Site icon

ניהול פגיעויות עם ציר זמן Defender Vulnerability Management

גילוי, תעדוף ותיקון של חולשות ופגיעויות בנקודות קצה הוא חיוני לניהול תוכנית אבטחה בריאה ולהפחתת סיכון האבטחה בארגון.

ניהול איומים ופגיעויות, המהווה חלק מהיכולות של Defender for Endpoint, מגדיר מחדש כיצד צוותי אבטחה וצוותי IT מפחיתים את החשיפה הארגונית, מקשיחים את שטחי התקיפה של נקודות הקצה ומגבירים את החוסן הארגוני בנקודות קצה.

אחד המדדים המרכזיים שצוותי אבטחה עוקבים אחריהם הוא ציון, דירוג וחשיפה במרחב הטכנולוגי של נקודות קצה – הוא מסייע להבין את רמת ומידת החשיפה לאיומים כתוצאה מפגיעויות מול נקודות הקצה. המטרה במקרה הזה הוא דירוג או ציון נמוך, וככל שהציון נמוך יותר, כך הסיכון קטן יותר.

המאמר הינו חלק מסדרת מאמרים (ארוכים וקצרים) על Microsoft XDR המתבססים על כלי הדפדנר השונים. המאמר נוכחי מתמקד ביכולת הספציפית של Event Timeline מתוך Vulnerability Management.

מי אתה MDVM?

לפני שמדברים על Event Timeline כדאי להכיר את קליפת האגוז של Microsoft Defender Vulnerability Management עם מספר אפשרויות ויכולות.

ניהול פגיעויות של Microsoft Defender Vulnerability Management (או בקצרה MDVM) הוא נטול סוכנים לחלוטין ואוסף נתונים בהתבסס על חיישן מובנה של MDE המותקן בנקודות קצה שונות (Win/Linux/Mac). הנתונים מאוחסנים עד 180 יום בדפדנר ועוד 30 יום ב Advanced Hunting.

אפשר למנות יכולות רבות בניהול פגיעויות של Microsoft Defender, בין היתר את היכולות הבאות:

הממשק של Microsoft Defender Vulnerability Management הוא פשוט לניהול ומנגיש את הסיכונים, איומים ובעיות בנקודות קצה.

הדרך שבה ניהול פגיעויות בדפנדר פועל הוא בסיוע והפחתת מצב האבטחה ותיקון הסיכון על ידי ביצוע המלצות אבטחה ובדיקות בסמוך לזמן אמת של נקודות הקצה.

אתגרים פגיעויות וניהולם יכולים להיות בין היתר:

גילוי מתמשך

ניהול סיכונים עוסק בזיהוי פגיעויות ותצורה שגויה בסביבה והפחתת גורם התקיפה. ניהול פגיעויות בדפנדר מסייע בגילוי פגיעויות באמצעות חיישן מובנה וללא צורך בפריסת סוכנים נוספים. ניהול פגיעויות בדפנדר מבוסס על גילוי מתמשך עבור נקודת קצה, ולכן אוסף ושולח באופן רציף מדידות של נקודות הקצה לענן.

במהלך ההטמעה הראשונית, חיישן של Microsoft Defender אוסף באופן אוטומטי את נתוני הפגיעות והאבטחה מנקודות הקצה ומפרסם את הנתונים בממשק. בהתבסס על הגילוי המתמשך, השינויים נראים לעין מבלי להמתין לסריקות תקופתיות או ביצוע פעולות יזומות וידניות.

אילו נתונים גלויים ובאיזו תדירות?

ניהול פגיעויות בדפנדר מציג נקודות קצה שהיו בשימוש אקטיבי עד לפני 30 יום – פעולה זו יוצרת לעתים כפילויות כאשר נקודות קצה שמותקנות מחדש. באופן אידיאלי MDVM תומך בפילטרים נוספים עבור נקודות קצה לא פעילות.

דירוג בנקודות קצה הוא חלק מהבנה של הפגיעויות, השפעות וחשיפות. סוגי דירוג:

מהו דירוג החשיפה?

דירוג וציון משקף את החשיפה הכוללת של כל נקודות הקצה. הדירוג מחושב באופן רציף בהתבסס על כל הנתונים במופע של הסריקות האוטומטיות ופעולות ברקע של הסוכן בנקודות הקצה. ערך גבוה מצביע על כך שהמכונות פגיעות יותר לניצול, בעוד נמוך פירושו משטח פחות פגיע.

הסטטוסים הזמינים הם חשיפה נמוכה, בינונית וגבוהה:

מגמת דירוג החשיפה לאורך זמן נראית לעין, כך שניתן לעקוב אחר האופן שבו הדירוג משתנה. הודות. ציר הזמן לעדכונים מספק נראות רבה יותר לגבי הסיבה לכך שהציון עולה/יורד.

טיפים

בהתבסס על מציאות מהשטח משתף מספר עצות לתחילת עבודה בניהול פגיעויות בדפנדר עבור נקודת קצה:

מהו Event Timeline?

ציר הזמן של אירוע ובמקרה הזה של אותם עדכונים מסייע בהבנה כיצד סיכון נמצא בנקודות הקצה בארגון באמצעות פגיעויות או ניצול חדשים. ניתן להציג פגיעויות שעשויות להשפיע על הסיכון במרחב הטכנולוגי של הארגון. לדוגמה, ניתן למצוא פגיעויות חדשות שהוכנסו, פגיעויות שהפכו לניתנות לניצול, ניצול שהתווסף לקיט ועוד.

היכולת של Event Timeline הוא יכולת אחת מתוך אפשרויות רבות בניהול פגיעויות מורחב של דפדנדר.

ציר הזמן של אירוע עם עדכונים מספר את הסיפור של אותו דירוג חשיפה עבור נקודות קצה כדי שנקבע את הגורם לשינויים הגדולים. אירועים יכולים להשפיע על נקודות הקצה או על הדירוג. לכן, כדאי לצמצם את החשיפה ע"י התייחסות למה שצריך לתקן בהתבסס על המלצות האבטחה המתועדפות.

הממשק הראשי של Event Timeline מציג עוד סיפור עם המון מידע שהם פערים ובעיות אבטחה שצריך לטפל בהם. אומנם פחות בהשוואה לחלקים אחרים מתוך ניהול הפגיעויות של דפדנדר, אך עדיין אנו יכולים לצמצם את כמויות המידע ולהבין איזה נתון ודירוג הוא ממש קריטי ומצריך טיפול מיידי, ואיזה נתון יכול להמתין.

בפילטר הפשוט של ניהול הפגיעויות אנו יכולים לבחור את סוג המידע שנרצה לראות ובמצב כזה אנו מורידים את כמויות המידע לחשיפות בודדות שבהם נצטרך לטפל. 

משם אפשר להמשיך אל האפשרויות ניתוח של Weakness ולהבין השפעות, דירוג נוסף, יכולות מיטיגציה, מעקב ועוד.אפשרויות שנתמקד בהם במאמר ניתוח פגיעויות וניצול מבשטח באמצעות ניהול פגיעויות בדפנדר.

היכולת של Event Timeline היא חלק מניהול כולל של פגיעויות בנקודות קצה בדפנדר ולכן מצריך שילוב עם האפשרויות האחרות שנמצאות בממשק בשביל הקטנת כמות הפגיעויות, הבנת השפעה וכן הלאה.

ניהול פגיעויות והמציאות בשטח הם נקודות שאנו צריכים לחבר אותם כי מה שאינו משפיע על הסביבה באופן ישיר חייב לקבל תעדוף נמוך. מאמר שנוגע בסוגיה של פגיעויות והמציאות בשטח.

מאמרים נוספים בנושאי Microsoft Defender באתר https://misconfig.io.

Exit mobile version