ניהול פגיעויות עם ציר זמן Defender Vulnerability Management

by · 02/12/2022

גילוי, תעדוף ותיקון של חולשות ופגיעויות בנקודות קצה הוא חיוני לניהול תוכנית אבטחה בריאה ולהפחתת סיכון האבטחה בארגון.

ניהול איומים ופגיעויות, המהווה חלק מהיכולות של Defender for Endpoint, מגדיר מחדש כיצד צוותי אבטחה וצוותי IT מפחיתים את החשיפה הארגונית, מקשיחים את שטחי התקיפה של נקודות הקצה ומגבירים את החוסן הארגוני בנקודות קצה.

אחד המדדים המרכזיים שצוותי אבטחה עוקבים אחריהם הוא ציון, דירוג וחשיפה במרחב הטכנולוגי של נקודות קצה – הוא מסייע להבין את רמת ומידת החשיפה לאיומים כתוצאה מפגיעויות מול נקודות הקצה. המטרה במקרה הזה הוא דירוג או ציון נמוך, וככל שהציון נמוך יותר, כך הסיכון קטן יותר.

המאמר הינו חלק מסדרת מאמרים (ארוכים וקצרים) על Microsoft XDR המתבססים על כלי הדפדנר השונים. המאמר נוכחי מתמקד ביכולת הספציפית של Event Timeline מתוך Vulnerability Management.

מי אתה MDVM?

לפני שמדברים על Event Timeline כדאי להכיר את קליפת האגוז של Microsoft Defender Vulnerability Management עם מספר אפשרויות ויכולות.

ניהול פגיעויות של Microsoft Defender Vulnerability Management (או בקצרה MDVM) הוא נטול סוכנים לחלוטין ואוסף נתונים בהתבסס על חיישן מובנה של MDE המותקן בנקודות קצה שונות (Win/Linux/Mac). הנתונים מאוחסנים עד 180 יום בדפדנר ועוד 30 יום ב Advanced Hunting.

אפשר למנות יכולות רבות בניהול פגיעויות של Microsoft Defender, בין היתר את היכולות הבאות:

  • גילוי מכשירים
  • מלאי מכשירים
  • הערכת פגיעויות
  • הערכת בסיס האבטחה
  • חסימת יישומים פגיעים
  • הרחבות דפדפן
  • ניתוח רשת
  • תעדוף מבוסס סיכון
  • מעקב אחר תיקון
  • ניטור רציף
  • ללא צורך בסריקות יזומות
  • אין סוכן נוסף

הממשק של Microsoft Defender Vulnerability Management הוא פשוט לניהול ומנגיש את הסיכונים, איומים ובעיות בנקודות קצה.

Microsoft Defender Vulnerability Management

הדרך שבה ניהול פגיעויות בדפנדר פועל הוא בסיוע והפחתת מצב האבטחה ותיקון הסיכון על ידי ביצוע המלצות אבטחה ובדיקות בסמוך לזמן אמת של נקודות הקצה.

אתגרים פגיעויות וניהולם יכולים להיות בין היתר:

  • אילו התקנים תואמים ומוגדרים כראוי
  • האם המכשירים פעילים עם זירו-דאי?
  • אילו מכשירים פגיעים נגד CVE?
  • אילו התקנים אינם תואמים ומוגדרים עם כשלים?
  • אילו התקנים אינם מוגדרים או מוקשחים כראוי?
  • היכן פרוטוקולים ישנים עדיין מותרים, כמו, SMBV1?
  • נקודות קצה ללא הגנה עם כניסות בלתי מורשות
  • האם ישנם נקודות קצה עם גרסאות של חבילות ישנות?
  • נקודות קצה עם חשבון מנהל שאינו זמין

גילוי מתמשך

ניהול סיכונים עוסק בזיהוי פגיעויות ותצורה שגויה בסביבה והפחתת גורם התקיפה. ניהול פגיעויות בדפנדר מסייע בגילוי פגיעויות באמצעות חיישן מובנה וללא צורך בפריסת סוכנים נוספים. ניהול פגיעויות בדפנדר מבוסס על גילוי מתמשך עבור נקודת קצה, ולכן אוסף ושולח באופן רציף מדידות של נקודות הקצה לענן.

במהלך ההטמעה הראשונית, חיישן של Microsoft Defender אוסף באופן אוטומטי את נתוני הפגיעות והאבטחה מנקודות הקצה ומפרסם את הנתונים בממשק. בהתבסס על הגילוי המתמשך, השינויים נראים לעין מבלי להמתין לסריקות תקופתיות או ביצוע פעולות יזומות וידניות.

אילו נתונים גלויים ובאיזו תדירות?

ניהול פגיעויות בדפנדר מציג נקודות קצה שהיו בשימוש אקטיבי עד לפני 30 יום – פעולה זו יוצרת לעתים כפילויות כאשר נקודות קצה שמותקנות מחדש. באופן אידיאלי MDVM תומך בפילטרים נוספים עבור נקודות קצה לא פעילות.

דירוג בנקודות קצה הוא חלק מהבנה של הפגיעויות, השפעות וחשיפות. סוגי דירוג:

  • דירוג 1 – כל המשאבים המשויכים בארגון, וניתן להשתמש בסינון קבוצות.
  • דירוג 2 – המלצות מובילות המבוססות על השפעה של משאבים משויכים.
  • דירוג 3 – תצוגה של מצב האבטחה בנקודות קצה כאשר דירוג נותן אינדיקציה למהות הבעיה.
  • דירוג 4 – האירועים המובילים עבור פגיעויות חדשות המבוססות על השפעה.
  • דירוג 5 – נתונים הם חלק מההרחבה ומציגים את כל האישורים שפג תוקפם.
  • דירוג 6 – התפלגות החשיפה מבוססת על דירוג כנגד היקף הארגון.
  • דירוג 7 – פעילויות תיקון שנוצרות מפריטים ספציפיים.
  • דירוג 8 – אפליקצייה בארגון אשר החולשה הגבוהה ביותר (ניקוד CVE) ואיומים.
  • דירוג 9 – הרשימה המובילה עם רשימת נקודות קצה מובילות עם המלצות האבטחה ורמת חשיפה שהתגלו.

מהו דירוג החשיפה?

דירוג וציון משקף את החשיפה הכוללת של כל נקודות הקצה. הדירוג מחושב באופן רציף בהתבסס על כל הנתונים במופע של הסריקות האוטומטיות ופעולות ברקע של הסוכן בנקודות הקצה. ערך גבוה מצביע על כך שהמכונות פגיעות יותר לניצול, בעוד נמוך פירושו משטח פחות פגיע.

הסטטוסים הזמינים הם חשיפה נמוכה, בינונית וגבוהה:

  • 0–29 – חשיפה נמוכה.
  • 30–69 – חשיפה בינונית.
  • 70–100 – חשיפה גבוהה.

מגמת דירוג החשיפה לאורך זמן נראית לעין, כך שניתן לעקוב אחר האופן שבו הדירוג משתנה. הודות. ציר הזמן לעדכונים מספק נראות רבה יותר לגבי הסיבה לכך שהציון עולה/יורד.

טיפים

בהתבסס על מציאות מהשטח משתף מספר עצות לתחילת עבודה בניהול פגיעויות בדפנדר עבור נקודת קצה:

  • השתמש במבנה ברור ומוגדר מראש של קבוצות לנקודות קצה.
  • הקשצה הרשאות בעת שימוש בקבוצות.
  • צוותים ספציפיים יכולים להתמקד רק בנקודות הקצה לפי ההרשאה ובנראות שלהם.
  • נתח את רשימת המלאי עם CSV פשוט והצג אפליקציות ותוכנות לא רצויות ולא מוכרות.
  • הסר התקנה של אפליקציות לא ידועות על סמך ניתוח והרדת סיכונים.
  • השתמש ביכולות של Advanced Hunting לקבלת נתונים נוספים להצגת נקודות קצה עם פערים.
  • יצירת התראות עבור דירוג גבוה של פגיעויות, למשל, CVSS 8.0.
  • הלימה של ניצול במרחב ואפשרויות ניצול מול הסביבה הארגונית.
  • יצירת Baseline לקבלת תצורה ותיקונים מומלצים.
  • בדיקת מכשירים עם דירוג החשיפה הגבוה ביותר מתוך מלאי נקודות הקצה.

מהו Event Timeline?

ציר הזמן של אירוע ובמקרה הזה של אותם עדכונים מסייע בהבנה כיצד סיכון נמצא בנקודות הקצה בארגון באמצעות פגיעויות או ניצול חדשים. ניתן להציג פגיעויות שעשויות להשפיע על הסיכון במרחב הטכנולוגי של הארגון. לדוגמה, ניתן למצוא פגיעויות חדשות שהוכנסו, פגיעויות שהפכו לניתנות לניצול, ניצול שהתווסף לקיט ועוד.

היכולת של Event Timeline הוא יכולת אחת מתוך אפשרויות רבות בניהול פגיעויות מורחב של דפדנדר.

ציר הזמן של אירוע עם עדכונים מספר את הסיפור של אותו דירוג חשיפה עבור נקודות קצה כדי שנקבע את הגורם לשינויים הגדולים. אירועים יכולים להשפיע על נקודות הקצה או על הדירוג. לכן, כדאי לצמצם את החשיפה ע"י התייחסות למה שצריך לתקן בהתבסס על המלצות האבטחה המתועדפות.

הממשק הראשי של Event Timeline מציג עוד סיפור עם המון מידע שהם פערים ובעיות אבטחה שצריך לטפל בהם. אומנם פחות בהשוואה לחלקים אחרים מתוך ניהול הפגיעויות של דפדנדר, אך עדיין אנו יכולים לצמצם את כמויות המידע ולהבין איזה נתון ודירוג הוא ממש קריטי ומצריך טיפול מיידי, ואיזה נתון יכול להמתין.

Event timeline

בפילטר הפשוט של ניהול הפגיעויות אנו יכולים לבחור את סוג המידע שנרצה לראות ובמצב כזה אנו מורידים את כמויות המידע לחשיפות בודדות שבהם נצטרך לטפל. 

Event timeline

משם אפשר להמשיך אל האפשרויות ניתוח של Weakness ולהבין השפעות, דירוג נוסף, יכולות מיטיגציה, מעקב ועוד.אפשרויות שנתמקד בהם במאמר ניתוח פגיעויות וניצול מבשטח באמצעות ניהול פגיעויות בדפנדר.

היכולת של Event Timeline היא חלק מניהול כולל של פגיעויות בנקודות קצה בדפנדר ולכן מצריך שילוב עם האפשרויות האחרות שנמצאות בממשק בשביל הקטנת כמות הפגיעויות, הבנת השפעה וכן הלאה.

ניהול פגיעויות והמציאות בשטח הם נקודות שאנו צריכים לחבר אותם כי מה שאינו משפיע על הסביבה באופן ישיר חייב לקבל תעדוף נמוך. מאמר שנוגע בסוגיה של פגיעויות והמציאות בשטח.

מאמרים נוספים בנושאי Microsoft Defender באתר https://misconfig.io.

Tags:

השאר תגובה

error: Content is protected !!