Рубрика:
БИТ. Бизнес & Информационные технологии /
Безопасность
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов
Защищенная сеть Принципы управления ИТ-безопасностью
Современные системы ИТ-безопасности разнородны и зачастую сложны в управлении. В этой статье я расскажу о том, как можно организовать управление системами безопасности ИТ-инфраструктуры
Угрозы для ИТ-инфраструктуры с каждым годом становятся все сложнее, для защиты от них нужно применять различные системы и средства. Лет пятнадцать назад для защиты компьютера достаточно было установить на нем антивирус. С развитием сетевых технологий возникла потребность в межсетевых экранах, потом в системах предотвращения вторжений. Сейчас уже и этих средств недостаточно. Так, например, в соответствии с требованиями ФЗ №152 «О персональных данных» и связанных с ним требований регуляторов [1] для защиты персональных данных, помимо антивируса, межсетевого экрана и средства предотвращения вторжений, необходимо также использовать средства контроля целостности и сканер уязвимостей.
Но и это еще не все. Для предотвращения хищений информации собственными сотрудниками во многих организациях используются средства DLP (Data Loss Prevention). Такие системы позволяют ограничить распространение конфиденциальной информации за пределы корпоративной сети.
Таким образом, инфраструктура систем ИТ-безопасности становится все сложнее, и управление ею требует определенных навыков и знаний. Сначала рассмотрим основные виды угроз и средства защиты.
Угрозы среди нас
Когда сеть подвергается вторжению, DoS-атаке или вирусной эпидемии, под угрозой оказывается деятельность всей организации. Это происходит потому, что увеличивается опасность для операционных ресурсов, пользовательских данных, собственных средств и технологий. Интеллектуальная собственность может быть украдена и неправомерно использована третьей стороной.
Защита локальных сетей предприятий с каждым годом становится все более сложной задачей и сегодня является одним из основополагающих факторов, с которыми сталкивается бизнес. Новые и постоянно изменяющиеся угрозы появляются с пугающей регулярностью, и ни одна организация от них не застрахована.
Стоит отметить, что каждый раз при появлении нового вида опасных угроз изменяется само понятие «безопасная сеть».
Разновидности сетевых атак
Сетевое вторжение. В случае использования сетевого вторжения хакер, не имеющий прав доступа, пытается удаленно проникнуть в сеть для осуществления враждебных действий.
DoS/DDoS-атаки. В случае DoS-атаки подвергнутые нападению системы становятся недоступными зачастую из-за монопольного захвата сетевых ресурсов. Распределенные DoS-атаки (DDoS) используют множество компьютерных систем, возможно, сотни, для посылки трафика на выбранные адреса.
Вирусы. Вирус – это компьютерная программа, которая «заражает» другие программы своими копиями, клонируя себя с диска на диск или от одной системы к другой по компьютерным сетям. Вирус запускается и производит свои разрушительные действия при работе «зараженной» программы.
Рекламное и шпионское программное обеспечение. Рекламное ПО – это программы, которые при запуске демонстрируют рекламные баннеры. Они могут проявляться в виде выскакивающих окон или полоски на экране компьютера. Шпионское ПО используется для получения сведений о персональных данных пользователя и передаче их третьей стороне.
Rootkits. Rootkit – это программа, внедряющаяся в операционную систему и перехватывающая команды доступа к файлам на жестком диске, которые другие программы используют для осуществления основных функций. Rootkit маскируется среди ОС и сервисных программ и контролирует все их действия.
DNS Poisoning. Серверы системы доменных имен перенаправляют трафик с нормальных ресурсов на «зараженные», с которых вредоносное и шпионское ПО скрытно проникает на компьютер жертвы.
Сеть также может стать уязвимой во время расширения или изменения структуры организации. Когда сети становятся более сложными и должны решать больше задач по поддержке и развитию различных видов деловой активности, лучшей защитой от вредоносных атак и растущих уязвимостей может стать мощное многоуровневое решение безопасности.
Современные системы защиты ИТ-инфраструктуры сложны и нуждаются в централизованном управлении. Сейчас в любой крупной организации есть достаточно большой набор различных узлов, работающих на разных платформах (Windows, UNIX/Linux, Novell и др.). Дополнительно стоит упомянуть средства виртуализации, с помощью которых в корпоративной сети можно также развернуть большое число различных систем и приложений. Схожая ситуация наблюдается и с аппаратными решениями. Моновендорность уходит в прошлое, сейчас часто можно увидеть в одной стойке, например, Cisco и CheckPoint. А мультивендорность ставит дополнительные условия при внедрении средств централизованного управления. Это относится в том числе и к средствам ИТ-безопасности. Практически у каждого вендора имеется решение для централизованного управления своими продуктами, например, у компании Мicrosoft это System Center, у Cisco до недавнего времени был Cisco MARS, для UNIX-систем таких решений превеликое множество. Однако если используются решения различных разработчиков, то задача централизованного управления значительно усложняется.
Предположим, что наша сеть содержит решения различных вендоров и для разных платформ. Важно выбрать схему защиты, оптимальную как с точки зрения эффективности, так и возможностей внедрения, управляемости, масштабируемости и, что немаловажно, стоимости внедрения и обслуживания.
Концепция защищенной корпоративной сети
Цель концепции защищенной корпоративной сети – закрыть трафик корпоративной сети средствами защиты информации сетевого уровня (VPN) и организовать фильтрацию информации в точках соединения с открытыми сетями.
В качестве средств фильтрации информации на интерфейсах с открытыми сетями применяются традиционные решения: межсетевой экран (firewall) и/или сервисы защиты типа proxy.
Важным элементом защиты от несанкционированного проникновения в корпоративную сеть из открытой является последовательное (каскадное) включение нескольких фильтров-эшелонов защиты. Как правило, между открытой и корпоративной сетью устанавливается зона контролируемого доступа – т.н. демилитаризованная зона (DMZ).
Рассмотрим основные задачи, которые ставятся перед специалистами, обеспечивающими безопасность ИТ-инфраструктуры. Это:
- Защита, контроль и аудит каждого ПК и отдельных его подсистем.
- Многоуровневая надежная оборона, позволяющая организовать эшелонированную защиту ресурсов на различных уровнях.
- Централизованное управление ИТ-безопасностью.
Защита и контроль
Защита включает в себя целый ряд различных направлений.
- Обнаружение, блокировка и удаление вредоносного ПО.
- Блокировка подозрительных приложений (черный список).
- Инвентаризация ИТ-активов в целях выявления подозрительного и неучтенного ПО.
- Аудит соответствия корпоративным политикам безопасности.
- Защита от вторжений.
- Установка заплат и обновлений.
- Обнаружение неуправляемых систем и оборудования.
- Средства межсетевого экранирования.
Все эти средства так или иначе участвуют в процессе обеспечения защиты корпоративных ресурсов. Если с такими пунктами, как обнаружение и удаление вредоносного программного обеспечения, межсетевое экранирование или защита от вторжений, особых вопросов возникнуть не должно, то по некоторым другим придется дать небольшие пояснения. Например, может возникнуть вопрос, как соотносится инвентаризация ИТ-активов с задачами информационной безопасности?
На самом деле существует прямая связь. Так, в результате инвентаризации установленного программного обеспечения могут быть выявлены приложения, которые, сами по себе не являясь вредоносным кодом, могут быть использованы для осуществления вредоносных действий. Примером такого приложения является сниффер – средство для перехвата сетевого трафика. Если оно было обнаружено, к примеру, на компьютере бухгалтера, то можно поинтересоваться, зачем оно ему нужно. Также подозрительным является использование средств разработки на компьютерах, не принадлежащих программистам. Так что периодическое проведение инвентаризации ИТ-ресурсов является полезным мероприятием с точки зрения информационной безопасности.
Установка заплат и обновлений также связана с ИБ, так как машины, на которых не установлены критические обновления, становятся уязвимыми для различных червей, распространяющихся в сети.
Необходимость обнаружения неуправляемых систем и оборудования многим может показаться излишней, мол, «в моей сети все системы управляемые, и я знаю, кто их установил и зачем они нужны». Однако в крупных сетях не все так просто. Нередки случаи, когда в сети обнаруживается «бесхозное» устройство. Например, беспроводная точка доступа, включенная кем-то в свободную сетевую розетку, позволяющая подключаться к корпоративной сети извне. Или GPRS-модем, установленный одним из сотрудников в свой ПК и позволяющий выходить в Интернет в обход корпоративного межсетевого экрана. Обнаружить подобные устройства в большой сети непросто, для этого существуют специальные приложения. С помощью описанных выше средств можно обеспечивать защиту, контроль и аудит серверов и рабочих станций.
Многоуровневая оборона
Многоуровневая надежная оборона, позволяющая организовать эшелонированную защиту ресурсов на различных уровнях. Эта задача, в общем, пересекается с описанной в предыдущем разделе, однако здесь речь идет уже не о функциональных параметрах средств защиты, а об архитектуре построения системы защиты. Начнем с рассмотрения многоуровневости системы защиты. В качестве примера можно взять антивирусные средства. В классической схеме корпоративной антивирусной защиты имеется несколько основных модулей. Это:
- Сканер обнаружения вредоносного кода и спама на почтовом релее (контроль SMTP, POP3).
- Аналогичный сканер на веб-прокси (контроль HTTP).
- Антивирус для почтового клиента, установленный на рабочей станции пользователя (все почтовые протоколы).
- Антивирус для почтовых серверов.
- Сканирование памяти, файлов и папок на рабочей станции пользователя.
- Аналогичное сканирование файловых серверов и хранилищ.
- В последнее время стало модно также использовать и средства контроля доступа устройств в сеть на основе технологии NAC (Network Admission Control). Такие средства позволяют ограничить доступ к корпоративной сети для машин, на которые не установлены критические обновления или на них отсутствует антивирус.
Такая схема является многоуровневой. Если вирус будет отправлен вместе с письмом по электронной почте, то сначала письмо будет просканировано на почтовом релее, потом на почтовом сервере, после получения его пользователем оно будет просканировано на его машине. Наконец, при попытке сохранения файла на диск этот файл будет просканирован антивирусом на рабочей станции.
Такова многоуровневая защита. Но от нее мало толка, если на всех уровнях используются решения от одного разработчика. Вредоносный код будет либо остановлен первым же сканером, либо беспрепятственно сможет преодолеть все средства защиты, так как все они используют в своих антивирусных базах сигнатуры от одного разработчика. Другое дело, когда на каждом уровне используются разработки различных вендоров. Тогда, даже если вирус не известен одному разработчику и его сигнатура отсутствует в базе, сохраняется вероятность того, что другие антивирусы смогут его определить.
При использовании мультивендорной схемы мы получаем полноценную многоуровневую эшелонированную защиту.
Централизованное управление ИТ-безопасностью
Решение третьей задачи невозможно без решения первых двух. Для решения вопросов управления нам необходимо прежде всего получать информацию обо всех событиях ИБ в нашей сети. Для этого существуют SIEM-решения (Security Information and Event Management).
Данные решения включают в себя средства автоматизированного сбора событий, их нормализации, то есть приведения текста события к некоторому общему виду (например, выделение из события имени пользователя, его IP-адреса, порта соединения и т.д.). Также, классический SIEM осуществляет сохранение всех событий в единой БД и позволяет составлять правила корреляции различных событий. С помощью этих правил специалист по безопасности может существенно автоматизировать свою работу по обнаружению и предотвращению атак. Опционально решение может также содержать средства генерации отчетов и автоматизации расследования инцидентов. Как правило, присутствует возможность реагирования на события и интеграции с системами IPS.
Помимо классических решений SIEM, существуют также узконаправленные, осуществляющие мониторинг только специализированного типа систем, например, СУБД (Guardium, Sentrigo Hedgehog и другие). Как и в других отраслях ИТ, в SIEM имеются как коммерческие, так и бесплатные решения.
Рассмотрим, как работают типовые SIEM-решения. При мониторинге основным источником является журнал событий. Для серверов и рабочих станций под управлением Windows это журнал Event Log, для серверов UNIX и сетевого оборудования это Syslog. Приложения, как правило, сохраняют события либо в текстовых файлах, либо в таблицах баз данных.
Следующий вопрос: что именно хранится в этих журналах? Пожалуй, самым распространенным событием в журнале любой системы, производящей аутентификацию пользователей, является сообщение об удачном или неудачном вводе учетных данных. Для межсетевых экранов основное событие – это обращение на закрытый порт, для антивирусных систем – обнаружение вирусов.
В крупных организациях количество устройств, мониторинг которых необходимо осуществлять, измеряется как минимум десятками, а то и сотнями. И количество событий может исчисляться десятками тысяч в сутки. При таком объеме специалисту по безопасности крайне затруднительно производить выборку интересующих событий. Конечно, многие используют сценарии собственного написания для автоматизации процесса поиска интересующих событий (например, выборку событий неудачного ввода пароля при входе в систему), но в промышленных масштабах для мониторинга нужно более мощное решение.
Помимо собственно сбора и хранения событий, системы SIEM также должны осуществлять реагирование на инциденты ИБ. В качестве такой реакции может выступать уведомление администратора, создание уведомления об инциденте (ticket) или выполнение каких-либо действий, позволяющих нейтрализовать атакующий узел.
В решении задач управления ИТ-безопасностью системы SIEM являются ключевым элементом, так как без них крайне сложно своевременно реагировать на инциденты ИБ, особенно в крупной корпоративной среде.
Процессы управления ИБ
Система управления ИБ – не просто набор программных продуктов. Это система, которая позволяет управлять комплексом мер, реализующих некую задуманную стратегию в отношении информационной безопасности. При этом комплекс мер включает в себя организационные, технические, физические и другие процедуры. Таким образом, управление информационной безопасностью – процесс именно комплексный, что и позволяет реализовывать эффективное и всестороннее управление ИБ в компании.
Технические меры мы рассмотрели ранее, теперь поговорим об организационных. Основная задача системы ИБ состоит в обеспечении непрерывности бизнес-процессов. Если конкретнее – в обеспечении конфиденциальности, целостности и доступности информационных ресурсов, которые позволяют бизнесу непрерывно функционировать. Необходимо учитывать, что задач у стратегии управления ИТ-безопасностью очень много, но пытаться реализовать все сразу вряд ли имеет смысл, поэтому важно выделить критичные для конкретного вида бизнеса/ситуации приоритеты, реализовать их в первую очередь, а уже затем приступить к работе над всем остальным.
Какие преимущества может дать правильно спроектированная система управления ИБ?
Во-первых, подобная система в состоянии систематизировать существующие (а также планируемые) процессы обеспечения информационной безопасности. Во-вторых, она может отслеживать выполнение этих процессов, вносимые в них (и вообще во всю систему ИБ) изменения. В-третьих, система управления ИБ позволяет обеспечить такой немаловажный аспект, как прозрачность системы ИБ.
Ошибочно считать, что «заумные» фразы далеки от главной задачи, которую хотят осуществить все без исключения топ-менеджеры, не очень хорошо знакомые с ИТ, и многие ИТ-специалисты, узко понимающие проблему «мне/нам нужна система без всяких вирусов и хакеров». В действительности только такой комплекс высокоэффективных и легкоуправляемых процессов, относящихся к различным категориям – организационным, физическим и другим, – в состоянии реализовать по-настоящему качественную систему управления информационной безопасностью как сети компании, так и других ресурсов.
Стоит сказать несколько слов о необходимости построения системы управления ИБ. Ведь можно ограничиться внедрением лишь отдельных средств защиты и не разрабатывать никаких регламентов и процедур расследования инцидентов. Все зависит, во-первых, от ценности информационных ресурсов, а во-вторых, от зрелости информационной системы и принятых политик работы с критическими данными. Поэтому однозначно ответить на этот вопрос нельзя. Но, как правило, если компания начала внедрять средства ИБ, то рано или поздно настанет день, когда разросшуюся систему нужно будет укрощать, и делать это придется с помощью системы управления ИБ.
При построении системы управления ИБ необходимо опираться на какой-либо нормативный документ. В соответствии с международным опытом воспользуемся ISO 27001. Документ ISO 27001 – стандарт, регламентирующий различные аспекты управления безопасностью, такие как использование ресурсов, обеспечение физической безопасности, контроль доступа и прочее.
При создании системы управления ИБ можно выделить четыре этапа:
- подготовка,
- анализ рисков,
- разработка,
- внедрение.
Этап подготовки включает в себя определение области внедрения системы, выявление несоответствий имеющихся процессов обеспечения ИБ требуемым правилам. Необходимо провести все подготовительные меры, собрать и проанализировать имеющуюся в распоряжении информацию о стратегии, процессах и наличии или отсутствии технических средств. Обязательно нужно уделить внимание и формированию рабочей группы, отвечающей за внедрение системы управления ИБ.
Следующий этап – анализ рисков. Здесь несколько промежуточных этапов: инвентаризация имеющихся активов (с учетом ранее очерченной области внедрения), определение их ценности, угроз, которым они подвержены, оценка рисков (рассматривающая выполнение соотношения актив, ценность/реализованная угроза) и, наконец, их принятие/отклонение с учетом выработанных критериев и составление плана работы/устранения (или скорее адекватной минимизации) рисков.
Под словом «разработка» подразумевается работа над политиками и процедурами. Процедуры – это так называемые составляющие системы управления (например, процедура управления документацией). В процессе внедрения происходят запуск и отладка ранее созданных процессов и компонентов. Далее следуют этапы поддержки и сопровождения функционирующей системы и постоянный аудит информационной безопасности.
Стоит отметить, что управление ИБ – это непрерывный процесс, в котором основной движущей силой создания и развития системы является периодическая оценка рисков ИБ на основе результатов внутренних и внешних аудитов.
Кто должен внедрять систему управления ИБ
Прежде всего должна быть четко определена область применения системы управления ИБ, что особенно важно для организаций с развитой сетью филиалов. Нужно провести анализ среды внедрения и детально уточнить требования к системе – в этом случае шансы проекта на успех велики. Следует внимательно изучить как общую организационную структуру и ИТ-архитектуру организации, так и уровень зрелости менеджмента в целом.
Одним из главных факторов успеха является обеспечение поддержки руководства организации на максимально высоком уровне. Должен быть создан постоянно действующий комитет по координации работ в области ИБ. В него должны входить руководитель по ИБ, представители подразделений, отвечающие за ИТ, работу с персоналом, физическую безопасность, а также представители различных бизнес-подразделений.
Следует тщательно планировать этапы разработки и внедрения системы с учетом имеющихся и планируемых проектов ИТ. Необходимо информировать всех сотрудников организации о возложенных на них обязанностях в области ИБ, обучать их. Успешное построение крепкой основы системы управления ИБ возможно только при совместном участии всех подразделений.
Еще несколько слов о стандартах
Помимо ISO 27001, дополнительным инструментом могут стать ITIL (Information Technology Infrastructure Library), библиотека, набор документов, включающий в себя рекомендованные к использованию практики построения процессов работы компаний (подразделений), занимающихся деятельностью в сфере ИТ.
Библиотека ITIL если и не всеобъемлюща, то обширна и содержит семь разделов: от поддержки и доставки услуг до работы с бизнес-перспективами. Но нас интересует ITIL Security Management, где есть информация, которая может помочь качественному построению систем управления ИБ во всех аспектах этой непростой задачи. Документы библиотеки позволяют получить понимание процессов системы управления информационной безопасностью, их нюансов, места ИБ в единой инфраструктуре процессов компании, влиянии и значении последних для ИБ.
ITIL Security Management
Каковы основные вопросы, затрагиваемые ITIL SM? Проблематика разграничения доступа к различным информационным ресурсам, нюансы полного цикла управления рисками, процедуры работы с инцидентами. Построение системы управления ИБ на основе рекомендаций ITIL SM обеспечит реализацию требований по безопасности в соответствии с SLA (Service Level Agreement – соглашение об уровне сервиса), а также реализацию начального уровня ИБ. SLA – это главный документ (по ITIL), определяющий взаимодействие и взаимоотношения провайдера сервиса(ов) и его(их) пользователей или клиентов.
Самое главное – четкое понимание того, что все ISO и ITIL – всего лишь базовый набор правил, использование этих заготовок без адаптации к конкретной компании, ситуации и бизнес-процессам вряд ли приведет к хорошему результату. Стандарты – это прекрасная основа для дальнейшей работы, но не более того. Относительно стандарта ITIL нужно понимать, что, в то время как система управления ИБ относится к уровню стратегического управления, ITIL относится к оперативному управлению и, в общем-то, играет вспомогательную роль в построении эффективной системы.
***
В своей статье я рассмотрел основные средства реализации управления безопасностью ИТ-инфраструктуры. Сначала были представлены технические средства, которые являются инструментами при осуществлении процесса управления ИБ. Затем были описаны организационные меры и стандарты, на основе которых и должны строиться все процессы обеспечения информационной безопасности в организации.
- Приказ ФСТЭК №58 – http://www.fstec.ru/_docs/doc_781.htm.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|