Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"

Руслан Рахметов, Security Vision

Не секрет, что в современном киберпространстве одной из причин разрушительных инцидентов являются уязвимости, которые исследуются, выявляются и затем эксплуатируются злоумышленниками. В одной из предыдущих публикаций мы рассмотрели документ NIST SP 800-40, посвященный патч-менеджменту (англ. Patch Management), т.е. управлению процессами обновления программного обеспечения для устранения уязвимостей. Однако процесс установки обновлений также является и составным элементом более общего процесса внесения изменений в конфигурацию информационных систем - так называемый Configuration Management (далее - CM), т.е. управление изменениями конфигураций систем. Также нужно уесть, что уязвимости программных или аппаратных компонент могут иметь различную природу - в частности, ошибки конфигурирования или несогласованное изменение состояния информационных систем могут привести к успешной кибератаке. Тема данной статьи - документ NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems" («Руководство по безопасному управлению конфигурацией информационных систем»), который предлагает структурированный подход к управлению конфигурацией ИТ-систем с фокусом на безопасность и мониторинг для снижения киберрисков и обеспечения требуемого уровня функциональности сервисов.

Публикация NIST SP 800-128 сфокусирована на безопасности CM-процессов и использует термин Security-focused Configuration Management (SecCM, безопасно-ориентированное управление конфигурациями), под которым понимается управление и контроль конфигурациями информационных систем для обеспечения кибербезопасности и менеджмента киберрисков. Применение методологии SecCM позволяет получить глубокий контроль над ИТ-активами, что повышает качество управления ИТ/ИБ-процессами, улучшает реагирование на киберинциденты, помогает в разработке и внедрении ПО, позволяет автоматизировать ИТ/ИБ-процессы, обеспечивает прозрачность проведения комплаенс-процедур. Классическое управление конфигурациями (Configuration Management, CM) состоит из набора действий, сфокусированных на внедрении и поддержке процесса проверки целостности и функциональности продуктов и систем путем контроля процессов инициализации, изменения и мониторинга их конфигураций. Конфигурационная единица (Configuration Item, CI) - это определенная часть системы (например, единица программного или аппаратного обеспечения, документация, микропрограмма), являющаяся целью процесса контроля конфигурации. Базовая конфигурация (Baseline Configuration) - это набор спецификаций систем или их конфигурационных единиц (CI), которые были проверены и утверждены на определенную дату; изменения в данную базовую конфигурацию могут быть внесены только через прохождение процедуры контроля внесения изменений в конфигурацию, а сама базовая конфигурация используется в качестве базы для последующих билдов, релизов и/или изменений.

В документе NIST SP 800-128 также используется понятие плана управления конфигурациями (Configuration Management Plan, CM Plan), который содержит подробное описание ролей, ответственных, политик и процедур, применяемых при управлении конфигурациями продуктов и систем. План управления конфигурациями включает в себя следующие элементы:

1. Группа по контролю за конфигурациями (Configuration Control Board, CCB) - утвержденная и наделенная полномочиями группы квалифицированных сотрудников, отвечающих за процесс контроля и согласования изменений на протяжении жизненных циклов продуктов и систем.

2. Идентификация конфигурационных единиц - методология выбора и определения конфигурационных единиц, используемых в процессе управления конфигурациями.

3. Контроль изменений конфигурации - процесс управления обновлениями базовой конфигурации для конфигурационных единиц.

4. Мониторинг конфигураций - процесс оценки или тестирования уровня соответствия конфигурационных единиц установленным базовым конфигурациям, включая использование механизмов отчетности о состоянии конфигураций.

Управление конфигурациями в соответствии с подходом SecCM включает в себя такие процессы, как:

1. Идентификация и документирование конфигураций, которые влияют на состояние кибербезопасности информационных систем и организации в целом.

2. Учет киберрисков при согласовании конфигураций.

3. Анализ последствий для кибербезопасности при внесении изменений в конфигурацию систем.

4. Документирование согласованных и произведенных изменений.

Внедрение методологии SecCM можно разбить на следующие фазы:

1. Планирование.

1.1. Планирование на организационном уровне:

1.1.1. Разработка и внедрение SecCM-программы в масштабах компании, с назначением руководителя SecCM-программы (из числа старшего менеджмента компании).

1.1.2. Разработка SecCM-политики, включающей в себя цели, границы, роли, ответственных, выполняемые действия, общеупотребимые безопасные конфигурации, требования по документированию вносимых изменений в конфигурацию систем.

1.1.3. Разработка SecCM-процедур, включающие в себя шаблоны документов (для заполнения владельцами систем), описание правил инвентаризации компонент, описание правил создания базовых конфигураций систем, описание стандартизированных безопасных конфигураций, описание процесса патч-менеджмента и его интеграцию в SecCM-процедуры, описание процедур принятия запросов на изменения от технической поддержки и пользователей, описание процедур мониторинга и отчетов о безопасности систем для выявления несогласованных изменений, описание процедур контроля изменений (включая описание запроса и согласования изменений, анализ влияния изменений на безопасность, требования по тестированию изменений перед внедрением, требования по ограничению доступа к вносимым изменениям, требования по запуску процедуры «отката» в случае проблем, требования по управлению незапланированными экстренными изменениями и т.д.).

1.1.4. Разработка стратегии мониторинга SecCM для проверки текущей эффективности SecCM-процессов для поддержки состояния защищенности организации, соответствия базовым конфигурациям, соответствия политике SecCM; проверка может выполняться по заранее согласованному расписанию и включать в себя предоставление отчетов по результатам проверки.

1.1.5. Определение типов изменений, которые не требуют контроля изменения конфигураций: предварительно согласованными изменениями могут быть установка обновлений антивирусных баз, установка официальных обновлений безопасности от вендоров, замена некоторых аппаратных комплектующих. Кроме того, некоторые типы изменений могут вообще не включаться в границы применимости SecCM-процедур, например обновление содержимого баз данных, создание учетных записей, создание пользовательских файлов.

1.1.6. Разработка обучающих тренингов по SecCM-процедурам для ответственных сотрудников.

1.1.7. Определение списка согласованных ИТ-продуктов (программного и аппаратного обеспечения), которые можно закупать и использовать без дополнительных согласований.

1.1.8. Использование инструментов автоматизации для управления конфигурациями и инвентаризации используемых компонент систем и продуктов, их конфигураций и настроек, выявления несоответствий корпоративной политике управления конфигурациями.

1.1.9. Создание тестовой среды для проверки новых продуктов и планируемых изменений.

1.2. Планирование на уровне информационных систем:

1.2.1. Создание SecCM-плана для информационных систем, включающий описание системы, список проинвентаризированных системных компонент, список конфигурационных единиц, уровень критичности при управлении изменениями в конфигурационных единицах, список ролей и ответственных, описание процедур контроля изменения конфигураций, внедренные меры контроля вносимых изменений в конфигурации, используемые SecCM-инструменты, описание общепринятых применимых безопасных конфигураций и перечень допустимых отклонений от них, критерии согласования базовых конфигураций, меры управления исключениями.

1.2.2. Создание или обновление инвентаризационного списка системных компонент, который состоит из множества дискретных идентифицируемых ИТ-активов. При использовании инструментов для инвентаризации ИТ-активов рекомендуется использовать решения, поддерживающие протокол SCAP (Security Content Automation Protocol, протокол автоматизации обмена данными о безопасности) и нотацию CPE (Common Platform Enumeration, общий метод перечисления программных компонент).

1.2.3. Определение конфигурационных единиц, из которых состоит информационная система.

1.2.4. Взаимосвязь между информационной системой и её конфигурационными единицами и программными компонентами.

1.2.5. Создание группы по контролю за конфигурациями информационной системы, в обязанности которой входит оценка и согласование конфигурационных изменений в информационной системе.

2. Определение и внедрение конфигураций.

2.1. Разработка безопасных конфигураций для информационной системы и её конфигурационных единиц. Безопасные конфигурации могут включать в себя задание безопасных значений (параметров ОС и приложений, сервисов, протоколов, мер защиты, учетных записей, параметров аудита, криптографических параметров), применение обновлений безопасности, использование согласованного надежного ПО, внедрение средств защиты информации, применение сетевых мер защиты, расположение компонента в защищенной точке сети, поддержка и обновление документации.

2.2. Внедрение безопасных конфигураций, включая такие этапы, как:

2.2.1. Приоритизация конфигураций для применения настроек безопасности в первую очередь для высокоприоритетных систем, с учетом уровня критичности системы, оценки рисков, результатов сканирования на наличие уязвимостей, уровня интеграции той или иной системы/программы в инфраструктуру организации.

2.2.2. Тестирование конфигураций в выделенной среде для выявления взаимного влияния настроек безопасности на функционирование целевой системы.

2.2.3. Разрешение выявленных проблем и документирование отклонений в результате тестирования.

2.2.4. Документирование и согласование базовой конфигурации, включающей безопасные конфигурации всех составных конфигурационных единиц, для последующего контроля всех отклонений от неё.

2.2.5. Внедрение базовой конфигурации - централизованно, по возможности с применением средств автоматизации.

3. Контроль изменений конфигураций.

3.1. Внедрение ограничения доступа на внесение изменений, с определением типов конфигурационных изменений (на уровне сети, операционных систем, приложений), созданием списка сотрудников с привилегированными правами на внесение изменений, внедрением технических мер защиты (права доступа на каталоги/файлы, ролевая модель разграничения доступа и т.д.) для предоставления доступа на внесение изменений только авторизованным сотрудникам.

3.2. Внедрение процесса контроля внесения изменений в конфигурации, включающего запрос на внесение изменений, документирование запроса, определение необходимости контроля конфигурации для внесения данного изменения, анализа предлагаемых изменений с оценкой потенциального влияния на безопасности системы, тестирование изменения, согласование изменения, внедрение изменения в конфигурацию, проверка корректности внесенных изменений, закрытие запроса на внесение изменений.

3.3. Проведение анализа влияния изменения на кибербезопасность (Security Impact Analysis) на различных этапах, включая фазу инициирования изменения, фазу разработки/приобретения и внедрения/оценки, фазу эксплуатации и поддержки после внесения изменения. Процесс анализа влияния изменения на кибербезопасность состоит из следующих шагов: анализ предлагаемых изменений, выявление уязвимостей, оценка рисков, оценка влияния на имеющиеся меры защиты, планирование защитных мер и контрмер.

3.4. Документирование внесенных изменений, обновление соответствующей документации, архивирование старых версий документов.

4. Мониторинг SecCM.

4.1. Оценка и отчетность о состоянии SecCM, включая сканирование ИТ-инфраструктуры для поиска неучтенных активов, поиск отклонений от базовых конфигураций, внедрение средств автоматизации мониторинга вносимых изменений, запрос логов и данных аудита для выявление несогласованных изменений, запуск проверок целостности для обнаружения отклонений от базовых конфигураций, аудит записей о внесенных изменениях для проверки соответствия процедурам SecCM.

4.2. Внедрение и управления инструментами для мониторинга процедур SecCM; при невозможности применения автоматизированных инструментов следует задокументировать такие системы/компоненты и разработать процесс проведения неавтоматизированной проверки.