• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Инвентаризация 2.0 Как хорошо известные приёмы прошлого помогут обеспечить информационную безопасность предприятия.

Created: 02 December 2021

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием» в журнале №12 за декабрь 2021 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Наводить порядок надо тогда, когда еще нет смуты.
Лао-Цзы
 
    Инвентаризация на предприятии ‑ традиционная процедура. Для обеспечения информационной безопасности применяются практически те же меры, с поправкой на используемые технологии. Четыре совета как организовать ИТ-инвентаризацию и заблаговременно выявить проблемные места и обнаружить потенциальных нарушителей.
Чем начинается и заканчивается каждый день в армии, детском лагере? Правильно - поверкой. То есть детей, солдат буквально считают по головам, чтобы быть уверенными что все на месте. Если кого-то не хватает - тут же начинаются его поиски. Ну и само собой, на незнакомца, появившегося в строю обратят внимание.
    Такая простая мера как регулярная и автоматизированная инвентаризация оборудования и программного обеспечения являются наиболее эффективными мерами обеспечения информационной безопасности на современном предприятии. Они настолько эффективны, что уже много лет входят в основу так называемой «кибергигиены» предприятия. Эту концепцию предлагает Центр интернет безопасности (Center for Internet Security, Inc. (CIS)). Знакомый всем антивирус там тоже есть, но только на 10-м месте по эффективности.
    Действительно   как можно защищаться, не зная что́ именно есть у предприятия? Частично работа по инвентаризации на любом предприятии уже ведётся   в бухгалтерии есть список материальных и нематериальных активов. Но его явно не достаточно. Например, на компьютерную технику применяется норма амортизации, при которой его остаточная стоимость становится нулевой через пять лет. Тем самым как бы отмечается ресурс или «срок жизни» компьютерной техники с точки зрения бухгалтерии. Но для компьютеров существует ещё несколько важных свойств   срок технической поддержки оборудования (мы писали об этом в номере 7 журнала за 2021 г.), владелец оборудования (отдел, подразделение, конкретное материально ответственное лицо), лицо ответственное за эксплуатацию оборудования.
    Совет 1. Составьте детальный перечень всего эксплуатируемого на предприятии оборудования. Включить в него не только компьютеры и серверы, но и сетевое оборудование   роутеры, модемы, хабы, принтеры, если они подключаются к сети предприятия, сетевые видеокамеры. Для каждого ресурса нужно определить владельца и ответственного за эксплуатацию. В этот же список включается всё оборудование, эксплуатируемое вне предприятия, но имеющие связь с ним   ноутбуки сотрудников, компьютеры «удалёнщиков». В отличии от материальной/бухгалтерской ведомости в такой перечень логично внести и оборудование, не принадлежащее предприятию   личные ноутбуки, оборудование провайдера, поставщика услуг и т.д. Ведь они фактически эксплуатируются в сети предприятия, являются его частью. Ниже приведён пример списка физических активов. Разумеется, он приблизительный. Например, можно добавить в него ещё и фотографию устройства - это упростит инвентаризацию.
Описание оборудования Серийный номер, идентификатор Инвентарный номер (если есть) Владелец актива, материально ответственный Лицо, ответственное за эксплуатацию Место эксплуатации (офис, удалённо) Срок техническо поддержки
             

    Уже в самом начале составления подобного списка, скорее всего, придётся столкнуться с тем, что количество устройств в разы (а то и десятки раз) больше чем ожидалось. Этот феномен частично объясняется развитием интернета вещей (англ. internet of things, IoT). Т.е. сейчас в сети предприятия существует множество устройств, которые подключены к интернету, но находятся «в свободном плавании», их активность не контролируется человеком. Это кроме упомянутых выше принтеров ещё и хранилища данных, телевизоры, кондиционеры, ip-телефоны. Сейчас практически все сложные устройства имеют подключения к интернету, если не напрямую кабелем, то через Wi-Fi. При этом они годами могут работать без обновления и часто являются входной точкой, «люком» для проведения атак в киберпространстве. Именно поэтому важно иметь список всех одобренных устройств. Во-первых, таким образом можно будет определить «чужое» устройство и нейтрализовать его. Во-вторых, в случае проведения атак через одобренное устройство можно будет найти его владельца и администратора для проведения расследования.

    Совет 2. Составить перечень всего используемого программного обеспечения. Как и в случае с оборудование частично требуемые данные уже есть в бухгалтерии. Там они проходят как «нематериальные активы». Вообще же в этот перечень нужно включить все применяемые на предприятии операционные системы, прикладное ПО   пакеты офисных программ, графические редакторы, системы управления базами данных. В списке нужно отметить правовой/лицензионный статус ПО   приобретались ли неисключительные права или оформлялась подписка? В первом случае чаще всего купленным ПО можно пользоваться дальше неограниченно долго. В случае подписки такое право чётко ограничено по времени. Часть ПО может быть свободным или с открытой лицензией (GNU GPL, Creative Commons).
    Нужно понимать, что этот документ для внутреннего использования и составлять его нужно максимально правдиво. Т.е. прямо указать   часть используемых программ не имеют лицензий и формально используются нелегально. Понятно, что сложно самим себе признаться в нарушении авторских прав, поэтому на первых порах можно использовать эвфемизм «используется в демонстрационном режиме». Имея такой объективный список, руководитель предприятия сможет оценить масштаб проблемы и спланировать закупку лицензионного ПО. Многие руководители искренне полагают, что приобретая оборудование, всё требуемое ПО уже идёт в комплекте. Ведь покупая мобильный телефон или планшет, мы не платим за встроенное в него ПО. В случае с компьютерной техникой покупается и лицензируется отдельно операционная система, прикладные программы, базы данных.

    Случай из практики: Официальные пользователи Windows 7 были заблаговременно оповещены, что расширенная поддержка этой системы прекращается с 14 января 2020 года. Абстрактное ответственное предприятие провело инвентаризацию ПО и знало, что 30% парка компьютерной техники использует именно эту операционную систему. Поэтому заблаговременно была спланирована миграция на более новую систему Windows 10. Для нескольких случаев, когда обновление не возможно (устаревшее оборудование или требуется сохранить именно ту же самую систему) предусмотрено приобретение отдельной подписки на обновление снятой с поддержки системы до 2023 года.
А те предприятия, которые не занимаются инвентаризацией ПО по-прежнему используют снятую с поддержки операционную систему, но не получают обновлений и могут стать целью для кибератак. Именно так разразилась всемирно известная эпидемия WannaCry в 2017 году. К моменту начала эпидемии уже два месяца существовало официальное исправление (заплатка, патч, противоядие) от производителя ПО. Те предприятия, которые своевременно его установили оказались полностью защищены. Те, у кого процедура инвентаризации не была налажена в большинстве случаев потеряли все данные.

Для справки: в ходе аудита ИБ на предприятиях в Узбекистане часто обнаруживаются используемые в работе системы под управлением Windows XP, поддержка которой и вовсе прекращена в 2014 году. А руководство предприятия не знает об этом и связанных с этим рисках.

    Совет 3. Проработайте и постоянно совершенствуйте административную процедуру инвентаризации и действий в случае обнаружения неавторизованных устройств и программ. В нашей практике часто встречается такая ситуация   в ходе аудита быстро обнаруживаются неизвестные устройства, владельца которых невозможно установить. Неизвестное устройство отключается и забирается в службу безопасности. А спустя сутки-двое выясняется, что это был адаптер для телеконференции руководителя, который был установлен интернет-провайдером пару лет назад и периодически используется. После двух-трёх таких ложных срабатываний у администратора могут опуститься руки. Поэтому важно чтобы была процедура поиска владельцев таких неизвестных устройств. Ну и пройдя всю процедуру полностью один раз, дальше неизвестные устройства будут выявляться всё реже, но вероятность встретить действительно опасное/вредное   выше. Считается, что инвентаризацию всех устройств по списку нужно проводить не реже раза в полгода, а поиск новых и неавторизованных устройств не реже раза в неделю. Также нужно заранее определить, что делать если на компьютере пользователя будет обнаружено несанкционированное ПО - игра, система для онлайн-торговли, VPN-клиент для обхода блокировок. Если начать проверку без такой прописанной процедуры это тут же приведёт к конфликту между пользователями и службой безопасности. 
    Совет 4. Способствовать применению средств автоматизации в проведении инвентаризации оборудования и ПО. Физически обойти и проверить по списку, что все компьютеры на местах раз в полгода ещё возможно. Но регулярный поиск нового, несанкционированного ПО на компьютерах пользователей вручную практически неосуществим. Так же как и поиск новых устройств, подключенных к сети. Сеть даже среднего предприятия состоит из сотен точек (сетевых портов) и когда и куда именно может подключиться злоумышленник предсказать и обнаружить почти невозможно.
    Поэтому инвентаризация ПО и оборудования уже давно автоматизирована. Фактически это специальная программа, которая по составленному нами списку «обходит» всю сеть несколько раз в день и проверяет, что всё на местах. Если что-то исчезло или наоборот появилось то, чего нет в списке   тут же уведомляется администратор.
    Ещё одна грань проблемы   развитие технологий виртуализации. Сейчас на одном физическом сервере может быть одновременно запущены несколько операционных систем. Т.е. один физической компьютер в сети предприятия выглядит как несколько самостоятельных ПК. Обнаружить запуск такого виртуального компьютера возможно уже только при помощи специальных средств, а не визуально.
Вывод - применение средств автоматизации при инвентаризации просто необходимо для любого современного предприятия.
 
Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости