В ИТ-безопасности современном мире передовая тенденцией для систем защиты, переход от прошлых стратегий к предотвращению угроз, путем анализа уязвимостей. Такой анализ дает возможность закрыть «дыры» благодаря настройкам и дополнительным политикам. Этот способ намного безопаснее, экономически более выгодный, потому что дешевле один раз настроить устройства и ПО, нежели покупать что-то, чтобы защитить свою инфраструктуру. Естественно, нельзя полагаться только на один уровень защиты, поэтому инфраструктура безопасности это комплекс решений по защите от внешних и/или внутренних угроз с использованием лучших практик установки параметров безопасности для систем общего назначения и специализированные системы защиты. Специализированные системы по защите инфраструктуры перемещаются из сегмента основной защиты в сегмент страховочной зашиты, на случай если будет найдена новая уязвимость или элемент инфраструктуры не был настроен в соответствии с лучшими практиками.
Поиск и анализ уязвимостей
Одним из ключевых компонентов системы защиты от внутренних угроз и/или дополни-тельным уровнем защиты от внешних угроз, есть система поиска и анализа уязвимостей ИТ-инфраструктуры. Такая система не предоставляет никакой защиты для инфраструктуры, а играет обратную роль. Ключевыми функциями системы анализа и поиска, а лучше сказать, «управления» уязвимостями являются:
- Возможность сканирования разных типов устройств на предмет наличия уязвимостей и платформ. Система должна обеспечивать анализ уязвимостей по возможности всех используемых компонентов ИТ-инфраструктуры: операционных систем различных семейств, сетевых служебных устройств, программных продуктов, начиная с офисных приложений и заканчивая базами данных и веб-приложениями.
- Сканирование «черных ящиков» (Black Box). Это такое сканирования, при котором система абсолютно ничего не знает про систему-жертву и не имеет никаких прав доступа, кроме общедоступных. Сканирование в таком режиме -это прямая симуляция анализа «жертвы» хакерами.
- Сканирование с правами доступа или сканирование от имени администратора поможет выявить внутренние уязвимости, которые нельзя использовать напрямую из сети, но которые подвержены вре-доносному ПО.
- Возможность распределенной структуры системы менеджмента уязвимостями, которая «может следовать» за географией компании. Как известно, «цепь крепка ровно на столько, на сколько крепко ее самое слабое звено». Поэтому система управления уязвимостями должна легко масштабироваться без потери контроля и с возможностью сбора и анализа всей информации централизовано. Возможность проведения сравнений текущей ситуации по уязвимостям с международными и специальнымистандартами и лучшими практиками.
- Возможность пересматривать и изменять критичность некоторых уязвимостей. Компания должна иметь возможность пересматривать характеристики уязвимостей под свои реалии, не для всех организаций необходим уровень безопасности банков, но в тоже время они хотят понимать какие у них проблемы. Кроме того, некоторые уязвимости можно вообще исключить из списка проверяемых, так как они могут не нести, по мнению отдела безопасности, существенной угрозы. Например, для стандарта PCI DSS папка с открытым для всех доступом является критичной уязвимостью, тоща как некоторые компании считают это приемлемым.
- Предоставление отчетов. Отчетность это один из наиболее важных аспектов работы системы управления ИТ-уязвимостями. В итоге это основной документ, по которому определяют ситуацию безопасности в компании, а разница между предыдущим документом и текущим является прямым показателем работы отдела информационной безопасности.
- Интеграция с системами SIEM. Неплохой сканер должен имуть способность «отдать» все события и проблемы для общего анализа в SIEM систему, где можно провести еще более глобальный анализ, базируясь на данных от всех систем безопасности. Примером такой системы может служить сканер управления уязвимостями ИТ-инфраструктуры компании Tenable, Security Center Continuous View.
Помимо стандартного функционала, который был описан выше, система обладает дополнительными возможностями, к примеру, есть встроенный функционал для управления работой отдела безопасности. После проведения сканирования менеджер управления уязвимостями может назначить заявку (ticket) для определенного сотрудника для устранения данной уязвимости. У каждого сотрудника отдела безопасности или даже администратора инфраструктуры есть свой профиль в системе, в котором он помимо всего прочего может посмотреть свои заявки и указать выполнена работа или нет. Кроме того система имеет удобную систему распределения обязанностей с возможностью создания своих специальных ролей. Например, возможна ситуация, когда отделу безопасности будет необходимо проводить сканирование систем Microsoft с повышенным уровнем доступа, но группа администраторов «не спешит» выдавать права администратора домена отделу безопасности. Для такой ситуации предусмотрен вариант, когда администратору инфраструктуры Microsoft предоставляют крайне ограниченный доступ к системе управления уязвимостями для единственной цели: задать параметры доступа уровня администратора для систем Microsoft и предоставить возможность использования этих параметров для сотрудников отдела ИБ. При этом, сотрудники отдела ИБ смогут сканировать системы Microsoft от имени администратора используя предоставленные параметры доступа, но без возможности посмотреть эти параметры или поменять их. Такое компромиссное решение является идеальным для соблюдения правила Need to Know