Активы, уязвимости (конспект лекции)

Активы бывают:

• материальные: программное и аппаратное обеспечение, платформа, устройство;

• нематериальные: информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация.

Управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов (т.е. стадии жизненного цикла ИТ-актива).

ФСТЭК России:

• Методический документ «Меры защиты информации в государственных информационных системах» - контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4).

• Приказ №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» - осуществление инвентаризации информационных ресурсов (мера АУД.1).

Системы CMDB (Configuration Management Database, база данных управления конфигурацией) предназначены для хранения, обработки, поддержания в актуальном состоянии информации об ИТ-активах и их взаимосвязях.

Программные (ОС, ПО, файлы) и аппаратные (серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

• бизнес-владелец (business owner) актива,

• риск-владелец (risk owner) актива,

• ответственный за актив со стороны ИТ (IT custodian),

• пользователь,

• выполняемая активом техническая или бизнес-роль/функция,

• зависимый от актива бизнес-процесс,

• местоположение (адрес, этаж, номер стойки в серверной и т.д.),

• конфигурация: FQDN-имя, версия ОС, установленное ПО, IP-адрес, MAC-адрес, объем ОЗУ и т.д.

Системы ITAM (IT Asset Management, управление ИТ-активами) – эволюция CMDB-систем для решения следующих задач:

• первоначальное наполнение информацией,

• автоматизированное обогащение и поддержание сведений в актуальном состоянии,

• интеграция с системами, содержащими актуальные сведения об ИТ-активах,

• интеграция с СЗИ для помощи в реагировании на инциденты ИБ.

Продукт Security Vision, модуль Управление активами - пример ITAM-системы. В нем используются следующие типы активов, каждый из которых обладает собственным набором атрибутов:

• бизнес-процесс;

• информационная система;

• техническое средство;

• программное обеспечение;

• информация.

Модуль позволяет автоматизировать процесс управления активами:

• инвентаризация активов (в ручном, автоматизированном и автоматическом режиме);

• классификация активов;

• определение взаимосвязей между активами;

• определение владельцев и ответственных за обслуживание активов;

• мониторинг сетевой доступности и состояния работоспособности.

Автоматический режим инвентаризации реализован при помощи коннекторов данных, применяемых для сбора информации (WMI, PowerShell, WinRM, cmd, bash) и интеграции с существующими ИТ-системами и СЗИ (Active Directory, сканеры уязвимостей, DLP, антивирусные системы, CMDB-системы и т.д.).

Возможности модуля:

• сбор и агрегация актуальной информации об активах в едином модуле управления,

контроль сетевой доступности, качества связи и текущего состояния активов.

Скриншот модуля «Управление активами» системы Security Vision:

Альтернативы: сетевые сканеры nmap (Zenmap – версия nmap с графической оболочкой для Windows), ZMap, Masscan, Unicornscan и т.д. Результат – список ответивших устройств с открытыми портами.

Уязвимость - это недостаток программно-технического средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации. Т.е. уязвимость - это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками.

Шкала оценок уязвимостей CVSS позволяет описать основные особенности уязвимости и количественно (с помощью формулы) оценить её опасность по значению от 0 (минимум) до 10 (максимально опасная уязвимость).

Для расчета характеристики уязвимости описываются в трех группах метрик:

1. Базовые метрики, не изменяющиеся со временем и не зависящие от среды функционирования системы, которые подразделяются на:

• метрики эксплуатации - учитываются способ получения доступа, сложность получения доступа, уровень аутентификации в уязвимой системе, степень вовлечения пользователя системы, влияние на другие компоненты той же системы;

• метрики влияния на свойства информационной безопасности актива - учитывается уровень влияния на конфиденциальность, целостность, доступность уязвимого актива.

2. Временные метрики, изменяющиеся со временем по факту появления дополнительной информации об уязвимости, которые учитывают:

• возможность эксплуатации (например, наличие готового эксплойта);

• уровень устранения уязвимости (например, наличие официального исправления от разработчика);

• степень достоверности отчета об уязвимости (например, подтверждение от вендора).

3. Контекстные метрики, учитывающие конкретную среду функционирования уязвимой системы, которые позволяют:

· модифицировать рассчитанные базовые метрики в привязке к конкретной организации или системе;

· указать требования к свойствам информационной безопасности конкретного актива (его конфиденциальность, целостность, доступность).

Пример расчета CVSS v3.1:

Калькуляторы CVSS:

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

https://www.first.org/cvss/calculator/3.1

Расчет по CVSSv2: используется меньше параметров для расчета, менее точная качественная шкала опасности.

Пример расчета CVSS для уязвимости Eternal Blue (CVE-2017-0144):

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-0144

Описание уязвимости на сайте производителя уязвимого ПО:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144

Реестры уязвимостей: БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD.

БДУ (Банк Данных Угроз) - в ведении ФСТЭК России и ГНИИИ ПТЗИ. Ведется с 2015 года, более 28 тыс. уязвимостей. Идентификаторы вида BDU:ГГГГ-ННННН, где ГГГГ - год обнаружения, а ННННН - порядковый номер уязвимости.

CVE (Common Vulnerabilities and Exposures) - в ведении организации MITRE. Ведется с 1999 года, более 141 тыс. уязвимостей. Идентификаторы вида CVE-YYYY-NNNN, где YYYY - год обнаружения, а NNNN - порядковый номер уязвимости.

Процесс управления уязвимостями состоит из этапов:

• инвентаризации, классификации и приоритизации ИТ-активов (т.е. процесс управления активами, см. предыдущие слайды);

• анализа текущей защищенности с непрерывным обнаружением хостов и сервисов;

• поиска уязвимостей и их обработки (устранение/минимизация/изоляция/принятие) в соответствии с их опасностью (CVSS-оценка, наличие защитных мер);

• последующей проверки и оценки эффективности пройденных шагов.

Документальная поддержка процесса:

• стандарты ИБ для аппаратного и программного обеспечения;

• разработка процедур и регламентов анализа защищенности, тестирования и установки обновлений;

• согласование целевых показателей защищенности систем компании;

• непрерывный контроль соответствия.

Инструменты для обеспечения процесса управления уязвимостями:

Сканеры уязвимостей, анализаторы защищенности, ПО для сканирования сетей с дополнительными плагинами.

Логика работы: считывание «баннеров» с версией ПО, эвристическое определение версии ПО, аутентифицированное сканирование (опрос ОС для построения списка установленного ПО и настроек системы).

Примеры: Tenable Nessus, OpenVAS, Qualys, Rapid7 Nexpose, MaxPatrol (XSpider), RedCheck, Сканер-ВС, nmap (с NSE-скриптами).

Пример использования:

                      MaxPatrol 8 - система контроля защищённости и соответствия стандартам

Управление уязвимостями в системе Security Vision:

• интеграция со сканерами уязвимостей (MaxPatrol, RedCheck, Nessus, Qualys) и любым репозиторием уязвимостей;

• определение уязвимого ПО в процессе инвентаризации за счет интеграции с БДУ ФСТЭК (ПО ScanOVAL для автоматизированных проверок наличия уязвимостей программного обеспечения);

• выстраивание процесса управления уязвимостями (все этапы процесса) через конструктор логических объектов с постановкой и контролем задач.