Москва +7 (495) 221-21-41
Ростов-на-Дону +7 (863) 320-09-60
- Москва
- Ростов-на-Дону
- Кемерово
- Новосибирск
- +7 (495) 221 21 41
- +7 (863) 320 09 60
- +7 (384) 221 56 41
- +7 (495) 221 21 41
Динамическое управление состоянием безопасности
Павел Волков,
начальник отдела управления рисками Компания ARinteg
(ООО «Антивирусные решения»)
Одним из ключевых элементов современного подхода к обеспечению информационной безопасности являются понятия оценки и управления рисками. На сегодняшний день существует довольно много различных стандартов и «лучших практик», посвященных рисковой методологии (рис. 1). Вне всякого сомнения, в свое время переход от жестких требований к более гибкому подходу на основе рисков был революцией, и, на мой взгляд, именно рисковый подход сделал возможной защиту таких изменчивых и сложных систем как корпоративные ERP-системы.
Однако мир не стоит на месте, и кроме вполне ожидаемого появления новых угроз, сценариев их реализации и увеличения сложности защищаемых систем изменяется и другой важный параметр – максимально допустимая длительность цикла оценки рисков. Этот параметр предельно сократился. Еще недавно вполне допустимым представлялся 3-месячный цикл оценки рисков, однако теперь решения, принимаемые на основе результатов такой оценки, становятся неприемлемыми. Причина этого очень проста: управление рисками становится как инструментом обоснования затрат на ИБ, так и инструментом принятия оперативных решений.
Классический запрос в службу информационной безопасности «Прошу предоставить сетевой доступ из точки „А“ в точку „Б“», ранее решаемый на основе корпоративной политики ИБ, регламентов сетевого доступа или аналогичных документов, сейчас требует четкого и взвешенного ответа: на каких условиях данный доступ может быть предоставлен. Просто сказать «нет» уже не получается. В таких условиях цена конкретного решения становится очень высокой.
Первой ласточкой смены парадигм был сравнительно новый американский стандарт NIST SP 800-137 «Information Security Continuous Mo - nitoring (ISCM) for Federal Information Systems and Organizations». Именно в нем впервые формулируется настоятельная необходимость в системах, способных осуществлять оценку рисков ИБ в режиме, близком к реальному времени.
Кроме скорости расчета рисков требуется обеспечить достаточный уровень детализации проводимого анализа. Ведь высокоуровневые рассуждения о необходимости «сегрегации сетей» никаким образом не помогают в обоснованном ответе о последствиях предоставления сетевого доступа и условиях, когда эти последствия будут приемлемыми для организации.
Говоря иными словами, требуемая на современном этапе распространения ИТ-технология оценки рисков должна:
- — работать с реальной, а не «абстрагированной»/упрощенной топологией сети организации;
- — оперировать реально обнаруженными уязвимостями на всех сетевых устройствах сети;
- — иметь возможность взаимодействовать сразу с несколькими сканерами уязвимостей;
- — обеспечивать формирование групп ИТ-средств и СЗИ в топологические группы с формализацией разрешенных способов взаимодействия между ними;
- — позволять назначение различных весов ценности для групп активов;
- — строить векторы многошаговых атак;
- — уметь интегрироваться с SIEM для формализации критериев обнаружения транзакций атаки в журна- лах как подтверждение факта адекватности прогноза;
- — автоматически осуществлять сбор всей необходимой информации;
- — в течение нескольких минут проводить анализ рисков при изменении правил сетевого взаимодействия в сети.
Основной чертой таких систем является ориентированность на динамический характер объектов защиты. Причем под этим понимается как тот факт, что защищаемая система постоянно меняется, причем это ее нормальное состояние, так и то, что кроме прогноза возможных последствий использования конкретного способа обработки риска осуществляется и мониторинг факта – того, насколько спрогнозированные атаки уже происходили в организации.
Динамический характер объекта защиты – это, пожалуй, по-настоя щему тренд в развитии ИТ. Что бы мы ни рассматривали, будь то мобильные устройства или облачные сервисы, виртуализацию, даже простую и понятную динамическую маршрутизацию в корпоративной сети, – все является изменчивым и непостоянным. В таких условиях жизненно необходимо принимать решения не на основе «принципиальных соображений» или «лучших практик», а реального анализа ситуации.
Архитектурно система управления состоянием информационной безопасности строится по следующему принципу.
Прежде всего обеспечивается сбор конфигурационных файлов со всех устройств третьего уровня (маршрутизаторов, L3-свитчей, балансировщиков нагрузки, межсетевых экранов, IPS). На основе данной информации SPM формирует топологию сети и позволяет формализовать местоположение доверенных, технологических, беспроводных и недоверенных сегментов. На следующем этапе производится импорт результатов сканирования уязвимостей и статуса уязвимости BYOD- устройств. Именно в этот момент SPM завершает формирование модели объекта защиты.
Особенностью систем SPM является возможность полностью автоматического получения всей необходимой информации и, соответственно, поддержания модели сети как объекта защиты в актуальном состоянии.
Моделирование возможных в данной модели векторов атак занимает несколько минут (рис. 2).
Результаты моделирования – векторы атак – используются аналитиком для оптимизации работы по управлению уязвимостями и специалистами подразделения ИБ для получения обоснованных ответов об условиях предоставления требуемого сетевого доступа.
Кроме этого, прогноз векторов атак передается в SIEM-системы (например, Splunk) для формирования критериев поиска событий, составляющих атаку. Именно такое взаимодействие систем прогнозирования и анализа событий позволяет практически автоматически получать готовую «транзакцию атаки» – полную совокупность зарегистрированных событий, образующих атаку (рис. 3).
Если кратко резюмировать существо обсуждаемого вопроса, то следует отметить следующее.
- Объект защиты – ИТ система – в современном ее состоянии является принципиально непостоянной и изменчивой структурой. Особенно актуальна проблема в контексте BYOD.
- Большинство классических методов анализа рисков информационной безопасности в отношении такого объекта защиты становятся неэффективны как по информационной новизне результата оценки рисков, так и по возможности получения своевременных результатов.
- Кроме необходимости анализа рисков существует насущная необходимость обнаружения фактов их реализации как способ контроля адекватности нашего прогноза.
- Использование инструментов класса SPM позволяет достичь требуемой детальности и своевременности анализа.
- Интеграция SPM с SIEM позволяет получить прочную связь между прогнозом рисков и фактом обнаружения атак.
- Будущие СУИБ будут содержать инструмент объективизации оценки рисков в виде связки SPM и SIEM.
- В качестве ориентира в развитии собственной СУИБ целесообразно использовать не привычную модель постепенного повышения уровня зрелости процессов, а модель динамического управления состоянием ИБ.
Поделиться: |
|
|
© Все права защищены 2003-2024 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"