đang diễn ra, một khái niệm được gọi là giám sát liên tục. Viện quốc gia về Tiêu chuẩn và Công nghệ của Mỹ (NIST) đã xuất bản ấn phẩm đặc biệt 800 - 137, mô tả giám sát liên tục như là một phần quan trọng của một kế hoạch an ninh toàn diện: chuyển trọng tâm từ an ninh phản ứng sang một mô hình tự động và chủ động hơn.
Bằng cách liên tục giám sát hệ thống thông tin, cơ quan quản lý hệ thống sẽ:
- Quản lý trong thời gian thực các tài sản vật lý và ảo hóa của mỗi thành viên.
- Nhận biết về các mối đe dọa trong môi trường của mỗi thành viên, bao gồm cả các lỗ hổng và sai sót cấu hình.
- Tuân thủ theo tiêu chuẩn FISMA thông qua quản lý tự động, cấu hình và quản lý lỗ hổng và đánh giá những thay đổi.
- Tự động hóa báo cáo theo các yêu cầu của FISMA.
Một chương trình giám sát liên tục đáp ứng các yêu cầu FISMA sẽ cho phép kiểm soát đánh giá an ninh thường xuyên. Chẳng hạn, Chính phủ Mỹ yêu cầu các cơ quan liên bang phải nhận thức được bất kỳ thay đổi nào trên hệ thống của họ khi cần thiết.
Cả hai chương trình Nexpose và Metasploit đều cung cấp các khả năng mà các cơ quan nhà nước cần để quản lý chặt chẽ hơn về an toàn thông tin. Nexpose và Metasploit của Rapid7 kết hợp chặt chẽ với nhau: Phát hiện tài sản và các mối đe dọa tương ứng; Đánh giá tình trạng an ninh; Hành động bằng các bản vá hoặc thực hiện kiểm soát giảm thiểu rủi ro.
Tại sao phải thực hiện một chương trình giám sát liên tục?
Bằng cách xây dựng một chế độ giám sát liên tục, bộ phận quản trị sẽ có thể thực hiện kiểm soát theo thời gian thực, về cấu hình, các lỗ hổng - và báo cáo tình trạng của hệ thống. Chuyển từ đánh giá truyền thống tới các phương thức tự động.
Liên tục giám sát bao gồm 3 trong16 khả năng FISMA: Quản lý tài sản tự động, Quản lý Cấu hình tự động, Quản lý Điểm yếu tự động.
Theo Báo cáo OMB 2011 FY của Quốc hội Mỹ, chỉ có 37% các cơ quan liên bang đã thực hiện FISMA tuân thủ việc liên tục giám sát, 63% các cơ quan không có, hoặc có ít khả năng liên tục giám sát.
Làm thế nào để Rapid7 giúp liên tục theo dõi các hệ thống thông tin?
Nexpose và Metasploit kết hợp cùng nhau để giúp bộ phận quản trị phát hiện các mối đe dọa, đánh giá tình trạng an ninh của cơ quan và đưa ra hành động cho phù hợp:
Phát hiện
Sử dụng Nexpose để tự động phát hiện và quét toàn bộ tài sản vật lý, tài sản ảo hóa của các thành viên. Trong khi rà soát cơ sở hạ tầng của các thành viên, kiểm tra sai sót trong cấu hình và tuân thủ với các yêu cầu FISMA, chẳng hạn như tài liệu NIST 800 - 53 Rev.4 và hướng dẫn NIST SP 800 - 137.
Đánh giá
- Hoàn thành đánh giá an ninh về các lỗ hổng được phát hiện, sai sót cấu hình và phần mềm độc hại.
- Đánh dấu bất kỳ tài sản nào không được cấu hình phù hợp với các quy định như FDCC và USGCB.
- Ưu tiên những vấn đề cần quan tâm khẩn cấp dựa trên một số tiêu chí để lựa chọn, bao gồm cách thức khai thác có sẵn, Real Risk và điểm CVE.
Hành động
- Tạo các báo cáo với Nexpose bất cứ khi nào bạn cần chúng: Thiết lập một lịch trình hoặc chạy chúng. Thiết lập tự động báo cáo để làm cho phù hợp với FISMA một cách nhanh chóng.
- Nhận các báo cáo thời gian thực của các mối đe dọa thực sự với Metasploit, tương thích với Nexpose để cung cấp cho mỗi thành viên góc nhìn toàn diện về tình trạng bảo mật của tổ chức.