Gran pregunta Por lo tanto, mi sugerencia puede no ser perfecta, pero probablemente sea un comienzo. Filtrar a través de todo esto puede convertirse en una tarea enorme si tiene una infraestructura grande y diversa. Cuando trabajé un contrato para los federales, teníamos un software que nos ayudó con esto. El software en realidad forzó automáticamente las actualizaciones, no voy a nombrar el software porque OMI fue un desastre.
Personalmente, usaría la fuente RSS y crearía un script. esa secuencia de comandos tendría identificadores clave ponderados, no solo en los datos de CVE, sino también en mi infraestructura. Eso o podría raspar los datos en bruto …
Usaría un enfoque de la mano derecha de la mano izquierda, ya que descargaría los datos RAW CVE de la mano izquierda para tenerlos todos, y en la mano derecha usaría mi script contra la fuente RSS.
- En términos de aplicación instantánea móvil, ¿quién es responsable de la seguridad de los datos, el desarrollador de la aplicación o el sistema operativo?
- ¿Por qué es importante la seguridad de la red?
- ¿Se ha vuelto demasiado autocrático e inhumano el gobierno de EE. UU. Al ejecutar el programa PRISM durante años?
- ¿Cómo funciona un RAT (troyano de acceso remoto)?
- ¿Qué tan peligroso es visitar un sitio web malicioso?
Ahora que se dice que hay un montón de personas trabajando para ir más allá de esto. Uno de esos grupos es ThreatConnect | Threat Intelligence Platform debería poder unirse después de una breve verificación de antecedentes.
La diferencia aquí es que Threat Intelligence utiliza no solo datos de CVE sino también datos realistas extraídos de muchas fuentes externas, incluidas las redes sociales y los informes honeypot. Odian las palabras Big Data, pero sinceramente, eso es lo que es.
Cuando trabajaba en el sector federal, teníamos un equipo completo de PSIRT que pasó incontables horas haciendo lo que usted describió. Dependiendo de su organización y cuán grande y diversa sea su superficie de ataque, es posible que necesite un equipo completo, no solo 2 personas.
Lo primero que debe hacer es idear un plan. Estructura tu plan en torno a la agregación de los datos de CVE contra lo que tienes en su lugar. Use herramientas como Splunk para monitorear los registros en busca de actualizaciones o actualizaciones fallidas.
Una palabra de advertencia también: NO confíe solo en las pruebas de vulnerabilidad, tiene un gran margen de error. Una buena prueba de lápiz de caja negra de forma regular es una gran idea.
No puedo enfatizar lo suficiente el punto más débil que veo como un CPT. La falta de un plan de respuesta al incidente certificado y válido. Con demasiada frecuencia, las cosas van al sur después de un evento. Dice así.
Por ejemplo, tiene un servidor de Windows con IIS. Es “principalmente” actual con parches. Faltan algunos. Es hackeado. El equipo de seguridad encuentra el hack y se da cuenta de que es porque no se aplicaron 2 parches. Cuando la gente pregunta por qué la respuesta es buena, esta API en este otro servidor no es compatible y costaría mucho tiempo en DEV actualizarla. Adivina cuánto cuesta tu Dev en centavos en comparación con la posible caída de una violación.
El fracaso del plan de respuesta a incidentes es así. Ok, entonces lo reparamos, solo tendrán que arreglar la API, aplaudir, hemos terminado aquí. Suspiro de alivio. Tirita aplicada fuera de la vista fuera de la mente.
Demasiado a menudo, y quiero decir MUCHO, a menudo esto es un ENORME fracaso. La compañía se entera semanas después de adivinar qué. El servidor IIS no era el objetivo. Lo usaron como plataforma para entrar. El plan de Respuesta a Incidentes solo decía arreglar el agujero. Entonces, dicho eso, ahora tiene millones de registros de clientes filtrados a quién sabe dónde.
El punto es que cualquier IRP necesita cubrir todo. Todos necesitan mirar cada registro en cada cuadro y seguir el rastro.
Mantenerse en la cima de CVE es solo un componente en la mayor parte del proceso. ¿Es eso una póliza de seguro general? No Las explotaciones de día cero están creciendo y los datos son una gran mercancía ahora.
Supongo que lo que estoy tratando de decir con muchas palabras aquí es elaborar una política de seguridad completa mientras haces esto. No creo que la gente se dé cuenta de lo difícil que es este trabajo 😉
Solo hay 2 tipos de empresas por ahí. Los que han sido pirateados y los que no saben que han sido pirateados.
Espero que eso ayude.