GH GambleHub

Сканкунии осебпазирӣ ва часбҳо

Хулосаи мухтасар

Идоракунии осебпазирӣ як давраи муттасил аст: муайянкунӣ → арзёбии хатар → рафъи (ячейка/муҳоҷират/конфиг) → санҷиш → ҳисобот. Технологияҳои сканкунӣ (SCA/SAST/DAST/IAST/Cloud/Container) сигналҳо медиҳанд ва контекст (таъсир, имтиёзҳо, маълумот, EPSS, истисмор) афзалиятро муайян мекунад. Ҳадаф коҳиш додани хатари воқеӣ бидуни таваққуфи тиҷорат бо истифодаи автоматизатсия, ҳисобҳои канарӣ ва SLO-ҳои тоза мебошад.

Сканкунии таксономия

SCA (Таҳлили таркиби нармафзор): таҳлили вобастагӣ/литсензия; Кашфи CVE дар китобхонаҳо, SBOM.
Таҳлили SAST-статикӣ рамзи модарӣ пеш аз ҷамъшавӣ.
DAST: қуттии сиёҳии динамикӣ ва хидматрасонӣ.
IAST: сенсорҳои дохили-барнома (ҳангоми санҷишҳо) - камтар FP, контексти амиқтар.
Сканкунии контейнер/ОС: тасвирҳо (тасвири асосӣ, бастаҳо), соҳибҳо (ядро/бастаҳо/конфигуратсияҳо), нишондиҳандаҳои ИДМ.
Cloud/Infra (CSPM/KSPM): cloud/K8s номутобиқатӣ (IAM, шабакаҳо, рамзгузорӣ, сатилҳои ҷамъиятӣ).
Асрори скан: ихроҷи калид/токен дар анборҳо ва тасвирҳо.
Сканкунии бинарӣ/артифактӣ: санҷиши артефактҳои ҷамъоваришуда (имзоҳо, осебҳо).

Модели хатар ва афзалият

Хол = CVSS v3. x (base) × EPSS (эҳтимолияти истисмор) × контекст (таъсир, маълумот, имтиёзҳо, чораҳои ҷубронӣ).

Омилҳои контекст:
  • Таъсир дар Интернет/дарун, мавҷудияти WAF/MTLS/изолятсия.
  • Маълумот: PII/молия/асрори.
  • Имтиёзҳои раванд/гиреҳ, потенсиали ҳаракати паҳлуӣ.
  • Мавҷудияти истисмори ҷамъиятӣ/ҳамлаҳои оммавӣ, талаботи мувофиқат.

Намунаи вектори CVSS: 'CVSS: 3. 1/AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H '→ танқид карда мешавад; агар хидмат оммавӣ бошад ва бидуни чораҳои ҷубронӣ - P1.

Ҳудудҳои SLO (мисол):
  • P1 (интиқодӣ, амалиётӣ): ислоҳ ≤ 48 соат.
  • P2 (баланд): ислоҳ ≤ 7 рӯз.
  • P3 (миёна): ислоҳ ≤ 30 рӯз.
  • P4 (кам/иттилоот): ба нақша гирифта шудааст/бо ақиб.

Ҳаёти идоракунии осебпазирӣ

1. Инвентаризатсияи дороиҳо: хидматҳо, тасвирҳо, кластерҳо, ОС, бастаҳо, вобастагӣ, версияҳо.
2. Сканкунии нақшавӣ ва чорабиниҳо: супоришҳо, сохтан, партовҳо, тирезаҳои ҳаррӯза/ҳафтаина.
3. Сегона: такроркунӣ, нормализатсия (CVE → Чипта), харитасозӣ ба соҳибон.
4. Афзалият аз рӯи контекст: CVSS/EPSS + таъсир/маълумот.
5. Барқарорсозӣ: навсозии ячейка/вобастагӣ/конфигуратсияи сахтгирӣ/ямоқи виртуалӣ (WAF).
6. Санҷиш: наҷотдиҳӣ, озмоишҳо, канарӣ.
7. Ҳисобот: ченакҳои пӯшида, синну соли осебпазирӣ, риояи SLO.
8. Дарсҳо: ислоҳ кардани қолабҳо (тасвири асосӣ, ҷадвали Ҳелм), сиёсат барои оянда.

Интегратсия ба CI/CD

Дар қадами PR: SAST + SCA + сканери махфӣ; "танаффус" аз рӯи талаботи P1/P2 ё ариза.
Дар марҳилаи сохтан: сканеркунии тасвир, насли SBOM (CyclONE/SPDX), имзои артефакт (cosign).
Дар ҷойгиркунӣ: Марҳилаи сиёсати қабул - тасвирҳоро бо осебҳои "интиқодӣ/баланд" ва имзошуда/SBOM манъ мекунад.
Марҳилаи баъдӣ: DAST/IAST бар зидди саҳна ва қисман истеҳсол (профилҳои бехатар).

Мисол: Таъмир/Вобастагӣ (порча)

json
{
"extends": ["config:recommended"],
"vulnerabilityAlerts": { "enabled": true },
"packageRules": [
{ "matchUpdateTypes": ["minor","patch"], "automerge": true },
{ "matchManagers": ["dockerfile"], "enabled": true }
]
}

Сиёсати қабул (Кубернетес, OPA/Gatekeeper - соддакардашуда)

rego package policy.vuln

deny[msg] {
input.image.vuln.critical > 0 msg:= sprintf("Image %s has critical vulns", [input.image.name])
}

deny[msg] {
input.image.sbom == false msg:= sprintf("Image %s without SBOM", [input.image.name])
}

Идоракунии ячейка (воситаҳои асосӣ, контейнерҳо, K8s)

ОС (Linux/Windows)

Тирезаи ячейка: тирезаҳои муқаррарӣ + тирезаҳои фавқулоддаи фавқулодда барои P1.
Стратегия: Аввал канарӣ 5-10% гиреҳҳо, баъд мавҷҳо.
Ҷойгиркунии худкор: Ansible/WSUS/Intune/SSM; санҷиши маҳдудият ва роликҳо.
Ядро ​ ​ Live Patching (ба қадри имкон) барои кам кардани вақти корӣ.
Хидматҳоро аз нав оғоз кунед: дренажи/кордонҳои идорашаванда барои гиреҳҳои K8s, хомӯшии зебо.

Зарфҳо

Равиши тағйирнопазир: на "такмилдиҳии мувофиқ" дар вақти корӣ; тасвирро бо пойгоҳи навсозишуда барқарор кунед.
Тасвирҳои асосӣ: мунтазам нав кардани тасвирҳои тиллоӣ (Alpine/Debian/Distoless), нусхаҳои ислоҳ (ҳазм).
Маҷмӯаҳои бисёрқабата: сатҳи онро кам кунед (асбобҳоро тоза кунед).
Сканкунии пеш аз ҷойгиркунӣ - Блоки тасвирҳо бо CVE-ҳои интиқодӣ.

Кубернетес/Хадамоти Mesh

Ҳавопаймои назоратӣ: Варақаҳои саривақтии ночиз, пӯшидани CVE k8s/etcd/containerd.
Вақти кории гиреҳи ОС/контейнер: навсозиҳои ба нақша гирифташуда, мутобиқати версия.
Mesh/Ingress: Версияҳои Envoy/Istio/NGINX муҳиманд (аксар вақт CVE дар parsers/NTTR3).
Сиёсати қабул: манъи ': охирин', талабот ба имзо, маҳдудиятҳои осебпазирӣ.

Часбҳои виртуалӣ ва чораҳои ҷубронӣ

Вақте ки ямоқи зуд имконнопазир аст:
  • WAF/WAAP: имзо/модели мусбӣ барои нуқтаи мушаххас.
  • Парчамҳои хусусият: Функсияи осебпазирро ғайрифаъол кунед.
  • Рӯйхати иҷозати шабакаи ACL/MTLS/IP: дастрасиро ба хидмати осебпазир маҳдуд мекунад.
  • Танзими сахтгирӣ: паст кардани ҳуқуқҳо, қуттии қуттӣ, танҳо барои хондан, хомӯш кардани модулҳои хатарнок.
  • Кам кардани нишонаҳо/калидҳои TTL, гардиши асрҳо.

Қабули хатар

Истисно бо чипта дода мешавад: асосноккунӣ, чораҳои ҷубронӣ, SLA барои бартараф кардан, санаи таҷдиди назар.
Ҳисобот ҳамчун "қабули муваққатии хатар" ва баррасии ҳармоҳа.

Мушоҳида ва ченакҳо

Техникӣ:
  • Вақти миёна барои часпидан (MTTP) po P1/P2/P3.
  • Ҳиссаи дороиҳое, ки бо сканинг фаро гирифта шудаанд (%).
  • Синну соли осебпазирии кушода (p50/p90), сӯзондани ақиб.
  • Фоизи тасвирҳо бо SBOM ва имзо.
Бизнес/SLO:
  • Анҷоми SLO-ҳо бо бастани санаҳо (масалан, 95% P1 ≥ ≤ 48 соат)
  • Таъсир ба вақти корӣ (шумораи ҳодисаҳои ячейка).
  • Кашфи такрории ҳамон CVE (ислоҳ кардани сифат дар қолибҳо).

Китобҳои бозӣ (ихтисоршуда)

P1: RCE интиқодӣ дар хидмати давлатӣ

1. Фаъол кардани қоидаҳои WAF/wirth.
2. Бастани дастрасӣ ба манбаъҳои беиҷозат (агар лозим бошад).
3. Барқарорсозии тасвири таъҷилӣ/ямоқи ОС, § канарейкаи мавҷ.
4. Санҷиши такрории DAST/telemetry, мониторинги хатогӣ.
5. Ҳодисаи баъдӣ: ислоҳро дар тасвири асосӣ/диаграммаи Helm ислоҳ кунед, санҷишро ба CI илова кунед.

Ихроҷи махфӣ (иҷозат):

1. Гардиши фаврии асрори/калидҳо, бекор кардани нишонаҳо.

2. Ҷустуҷӯи нишонаҳои истифода, маҳдуд кардани нуқтаҳои ниҳоӣ.

3. Сканҳои репо/тасвирҳо барои асрори, татбиқи сканери пешакӣ.

Намунаҳои артефактҳо

1) Ҳисоботи SQL дар бораи осебҳои гарм

sql
SELECT service, cve, cvss, epss, exposed, has_exploit, created_at,
PRIORITY(exposed, has_exploit, cvss, epss) AS prio
FROM vuln_findings
WHERE status = 'open' AND (cvss >= 8.0 OR has_exploit = true)
ORDER BY prio DESC, created_at ASC;

2) Сиёсати қабул (Киверно, блоки осебпазирии шадид)

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata:
name: block-critical-vulns spec:
validationFailureAction: Enforce rules:
- name: image-must-have-no-critical match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image contains critical vulnerabilities"
pattern:
metadata:
annotations:
vuln.scanner/critical: "0"

3) Тавлид ва имзои SBOM (порчаи Makefile)

make sbom:
cyclonedx create --output sbom.json sign:
cosign sign --key cosign.key $(IMAGE_DIGEST)

Хусусияти IGaming/fintech

Минтақаҳои дорои хавфи баланд: дарвозаҳои пардохт, баргардонидани пардохт, қаллобӣ, коркарди PII/PAN - P1/P2 часбҳои афзалиятнок.
Тирезаҳои хидматрасонӣ: ҳамоҳангсозӣ бо мусобиқаҳо/таблиғот, кэшҳои пеш аз гарм, канарейкаҳо дар минтақаҳои камдаромад.
Танзимкунанда (PCI DSS/GDPR): ҷадвали ислоҳи осебҳо, далелҳо (скриншотҳо/ҳисоботҳо), сегментатсияи минтақаи CHD, рамзгузорӣ.
Интегратсияи шарик: талаб кардани SDK/мизоҷони санҷидашуда, SCA ҳатмӣ ва HMAC/MTLS дар webhooks.

Хатогиҳои умумӣ

"Ҳама чизро скан кунед - ҳеҷ чизро ислоҳ накунед": соҳибон ва SLO нестанд.
Танҳо ба CVSS бе контекст тамаркуз кунед (таъсир, EPSS, маълумот).
Ба ҷои барқарор кардани тасвир, дар вақти кории контейнер часпонед.
Набудани канарейкаҳо/нақшаҳои бозгашт.
Нодида гирифтани хатогиҳои cloud/K8s (аксар вақт нисбат ба CVE интиқодӣ).
Не SBOM/имзо - занҷири таъминот.

Харитаи роҳ

1. Инвентаризатсияи дороиҳо ва соҳибон; феҳристи ягонаи хидматҳо/тасвирҳо.
2. Анбори сканер: SCA/SAST/DAST/Container/Cloud + махфӣ-скан; ҳамгироӣ ба CI/CD.
3. SLO ва сиёсати афзалиятнок: CVSS + EPSS + контекст; қолабҳои чипта.
4. Қабул/Policy-as-Code: манъи осебпазирии интиқодӣ, талаботи SBOM/имзоҳо.
5. Равандҳои ячейка: тирезаҳо, канарейкаҳо, рӯйпӯшҳо; автопилотҳо барои версияҳои хурд/ячейка.
6. Ҳисоботдиҳӣ ва ченакҳо: MTTP, фарогирӣ, синну сол; баррасии ҳарҳафтаинаи хатар.
7. Машқҳои мунтазам: моделиронии CVE-и интиқодӣ, санҷиши китобҳои бозӣ ва бозгашт.

Натиҷа

Идоракунии осебпазирии баркамол ин равандест, на як маротиба "тозакунӣ": муайянкунии автоматӣ, афзалияти контекст, часпакҳои ҳамвор тавассути канарейка/бозгашт, сиёсат-код дар даромадгоҳи прод ва ченакҳои шаффоф. Бо таъмин намудани қуфлҳо дар тасвирҳо ва намунаҳои пойгоҳ, шумо хатари такрорро кам мекунед ва сатҳи ҳамларо таҳти назорати устувор нигоҳ медоред.

Contact

Тамос гиред

Барои саволҳо ё дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram ё WhatsApp — ихтиёрӣ.

Номи шумо ихтиёрӣ
Email ихтиёрӣ
Мавзӯъ ихтиёрӣ
Паём ихтиёрӣ
Telegram ихтиёрӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиёрӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.