La gestion proactive des vulnérabilités est essentielle pour maintenir un système logiciel sécurisé et résilient. Cette règle de dashboard mesure la posture de sécurité de votre organisation en suivant le pourcentage d'entités APM avec des vulnérabilités détectées, vous permettant d'identifier, de hiérarchiser et de corriger systématiquement les risques de sécurité avant qu'ils ne deviennent des incidents.
Pourquoi la gestion des vulnérabilités est importante
Atténuation des risques : la détection et la correction précoces des vulnérabilités empêchent les failles de sécurité, les pertes de données et les interruptions de service qui peuvent avoir un impact significatif sur votre entreprise.
Exigences de conformité : De nombreux cadres réglementaires exigent des pratiques systématiques de gestion des vulnérabilités, ce qui rend cette règle de dashboard essentielle pour la démonstration de la conformité.
Évitement des coûts : la gestion proactive des vulnérabilités est nettement moins coûteuse que la réponse à un incident de sécurité, à une violation ou à une violation de la conformité.
Confiance des clients : des pratiques de sécurité démontrables renforcent la confiance des clients et protègent la réputation de votre organisation sur un marché de plus en plus soucieux de la sécurité.
Sécurité de la chaîne d'approvisionnement : les applications modernes s'appuient sur de nombreuses bibliothèques et dépendances tierces, ce qui rend l'examen systématique des vulnérabilités essentiel pour comprendre l'ensemble de votre surface de risque.
Comment fonctionne cette règle
Cette règle évalue le pourcentage de votre entité APM qui a détecté des vulnérabilités à l'aide de New Relic Security. La mesure fournit des informations détaillées sur votre posture de sécurité globale et aide à prioriser les efforts de correction de sécurité.
Critères de réussite : des pourcentages plus faibles d'entités présentant des vulnérabilités indiquent une meilleure hygiène de sécurité et des processus de gestion des vulnérabilités plus efficaces. L’objectif est de minimiser le pourcentage d’entités vulnérables grâce à une détection et une correction systématiques.
Définition de la règle
Cette règle de dashboard mesure l’efficacité de la sécurité en évaluant la présence de vulnérabilités dans votre portefeuille d’applications.
Critères de mesure
Métrique évaluée : Pourcentage d'entités APM avec des vulnérabilités détectées Source de données : New Relic Security scrutation des vulnérabilités and Detection Cible de réussite : Minimiser le pourcentage d'entités avec des vulnérabilités non résolues Périmètre d'évaluation : Toutes les entités APM au sein de votre environnement monitoring
Comprendre la détection des vulnérabilités
Ce que New Relic Security identifie :
- Vulnérabilités connues dans application dépendance et bibliothèque
- Problèmes de sécurité dans les packages et frameworks tiers
- Correspondances de la base de données des vulnérabilités et expositions courantes (CVE)
- Fournir la chaîne risque de sécurité à partir de composants open source
Processus d’évaluation des vulnérabilités :
- Analyse continue des composants de l'application et des dépendances
- Identification en temps réel des vulnérabilités nouvellement découvertes
- Notation de la gravité et hiérarchisation des risques selon les normes de l'industrie (CVSS)
- Intégration avec les flux de renseignements sur les menaces pour des informations à jour sur les risques
L'approche du niveau de maîtrise
Culture de sécurité proactive : Au niveau 3, l’organisation passe de réponses de sécurité réactives à une gestion proactive des vulnérabilités intégrées aux workflows de développement.
Gestion systématique des risques : ce niveau met l’accent sur monitoring continue, la détection automatisée et la priorisation des efforts de correction de sécurité data-driven .
Alignement des risques commerciaux : les décisions de sécurité sont prises sur la base d’une évaluation de l’impact sur l’entreprise, en équilibrant les améliorations de sécurité avec l’efficacité opérationnelle et la vitesse de développement.
Capacité organisationnelle : Les organisations de niveau maîtrise ont établi des processus, des outils et des modèles de collaboration d'équipe qui permettent une gestion durable des vulnérabilités à grande échelle.
stratégies de gestion des vulnérabilités
Lorsque votre dashboard présente des entités vulnérables, ces stratégies vous aideront à établir des pratiques de sécurité complètes :
1. Établir des processus d’évaluation des vulnérabilités
Découverte et inventaire des vulnérabilités :
- Configurer une vérification complète des vulnérabilités dans toutes les entités APM
- Établissez des calendriers d'analyse réguliers qui correspondent à vos cycles de développement et de déploiement
- Créer un inventaire centralisé des vulnérabilités et un système de suivi
- Mettre en œuvre la découverte automatisée de nouveaux composants de dépendance et de composants tiers
Évaluation des risques et priorisation :
- Développer des critères de notation des vulnérabilités qui prennent en compte les scores CVSS, l'exploitabilité et l'impact sur l'entreprise
- Créer des matrices de priorité qui équilibrent le risque de sécurité avec la criticité de l'entreprise
- Établir des procédures d'escalade claires pour les vulnérabilités critiques et de haute gravité
- Mettre en œuvre des processus d'acceptation des risques pour les vulnérabilités de faible priorité qui ne peuvent pas être immédiatement corrigées
2. Créer un flux de travail de remédiation efficace
Collaboration inter-équipes :
- Mettre en place des programmes de champions de la sécurité au sein des équipes de développement
- Créer des canaux de communication clairs entre les équipes de sécurité, de développement et d'exploitation
- Mettre en œuvre des réunions régulières d'examen de la sécurité et des rapports sur l'état des vulnérabilités
- Développer des modèles de responsabilité partagée pour la remédiation des vulnérabilités
Planification et exécution de l'assainissement :
- Créer des procédures de remédiation standardisées pour différents types de vulnérabilités
- Établir des délais et des SLA pour la remédiation des vulnérabilités en fonction des niveaux de gravité
- Mettre en œuvre des procédures de test pour garantir que la correction n'introduit pas de nouveaux problèmes
- Élaborer des plans de retour en arrière pour les activités de correction qui causent des problèmes
Gestion des dépendances :
- Implémenter une analyse automatisée des dépendances dans le pipeline CI/CD
- Établir des politiques d'approbation de nouvelles dépendances et bibliothèques tierces
- Créer des procédures d'évaluation et de mise à jour des dépendances existantes
- Mettre en œuvre le suivi des nomenclatures logicielles (SBOM) pour une visibilité de la chaîne d'approvisionnement
3. Intégrer la sécurité dans les workflows de développement
Pratiques de sécurité décalées vers la gauche :
- Intégrer l'examen des vulnérabilités dans les environnements de développement et le plug-in IDE
- Implémentez des hooks de pré-validation qui vérifient les dépendances vulnérables connues
- Offrir une formation aux développeurs sur les pratiques de codage sécurisées et la sensibilisation aux vulnérabilités
- Créer des procédures de test de sécurité qui s'exécutent parallèlement aux tests fonctionnels
Intégration CI/CD pipeline :
- Ajouter des portes de vérification des vulnérabilités au pipeline de déploiement
- Implémenter le blocage automatisé des déploiements présentant des vulnérabilités critiques
- Créer des processus d'exemption pour un déploiement urgent avec une acceptation des risques documentée
- Établir un système notification automatisé pour les vulnérabilités nouvellement découvertes
Mesures de sécurité et reporting :
- Implémenter un dashboard qui suit les progrès de la remédiation des vulnérabilités
- Créer des rapports de sécurité réguliers pour les parties prenantes exécutives et techniques
- Établir des indicateurs pour mesurer l'amélioration de la sécurité au fil du temps
- Utiliser les données de vulnérabilité pour éclairer les décisions d’investissement en matière de sécurité et d’allocation des ressources
4. Pratiques avancées de gestion des vulnérabilités
Intégration des renseignements sur les menaces :
- Intégrer les flux de renseignements sur les menaces externes aux données de vulnérabilité
- Mettre en œuvre une évaluation contextuelle des risques basée sur le paysage actuel des menaces
- Créer un système d'alerte pour les vulnérabilités activement exploitées
- Établir des procédures d'intervention d'urgence en cas de vulnérabilités zero-day
Automatisation et orchestration :
- Mettre en œuvre une remédiation automatisée des vulnérabilités pour des correctifs à faible risque et bien compris
- Créer des tests et des validations automatisés pour les correctifs de sécurité
- Établir des procédures de restauration automatisées pour les tentatives de correction infructueuses
- Utilisez des outils d'orchestration pour coordonner des mises à jour de sécurité complexes et multiservices
Amélioration continue :
- Effectuer régulièrement des évaluations de sécurité et des tests de pénétration
- Mettre en œuvre des processus de leçons apprises pour les incidents de sécurité et les efforts de correction
- Établir des métriques pour mesurer l’efficacité des processus de gestion des vulnérabilités
- Créer une boucle de rétroaction entre gestion des vulnérabilités et pratiques de développement
Guide de mise en œuvre
Mise en place d'une gestion globale des vulnérabilités
- Configurer New Relic Security avec des politiques d'analyse et une couverture appropriées sur toutes les entités APM
- Établir une base de référence pour mesurer le paysage actuel des vulnérabilités et la capacité de remédiation
- Créer un workflow de gestion des vulnérabilités qui s'intègre aux processus de développement et d'exploitation existants
- Mettre en œuvre un système de suivi et de reporting pour monitorer les progrès et communiquer l'état d'avancement aux parties prenantes
Renforcer les capacités organisationnelles
Structure et rôles de l'équipe :
- Définir des rôles et des responsabilités clairs en matière de gestion des vulnérabilités au sein des équipes
- Établir des réseaux de champions de la sécurité au sein des équipes de développement
- Créer des procédures d'escalade pour les vulnérabilités critiques et les incidents de sécurité
- Mettre en œuvre des programmes de formation interfonctionnels pour la sensibilisation à la sécurité
Normalisation des processus :
- Développer des procédures standardisées pour l’évaluation des vulnérabilités, la priorisation et la remédiation
- Créer des modèles et des listes de contrôle pour les activités courantes de remédiation des vulnérabilités
- Établir des procédures de gestion des changements pour les mises à jour liées à la sécurité
- Mettre en œuvre des normes de documentation pour les décisions de sécurité et l'acceptation des risques
Intégration d'outils :
- Intégrer les outils de gestion des vulnérabilités aux workflows de développement existants
- Établir une source factuelle unique pour les données de vulnérabilité et l'état de remédiation
- Créer un système automatisé de reporting et notification
- Mettre en œuvre l'intégration entre les outils de sécurité et le système de gestion de projet
Mesurer le succès et l'amélioration continue
Indicateurs de performances clés:
- Il est temps de détecter les vulnérabilités nouvellement découvertes
- Temps moyen de correction pour différents niveaux de gravité des vulnérabilités
- Pourcentage d'entités présentant des vulnérabilités non résolues au fil du temps
- Nombre d'incidents de sécurité liés à des vulnérabilités non corrigées
Évaluation et amélioration régulières :
- Effectuer des examens trimestriels de l'efficacité de la gestion des vulnérabilités
- Mettre en œuvre la collecte de commentaires auprès des équipes de développement sur les processus de sécurité
- Mettre à jour régulièrement les procédures en fonction des nouvelles menaces et des leçons apprises
- Établir un benchmark par rapport aux normes et bonnes pratiques de l’industrie
Considérations importantes
Priorisation basée sur les risques : toutes les vulnérabilités ne nécessitent pas une correction immédiate. Développer un cadre d’évaluation des risques qui prend en compte la gravité des vulnérabilités, la criticité des actifs, l’exploitabilité et l’impact sur l’entreprise pour prendre des décisions de priorisation éclairées.
Gestion des faux positifs : les scanners de vulnérabilités peuvent générer des faux positifs. Établissez des processus de validation des vulnérabilités et de gestion de la précision du scanner pour éviter de gaspiller des ressources sur des risques inexistants.
Équilibre de la continuité des activités : les améliorations de sécurité doivent être équilibrées avec les opérations commerciales et la vitesse de développement. Établissez des politiques claires lorsque les préoccupations de sécurité l’emportent sur les considérations opérationnelles et vice versa.
Complexité de la gestion des dépendances : les applications modernes ont des arbres de dépendances complexes. Tenez compte de l’impact total des mises à jour des dépendances, y compris les changements potentiellement importants et les problèmes de compatibilité.
Exigences de conformité : les différents secteurs ont des exigences différentes en matière de gestion des vulnérabilités. Assurez-vous que vos processus respectent les normes réglementaires et de conformité applicables à votre organisation.
Défis et solutions communs
Contraintes de ressources : résoudre ce problème en mettant en œuvre une hiérarchisation basée sur les risques, l’automatisation des tâches de routine et l’intégration avec le flux de travail existant pour maximiser l’efficacité.
Coordination inter-équipes : résoudre le problème grâce à une définition claire des rôles, une communication régulière, des outils et un dashboard partagés et la mise en place de champions de la sécurité au sein des équipes de développement.
Fatigue due aux alertes : Gérez en mettant en œuvre un filtrage intelligent, des algorithmes de priorisation et une résolution automatisée des problèmes pour les vulnérabilités à faible risque.
Technique de dette : Adressez-vous en intégrant des améliorations de sécurité dans les cycles de maintenance réguliers et des initiatives de réduction de la technique de dette.
Prochaines étapes
Après avoir mis en œuvre cette règle de dashboard :
- Compléter le frameworkd'excellence en ingénierie en garantissant que les règles d'utilisation du processeur, d'utilisation de la mémoire et de suivi des changements sont mises en œuvre
- Explorez les pratiques de sécurité complémentaires grâce à l'optimisation du suivi des erreurs pour identifier les erreurs liées à la sécurité
- Mettez en œuvre monitoringde sécurité avancée en explorant des fonctionnalités supplémentaires de New Relic Security pour une détection complète des menaces
- Considérez le frameworkde maturité de l'observabilitéplus large pour une amélioration holistique dans tous les domaines de l'observabilité