E-book details

Efektywne zarządzanie podatnościami na zagrożenia. Jak minimalizować ryzyko w cyfrowym ekosystemie

Efektywne zarządzanie podatnościami na zagrożenia. Jak minimalizować ryzyko w cyfrowym ekosystemie

Chris Hughes, Nikki Robinson

Ebook

Musisz sobie uświadomić, że korzystanie z systemów opartych na chmurze wiąże się z cyberzagrożeniami - podobnie jak w przypadku tradycyjnej infrastruktury. Musisz się dobrze orientować w złożoności swojego systemu i w powiązaniach poszczególnych elementów. Dopiero na tej podstawie możesz planować i ustalać priorytety we własnym programie zarządzania ryzykiem, uwzględniając przy tym wiele innych zagadnień.

W tej praktycznej książce znajdziesz opis kompleksowych praktyk, dzięki którym współczesne organizacje utrzymujące złożone ekosystemy oprogramowania mogą skutecznie identyfikować podatności, zarządzać nimi i ograniczać ryzyko wystąpienia poważnych naruszeń bezpieczeństwa. Dowiesz się, dlaczego nie wystarczy po prostu "użyć łatki", aby naprawić znane luki w oprogramowaniu. Poznasz zasady profesjonalnego zarządzania podatnościami uwzględniające monitorowanie systemów i baz danych podatności. Przekonasz się, jak ważne są czynnik ludzki i identyfikacja czynników psychologicznych, które podczas interakcji użytkownika z oprogramowaniem przyczyniają się do powstawania podatności. W miarę lektury książki przyswoisz wydajne i skuteczne strategie, dzięki którym zapewnisz swojej organizacji wysoki poziom cyberbezpieczeństwa.

Najciekawsze zagadnienia:

  • zarządzanie złożonymi środowiskami
  • poprawki do oprogramowania i bezpieczna konfiguracja
  • ocena podatności i łączenie ich w łańcuch
  • czynnik ludzki w zarządzaniu podatnościami
  • oprogramowanie bezpieczne już na etapie projektu
  • budowa dojrzałego modelu zarządzania podatnościami

Sprawdź, jak w erze chmury zarządzać ryzykiem informatycznym!

Przedmowa

Wprowadzenie

1. Zarządzanie aktywami

  • Fizyczne i mobilne zarządzanie aktywami
    • Aktywa IoT konsumenta
    • Aktywa programistyczne
  • Zarządzanie aktywami w chmurze
    • Środowiska wielochmurowe
    • Hybrydowe środowiska chmury
  • Oprogramowanie innych firm oraz oprogramowanie open source (OSS)
    • Oprogramowanie innych firm (i związane z nim ryzyko)
    • Uwzględnianie oprogramowania open source
  • Inwentaryzacja aktywów lokalnych i w chmurze
    • Lokalne centra danych
  • Oprzyrządowanie
    • Narzędzia do zarządzania aktywami
    • Narzędzia do sprawdzania podatności
    • Narzędzia do zarządzania inwentarzem w chmurze
    • Aktywa efemeryczne
    • Źródła prawdy
  • Ryzyko zarządzania aktywami
    • Log4j
    • Brakujące i nieuwzględnione aktywa
    • Nieznane niewiadome
    • Zarządzanie łataniem
  • Zalecenia dotyczące zarządzania aktywami
    • Odpowiedzialność przy zarządzaniu aktywami
    • Wykrywanie aktywów
    • Uzyskanie odpowiedniego oprzyrządowania
    • Transformacja cyfrowa
    • Standardowe procedury działania przy wprowadzaniu i wycofywaniu
  • Podsumowanie

2. Zarządzanie łataniem

  • Podstawy zarządzania łataniem
  • Ręczne zarządzanie łataniem
    • Ryzyko ręcznego łatania
    • Oprzyrządowanie do ręcznego łatania
  • Zarządzanie automatycznym łataniem
    • Zalety łatania automatycznego w porównaniu z ręcznym
    • Kombinacja łatania automatycznego i ręcznego
    • Ryzyko przy automatycznym łataniu
  • Zarządzanie łataniem w środowiskach deweloperskich
  • Łatanie oprogramowania open source
  • Niecałe oprogramowanie jest sobie równe
    • Wewnętrzne zarządzanie łataniem
    • Odpowiedzialność zespołów ds. infrastruktury i zespołów operacyjnych
  • Kto jest właścicielem zarządzania łataniem?
    • Podział obowiązków
    • Narzędzia i raportowanie
    • Łatanie przestarzałych systemów
    • Przestarzałe oprogramowanie
    • Niezałatane oprogramowanie open source
    • Ryzyko szczątkowe
    • Powszechne ataki na niezałatane systemy
    • Ustalanie priorytetów działań związanych z łataniem
    • Zarządzanie ryzykiem i łatanie
  • Tworzenie programu zarządzania łataniem
    • Ludzie
    • Proces
    • Technologia
  • Podsumowanie

3. Bezpieczna konfiguracja

  • Regulacje, ramy i prawa
  • Pierwsza dziesiątka wadliwych konfiguracji według NSA i CISA
    • Domyślna konfiguracja oprogramowania i aplikacji
    • Niewłaściwa separacja uprawnień użytkownika i administratora
    • Niedostateczny monitoring sieci wewnętrznej
    • Brak segmentacji sieci
    • Słabe zarządzanie łataniem
    • Omijanie systemu kontroli dostępu
    • Słabe lub źle skonfigurowane wieloskładnikowe metody uwierzytelniania
    • Brak MFA odpornych na phishing
    • Niewystarczające listy kontrolne do udziałów i usług sieciowych
    • Słaba higiena poświadczeń
    • Nieograniczone wykonywanie kodu
    • Ograniczanie zagrożeń
    • Wzorce CIS (CIS Benchmark)
    • Techniczne wytyczne implementacji zabezpieczeń DISA
  • Podsumowanie

4. Ciągłe zarządzanie podatnościami

  • Kontrola CIS 7 - ciągłe zarządzanie podatnościami
    • Ustanowienie i utrzymanie procesu zarządzania podatnościami
    • Ustanowienie i obsługa procesu naprawczego
    • Zautomatyzowane zarządzanie poprawkami systemu operacyjnego
    • Zautomatyzowane zarządzanie łataniem aplikacji
    • Zautomatyzowane skanowanie wewnętrznych aktywów przedsiębiorstwa pod kątem podatności na zagrożenia
    • Zautomatyzowane skanowanie podatności na zagrożenia zewnętrznych aktywów przedsiębiorstwa
    • Eliminowanie wykrytych podatności
  • Praktyki ciągłego monitorowania
  • Podsumowanie

5. Ocena podatności i identyfikacja oprogramowania

  • Powszechny system oceny podatności
    • CVSS 4.0 w skrócie
    • Miary bazowe
    • Miary możliwości wykorzystania
    • Miary zagrożenia
    • Miary środowiskowe
    • Miary dodatkowe
    • Jakościowa skala oceny wagi
    • Łańcuch wektorowy
  • System oceny przewidywania exploitów
    • EPSS 3.0 - ustalanie priorytetów poprzez przewidywanie
    • EPSS 3.0
  • Posuwamy się do przodu
  • Kategoryzacja podatności na zagrożenia według interesariuszy
    • Przewodnik CISA po SSVC
    • Przykład drzewa decyzyjnego
  • Formaty identyfikacji oprogramowania
    • Schemat nazewnictwa (CPE)
    • Package URL
    • Znaczniki identyfikacyjne oprogramowania
    • Lista podatności (CWE)
  • Podsumowanie

6. Zarządzanie bazą danych podatności i exploitów

  • Baza danych podatności NVD
  • Indeks Sonatype oprogramowania open source
  • Podatności oprogramowania open source
  • Baza danych zaleceń GitHub
  • Bazy danych exploitów
    • Exploit-DB
    • Metasploit
    • GitHub
  • Podsumowanie

7. Łączenie podatności w łańcuch

  • Ataki z użyciem łańcucha podatności
    • Łańcuchy exploitów
    • Łańcuchy podatności
    • Łańcuchy podatności publikowane przez sprzedawców
  • Łączenie i ocena podatności
    • CVSS
    • EPSS
    • Luki w branży
  • Niedostrzeganie łączenia podatności
    • Terminologia
    • Wykorzystanie w programach zarządzania podatnościami
  • Ludzki aspekt łączenia podatności na zagrożenia
    • Phishing
    • Naruszenie biznesowej poczty e-mail
    • Inżynieria społeczna
  • Integracja z VMP
    • Zasady przywództwa
    • Integracja z praktykiem ds. bezpieczeństwa
  • Wykorzystanie IT i rozwoju
  • Podsumowanie

8. Analiza zagrożeń związanych z podatnościami

  • Dlaczego analiza zagrożeń jest ważna dla programu zarządzania podatnościami (VMP)?
  • Od czego zacząć?
    • Techniczne informacje o zagrożeniach
    • Taktyczna analiza zagrożeń
    • Strategiczna analiza zagrożeń
    • Operacyjna analiza zagrożeń
  • Polowanie na zagrożenia
  • Integracja analizy zagrożeń z systemami VMP
    • Ludzie
    • Proces
    • Technologia
  • Podsumowanie

9. Chmura, DevSecOps i bezpieczeństwo łańcucha dostaw

  • Modele usług chmurowych i współdzielona odpowiedzialność
  • Środowiska hybrydowe i wielochmurowe
    • Kontenery
    • Kubernetes
    • Przetwarzanie bezserwerowe
    • DevSecOps
    • Oprogramowanie open source
    • Oprogramowanie jako usługa
    • Ryzyko systemowe
  • Podsumowanie

10. Czynnik ludzki w zarządzaniu podatnościami

  • Inżynieria czynników ludzkich
  • Inżynieria bezpieczeństwa czynników ludzkich
    • Przełączanie kontekstu
    • Pulpity podatności
    • Raporty o podatności
  • Poznanie i metapoznanie
  • Poznawanie podatności
  • Sztuka podejmowania decyzji
    • Zmęczenie decyzyjne
    • Zmęczenie alertami
    • Liczba ujawnionych podatności
    • Wymagane poprawki i konfiguracje
    • Zmęczenie zarządzaniem podatnościami
    • Psychiczne obciążenie pracą
  • Integracja czynnika ludzkiego z VMP
    • Zacznij od małych kroków
    • Rozważenie skorzystania z pomocy konsultanta
  • Podsumowanie

11. Secure-by-design, czyli oprogramowanie bezpieczne już na etapie projektu

  • Bezpieczne już na etapie projektu/domyślnie
  • Bezpieczne już na etapie projektu
  • Domyślnie bezpieczne
  • Zasady bezpieczeństwa oprogramowania
    • Zasada 1. Przejęcie odpowiedzialności za wyniki w zakresie bezpieczeństwa klientów
    • Zasada 2. Przyjęcie radykalnej przejrzystości i odpowiedzialności
    • Zasada 3. Kierowanie od góry
  • Taktyka bezpieczeństwa już na etapie od projektu
  • Taktyka domyślnego bezpieczeństwa
  • Przewodniki utwardzania kontra luzowania
  • Zalecenia dla klientów
  • Modelowanie zagrożeń
  • Tworzenie bezpiecznego oprogramowania
    • Szczegóły SSDF
  • Bezpieczeństwo, inżynieria chaosu i odporność
  • Podsumowanie

12. Model dojrzałości zarządzania podatnościami

  • Krok 1. Zarządzanie aktywami
  • Krok 2. Bezpieczna konfiguracja
  • Krok 3. Ciągłe monitorowanie
  • Krok 4. Zautomatyzowane zarządzanie podatnościami
  • Krok 5. Integracja czynników ludzkich
  • Krok 6. Analiza podatności na zagrożenia
  • Podsumowanie

Podziękowania

O autorach

O korektorze merytorycznym

  • Title: Efektywne zarządzanie podatnościami na zagrożenia. Jak minimalizować ryzyko w cyfrowym ekosystemie
  • Author: Chris Hughes, Nikki Robinson
  • Original title: Effective Vulnerability Management: Managing Risk in the Vulnerable Digital Ecosystem
  • Translation: Małgorzata Dąbkowska-Kowalik, Witold Sikorski
  • ISBN: 978-83-289-2161-0, 9788328921610
  • Date of issue: 2025-06-24
  • Format: Ebook
  • Item ID: efzapo
  • Publisher: Helion