Руслан Рахметов, Security Vision
Уважаемые друзья, предыдущие серии публикаций об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также анализ основных стандартов по управлению рисками информационной безопасности были посвящены скорее организационным аспектам ИБ. Теперь пришла пора перейти к более техническим статьям.
В следующих публикациях мы будем говорить непосредственно о том, как можно грамотно выстроить экономически эффективную систему управления информационной безопасностью (далее - СУИБ) на основе процессного подхода и лучших международных и отечественных практик и стандартов, при этом упор мы будет делать на основную нашу специализацию - управление рисками, событиями и инцидентами ИБ.
Мы обсудим все технические аспекты организации СУИБ, начиная с инвентаризации активов, защищенной настройки ОС, сбора журналов аудита и заканчивая применением систем мониторинга событий информационной безопасности SIEM, платформ IRP и SOAR, а также затронем вопросы анализа и реагирования на современные кибератаки. В сегодняшней публикации поговорим об инвентаризации активов. Итак, начнем.
В стандартах и лучших практиках ИБ повсеместно подчеркивается важность проведения доскональной инвентаризации активов в рамках выстраивания системы управления информационной безопасностью перед реализацией каких бы то ни было мер по защите информации. Действительно, трудно защищать то, что не было проанализировано, подсчитано и измерено. Для начала следует дать общее определение активу как ресурсу в материальной или нематериальной форме, который используется бизнесом для создания экономической выгоды. Однако, NIST дает более точное определение активу в контексте ИБ как сущности, имеющей ценность для организации и использующейся для достижения целей организации, включая, например, сотрудников, оборудование, сети, ПО, облачные платформы, программное и аппаратное обеспечение. При этом подчеркивается, что у активов есть неотъемлемые свойства, такие как их стоимость, критичность, ценность для компании, которые влияют на выбор конкретных защитных мер. Опять же указывается, что активы могут быть как материальными (например, программное и аппаратное обеспечение, платформа, устройство), так и нематериальными (например, информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация).
Определившись с понятием актива, перейдем к обязательному процессу инвентаризации самих активов в контексте ИБ. В общем случае, управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов. Управление ИТ-активами сконцентрировано на аппаратном и программном обеспечении, которое выполняет некую бизнес-функцию и/или содержит данные и может являться объектом атаки и защиты.
ФСТЭК России в Методическом документе «Меры защиты информации в государственных информационных системах» требует проводить контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4), а в Приказе №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» предписывает осуществлять инвентаризацию информационных ресурсов (мера АУД.1). В зарубежных стандартах также подчеркивается важность проведения инвентаризации: в стандарте ISO 27001:2013 присутствует контроль A.8.1.1 ”Inventory of assets”, публикация NIST SP 800-53 включает нормы CM-8 ”System component inventory” и PM-5 ”System inventory”, а NIST “Cybersecurity Framework” содержит контроли ID.AM-1 и ID.AM-2, посвященные инвентаризации соответственно физических устройств и систем, программных платформ и приложений. Кроме того, в публикации NIST SP 1800-5 ”IT Asset Management” («Управление ИТ-активами») перечислены следующие риски при отсутствующем или неполном процессе инвентаризации активов:
· недостаток знаний о местоположении ИТ-активов;
· недостаток конфигурационных контролей для ИТ-активов;
· неэффективный патч-менеджмент;
· неэффективное управление уязвимостями;
· неполная операционная картина корпоративных активов;
· отсутствие конвергентного репозитория ИТ-активов.
При этом NIST SP 1800-5 приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):
· дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;
· API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);
· предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;
· автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;
· предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;
· применение политик ограниченного использования ПО;
· аудит и мониторинг изменений состояния активов;
· интеграция с системами хранения и анализа журналов аудита;
· запись и отслеживание атрибутов ИТ-активов.
В модуле «Управление активами» платформы Security Vision мы выделили следующие типы ИТ-активов, каждый из которых обладает собственным набором атрибутов:
· бизнес-процесс;
· информационная система;
· техническое средство;
· программное обеспечение;
· информация.
Современный рынок ИБ насыщен решениями для инвентаризации, как специализированными, так и теми, которые опционально включают в себя возможности управления ИТ-активами. Среди специализированных стоит отметить системы CMDB (Configuration Management Database, база данных управления конфигурацией), которые предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:
· бизнес-владелец (business owner) актива;
· риск-владелец (risk owner) актива;
· ответственный за актив со стороны ИТ (IT custodian);
· ответственный за актив со стороны ИБ (IT Security custodian);
· пользователь актива;
· выполняемая активом бизнес-роль/функция;
· выполняемая активом техническая роль/функция;
· зависимый от актива бизнес-процесс;
· критичность, стоимость, ценность актива;
· требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;
· местоположение (адрес, помещение, номер стойки и т.д.);
· конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).
Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция). Кроме того, при реагировании на инциденты ИБ аналитику SOC-Центров кибербезопасности будет полезна детальная информация о хосте, участвующем в инциденте, поэтому системы управления ИТ-активами интегрируются и с системами мониторинга информационной безопасности SIEM, IRP-системами, SOAR-платформами. Таким образом, системы класса CMDB эволюционируют в полноценные ITAM-решения, которые предоставляют большее количество приведенных интеграционных возможностей и более широкий функционал.