Wprowadzenie

1. Zarządzanie aktywami

• Fizyczne i mobilne zarządzanie aktywami
  • Aktywa IoT konsumenta
  • Aktywa programistyczne
• Zarządzanie aktywami w chmurze
  • Środowiska wielochmurowe
  • Hybrydowe środowiska chmury
• Oprogramowanie innych firm oraz oprogramowanie open source (OSS)
  • Oprogramowanie innych firm (i związane z nim ryzyko)
  • Uwzględnianie oprogramowania open source
• Inwentaryzacja aktywów lokalnych i w chmurze
  • Lokalne centra danych
• Oprzyrządowanie
  • Narzędzia do zarządzania aktywami
  • Narzędzia do sprawdzania podatności
  • Narzędzia do zarządzania inwentarzem w chmurze
  • Aktywa efemeryczne
  • Źródła prawdy
• Ryzyko zarządzania aktywami
  • Log4j
  • Brakujące i nieuwzględnione aktywa
  • Nieznane niewiadome
  • Zarządzanie łataniem
• Zalecenia dotyczące zarządzania aktywami
  • Odpowiedzialność przy zarządzaniu aktywami
  • Wykrywanie aktywów
  • Uzyskanie odpowiedniego oprzyrządowania
  • Transformacja cyfrowa
  • Standardowe procedury działania przy wprowadzaniu i wycofywaniu
• Podsumowanie

2. Zarządzanie łataniem

• Podstawy zarządzania łataniem
• Ręczne zarządzanie łataniem
  • Ryzyko ręcznego łatania
  • Oprzyrządowanie do ręcznego łatania
• Zarządzanie automatycznym łataniem
  • Zalety łatania automatycznego w porównaniu z ręcznym
  • Kombinacja łatania automatycznego i ręcznego
  • Ryzyko przy automatycznym łataniu
• Zarządzanie łataniem w środowiskach deweloperskich
• Łatanie oprogramowania open source
• Niecałe oprogramowanie jest sobie równe
  • Wewnętrzne zarządzanie łataniem
  • Odpowiedzialność zespołów ds. infrastruktury i zespołów operacyjnych
• Kto jest właścicielem zarządzania łataniem?
  • Podział obowiązków
  • Narzędzia i raportowanie
  • Łatanie przestarzałych systemów
  • Przestarzałe oprogramowanie
  • Niezałatane oprogramowanie open source
  • Ryzyko szczątkowe
  • Powszechne ataki na niezałatane systemy
  • Ustalanie priorytetów działań związanych z łataniem
  • Zarządzanie ryzykiem i łatanie
• Tworzenie programu zarządzania łataniem
  • Ludzie
  • Proces
  • Technologia
• Podsumowanie

3. Bezpieczna konfiguracja

• Regulacje, ramy i prawa
• Pierwsza dziesiątka wadliwych konfiguracji według NSA i CISA
  • Domyślna konfiguracja oprogramowania i aplikacji
  • Niewłaściwa separacja uprawnień użytkownika i administratora
  • Niedostateczny monitoring sieci wewnętrznej
  • Brak segmentacji sieci
  • Słabe zarządzanie łataniem
  • Omijanie systemu kontroli dostępu
  • Słabe lub źle skonfigurowane wieloskładnikowe metody uwierzytelniania
  • Brak MFA odpornych na phishing
  • Niewystarczające listy kontrolne do udziałów i usług sieciowych
  • Słaba higiena poświadczeń
  • Nieograniczone wykonywanie kodu
  • Ograniczanie zagrożeń
  • Wzorce CIS (CIS Benchmark)
  • Techniczne wytyczne implementacji zabezpieczeń DISA
• Podsumowanie

4. Ciągłe zarządzanie podatnościami

• Kontrola CIS 7 - ciągłe zarządzanie podatnościami
  • Ustanowienie i utrzymanie procesu zarządzania podatnościami
  • Ustanowienie i obsługa procesu naprawczego
  • Zautomatyzowane zarządzanie poprawkami systemu operacyjnego
  • Zautomatyzowane zarządzanie łataniem aplikacji
  • Zautomatyzowane skanowanie wewnętrznych aktywów przedsiębiorstwa pod kątem podatności na zagrożenia
  • Zautomatyzowane skanowanie podatności na zagrożenia zewnętrznych aktywów przedsiębiorstwa
  • Eliminowanie wykrytych podatności
• Praktyki ciągłego monitorowania
• Podsumowanie

5. Ocena podatności i identyfikacja oprogramowania

• Powszechny system oceny podatności
  • CVSS 4.0 w skrócie
  • Miary bazowe
  • Miary możliwości wykorzystania
  • Miary zagrożenia
  • Miary środowiskowe
  • Miary dodatkowe
  • Jakościowa skala oceny wagi
  • Łańcuch wektorowy
• System oceny przewidywania exploitów
  • EPSS 3.0 - ustalanie priorytetów poprzez przewidywanie
  • EPSS 3.0
• Posuwamy się do przodu
• Kategoryzacja podatności na zagrożenia według interesariuszy
  • Przewodnik CISA po SSVC
  • Przykład drzewa decyzyjnego
• Formaty identyfikacji oprogramowania
  • Schemat nazewnictwa (CPE)
  • Package URL
  • Znaczniki identyfikacyjne oprogramowania
  • Lista podatności (CWE)
• Podsumowanie

6. Zarządzanie bazą danych podatności i exploitów

• Baza danych podatności NVD
• Indeks Sonatype oprogramowania open source
• Podatności oprogramowania open source
• Baza danych zaleceń GitHub
• Bazy danych exploitów
  • Exploit-DB
  • Metasploit
  • GitHub
• Podsumowanie

7. Łączenie podatności w łańcuch

• Ataki z użyciem łańcucha podatności
  • Łańcuchy exploitów
  • Łańcuchy podatności
  • Łańcuchy podatności publikowane przez sprzedawców
• Łączenie i ocena podatności
  • CVSS
  • EPSS
  • Luki w branży
• Niedostrzeganie łączenia podatności
  • Terminologia
  • Wykorzystanie w programach zarządzania podatnościami
• Ludzki aspekt łączenia podatności na zagrożenia
  • Phishing
  • Naruszenie biznesowej poczty e-mail
  • Inżynieria społeczna
• Integracja z VMP
  • Zasady przywództwa
  • Integracja z praktykiem ds. bezpieczeństwa
• Wykorzystanie IT i rozwoju
• Podsumowanie

8. Analiza zagrożeń związanych z podatnościami

• Dlaczego analiza zagrożeń jest ważna dla programu zarządzania podatnościami (VMP)?
• Od czego zacząć?
  • Techniczne informacje o zagrożeniach
  • Taktyczna analiza zagrożeń
  • Strategiczna analiza zagrożeń
  • Operacyjna analiza zagrożeń
• Polowanie na zagrożenia
• Integracja analizy zagrożeń z systemami VMP
  • Ludzie
  • Proces
  • Technologia
• Podsumowanie

9. Chmura, DevSecOps i bezpieczeństwo łańcucha dostaw

• Modele usług chmurowych i współdzielona odpowiedzialność
• Środowiska hybrydowe i wielochmurowe
  • Kontenery
  • Kubernetes
  • Przetwarzanie bezserwerowe
  • DevSecOps
  • Oprogramowanie open source
  • Oprogramowanie jako usługa
  • Ryzyko systemowe
• Podsumowanie

10. Czynnik ludzki w zarządzaniu podatnościami

• Inżynieria czynników ludzkich
• Inżynieria bezpieczeństwa czynników ludzkich
  • Przełączanie kontekstu
  • Pulpity podatności
  • Raporty o podatności
• Poznanie i metapoznanie
• Poznawanie podatności
• Sztuka podejmowania decyzji
  • Zmęczenie decyzyjne
  • Zmęczenie alertami
  • Liczba ujawnionych podatności
  • Wymagane poprawki i konfiguracje
  • Zmęczenie zarządzaniem podatnościami
  • Psychiczne obciążenie pracą
• Integracja czynnika ludzkiego z VMP
  • Zacznij od małych kroków
  • Rozważenie skorzystania z pomocy konsultanta
• Podsumowanie

11. Secure-by-design, czyli oprogramowanie bezpieczne już na etapie projektu

• Bezpieczne już na etapie projektu/domyślnie
• Bezpieczne już na etapie projektu
• Domyślnie bezpieczne
• Zasady bezpieczeństwa oprogramowania
  • Zasada 1. Przejęcie odpowiedzialności za wyniki w zakresie bezpieczeństwa klientów
  • Zasada 2. Przyjęcie radykalnej przejrzystości i odpowiedzialności
  • Zasada 3. Kierowanie od góry
• Taktyka bezpieczeństwa już na etapie od projektu
• Taktyka domyślnego bezpieczeństwa
• Przewodniki utwardzania kontra luzowania
• Zalecenia dla klientów
• Modelowanie zagrożeń
• Tworzenie bezpiecznego oprogramowania
  • Szczegóły SSDF
• Bezpieczeństwo, inżynieria chaosu i odporność
• Podsumowanie

12. Model dojrzałości zarządzania podatnościami

• Krok 1. Zarządzanie aktywami
• Krok 2. Bezpieczna konfiguracja
• Krok 3. Ciągłe monitorowanie
• Krok 4. Zautomatyzowane zarządzanie podatnościami
• Krok 5. Integracja czynników ludzkich
• Krok 6. Analiza podatności na zagrożenia
• Podsumowanie

Podziękowania

O autorach

O korektorze merytorycznym

• Назва: Efektywne zarządzanie podatnościami na zagrożenia. Jak minimalizować ryzyko w cyfrowym ekosystemie
• Автор: Chris Hughes, Nikki Robinson
• Оригінальна назва: Effective Vulnerability Management: Managing Risk in the Vulnerable Digital Ecosystem
• Переклад: Małgorzata Dąbkowska-Kowalik, Witold Sikorski
• ISBN: 978-83-289-2161-0, 9788328921610
• Дата видання: 2025-06-24
• Формат: Eлектронна книга
• Ідентифікатор видання: efzapo
• Видавець: Helion