Активы, уязвимости (конспект лекции)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью» 

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020

Актив – это ресурс, которым владеет или который контролирует бизнес, в материальной или нематериальной форме, используемый для создания экономической выгоды.

Актив в контексте ИБ – это сущность, имеющая ценность для организации, использующаяся для достижения целей организации, являющаяся объектом защиты и атаки с целью нарушения свойств безопасности.

Активы бывают:

•       материальные: программное и аппаратное обеспечение, платформа, устройство;

•       нематериальные: информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация.

Управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов (т.е. стадии жизненного цикла ИТ-актива).

ФСТЭК России:

•       Методический документ «Меры защиты информации в государственных информационных системах» - контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4).

•       Приказ №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» - осуществление инвентаризации информационных ресурсов (мера АУД.1).

Системы CMDB (Configuration Management Database, база данных управления конфигурацией) предназначены для хранения, обработки, поддержания в актуальном состоянии информации об ИТ-активах и их взаимосвязях.

Программные (ОС, ПО, файлы) и аппаратные (серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

•       бизнес-владелец (business owner) актива,

•       риск-владелец (risk owner) актива,

•       ответственный за актив со стороны ИТ (IT custodian),

•       пользователь,

•       выполняемая активом техническая или бизнес-роль/функция,

•       зависимый от актива бизнес-процесс,

•       местоположение (адрес, этаж, номер стойки в серверной и т.д.),

•       конфигурация: FQDN-имя, версия ОС, установленное ПО, IP-адрес, MAC-адрес, объем ОЗУ и т.д.

Системы ITAM (IT Asset Management, управление ИТ-активами) – эволюция CMDB-систем для решения следующих задач:

•       первоначальное наполнение информацией,

•       автоматизированное обогащение и поддержание сведений в актуальном состоянии,

•       интеграция с системами, содержащими актуальные сведения об ИТ-активах,

•       интеграция с СЗИ для помощи в реагировании на инциденты ИБ.

Продукт Security Vision, модуль Управление активами - пример ITAM-системы. В нем используются следующие типы активов, каждый из которых обладает собственным набором атрибутов:

•       бизнес-процесс;

•       информационная система;

•       техническое средство;

•       программное обеспечение;

•       информация.

Модуль позволяет автоматизировать процесс управления активами:

•       инвентаризация активов (в ручном, автоматизированном и автоматическом режиме);

•       классификация активов;

•       определение взаимосвязей между активами;

•       определение владельцев и ответственных за обслуживание активов;

•       мониторинг сетевой доступности и состояния работоспособности.

Автоматический режим инвентаризации реализован при помощи коннекторов данных, применяемых для сбора информации (WMI, PowerShell, WinRM, cmd, bash) и интеграции с существующими ИТ-системами и СЗИ (Active Directory, сканеры уязвимостей, DLP, антивирусные системы, CMDB-системы и т.д.).

Возможности модуля:

•       сбор и агрегация актуальной информации об активах в едином модуле управления,

контроль сетевой доступности, качества связи и текущего состояния активов.

Скриншот модуля «Управление активами» системы Security Vision:

Альтернативы: сетевые сканеры nmap (Zenmap – версия nmap с графической оболочкой для Windows), ZMap, Masscan, Unicornscan и т.д. Результат – список ответивших устройств с открытыми портами.

Уязвимость - это недостаток программно-технического средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации. Т.е. уязвимость - это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками.

Шкала оценок уязвимостей CVSS позволяет описать основные особенности уязвимости и количественно (с помощью формулы) оценить её опасность по значению от 0 (минимум) до 10 (максимально опасная уязвимость).

Для расчета характеристики уязвимости описываются в трех группах метрик:

1. Базовые метрики, не изменяющиеся со временем и не зависящие от среды функционирования системы, которые подразделяются на:

•                метрики эксплуатации - учитываются способ получения доступа, сложность получения доступа, уровень аутентификации в уязвимой системе, степень вовлечения пользователя системы, влияние на другие компоненты той же системы;

•                метрики влияния на свойства информационной безопасности актива - учитывается уровень влияния на конфиденциальность, целостность, доступность уязвимого актива.

2. Временные метрики, изменяющиеся со временем по факту появления дополнительной информации об уязвимости, которые учитывают:

•                возможность эксплуатации (например, наличие готового эксплойта);

•                уровень устранения уязвимости (например, наличие официального исправления от разработчика);

•                степень достоверности отчета об уязвимости (например, подтверждение от вендора).

3. Контекстные метрики, учитывающие конкретную среду функционирования уязвимой системы, которые позволяют:

·       модифицировать рассчитанные базовые метрики в привязке к конкретной организации или системе;

·       указать требования к свойствам информационной безопасности конкретного актива (его конфиденциальность, целостность, доступность).

Пример расчета CVSS v3.1:

Калькуляторы CVSS:

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

https://www.first.org/cvss/calculator/3.1

Расчет по CVSSv2: используется меньше параметров для расчета, менее точная качественная шкала опасности.

Пример расчета CVSS для уязвимости Eternal Blue (CVE-2017-0144):

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-0144

Описание уязвимости на сайте производителя уязвимого ПО:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144

Реестры уязвимостей: БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD.

БДУ (Банк Данных Угроз) - в ведении ФСТЭК России и ГНИИИ ПТЗИ. Ведется с 2015 года, более 28 тыс. уязвимостей. Идентификаторы вида BDU:ГГГГ-ННННН, где ГГГГ - год обнаружения, а ННННН - порядковый номер уязвимости.

CVE (Common Vulnerabilities and Exposures) - в ведении организации MITRE. Ведется с 1999 года, более 141 тыс. уязвимостей. Идентификаторы вида CVE-YYYY-NNNN, где YYYY - год обнаружения, а NNNN - порядковый номер уязвимости.

Процесс управления уязвимостями состоит из этапов:

•                инвентаризации, классификации и приоритизации ИТ-активов (т.е. процесс управления активами, см. предыдущие слайды);

•                анализа текущей защищенности с непрерывным обнаружением хостов и сервисов;

•                поиска уязвимостей и их обработки (устранение/минимизация/изоляция/принятие) в соответствии с их опасностью (CVSS-оценка, наличие защитных мер);

•                последующей проверки и оценки эффективности пройденных шагов.

Документальная поддержка процесса:

•                стандарты ИБ для аппаратного и программного обеспечения;

•                разработка процедур и регламентов анализа защищенности, тестирования и установки обновлений;

•                согласование целевых показателей защищенности систем компании;

•                непрерывный контроль соответствия.

Инструменты для обеспечения процесса управления уязвимостями:

Сканеры уязвимостей, анализаторы защищенности, ПО для сканирования сетей с дополнительными плагинами.

Логика работы: считывание «баннеров» с версией ПО, эвристическое определение версии ПО, аутентифицированное сканирование (опрос ОС для построения списка установленного ПО и настроек системы).

Примеры: Tenable Nessus, OpenVAS, Qualys, Rapid7 Nexpose, MaxPatrol (XSpider), RedCheck, Сканер-ВС, nmap (с NSE-скриптами).

Пример использования:

                      MaxPatrol 8 - система контроля защищённости и соответствия стандартам

Управление уязвимостями в системе Security Vision:

•       интеграция со сканерами уязвимостей (MaxPatrol, RedCheck, Nessus, Qualys) и любым репозиторием уязвимостей;

•       определение уязвимого ПО в процессе инвентаризации за счет интеграции с БДУ ФСТЭК (ПО ScanOVAL для автоматизированных проверок наличия уязвимостей программного обеспечения);

•       выстраивание процесса управления уязвимостями (все этапы процесса) через конструктор логических объектов с постановкой и контролем задач.