Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision)
Актив – это ресурс, которым владеет или который контролирует бизнес, в материальной или нематериальной форме, используемый для создания экономической выгоды.
Актив в контексте ИБ – это сущность, имеющая ценность для организации, использующаяся для достижения целей организации, являющаяся объектом защиты и атаки с целью нарушения свойств безопасности.
Активы бывают:
• материальные: программное и аппаратное обеспечение, платформа, устройство;
• нематериальные: информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация.
Управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов (т.е. стадии жизненного цикла ИТ-актива).
ФСТЭК России:
• Методический документ «Меры защиты информации в государственных информационных системах» - контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4).
• Приказ №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» - осуществление инвентаризации информационных ресурсов (мера АУД.1).
Системы CMDB (Configuration Management Database, база данных управления конфигурацией) предназначены для хранения, обработки, поддержания в актуальном состоянии информации об ИТ-активах и их взаимосвязях.
Программные (ОС, ПО, файлы) и аппаратные (серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:
• бизнес-владелец (business owner) актива,
• риск-владелец (risk owner) актива,
• ответственный за актив со стороны ИТ (IT custodian),
• пользователь,
• выполняемая активом техническая или бизнес-роль/функция,
• зависимый от актива бизнес-процесс,
• местоположение (адрес, этаж, номер стойки в серверной и т.д.),
• конфигурация: FQDN-имя, версия ОС, установленное ПО, IP-адрес, MAC-адрес, объем ОЗУ и т.д.
Системы ITAM (IT Asset Management, управление ИТ-активами) – эволюция CMDB-систем для решения следующих задач:
• первоначальное наполнение информацией,
• автоматизированное обогащение и поддержание сведений в актуальном состоянии,
• интеграция с системами, содержащими актуальные сведения об ИТ-активах,
• интеграция с СЗИ для помощи в реагировании на инциденты ИБ.
Продукт Security Vision, модуль Управление активами - пример ITAM-системы. В нем используются следующие типы активов, каждый из которых обладает собственным набором атрибутов:
• бизнес-процесс;
• информационная система;
• техническое средство;
• программное обеспечение;
• информация.
Модуль позволяет автоматизировать процесс управления активами:
• инвентаризация активов (в ручном, автоматизированном и автоматическом режиме);
• классификация активов;
• определение взаимосвязей между активами;
• определение владельцев и ответственных за обслуживание активов;
• мониторинг сетевой доступности и состояния работоспособности.
Автоматический режим инвентаризации реализован при помощи коннекторов данных, применяемых для сбора информации (WMI, PowerShell, WinRM, cmd, bash) и интеграции с существующими ИТ-системами и СЗИ (Active Directory, сканеры уязвимостей, DLP, антивирусные системы, CMDB-системы и т.д.).
Возможности модуля:
• сбор и агрегация актуальной информации об активах в едином модуле управления,
контроль сетевой доступности, качества связи и текущего состояния активов.
Скриншот модуля «Управление активами» системы Security Vision:
Альтернативы: сетевые сканеры nmap (Zenmap – версия nmap с графической оболочкой для Windows), ZMap, Masscan, Unicornscan и т.д. Результат – список ответивших устройств с открытыми портами.
Уязвимость - это недостаток программно-технического средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации. Т.е. уязвимость - это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками.
Шкала оценок уязвимостей CVSS позволяет описать основные особенности уязвимости и количественно (с помощью формулы) оценить её опасность по значению от 0 (минимум) до 10 (максимально опасная уязвимость).
Для расчета характеристики уязвимости описываются в трех группах метрик:
1. Базовые метрики, не изменяющиеся со временем и не зависящие от среды функционирования системы, которые подразделяются на:
• метрики эксплуатации - учитываются способ получения доступа, сложность получения доступа, уровень аутентификации в уязвимой системе, степень вовлечения пользователя системы, влияние на другие компоненты той же системы;
• метрики влияния на свойства информационной безопасности актива - учитывается уровень влияния на конфиденциальность, целостность, доступность уязвимого актива.
2. Временные метрики, изменяющиеся со временем по факту появления дополнительной информации об уязвимости, которые учитывают:
• возможность эксплуатации (например, наличие готового эксплойта);
• уровень устранения уязвимости (например, наличие официального исправления от разработчика);
• степень достоверности отчета об уязвимости (например, подтверждение от вендора).
3. Контекстные метрики, учитывающие конкретную среду функционирования уязвимой системы, которые позволяют:
· модифицировать рассчитанные базовые метрики в привязке к конкретной организации или системе;
· указать требования к свойствам информационной безопасности конкретного актива (его конфиденциальность, целостность, доступность).
Пример расчета CVSS v3.1:
Калькуляторы CVSS:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
https://www.first.org/cvss/calculator/3.1
Расчет по CVSSv2: используется меньше параметров для расчета, менее точная качественная шкала опасности.
Пример расчета CVSS для уязвимости Eternal Blue (CVE-2017-0144):
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-0144
Описание уязвимости на сайте производителя уязвимого ПО:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144
Реестры уязвимостей: БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD.
БДУ (Банк Данных Угроз) - в ведении ФСТЭК России и ГНИИИ ПТЗИ. Ведется с 2015 года, более 28 тыс. уязвимостей. Идентификаторы вида BDU:ГГГГ-ННННН, где ГГГГ - год обнаружения, а ННННН - порядковый номер уязвимости.
CVE (Common Vulnerabilities and Exposures) - в ведении организации MITRE. Ведется с 1999 года, более 141 тыс. уязвимостей. Идентификаторы вида CVE-YYYY-NNNN, где YYYY - год обнаружения, а NNNN - порядковый номер уязвимости.
Процесс управления уязвимостями состоит из этапов:
• инвентаризации, классификации и приоритизации ИТ-активов (т.е. процесс управления активами, см. предыдущие слайды);
• анализа текущей защищенности с непрерывным обнаружением хостов и сервисов;
• поиска уязвимостей и их обработки (устранение/минимизация/изоляция/принятие) в соответствии с их опасностью (CVSS-оценка, наличие защитных мер);
• последующей проверки и оценки эффективности пройденных шагов.
Документальная поддержка процесса:
• стандарты ИБ для аппаратного и программного обеспечения;
• разработка процедур и регламентов анализа защищенности, тестирования и установки обновлений;
• согласование целевых показателей защищенности систем компании;
• непрерывный контроль соответствия.
Инструменты для обеспечения процесса управления уязвимостями:
Сканеры уязвимостей, анализаторы защищенности, ПО для сканирования сетей с дополнительными плагинами.
Логика работы: считывание «баннеров» с версией ПО, эвристическое определение версии ПО, аутентифицированное сканирование (опрос ОС для построения списка установленного ПО и настроек системы).
Примеры: Tenable Nessus, OpenVAS, Qualys, Rapid7 Nexpose, MaxPatrol (XSpider), RedCheck, Сканер-ВС, nmap (с NSE-скриптами).
Пример использования:
MaxPatrol 8 - система контроля защищённости и соответствия стандартам
Управление уязвимостями в системе Security Vision:
• интеграция со сканерами уязвимостей (MaxPatrol, RedCheck, Nessus, Qualys) и любым репозиторием уязвимостей;
• определение уязвимого ПО в процессе инвентаризации за счет интеграции с БДУ ФСТЭК (ПО ScanOVAL для автоматизированных проверок наличия уязвимостей программного обеспечения);
• выстраивание процесса управления уязвимостями (все этапы процесса) через конструктор логических объектов с постановкой и контролем задач.