Saltar a contenido

Sistema de remediación de Ostorlab

Esta guía completa está diseñada para llevarle a través de los pasos esenciales, permitiéndole navegar y aprovechar de manera eficiente las múltiples capacidades del sistema de remediación de Ostorlab.

Remediación

Ostorlab proporciona capacidades de remediación para solucionar las vulnerabilidades identificadas de manera urgente, diligente y eficiente. Estas capacidades se gestionan mediante un sistema de tickets que agrega y asocia todas las vulnerabilidades con un ticket.

El sistema de remediación puede utilizarse como un sistema independiente o integrarse perfectamente con sistemas de tickets de terceros como Jira.

Remediation System Overview

El sistema de remediación ofrece las siguientes capacidades:

  • Gestionar automáticamente el ciclo de vida de una vulnerabilidad para garantizar que se verifiquen las correcciones y permitir el seguimiento de su progreso.
  • Proporcionar capacidades de gestión de tickets para establecer prioridades, asignar un propietario (Owner) y actualizar estados.
  • Colaborar con los miembros del equipo dentro de la misma organización o invitando usuarios a su organización.
  • Establecer políticas (Policies) para garantizar que los parches se apliquen de manera oportuna y detectar correcciones omitidas para el seguimiento y las escalaciones.
  • Recopilar métricas sobre la salud de su programa de seguridad y permitir una decisión estratégica respaldada por datos.

Ciclo de vida del ticket

Ostorlab automatiza el ciclo de vida de los tickets vinculados a las vulnerabilidades detectadas. El ciclo de vida del ticket proporciona las siguientes capacidades y garantías:

  • Se crea automáticamente un ticket en el caso de un problema de seguridad recientemente detectado. Los detalles del ticket contienen información sobre la vulnerabilidad.

Ticket Creation

  • La plataforma agregará futuras apariciones de la misma vulnerabilidad en el mismo ticket. La agregación se realiza por los detalles del ticket; por ejemplo, todas las inyecciones de SQL tendrán un único ticket o un atributo interno llamado ADN (DNA) que identifica de forma única cada vulnerabilidad. El ADN se calcula en función del tipo de vulnerabilidad para garantizar que se identifique de forma única.

Ticket Aggregation

  • Los tickets se pueden marcar como solucionados (Fixed).

Ticket Marked as Fixed

Para los tickets corregidos, la plataforma marcará automáticamente el ticket como verificado (Verified) si las vulnerabilidades están realmente ausentes de los análisis (Scan) futuros.

Ticket Verification

O reabrirá el mismo ticket.

Ticket Reopened

  • Los tickets se pueden marcar como una excepción o como un falso positivo (False Positive). Los tickets con excepción y falsos positivos se mantienen tal cual cuando se encuentran nuevas ocurrencias de la misma vulnerabilidad.

Ticket Exception

Los tickets creados manualmente también se benefician de las mismas capacidades de gestión de tickets si se asigna una vulnerabilidad al ticket.

Gestión de tickets

Un ticket tiene múltiples configuraciones para reflejar la urgencia, la prioridad, la propiedad o la facilidad de búsqueda y filtrado.

Ticket Settings

Todas las ediciones de un ticket se registran en la sección de actividad (Activity) para ver quién hizo qué y cuándo.

Ticket Activity

Urgencia y prioridad

El ticket tiene una configuración de prioridad que va desde P0 a P3. P0 es el más urgente y P3 es el menos urgente.

Ticket Priority

Propiedad

Un ticket creado manualmente tendrá un informador (Reporter). Además, puede asignar un propietario (Owner) que normalmente se asegura de que se solucionen las vulnerabilidades.

Puede asignar un ticket a un usuario existente que ya forme parte de la organización o a una dirección de correo electrónico externa. Si la dirección de correo electrónico no está en la plataforma, recibirá una invitación para unirse a la organización.

Ticket Ownership

Solo un ADMIN puede aprobar la invitación de la organización. Para hacerlo, puede ir a la sección Organización / Invitación.

Una vez que el usuario crea una cuenta y se aprueba su invitación, se le asignarán automáticamente los tickets.

Organisation Invitation

Etiquetas

Los tickets pueden tener varias etiquetas (Tags) asignadas. Una etiqueta tiene un nombre y un valor. La separación de los nombres de las etiquetas y los valores permite agregar un significado adicional al ticket. Por ejemplo, agregar una etiqueta env con valores como prod, qa y test, o agregar una etiqueta workstream con valores como featureXYZ.

Ticket Tags

Búsqueda

Las secciones de remediación ofrecen múltiples capacidades de búsqueda. La búsqueda se realiza especificando una palabra clave compatible asignada al valor de búsqueda.

Ticket Search

Las palabras clave compatibles son:

  • buscar por prioridad (Priority), los valores son de P0 a P3.

Search by Priority

  • buscar por estado de ticket, los valores son OPEN, REOPEN, FIXED, FIXED VERIFIED, EXCEPTION y FALSE POSITIVE.

Search by Status

  • buscar por dirección de correo electrónico asignada o dirección de correo electrónico del informador.

Search by Email

  • buscar por atajo booleano para encontrar tickets asignados a usted o reportados por usted, los valores son true y false.

Search by Boolean

  • buscar por nombre de etiqueta y valor de etiqueta.

Search by Tag

  • buscar por fechas de creación, modificación, inicio y finalización.

Search by Date

La remediación ofrece colaboración en toda la organización. Todo dentro de una organización es accesible y visible para todos los miembros de la misma organización. Esto incluye el acceso a los análisis, el acceso a los datos de vulnerabilidades, el acceso a los datos de los tickets, etc.

La colaboración en los tickets se puede realizar a través de la sección de comentarios; los comentarios se pueden actualizar o eliminar. Queda registrado un rastro de la acción en la sección de actividad.

Ticket Comments

Si no puede compartir algunos datos entre varios equipos, puede crear organizaciones dedicadas para limitar todas las interacciones dentro de la misma organización. Esto se aplica generalmente cuando una aplicación es construida por un tercero externo mientras que otras aplicaciones se construyen internamente.

Create Organisation

Para hacerlo, navegue hasta su panel de control (Dashboard) y haga clic en la configuración (Settings) para expandir, luego elija acceso (Access).

Dashboard Settings

Haga clic en agregar organización y complete la información de la organización.

Add Organisation

Para agregar un usuario, haga clic en los tres puntos y elija la opción agregar usuario.

Add User

Y complete el correo electrónico del usuario.

User Email

Además, uno de los cinco pilares de la seguridad autónoma son las Políticas (Policies).

Hay varios tipos de políticas, tales como:

  • Política de parches (Patching policy) para definir cuándo se corrigen las vulnerabilidades de diferente gravedad.

  • Política de frescura (Freshness policy) para definir qué tan obsoleto puede ser el software o hardware que se ejecuta en producción.

  • Política de aplicación (Enforcement policy) para definir bajo qué condiciones se puede poner en cuarentena o desconectar un sistema peligroso.

Estos son solo ejemplos de políticas de remediación. En esta etapa, Ostorlab solo admite la configuración y el cumplimiento de la política de parches.

Patching Policy

La política de parches define los SLO (Service Level Objectives) para manejar las vulnerabilidades confirmadas y las recomendaciones de endurecimiento (Hardening). Un ejemplo sería solucionar un problema de gravedad alta (High) en un plazo de cinco días.

La política se aplica mediante el sistema de tickets que compara el tiempo de creación del ticket con la gravedad más alta de la vulnerabilidad en relación con la política definida.

Policy Enforcement

Si bien el sistema de tickets ayuda a administrar las rutinas diarias y garantiza que las cosas se solucionen y no se descarten, es insuficiente para tener una visión integral de cómo se está desempeñando un programa de seguridad.

Por este motivo, el sistema de tickets se complementa con un pilar de métricas y paneles de control, el quinto pilar de los programas de seguridad autónomos.

El módulo de métricas recopila varias métricas que se basan en el tiempo, como el recuento de problemas de gravedad alta, el recuento de problemas solucionados y métricas globales, como la tasa de reapertura, el % de activos seguros, etc. Estas métricas están accesibles en el panel de control de la organización.

Metrics Dashboard

Para obtener un conocimiento más profundo de todas las métricas relacionadas con los tickets, consulte la documentación disponible en el siguiente enlace.

Documentation Link