ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map     

Динамическое управление состоянием безопасности

№2, февраль 2013 / Защита информации. INSIDE

Павел Волков,
начальник отдела управления рисками Компания ARinteg
(ООО «Антивирусные решения»)

Одним из ключевых элементов современного подхода к обеспечению информационной безопасности являются понятия оценки и управления рисками. На сегодняшний день существует довольно много различных стандартов и «лучших практик», посвященных рисковой методологии (рис. 1). Вне всякого сомнения, в свое время переход от жестких требований к более гибкому подходу на основе рисков был революцией, и, на мой взгляд, именно рисковый подход сделал возможной защиту таких изменчивых и сложных систем как корпоративные ERP-системы.

Однако мир не стоит на месте, и кроме вполне ожидаемого появления новых угроз, сценариев их реализации и увеличения сложности защищаемых систем изменяется и другой важный параметр – максимально допустимая длительность цикла оценки рисков. Этот параметр предельно сократился. Еще недавно вполне допустимым представлялся 3-месячный цикл оценки рисков, однако теперь решения, принимаемые на основе результатов такой оценки, становятся неприемлемыми. Причина этого очень проста: управление рисками становится как инструментом обоснования затрат на ИБ, так и инструментом принятия оперативных решений.

Классический запрос в службу информационной безопасности «Прошу предоставить сетевой доступ из точки „А“ в точку „Б“», ранее решаемый на основе корпоративной политики ИБ, регламентов сетевого доступа или аналогичных документов, сейчас требует четкого и взвешенного ответа: на каких условиях данный доступ может быть предоставлен. Просто сказать «нет» уже не получается. В таких условиях цена конкретного решения становится очень высокой.

Первой ласточкой смены парадигм был сравнительно новый американский стандарт NIST SP 800-137 «Information Security Continuous Mo - nitoring (ISCM) for Federal Information Systems and Organizations». Именно в нем впервые формулируется настоятельная необходимость в системах, способных осуществлять оценку рисков ИБ в режиме, близком к реальному времени.

Кроме скорости расчета рисков требуется обеспечить достаточный уровень детализации проводимого анализа. Ведь высокоуровневые рассуждения о необходимости «сегрегации сетей» никаким образом не помогают в обоснованном ответе о последствиях предоставления сетевого доступа и условиях, когда эти последствия будут приемлемыми для организации.

Говоря иными словами, требуемая на современном этапе распространения ИТ-технология оценки рисков должна:

Системы, реализующие требуемый функционал, образуют новый класс – SPM (Security Posture Management) или системы управления состоянием безопасности.

Основной чертой таких систем является ориентированность на динамический характер объектов защиты. Причем под этим понимается как тот факт, что защищаемая система постоянно меняется, причем это ее нормальное состояние, так и то, что кроме прогноза возможных последствий использования конкретного способа обработки риска осуществляется и мониторинг факта – того, насколько спрогнозированные атаки уже происходили в организации.

0204.jpg

Рис. 1. Ландшафт современных стандартов по управлению рисками ИБ

Динамический характер объекта защиты – это, пожалуй, по-настоя щему тренд в развитии ИТ. Что бы мы ни рассматривали, будь то мобильные устройства или облачные сервисы, виртуализацию, даже простую и понятную динамическую маршрутизацию в корпоративной сети, – все является изменчивым и непостоянным. В таких условиях жизненно необходимо принимать решения не на основе «принципиальных соображений» или «лучших практик», а реального анализа ситуации.

Архитектурно система управления состоянием информационной безопасности строится по следующему принципу.

Прежде всего обеспечивается сбор конфигурационных файлов со всех устройств третьего уровня (маршрутизаторов, L3-свитчей, балансировщиков нагрузки, межсетевых экранов, IPS). На основе данной информации SPM формирует топологию сети и позволяет формализовать местоположение доверенных, технологических, беспроводных и недоверенных сегментов. На следующем этапе производится импорт результатов сканирования уязвимостей и статуса уязвимости BYOD- устройств. Именно в этот момент SPM завершает формирование модели объекта защиты.

Особенностью систем SPM является возможность полностью автоматического получения всей необходимой информации и, соответственно, поддержания модели сети как объекта защиты в актуальном состоянии.

02041.jpg

Рис. 2. Моделирование векторов атак средствами RedSeal Vulnerability Adviser

Моделирование возможных в данной модели векторов атак занимает несколько минут (рис. 2).

Результаты моделирования – векторы атак – используются аналитиком для оптимизации работы по управлению уязвимостями и специалистами подразделения ИБ для получения обоснованных ответов об условиях предоставления требуемого сетевого доступа.

Кроме этого, прогноз векторов атак передается в SIEM-системы (например, Splunk) для формирования критериев поиска событий, составляющих атаку. Именно такое взаимодействие систем прогнозирования и анализа событий позволяет практически автоматически получать готовую «транзакцию атаки» – полную совокупность зарегистрированных событий, образующих атаку (рис. 3).

02042.jpg
Рис. 3. Общая логика построения архитектуры системы управления состоянием ИБ

Если кратко резюмировать существо обсуждаемого вопроса, то следует отметить следующее.
  1. Объект защиты – ИТ система – в современном ее состоянии является принципиально непостоянной и изменчивой структурой. Особенно актуальна проблема в контексте BYOD.
  2. Большинство классических методов анализа рисков информационной безопасности в отношении такого объекта защиты становятся неэффективны как по информационной новизне результата оценки рисков, так и по возможности получения своевременных результатов.
  3. Кроме необходимости анализа рисков существует насущная необходимость обнаружения фактов их реализации как способ контроля адекватности нашего прогноза.
  4. Использование инструментов класса SPM позволяет достичь требуемой детальности и своевременности анализа.
  5. Интеграция SPM с SIEM позволяет получить прочную связь между прогнозом рисков и фактом обнаружения атак.
  6. Будущие СУИБ будут содержать инструмент объективизации оценки рисков в виде связки SPM и SIEM.
  7. В качестве ориентира в развитии собственной СУИБ целесообразно использовать не привычную модель постепенного повышения уровня зрелости процессов, а модель динамического управления состоянием ИБ.

Теги:

Перейти к списку статей
qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram