В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
В дочерних структурах и на удаленных небольших площадках крупных распределенных организаций не всегда учитываются все актуальные угрозы, нижние уровни инфраструктуры на практике недостаточно защищены и вполне могут сыграть для гипотетического злоумышленника роль распахнутой двери в инфраструктуру всей организации. Один из первых шагов для взлома организации со стороны злоумышленника – сканирование целевой системы, для того чтобы найти уязвимые места. Если же на периметре он ничего не находит, то начинает изучать другие точки входа через удаленные компоненты, расположенные на площадках филиалов, дочерних или даже подрядных организаций. После этого злоумышленник эксплуатирует уязвимости. В основном это уязвимости устаревших версий ПО, на которые уже вышли патчи с исправлениями. Но на нижних уровнях не занимаются поиском уязвимостей и регулярным обновлением, поэтому для киберпреступников открываются возможности для реализации своих целей. Причиной этому могут быть как отсутствие достаточных бюджетов, так и нехватка квалифицированных специалистов. Для построения центров реагирования на нижних уровнях необходимо закупать дорогостоящие средства защиты, предназначенные для обнаружения инцидентов и реагирования на них. К тому же эффективный анализ требует найма опытных специалистов, которые в большом дефиците (и тем более в регионах).
Кроме того, "зоопарк" решений на разных уровнях усложняет процесс управления и контроля. Когда на разных уровнях применяются средства различных производителей, возможность эффектного централизованного мониторинга усложняется. Рассмотрим, например, решения класса SIEM: если в дочерней организации используется система одного производителя, а в управляющей (головной) организации – другого, то специалисты головного центра реагирования не смогут оперативно помогать реагировать на инциденты своей подчиненной организации из-за технологических различий используемых решений. Поэтому нельзя сбрасывать со счетов выстраивание единой стандартизации применения тех или иных ИБ-решений в крупных корпорациях, холдингах и ОГВ с распределенной ведомственной инфраструктурой.
Не менее важная проблема – несоответствие нормам законодательства в сфере ИБ. Без применения единой концепции или корпоративных стандартов (единого согласованного подхода при реализации системы ИБ в многоуровневых информационных системах) на нижних уровнях возникает риск невыполнения принятых норм. Головному центру в этом случае необходимо иметь средства контроля, чтобы отслеживать состояние защищенности на любом уровне распределенной инфраструктуры.
Начинать нужно с реализации основных процессов по ИБ на уровне головной организации, затем тиражировать наработанные практики и методики на дочерние структуры. И в первую очередь следует разобраться в составе компонентов информационных систем и в сетевой архитектуре (т.е. в том, как те или иные компоненты взаимодействуют друг с другом). Это послужит началом для организации процессов инвентаризации программных и аппаратных ресурсов (Asset Management) и управления уязвимостями (Vulnerability Management). Это позволит закрыть основные лазейки для хакеров, а именно уязвимые места инфраструктуры с учетом ее распределенности (ограничить сетевую доступность с нижних уровней).
Лучшие современные практики ИБ (NIST, ISO, нормативная база по ГосСОПКА, требования к мерам защиты от ФСТЭК России и т.п.) также рекомендуют включить в перечень основных ИБ-процессов следующие:
Таким образом, можно выстроить стратегию развития ИБ в организации и планомерно достигать определенного уровня зрелости. Сроки ее реализации зависят от количества предприятий, входящих в холдинг, и от распределенности их инфраструктуры. А вот говорить о том, что процессы ИБ выстроены эффективно, можно только на основании конкретных результатов. К измеримым параметрам могут относиться количество закрытых уязвимостей и угроз, количество выявленных инцидентов, сроки реагирования на разные типовые атаки и пр.
Но в тех случаях, когда на нижнем уровне иерархии информационная безопасность "недозрела", специалистам, работающим на верхних уровнях инфраструктуры, необходимо иметь возможность собирать информацию для мониторинга. Для организации централизованного мониторинга можно использовать различные инструменты, в частности специализированные агенты и сканеры, которые способны собрать события ИБ, проанализировать сетевой трафик, проанализировать файлы на наличие вредоносного ПО, а вердикты отправить в центр для дальнейшего анализа и принятия действий по реагированию. Таким образом будет обеспечиваться автоматический сбор и передача необходимых для выявления атак данных снизу вверх.
Рассмотрим более подробно, какие задачи предлагается решать на разных уровнях иерархической структуры системы кибербезопасности в тех случаях, когда процессы "внизу" строить некому и некогда (см. рис.).
Практика показывает, что начать с выстраивания ИБ-процессов на всех уровнях не получится. Причины могут варьироваться от экономических до ресурсных. Поэтому эффективнее использовать унифицированный подход к кибербезопасности при иерархической структуре, основанный на использовании на нижних структурных уровнях сенсоров. Это позволит обеспечить мониторинг ИБ, не упираясь в глобальную организацию ИБ-процессов в каждой филиальной структуре. Этапность работ при этом следующая:
На верхнем уровне располагается главный центр кибербезопасности, который консолидирует и визуализирует информацию, полученную из центров мониторинга кибербезопасности, мониторит состояние ИБ во всей организации, взаимодействует с государственными органами (правоохранительные органы, НКЦКИ и т.п.), отвечает за разработку внутренних регламентов ИБ и политик безопасности. Соответственно распределяются и задачи, которые решаются с помощью применяемых в главном центре кибербезопасности инструментов:
На среднем уровне располагаются центры мониторинга, которые могут в силу своих компетенций решать задачи мониторинга состояния ИБ на уровне дочерних обществ организации и "внучек", обнаружения атак, оперативного реагирования и расследования, контроля функционирования средств защиты и сенсоров кибербезопасности. В задачи применяемых в центре мониторинга инструментов входит:
На третьем (нижнем) уровне располагаются подразделения с инфраструктурами для мониторинга. Основной задачей информационной безопасности на этом уровне является обеспечение бесперебойного функционирования сенсоров кибербезопасности (сканеров, агентов, анализаторов и т.п.).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2019