ใครที่ยังไม่ได้อ่านตอนแรก สามารถอ่านได้ที่
Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 1
4. การ Maintenance
Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 1
4. การ Maintenance
หลังจากที่เราทำการ implement เสร็จแล้ว ไม่ใช่ว่าจะจบกันเท่านี้ มันแค่เริ่มต้น It's just the beginning. ก็ต้องมีขั้นตอนในการที่ดูแล และ up-to-date ให้อุปกรณ์ในระบบไม่มีช่องโหว่ต่อไป รวมถึงปรับปรุง template ในการ hardening เป็นประจำด้วย จะกล่าวถึงต่อไปนะ
โดยปกติที่ผมเคยทำมา จะมีการกำหนดให้คนนึงที่อาจจะเป็น Security Consult ของแต่ละ platform แต่ละแผนก ในการทำ subscribe ไปยัง vendor ต่างๆ ตามอุปกรณ์ที่ดูแลอยู่เพื่อรับข่าวสาร และได้รับ notification เวลามี security update เพื่อจะนำมาวิเคราะห์ดูว่าระบบที่เราดูแลอยู่นั้นมีช่องโหว่ใหม่ๆ ที่เกี่ยวกับอุปกรณ์ของเราเกิดขึ้นหรือไม่ ถ้ามีก็ต้องนำมาเข้าสู่กระบวนการดังที่กล่าวไปข้างต้น
มีคนแล้วก็ต้องมี policy องค์กรก็ต้องมีการกำหนด policy ขึ้นมาเพื่อใช้ควบคุมระยะเวลาที่องค์กรยอมรับความเสี่ยงต่อช่องโหว่ในระดับต่างๆได้ ยกตัวอย่างให้เห็นภาพ ที่ผู้เขียนเคยทำมา เช่น ถ้ามีช่องโหว่เกิดขึ้นใหม่ในระดับ
- Critical ต้องแก้ไขใน 3 วัน
- High ต้องแก้ไขใน 30 วัน
- Medium ต้องแก้ไขใน 90 วัน
- Low หรืออื่นๆ ต้องแก้ไขใน 365 วัน
เป็นต้น
ส่วนเรื่องของการทำเอกสารหรือ report เพื่อแจ้งผู้บริหารก็ควรจะมีการทำเป็นประจำ เช่นทุกวันตอนเช้า รวมถึงต้องมีคนที่คอย monitor แบบ real time ได้ก็สามารถลดความเสี่ยงที่จะเกิดขึ้นกับระบบขององค์กรไปได้
ส่วนเรื่องของการทำเอกสารหรือ report เพื่อแจ้งผู้บริหารก็ควรจะมีการทำเป็นประจำ เช่นทุกวันตอนเช้า รวมถึงต้องมีคนที่คอย monitor แบบ real time ได้ก็สามารถลดความเสี่ยงที่จะเกิดขึ้นกับระบบขององค์กรไปได้
ทีนี้จะขอพูดถึงรายละเอียดปลีกย่อยของการทำ Hardening เพิ่มจากด้านบน
Hardening ผู้เขียนจะแยกออกมาเป็นอีกเรื่อง ซึ่งเกี่ยวกับการแก้ไขค่า parameter หรือ configuration เท่านั้น ไม่ต้องทำการ install เหมือนการลง Patch (หลายองค์กรจะถือว่าเป็น process เดียวกันกับ Patch ไม่ต้อง งง นะครับ)
ในการทำ hardening ของอุปกรณ์ network ก็จะเกี่ยวกับค่า configuration, parameter ต่างๆ ที่ apply ลงบนตัว box เช่น เรื่องของ password, session timeout, traffice management (ยกตัวอย่าง email security gateway จะทำ virus scan ไฟล์แนบขนาดเท่าไหร่) ฯลฯ ไว้จะเอาตัวอย่างมาให้ดูในโพสต์อื่นครับ
ส่วนของ Server ก็จะมีเรื่องการ local policy การแชร์ resource, session timeout การปิด protocol, service ต่างๆ การปกปิดข้อมูลที่เป็นความลับ หรือกำหนด authorizatin เป็นต้น
โดยการทำ hardening ก็อาจจะทำตาม Patch Management process คือเป็นรอบระยะเวลา ถ้าไม่มีช่องโหว่ที่สำคัญก็อาจจะกำหนดให้ทำปีละ 1 ครั้ง ก็ดูเหมาะสม ทีนี้สงสัยไหมว่าแล้วจะ harden โดยใช้มาตรฐานอะไร เอาอะไรมาเป็นมาตรฐาน
คำตอบก็คือ Technical Specification หรือ Hardening Guide ซึ่้งเราสามารถหาได้จากใน internet และสามารถนำมาปรับแต่งประยุกต์ให้เข้ากับองค์กรที่ดูแลอยู่ได้ แต่การที่จะสร้าง Hardening template ที่เหมาะสมผู้ที่ทำจะต้องมีความรู้ความเข้าใจใน parameter ของแต่ละอุปกรณ์เป็นอย่างดี เพราะการแก้ไขค่า parameter บางตัวอาจจะทำให้อุปกรณ์ไม่สามารถทำงานตามปกติได้ ก็ต้องคุยกันหลายฝ่ายทั้งคนทำเองก็ดี ลูกค้าที่เกี่ยวข้อง ก็สำคัญ
โดยส่วนตัวผู้เขียนได้ develop template เองมาหลายอุปกรณ์ เช่น Cisco, HP, Huawei, Palo alto, Fortigate, Stonegate, Mcafee, Proventia, Ironport และอื่นๆ อีกพอสมควรครับ
เอกสารที่น่าสนใจจาก SANS เกี่ยวกับ เรื่อง Patch Managment ลองอ่านดูเพิ่มเติมนะครับ
https://www.sans.org/reading-room/whitepapers/bestprac/practical-methodology-implementing-patch-management-process-1206
เพิ่มเติมจากผู้เขียน
ในส่วนการทำ baseline หรือ inventory list ถ้ามีอุปกรณ์เยอะมากๆ เหมือนที่ผมเคยเจอของลูกค้าแห่งนึง ซึ่งมีเป็นหมื่น นึกภาพต้องมานั่งทำ manual ด้วยมือ มันก็ดูเหนื่อยแถมอาจจะผิดพลาดได้อีก ก็อาจจะหา Tools มาช่วยในส่วนนี้ ซึ่งที่เคยเจอลูกค้าซื้อมาก็เป็นของ HP นะครับ มันจะ Scan ทั้งระบบ network แล้วเก็บรายละเอียดทั้งหมดที่เรากำหนดมาใส่ใน database ข้อดีคือ รวดเร็ว ถูกต้อง และไม่เหนื่อย แถมดูแลให้ข้อมูล update ง่ายด้วย เพราะ tools จะเป็นตัวทำให้ทั้งหมด ^^ (แต่ตอนนั้นผมก็ทำด้วย excel นะ เพราะยังไม่มี tools)
(ผู้เขียนรับให้คำปรึกษาทั้งการวางแผนและปฏิบัติสำหรับเรื่อง Patch และ Hardening ติดต่อเข้ามาได้ครับ)
สามารถอ่านตอนแรกได้ที่ link ด้านล่างนี้ครับ
Patch Management และ Hardening คืออะไร/ ยังไง พร้อมวิธีการ ตอนที่ 1
---------------------------------------------------------------------------------------------------------------------------
Tag : patch management hardening process what is how to patch howto harden ทำอย่างไร โปรเซส คือ อะไร
---------------------------------------------------------------------------------------------------------------
Comments
Post a Comment