Динамическое управление состоянием безопасности

№2, февраль 2013 / Защита информации. INSIDE

Павел Волков,
начальник отдела управления рисками Компания ARinteg
(ООО «Антивирусные решения»)

Одним из ключевых элементов современного подхода к обеспечению информационной безопасности являются понятия оценки и управления рисками. На сегодняшний день существует довольно много различных стандартов и «лучших практик», посвященных рисковой методологии (рис. 1). Вне всякого сомнения, в свое время переход от жестких требований к более гибкому подходу на основе рисков был революцией, и, на мой взгляд, именно рисковый подход сделал возможной защиту таких изменчивых и сложных систем как корпоративные ERP-системы.

Однако мир не стоит на месте, и кроме вполне ожидаемого появления новых угроз, сценариев их реализации и увеличения сложности защищаемых систем изменяется и другой важный параметр – максимально допустимая длительность цикла оценки рисков. Этот параметр предельно сократился. Еще недавно вполне допустимым представлялся 3-месячный цикл оценки рисков, однако теперь решения, принимаемые на основе результатов такой оценки, становятся неприемлемыми. Причина этого очень проста: управление рисками становится как инструментом обоснования затрат на ИБ, так и инструментом принятия оперативных решений.

Классический запрос в службу информационной безопасности «Прошу предоставить сетевой доступ из точки „А“ в точку „Б“», ранее решаемый на основе корпоративной политики ИБ, регламентов сетевого доступа или аналогичных документов, сейчас требует четкого и взвешенного ответа: на каких условиях данный доступ может быть предоставлен. Просто сказать «нет» уже не получается. В таких условиях цена конкретного решения становится очень высокой.

Первой ласточкой смены парадигм был сравнительно новый американский стандарт NIST SP 800-137 «Information Security Continuous Mo - nitoring (ISCM) for Federal Information Systems and Organizations». Именно в нем впервые формулируется настоятельная необходимость в системах, способных осуществлять оценку рисков ИБ в режиме, близком к реальному времени.

Кроме скорости расчета рисков требуется обеспечить достаточный уровень детализации проводимого анализа. Ведь высокоуровневые рассуждения о необходимости «сегрегации сетей» никаким образом не помогают в обоснованном ответе о последствиях предоставления сетевого доступа и условиях, когда эти последствия будут приемлемыми для организации.

Говоря иными словами, требуемая на современном этапе распространения ИТ-технология оценки рисков должна:

• — работать с реальной, а не «абстрагированной»/упрощенной топологией сети организации;
• — оперировать реально обнаруженными уязвимостями на всех сетевых устройствах сети;
• — иметь возможность взаимодействовать сразу с несколькими сканерами уязвимостей;
• — обеспечивать формирование групп ИТ-средств и СЗИ в топологические группы с формализацией разрешенных способов взаимодействия между ними;
• — позволять назначение различных весов ценности для групп активов;
• — строить векторы многошаговых атак;
• — уметь интегрироваться с SIEM для формализации критериев обнаружения транзакций атаки в журна- лах как подтверждение факта адекватности прогноза;
• — автоматически осуществлять сбор всей необходимой информации;
• — в течение нескольких минут проводить анализ рисков при изменении правил сетевого взаимодействия в сети.

Системы, реализующие требуемый функционал, образуют новый класс – SPM (Security Posture Management) или системы управления состоянием безопасности.

Основной чертой таких систем является ориентированность на динамический характер объектов защиты. Причем под этим понимается как тот факт, что защищаемая система постоянно меняется, причем это ее нормальное состояние, так и то, что кроме прогноза возможных последствий использования конкретного способа обработки риска осуществляется и мониторинг факта – того, насколько спрогнозированные атаки уже происходили в организации.



Динамический характер объекта защиты – это, пожалуй, по-настоя щему тренд в развитии ИТ. Что бы мы ни рассматривали, будь то мобильные устройства или облачные сервисы, виртуализацию, даже простую и понятную динамическую маршрутизацию в корпоративной сети, – все является изменчивым и непостоянным. В таких условиях жизненно необходимо принимать решения не на основе «принципиальных соображений» или «лучших практик», а реального анализа ситуации.

Архитектурно система управления состоянием информационной безопасности строится по следующему принципу.

Прежде всего обеспечивается сбор конфигурационных файлов со всех устройств третьего уровня (маршрутизаторов, L3-свитчей, балансировщиков нагрузки, межсетевых экранов, IPS). На основе данной информации SPM формирует топологию сети и позволяет формализовать местоположение доверенных, технологических, беспроводных и недоверенных сегментов. На следующем этапе производится импорт результатов сканирования уязвимостей и статуса уязвимости BYOD- устройств. Именно в этот момент SPM завершает формирование модели объекта защиты.

Особенностью систем SPM является возможность полностью автоматического получения всей необходимой информации и, соответственно, поддержания модели сети как объекта защиты в актуальном состоянии.



Моделирование возможных в данной модели векторов атак занимает несколько минут (рис. 2).

Результаты моделирования – векторы атак – используются аналитиком для оптимизации работы по управлению уязвимостями и специалистами подразделения ИБ для получения обоснованных ответов об условиях предоставления требуемого сетевого доступа.

Кроме этого, прогноз векторов атак передается в SIEM-системы (например, Splunk) для формирования критериев поиска событий, составляющих атаку. Именно такое взаимодействие систем прогнозирования и анализа событий позволяет практически автоматически получать готовую «транзакцию атаки» – полную совокупность зарегистрированных событий, образующих атаку (рис. 3).


Если кратко резюмировать существо обсуждаемого вопроса, то следует отметить следующее.

1. Объект защиты – ИТ система – в современном ее состоянии является принципиально непостоянной и изменчивой структурой. Особенно актуальна проблема в контексте BYOD.
2. Большинство классических методов анализа рисков информационной безопасности в отношении такого объекта защиты становятся неэффективны как по информационной новизне результата оценки рисков, так и по возможности получения своевременных результатов.
3. Кроме необходимости анализа рисков существует насущная необходимость обнаружения фактов их реализации как способ контроля адекватности нашего прогноза.
4. Использование инструментов класса SPM позволяет достичь требуемой детальности и своевременности анализа.
5. Интеграция SPM с SIEM позволяет получить прочную связь между прогнозом рисков и фактом обнаружения атак.
6. Будущие СУИБ будут содержать инструмент объективизации оценки рисков в виде связки SPM и SIEM.
7. В качестве ориентира в развитии собственной СУИБ целесообразно использовать не привычную модель постепенного повышения уровня зрелости процессов, а модель динамического управления состоянием ИБ.

Поделиться: