• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Информационная безопасность 2.0 - непрерывный аудит и управление

Created: 05 April 2016

Журнал ICTNEWS №1 (123) за 2016 г.Управляющим директором Qualys по региону ВЕКЦА Павлом Сотниковым (CISSP) и сотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS.Статья вышла в журнале №1 (123) за 2016 г.

Информационная безопасность 2.0 - непрерывный аудит и управление

Злоумышленники, хакеры, зачастую, находятся в более выгодном положении, чем защищающаяся сторона.
Действительно:
1) У нас ограничено количество сотрудников ИБ и их рабочее время, а количество хакеров и их время ничем не ограничено.
2) Мотивация рядовых сотрудников ИБ состоит в получении премии, а у хакера значительные финансовые или репутационные интересы.
3) Нам нужно закрыть все имеющиеся уязвимости, хакеру достаточно найти одну и воспользоваться ей.
4) Чем сложнее система – тем сложнее её защищать, при этом с каждым годом системы всё усложняются, становятся более распределенными.
5) Нам нужно следовать требованиям нормативов и регуляторов, хакер никому не подчиняется.
В качестве источника сведений о серьезности угроз мы будем использовать отчет 2015 Data Breach Investigations Report (далее DBIR) от компании Verizon – крупного телеком-оператора. При составлении этого отчета были проанализированы 80000 инцидентов, более 2000 взломов.
Инцидент – факт нарушения конфиденциальности, целостности или доступности информации (точные определения по ИБ можно найти в международном стандарте ISO 27000).
Взлом – инцидент, который привел к реальным финансовому, репутационному или другому ущербу.
 
ВОтчет Verizon Data Breach Investigations Report за 2015 год отчете DBIR приводятся данные инцидентов и взломов по секторам – видно, что атакуют чаще всего госсектор, затем – финансовый сектор, куда злоумышленники идут за деньгами.
Количество взломов по сравнению с 2014 годом увеличилось за год на 55%. Такая прогрессирующая статистика актуальна и для нашего региона – из-за кризиса и общей нестабильности остаются без работы значительное количество грамотных специалистов, которые могут подпасть под влияние киберкриминала.
Другими неутешительными выводами из DBIR являются:
• В 60% случаев хакеры смогли скомпрометировать сеть предприятия за минуты, т.е. злоумышленники используют большой арсенал средств и методик и это почти сразу приводит к взлому.
• 99,9% уязвимостей, которые привели к взлому, к тому времени были известны уже более года, т.е. адекватных мер по защите от известных угроз даже за год предпринято не было. А ведь хакеры используют и ещё более старые уязвимости, т.е. с годами инструментарий хакеров только расширяется.
• Хакеры оставались незамеченными в сети жертвы более 220 дней. Представьте, что у себя в квартире вы периодически находите чужие вещи, зубную щетку, обнаруживаете, что кто-то спал на вашей кровати, а спустя полгода у вас начинают пропадать ценности. Так и подозрительные или непонятные данные о сетевой активности, разрозненные записи в журналах событий не сразу дают понять, что именно происходит, что сеть предприятия давно скомпрометирована. Даже зная точно, что происходит утечка данных, сложно обнаружить и перекрыть этот канал.
Краткий вывод – если вам кажется, что с информационной безопасностью у вас всё в полном порядке, очень вероятно, что вы многого не знаете.
Часто атака проводится по следующему сценарию – злоумышленники изучают профиль организации, выясняют личность сотрудников, чем они интересуются, чтобы прислать им сообщения, способные их заинтересовать и заразить их компьютеры. Бывает, что специально подбрасывают флешки перед входом в организацию, в расчете, что нашедший её сотрудник после прихода на рабочее место вставит её в компьютер и запустит специально подготовленную программу. Бывает, что заказывается специальные вирусы или эксплоиты для конкретной организации. Всё для достижения результата – компрометации пользовательских компьютеров или систем, чтобы затем или перехватить данные из систем предприятия, организовать ботнет и т.д. Атаки могут организовываться постоянно и одновременно разными злоумышленниками. В таких условиях важна высокая скорость реакции на инциденты.

20 критических контролей
20 критических контролРаспределение инцидентов то секторам экономики и размеру организациией безопасности (известные специалистам по ИБ как 20 контролей SANS, теперь правильнее называть 20 контролей CIS) это полезнейший документ, который описывает что именно нужно сделать, чтобы защитить себя. Контроли это меры, которые нужно предпринять и постоянно поддерживать их работу. Первая редакция этого документа была опубликована в 2009 году и разработана научными институтами, спецслужбами. Документ постоянно дорабатывается, 15 октября 2015 года вышла уже его 6-я версия.
Документ и рекомендации базируются на 5 принципах:
Атакующие информируют защищающихся – все меры защиты определяются исходя из реальных атак, имевших место, а не из гипотетических угроз.
Приоритизация – первыми описываются меры, имеющие больший полезный эффект, способны эффективнее снизить риски наиболее опасных угроз.
Метрики – создание понятных и измеримых показателей эффективности применяемых мер ИБ.
Непрерывный мониторинг – контроль того, что принятые меры применяются постоянно, а не от случая к случаю.
Автоматизация – обеспечение выполнения мер ИБ в течение всего времени работы организации, даже когда администратора ИБ нет на рабочем месте.

Итак, самые первые контроли описывают самые эффективные меры защиту и не меняются на протяжении последних лет. При этом, местами, взгляд документа не совпадает со сложившийся практикой. Так, например, чуть ли не единственная для многих предприятий мера безопасности - антивирусная защита, в новой версии документа не входит даже в первую пятерку. А ведь логика в таком распределении есть. Антивирусная защита, являясь реактивной мерой, т.е. защищающей по факту, часто остается последним рубежом защиты – без актуальных обновлений и против новых угроз антивирус может и не помочь.
Проведение тестов на проникновение и вовсе замыкает список. Тесты на проникновение без обеспечения всех других мер безопасности – деньги на ветер, тест всегда будет проходить успешно.
В последней версии документа помимо снижения эффективности антивирусной защиты, отмечается рост важности (перемещение с 11 на 5 место) контроля административных привилегий – без наличия повышенных полномочий успешный взлом затруднителен.
Так как же документ определяет самые эффективные меры ИБ?
1. CSC1: Инвентаризация разрешенных и несанкционированно подключенных устройств. Если злоумышленник может незаметно подключиться к сети организации, то для него открывается много возможностей для атаки - перехват данных, атаки на ресурсы организации.
2. CSC2: Инвентаризация разрешенного (одобренного) программного обеспечения. Зная где и какое ПО установлено легче управлять обновлением, отсутствие ненужных для работы организации программ (соц.сети, обмен сообщениями)– снижает риск атаки через них.
3. CSC3: Безопасные настройки для ПО, серверов, рабочих станций и мобильных устройств. Отключение неиспользуемых протоколов и учетных записей, смена паролей «по-умолчанию».
4. CSC4: Непрерывный поиск и устранение уязвимостей. Своевременно обновленные операционные системы и ПО уже сами по себе являются эффективным рубежом защиты, даже если на них не установлен антивирус.
5. CSC5: Контроль административных привилегий. Постоянный контроль действия с повышенными привилегиями дисциплинирует штатных администраторов, сильно усложняет жизнь злоумышленникам.

Важная особенность идеи критических контролей это их полная интеграция, пересечение с другими методиками и нормативами – ISO 27002, PCI DSS и т.д. Все эти рекомендации встречаются и в других стандартах, критические контроли расставляют приоритеты, становится ясно – что делать в первую очередь. Также, отталкиваясь от описания контролей можно выбрать конкретное техническое средство, реализующее то или иное требование, ведь в высокоуровневых стандартах (например ISO) требования описываются очень общо.
Общая идея 20 критических контролей в том, что нужно отойти от разового реагирования на инциденты, исправления последствий и подготовки отчета и стремиться к постоянному, непрерывному, измеряемому процессу управления безопасностью. Администраторы не заваливаются массой уведомлений о малозначимых событиях, а уведомляются о конкретных проблемах, способах их решения, все их действия затем перепроверяются, всё это происходит автоматически.

Как облачные технологии помогают решать проблемы безопасности?
Многие специалисты по ИБ скептически относятся к облачным решениям. Попробуем взвесить "за" и "против" таких решений на примере системы управления уязвимостями Qualys:
1. Все данные хранятся в облаке, на сервере, расположенном в Швейцарии, датацентр Qualys сертифицирован по стандарту ISO 27001. Много ли у нас организаций, которые сертифицировали свой датацентр? Уверены ли пользователи локальных сканеров ИБ, что отчеты и базы данных систем управления уязвимостями защищены также хорошо, как сервера в облаке?
2. Информация об уязвимостях нужна для того, чтобы эти уязвимости устранять. Проводить сканирования, но не исправлять уязвимости - нелогично. Даже если злоумышленник каким-то образом получит доступ к информации об уязвимостях которые были исправлены - пользы от такой информации будет немного.
3. Владелец облачного сервиса сам не заинтересован в утечках данных - на кону его репутация, поэтому он сделает всё, чтобы данные пользователя защитить. При локальной установке все задачи по защите данных ложатся на пользователя.
4. В случае облачного решения все операционные расходы по поддержанию инфраструктуры минимизированы. При локальной установке появляются расходы на необходимое серверное оборудование, его администрирование, возможно понадобится докупать лицензии на базу данных, появляются расходы на электроэнергию.
5. Самым слабым местом облачных решений является, пожалуй, зависимость от связи - без интернета такие системы не работают. Но, система управления уязвимостями всё-таки не критичная бизнес-система, и несколько часов без неё организация проживет спокойно.

Решением, которое прекрасно подходит для реализации первых пяти важнейших контролей является Qualys. Qualys это публичное облако, все данные хранятся в зашифрованном виде. Для проверок периметра сети извне не нужно вообще ничего кроме браузера – вся инфраструктура развернута в облаке. Для проверки сети изнутри достаточно установить виртуальный сканер или мобильные агенты, которые устанавливаются непосредственно на исследуемые компьютеры.
Если организация опасается хранить данные об уязвимостях в облаке, за рубежом, то Qualys предлагает создать своё локальное облако, на котором будет развернуто всё необходимое для работы системы. Самой системе достаточно будет лишь периодически получить обновления и сведения о вновь обнаруженных уязвимостях, т.е. в организации будет свой частный аналог публичного сервиса Qualys.
Инструментарий Qualys включает систему управления уязвимостями, систему инвентаризации сетевых активов, контроль соответствия политикам (т.н. комплаенс), сканирование web-приложений и многое другое.
Уже сейчас и совершенно бесплатно можно пользоваться сервисами Qualys - сервисом AssetView для инвентаризации активов и создавать карту сети. Также доступны бесплатные сервисы проверки актуальности версии браузера и плагинов к нему, проверка SSL-сертификатов и многие другие полезные инструменты от Qualys.
Также можно протестировать полнофункциональные версии промышленных сервисов Qualys – обнаружение уязвимостей и защиту web-приложений. Т.е. посмотреть на свои системы глазами хакера и увидеть свои слабые стороны, ведь сканирование и поиск уязвимостей это почти обязательный этап атаки. Qualys показывает администратору не только полную информацию об уязвимости, но и конкретные патчи (заплатки), которые нужно установить для её устранения.
После того как система обеспечения безопасности настроена, полезным будет сервис непрерывного мониторинга изменений (Continuous Monitoring) – сервис сразу уведомит об обнаружении уязвимости, изменении сетевых настроек, появлении нового web-приложения, открытии сетевого порта и т.д. на контролируемом компьютере.
Возвращаясь к 20 критическим контролям, можно отметить, что Qualys предлагает решение по большинству из них. Да, Qualys не закрывает все контроли полностью, но существенно упрощает жизнь администратору ИБ - вместо десятка продуктов можно пользоваться единой консолью управления Qualys.

Резюме:
Безопасность это один из первых приоритетов любого бизнеса.
20 критических контролей   прекрасная подсказа по структурирования технической части обеспечения ИБ.
Максимальная автоматизация процессов ИБ   требование времени.

При создании статьи были использованы следующие источники информации:
1. Verizon 2015 Data Breach Investigations Report
2. CIS Controls for Effective Cyber Defense V 6.0
3. Verizon 2014 Data Breach Investigations Report
4. Verizon 2013 Data Breach Investigations Report

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости