Ускорение устранения уязвимостей (безопасная инициатива будущего)

Имя компонента: ускорение реагирования и исправления
Имя шаблона: ускорение устранения уязвимостей

Контекст и проблема

Уязвимости являются неизбежной реальностью в сложных цифровых средах. Организации должны быстро и систематически реагировать на снижение риска, но многие из них борются с медленной координацией, ручной сортировкой и несогласованными рабочими процессами исправления.

Традиционные модели исправлений и устаревшие структуры отчетов часто задерживают ответы, особенно когда группы безопасности и ИТ работают в силосах. Между тем, субъекты угроз опираются на непатшированные системы и неправильные конфигурации для повышения привилегий, перемещения в сторону или извлечения данных.

Решение

Для решения этих проблем корпорация Майкрософт реализовала комплексную программу управления уязвимостями, ориентированную на автоматизацию и быстрое раскрытие информации. Эти усилия были выполнены в рамках процесса ускорения реагирования и исправления инициативы "Безопасное будущее" (SFI). В целом эта программа поддерживает раннее обнаружение, согласованную приоритетность и ускорение времени для устранения (TTM) и особенно эффективна для проблем с высокой степенью серьезности. Фактически, это позволило корпорации Майкрософт сократить время устранения для 73% уязвимостей, одновременно расширяя охват программы.

К ключевым компонентам подхода Майкрософт относятся:

• Автоматизация обнаружения уязвимостей и триажа с помощью управления уязвимостями Microsoft Defender и внутренних средств искусственного интеллекта

• Создание машиночитаемых отчетов об уязвимостях с использованием файлов Common Security Advisory Framework (CSAF)

• Публикация CVE для уязвимостей облачных сервисов будет осуществляться быстрее, включая случаи, когда не требуется исправление для клиентов.

• Доставка целевых оповещений с помощью Центра администрирования Azure Service Health и Центра администрирования Microsoft 365 с практическими рекомендациями, предоставляемыми на уровне клиента или подписки

• Централизованное управление инцидентами, взаимодействие с клиентами и раскрытие информации с помощью рабочих процессов между компаниями.

• Выдача уведомлений об угрозах государства (NSN) для оповещения затронутых организаций о целевых или успешных атаках

Руководство

Организации могут применять аналогичный шаблон, используя следующие практические методики:

Сценарий использования	Рекомендуемое действие	Ресурс
Создание надежной программы управления уязвимостями	Назначение ответственных владельцев за обнаружение, приоритизацию и устранение Обеспечение согласованной видимости активов и базовых показателей конфигурации Согласовывать рабочие процессы безопасности и ИТ-рабочие процессы от обнаружения до разрешения	Руководство по готовности к инциденту
Автоматизация обнаружения и сортировки	Используйте такие инструменты, как Управление уязвимостями Microsoft Defender, чтобы сканировать системы и приоритезировать CVE. Интегрируйтесь с каналами аналитики угроз для пометки активно эксплуатируемых уязвимостей. Использование оценки на основе рисков, чтобы сосредоточиться на уязвимостях, которые наиболее важны	Управление уязвимостями в Microsoft Defender
Стандартизация и ускорение взаимодействия	Публикуйте CVEs даже если клиентские действия не требуются, так как прозрачность создает доверие   Используйте файлы CSAF и API обновлений безопасности Microsoft для обеспечения машинно-машинного взаимодействия. Создание рабочих процессов оповещений в Центре администрирования Azure Service Health и Microsoft 365 для доступа к реагированию на инциденты	Центр реагирования на безопасность Майкрософт
Создание видимости и подотчетности	Отслеживайте и сообщайте о времени устранения (TTM), устаревающих уязвимостях и охвате обновлениями. Создание панели мониторинга для отслеживания хода выполнения и пометки задержек. Реализация внутренних путей эскалации для уязвимостей с высоким приоритетом	Управление инцидентами в Microsoft Defender
Подготовка к деятельности государства нации	Понимание программы NSN компании Microsoft и готовность реагировать в случае уведомления. Настройка маршрутизации оповещений, чтобы команды SOC и группы безопасности немедленно получали аналитику угроз Регулярно просматривайте рекомендации NSN на порталах Майкрософт и отчетах о цифровой обороне	Доклад об угрозах национальных государств
Постоянно совершенствоваться	Используйте отчеты о красной команде, разборы после инцидентов и отзывы клиентов для уточнения процессов реагирования. Поиск возможностей для автоматизации рабочих процессов, уменьшения передачи и улучшения целевого назначения уведомлений	Иследуйте и реагируйте, используя Microsoft Defender XDR

Результаты

Преимущества

• Повышение осведомленности об уязвимостях облачных решений через дополнительные публикации CVE и уведомления о том, требуется ли исправление клиентом

• Повышение прозрачности и доверия с помощью обогащенных данных CVE (тегов CWE/CPE) и автоматической доставки оповещений, а также расширенного раскрытия уязвимостей

• Более быстрый и более интерактивный обмен данными с помощью порталов продуктов для клиентов

• Более быстрые временные шкалы устранения рисков с помощью автоматизации и искусственного интеллекта, упрощающие жизненный цикл уязвимостей и исправлений

• Упреждающая защита, использующая расширенную аналитику угроз для поддержки более ранней обнаружения и приоритетных ответов

Компромиссы

• Приоритет реагирования на уязвимости на основе потенциального влияния, активности угроз и необходимых действий клиента

• Определение объема инвестиций в автоматизированное сканирование, классификацию и оркестрацию рабочих процессов с целью устранения наиболее серьезных уязвимостей как наивысший приоритет

• Поддержание фокуса на человеческих и организационных факторах при перепроектировке процессов, которые объединяют безопасность, ИТ-отделы и группы коммуникаций

Ключевые факторы успеха

Отслеживайте следующие ключевые показатели эффективности для измерения хода выполнения.

• Среднее время для устранения уязвимостей с высоким уровнем серьезности (TTM)

• Процент CVE, обработанных в рамках SLA

• Состояние конфигурации оповещений в облачных подписках

Сводка

Организации могут значительно повысить скорость реагирования на известные уязвимости. Благодаря автоматизации, обогащенным коммуникациям и интегрированным рабочим процессам уязвимостей команды могут ограничить воздействие, закрыть известные пробелы быстрее и создать устойчивость, необходимую для того, чтобы оставаться перед активными угрозами.

Начните ускорить реагирование на уязвимости сегодня, прежде чем злоумышленники используют задержку.