Как снизить риски бизнеса, внедряя процесс управления уязвимостями

Created: 21 June 2014

Сотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена очередная статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Статья вышла в третьем номере журнала за 2014 год.
Ниже приводим дополненный, по сравнению с журнальным вариантом, текст статьи.

Как снизить риски бизнеса, внедряя процесс управления уязвимостями

«Тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях.
Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать.
Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении»
Сунь Цзы "Искусство Войны“, 6 век до н. э.

Для того чтобы понять, насколько нужна организации система управления уязвимостями, нужно в первую очередь понять от кого и от чего мы защищаемся. Это могут быть и внешние угрозы – хакеры, конкуренты, а могут и внутренние – недобросовестные сотрудники.

Управление рисками

Существует множество методик и стандартов, которые позволяют организации внедрить у себя процессы управления рисками, чтобы предотвратить негативное влияние инцидентов информационной безопасности. Одним из самых известных стандартов по управлению рисками является ISO 31000:2009 «Менеджмент рисков. Принципы и руководящие указания», который говорит об управлении всеми возможными рисками организации – операционными, финансовыми. Для управления ИТ-рисками чаще всего применяется стандарт ISO/IEC 27005:2011 (в Узбекистане целесообразнее применять стандарт O'z DSt ISO/IEC 27005:2013 «Методы обеспечения безопасности. Управление рисками информационной безопасности», который является модифицированной версией международного стандарта).

Начиная процесс управления рисками, нужно определить контекст, т.е. определить какие конкретно процессы, системы, нормативы и условия будут включены в процесс управления рисками. Следующий этап – идентификация рисков, что подразумевает определение организацией потенциальных инцидентов, которые могут причинить ущерб. Далее идут анализ рисков – определение возможных последствий от возникновения инцидентов, их масштабов, оценка рисков – определение конкретных последствий инцидентов, выраженных количественно (сумма убытков) или качественно (большие, малые потери). Далее идет собственно обработка рисков – принятие решения о том, как организация поступает с рисками, т.е. как она ими управляет.
Методов обработки рисков всего четыре:
1. Распределение (передача) риска. Пример такого метода – заключение договора со страховой компанией, которая в случае возникновения страхового случая покроет все возникшие убытки.
2. Сохранение (принятие) риска. В этом случае руководство предприятия осознает риски, но в виду отсутствия средств и персонала никак не может повлиять на величину риска, тогда риск просто принимается как данность.
3. Модификация (снижение) риска. Чаще всего к критическим системам и процессам, так или иначе, применяется снижение рисков, которое позволит снизить финансовые и репутационные затраты от возникновения инцидентов.
4. Предотвращение (избежание) риска. Организация отказывается от всех действий, которые могут сопровождаться риском. Проще говоря, волков бояться – в лес не ходить.
Как же представить себе, что такое риск? Существует множество определений, в том числе и с применением математических формул. Очень наглядным является графический вариант определения риска, который дает стандарт AS/NZS 4360:2004. В вольном переводе определение риска стандарт дает в таком виде – «Риск - это вероятность того, что произойдет некое событие, которое окажет влияние на поставленные цели» (в оригинале «1.3.13 Risk is the chance of something happening that will have an impact on objectives»).
Т.е. риск можно представить как объемную фигуру, которая может менять размер по трем измерениям. Слово «вероятность» из определения риска отвечает за измерение по оси уровня угрозы, слово «окажет» - по оси уровня уязвимости (насколько уязвимой окажется наша инфраструктура в случае возникновения инцидента), а слово «поставленные цели» - по оси влияния на бизнес.
Таким образом, уровень риска может изменяться только по этим трем измерениям. Уменьшение объема фигуры в этом случае означает уменьшение и риска. Объем фигуры может быть уменьшен за счет снижения уровня угроз, например, если бы полностью удалось исключить вероятность несанкционированного доступа и исключить деятельность хакеров, то риск был бы полностью исключен. Реально ли это? Напротив, уровень угроз с каждым годом только растет. Снижение риска может быть достигнуто и за счет снижения уровня уязвимости инфраструктуры к угрозам, например, применением антивирусного ПО для противодействия компьютерным вирусам. Чем больше применяется механизмов автоматизации и чем они сложнее, тем выше уровень уязвимости, как говорят в таких случаях – растет площадь атаки. Третьим способом уменьшить риск является снижение влияния на бизнес - если исключить полностью ИКТ из процесса производства, то оно не будет подвержено рискам. Тут тоже с каждым годом наблюдается только рост уровня проникновения ИКТ во все сферы жизни.

Меры обнаружения и предотвращения

Примерами мер обнаружения являются системы антивирусной защиты, системы управления событиями информационной безопасности (SIEM). Они фактически обнаруживают уже состоявшиеся инциденты и в лучшем случае позволяют минимизировать их последствия. Также меры обнаружения можно назвать реактивными, а предотвращения – проактивными. Давайте рассмотрим меры и их эффективность на двух примерах.
Пример 1. Если для того чтобы попасть из точки А в точку Б нам нужно пройти через стройку, то каким образом можно снизить риск получить травму на стройке, например от падения кирпича? Самый простой и эффективный способ – обойти её стороной и таким способом исключить угрозу, это как раз пример предотвращения риска. Но если вы работаете на стройке, этот способ для вас не применим. Тогда можно применить самый простой и известный способ снижения уровня уязвимости – надеть каску, очень доступный и достаточно эффективный способ проактивной защиты, т.к. все защитные меры предприняты до возникновения инцидента. Как снизить риск применением реактивной защиты? Нужно купить рюкзак, поместить туда компьютер со специальной программой, повесить на плечи видеокамеры, которые будут анализировать ситуацию вокруг, анализировать ваше местоположение, скорость движения. Тогда в случае, если будет обнаружен падающий кирпич и, по мнению системы, он будет представлять угрозу для вас, она выдаст сообщение с предупреждением, успеете ли вы среагировать – другой вопрос. Сколько будет стоить такая система и насколько она эффективна?
Пример 2. Если есть вероятность заражения какой-либо болезнью, то можно поступить двумя способами – проактивно, сделать прививку, и с высокой долей вероятности предотвратить заражение, или только в случае заражения (реактивно) применять какие-то лекарства.

Мировая практика и мнение экспертов

Следует учитывать, что процесс обеспечения информационной безопасности сам по себе убыточен, т.е. не приносит доход, а напротив, потребляет средства на приобретение технических средств, обучение персонала, оплату аудита.
Практика показывает, что почти всегда значительно практичнее применять в первую очередь проактивные меры. По мнению специалистов исследовательского центра Computer Crime Research Center «Самая эффективная мера, которую может принять организация для защиты от сетевых атак и вредоносного ПО, это установка патчей на уязвимых системах» (в оригинале «The single most important thing an organization can do to defend itself against network attacks and malware is to patch vulnerable systems.») Как видим, речь тут не идет даже про антивирусы, как самый известный элемент обеспечения безопасности, ведь те же компьютерные вирусы распространяются, в том числе, через уязвимости, которые не были своевременно устранены.
По мнению агентства Gartner, предприятия, которые осуществляют процесс управления уязвимостями, подвергаются успешным атакам на 90% реже, чем те, которые делают равные инвестиции только в системы обнаружения вторжения.
Специалисты IT-TEAM SERVICE, проводя экспертизы уровня обеспечения информационной безопасности, также используют средства обнаружения и управления уязвимостями и могут отметить, например, решение QualysGuard VM, как удобный инструмент для аудитора ИБ.

Управление уязвимостями на примере QualysGuard VM

QualysGuard Vulnerability Management автоматизирует на предприятии процесс сетевого аудита и управления уязвимостями, который включает в себя: обнаружение сетевых ресурсов, построение наглядной карты сети, назначение приоритетов для ресурсов, предоставление отчетов по оценке уязвимостей и отслеживание процесса их устранения в соответствии с теми рисками, которые они несут для бизнеса. С помощью этого инструмента менеджеры безопасности смогут провести аудит, повысить защищенность сети и обеспечить ее соответствие, как внутренним политикам безопасности, так и внешним нормативным требованиям. Поскольку решение основано на технологии SaaS («ПО как сервис») и предоставляется как услуга, то нет необходимости разворачивать и внедрять какую-либо дополнительную инфраструктуру и соответственно нести затраты на ее сопровождение.
Очень важным модулем системы является модуль управления политиками Policy Compliance, который позволяет создавать и контролировать собственные или предустановленные политики, например, наличие конкретных патчей и сервиспаков на компьютерах организации, наличие антивирусного ПО и т.д. Применение этого модуля особенно актуально для банков в связи с требованиями по соответствию стандарту PCI DSS. Следует отменить, что решения QualysGuard применяются как самими банками для проведения внутренних сканирований, так и аудиторами со статусом Qualified Security Assessor. В 2013 году система QualysGuard VM получила высшую оценку от Gartner в обзоре средств оценки уязвимостей.
IT-TEAM SERVICE, являясь единственным официальным партнером Qualys в Узбекистане, готово оказать содействие всем желающим в проведении полнофункционального пилотного тестирования системы QualysGuard.

При создании статьи были использованы следующие источники информации: