Обзор публикации NIST SP 1800-5 "IT Asset Management"

Руслан Рахметов, Security Vision

С развитием цифровых технологий и проникновением ИТ во все сферы бизнеса также увеличивается соответствующее количество информационных ресурсов и вычислительных устройств, а руководство и киберспециалисты неминуемо сталкиваются со сложностями при управлении и обслуживании большого разрозненного парка ИТ-систем. Сложности и пробелы при управлении ИТ-системами являются также ощутимым киберриском: логически связанную систему киберзащиты невозможно выстроить без четкого видения и понимания, какие именно элементы ИТ-инфраструктуры предстоит защищать, а разнообразие операционных систем, бизнес-приложений, типов данных и систем защиты лишь усугубляет остроту вопроса обеспечения киберустойчивости. Для оценки и приоритизации уязвимостей, оперативного выявления актуальных киберугроз, для своевременного и качественного реагирования на киберинциденты необходимо выстроить целостную систему управления информационными активами. Данной задаче посвящена специальная публикация NIST SP 1800-5 "IT Asset Management" («Управление ИТ-активами»), которая приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management), а также перечисляет киберриски при отсутствующем или неполном процессе инвентаризации активов.

Итак, для решения задачи централизованного управления активами, авторы документа NIST SP 1800-5 предлагают ряд практических шагов и инструментов для построения системы управления ИТ-активами, а также приводится результат оценки киберрисков некорректного процесса инвентаризации информационных активов и отсутствующий или неполной централизованной системы управления ИТ-активами.

Стратегическими киберрисками некорректно выстроенного процесса управления ИТ-активами являются:

1. Негативное влияние на предоставление услуг ввиду возможного отсутствия доступа сотрудников к ИТ-активам;

2. Стоимость внедрения системы централизованного управления ИТ-активами, стремление к использованию единой системы во всей компании и всех системах для снижения накладных расходов;

3. Расходование бюджета применительно к инвестициям в технологии кибербезопасности;

4. Прогнозируемое сокращение затрат и операционная эффективность как результат новых инвестиций в кибербезопасность;

5. Соответствие законодательным нормам в части тщательного и оперативного контроля ИТ-активов;

6. Репутационные и имиджевые риски;

7. Риски бездействия или неверных шагов.

Тактическими киберрисками некорректно выстроенного процесса управления ИТ-активами являются:

1. Отсутствие конвергентного (объединенного) видения ИТ-активов и централизованной отчетности по ним;

2. Недостаток знаний о местоположении ИТ-активов;

3. Недостаток конфигурационных контролей для ИТ-активов;

4. Неэффективный патч-менеджмент;

5. Отсутствие управления программными уязвимостями;

6. Отсутствие общей картины работы корпоративных активов;

7. Отсутствие конвергентного репозитория ИТ-активов.

Для централизованного управления информационными активами в документе NIST SP 1800-5 рекомендуют применять системы класса ITAM (IT Asset Management, управление ИТ-активами), которые представляют собой эволюцию CMDB-систем (Configuration Management Database, база данных управления конфигурацией) для решения следующих задач:

1. Первоначальное наполнение репозитория информацией об ИТ-активах;

2. Автоматизированное обогащение и поддержание сведений об ИТ-активах в актуальном состоянии;

3. Интеграция с системами, содержащими актуальные сведения об ИТ-активах;

4. Интеграция с СЗИ для помощи в реагировании на инциденты ИБ.

Данные действия выполняются в течение всего жизненного цикла ИТ-актива, который состоит из следующих этапов:

1. Разработка стратегии жизненного цикла ИТ-актива;

2. Планирование использования ИТ-актива;

3. Разработка архитектуры и модели использования;

4. Закупка, внедрение;

5. Эксплуатация;

6. Поддержка;

7. Внесение изменений;

8. Вывод из эксплуатации.

Напомним также, что системы CMDB предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

 
- бизнес-владелец (business owner) актива;
- риск-владелец (risk owner) актива;
- ответственный за актив со стороны ИТ (IT custodian);
- ответственный за актив со стороны ИБ (IT Security custodian);
- пользователь актива;
- выполняемая активом бизнес-роль/функция;
- выполняемая активом техническая роль/функция;
- зависимый от актива бизнес-процесс;
- критичность, стоимость, ценность актива;
- требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;
- местоположение (адрес, помещение, номер стойки и т.д.);
- конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).

Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция).

С точки зрения кибербезопасности, применение ITAM-систем приносит следующие преимущества:

1. Корректный выбор и применение базовых мер защиты;

2. Непрерывный мониторинг и ведение отчетности о состоянии ИТ-актива с сохранением в едином хранилище;

3. Применение механизмов выявления аномалий (например, отклонение в сетевом трафике или от установленных параметров базовой конфигурации);

4. Снабжение контекстом и обогащение данными для выявления аномалий и событий ИБ с помощью механизмов аналитики и отчетности.

В документе NIST SP 1800-5 приводятся три функциональных уровня типовой ITAM-системы, от низшего третьего уровня (Tier 3) до высшего первого уровня (Tier 1):

1. Уровень Tier 3 включает в себя все контролируемые корпоративные активы (ПК, серверы, портативные устройства, сетевое оборудование).

2. Уровень Tier 2 содержит данные об местоположении активов, установленном на них программном и аппаратном обеспечении. На данном уровне выполняется задача сбора данных - выявление и документирование ПО и конфигураций систем каждого ИТ-актива и передача данной информации на следующий уровень для хранения.

3. Уровень Tier 1 содержит обработанные и обогащенные данные об ИТ-активах для решения задач по долгосрочному хранению этой информации, анализу собранных данных, визуализации и отчетности результатов анализа для предоставления сотрудникам и руководителям. На этом уровне также устанавливаются правила, регламентирующие использование устройств (список разрешенного/запрещенного ПО, доступные сетевые протоколы, разрешающие/запрещающие сетевые правила), которые в дальнейшем применяются на уровне Tier 2 в виде установки обновлений, удаления ПО, изменения сетевой конфигурации.

В публикации NIST SP 1800-5 приводятся характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):

 
- дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;
- API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);
- предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;
- автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;
- предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;
- применение политик ограниченного использования ПО;
- аудит и мониторинг изменений состояния активов;
- интеграция с системами хранения и анализа журналов аудита;
- запись и отслеживание атрибутов ИТ-активов.

Наконец, в документе NIST SP 1800-5 приведено детальное описание по настройке лабораторного стенда для реализации ITAM-системы, в котором на Tier 1 работает Splunk; на Tier 2 задействованы IDS (Bro, Snort), сканер OpenVAS, WSUS-сервер, CMDB-системы AssetCentral и BelManage, система контроля конфигураций Puppet Enterprise; на Tier 3 функционируют серверы Active Directory и Email, VPN-сервер, PKI-центр сертификации.