ЛикБез по экономически эффективному плану обеспечения информационной безопасности для среднего и малого бизнеса
Тимур Бахриддинов, Евгений Мазыленко
От редакции: В 2012 году специалисты по информационной безопасности Тимур Бахриддинов и Евгений Мазыленко разработали пошаговый план внедрения стратегии кибербезопасности для малого и среднего бизнеса, который уже в первый год своего существования продемонстрировал феноменальные результаты. Мы связались с Евгением и Тимуром с просьбой познакомить читателей "Системного администратора" с этой разработкой и объяснить, каким образом системные администраторы и технические руководители организаций могут приступить к его внедрению уже сегодня.
Современный мир развивается настолько динамично, что порой просто невозможно найти время для того, чтобы ознакомиться со всеми новыми технологиями, которые развитие привносит в нашу жизнь. Даже специалисты, которые постоянно отслеживают появление новых технологий в своей отрасли, упускают львиную долю новых технологий в других. Менеджеры часто фокусируются на камерах и сигнализациях, забывая о самом уязвимом месте компании - носителях информации.
Информационная безопасность стала жизненно важным элементом в современном техническом менеджменте организации. Изучив за годы работы сотни кейсов наших клиентов, мы разработали эффективный и незатратный план обеспечения информационной безопасности для малых и средних предприятий, не требующий узкой специализации или найма дорогостоящих специалистов. Вскоре после того, как наши клиенты продемонстрировали выдающиеся результаты после имплементации разработанного нами плана (сокращение утечек данных до 0 в 60% случаев), многие организации также начали применять этот подход с аналогичными результатами.
Наличие в компании специалиста по кибербезопасности - несомненный плюс, однако, мы понимаем, что таких специалистов на рынке немного и стоимость их услуг весьма высока, поэтому в разработке нашего плана мы стремились к минимальной стоимости его интеграции в стратегию технического управления бизнеса.
Обладая успешным опытом работы с современными фреймворками, такими как NIST и SANS, в разработке плана информационной безопасности мы сделали фокус на категоризации объектов для постоянного мониторинга, а также на доступности программного обеспечения. Следует отметить, что большинство элементов плана можно полностью автоматизировать, остальные - частично. Выбор элементов основан на частоте актуальных угроз.
Итак, какие элементы контроля информационной безопасности мы выделяем и как их применять на практике? Ниже приведен список этих элементов и базовые инструкции по их имплементации. Более подробные сведения вы можете изучить в нашем мануале.
- Защита от вредоносного ПО и безопасность используемых программ
Создайте список одобренного ПО, настройте антивирус на отправку событий на серверы и журналы. Настройте антивирус на ежечасное обновление и включите Microsoft MSRT для ежемесячного удаления вредоносного ПО.
Используйте проект OWASP Top 10 для обучения разработчиков избегать распространенных уязвимостей. Проводите регулярные встречи с командами разработчиков и тестировщиков. Создайте тестовую среду с инструментами, такими как Samurai WTF, и интегрируйте безопасность на всех этапах разработки (SDLC).
- Контроль разрешенных и неразрешенных устройств и ПО
Цель – отслеживать все устройства и ПО в сети в режиме реального времени. SourceFire RNA с оповещениями New Host и New MAC found автоматизирует мониторинг устройств. Для контроля ПО используйте Kaspersky Anti-Virus, Qualys BrowserCheck, SCCM, Dell Kace KBox и Splunk для Linux. Автоматизируйте отчеты для упрощения контроля.
- Ведение и анализ журналов аудита безопасности
Централизуйте сбор и хранение журналов с помощью решений для их анализа. Настройте систему для поиска ключевых событий и создания оповещений. Используйте инструменты, такие как ELSA, и ресурсы от Microsoft для создания отчетов.
- Безопасные конфигурации аппаратного и программного обеспечения
Цель – разработать и мониторить безопасные конфигурации систем.
- Создание стандартов конфигурации: следуйте текущим стандартам безопасных настроек.
- Регулярные аудиты: используйте MBSA для сравнения системы с заданными стандартами.
- Настройка политики безопасности: применяйте шаблоны безопасности Microsoft через групповую политику на контроллере домена.
- Базовые параметры системы: отслеживайте изменения.
- Для Linux используйте md5sum для создания и сравнения контрольных sum файлов.
- Защита границ сети
Мониторьте входящий и исходящий трафик, используя руководства производителей и поддерживая зоны безопасности. Используйте инструменты, такие как Linux Security Onion, для мониторинга. Оповещайте команду безопасности о входах и изменениях политики.
- Безопасная конфигурация сетевых устройств
Поддерживайте безопасные конфигурации брандмауэров, маршрутизаторов и коммутаторов, используя руководства от NSA, CIS и DISA STIGs. Регулярно обновляйте сетевую схему, используйте аутентификацию Radius и двухфакторную аутентификацию. Оповещайте администраторов о входах и изменениях.
- Постоянная оценка и устранение уязвимостей
Настройте ежедневное сканирование сетей, используйте системы обнаружения вторжений. Автоматически обновляйте продукты с помощью Microsoft WSUS. Отслеживайте уязвимости в таблице, проверяйте применение исправлений.
- Контролируемое использование административных привилегий
Следите за учетными записями с повышенным доступом, утверждайте новые записи, проверяйте необходимость доступа ежегодно. Используйте разные пароли для разных систем, требуйте регулярную смену паролей. Записывайте все действия администраторов, создавайте ежедневные отчеты. Изолируйте системы и данные по отделам, проверяйте доступ сотрудников ежемесячно.
- Мониторинг и контроль учетных записей
Настройте автоматические оповещения о изменениях в учетных записях. Проводите ежеквартальный обзор учетных записей. При переводе сотрудников отменяйте старые доступы. Создавайте оповещения о новых учетных записях, администраторских доступах и блокировках.
- Ограничение и контроль сервисов и услуг
Фильтруйте входящий и исходящий трафик. Используйте SourceFire RNA для мониторинга новых потоков. Сканируйте сеть с помощью nmap для выявления всех служб и их обоснования.
- Контроль беспроводных устройств
Используйте активные и пассивные сканеры для обнаружения беспроводных сетей. Регулярное сканирование с помощью Nessus помогает обнаруживать несанкционированные точки доступа.
- Контроль потери данных (DLP)
Определяйте критические данные и создавайте правила фильтрации для обнаружения нешифрованной передачи чувствительной информации. Обучайте пользователей безопасной работе с данными, используйте сигнатуры Snort для поиска критических данных, настройте системы оповещения для быстрого реагирования на угрозы.
- Проектирование безопасных сетей
Планируйте и соблюдайте принципы безопасности, выявляйте и исправляйте уязвимости. Отслеживайте разрешенные соединения и проверяйте правила брандмауэра. Сегментируйте сети по зонам безопасности и вовлекайте команду в обсуждения и упражнения по безопасности.
- Проверка на проникновение
Проводите активные попытки эксплуатации уязвимостей во всех зонах сети. Документируйте проблемы для предотвращения повторений. Используйте платформу BackTrack для тестирования, регулярно изучайте её инструменты.
- Возможность реагирования на инциденты
Создайте механизмы для быстрого сообщения о подозрительных действиях (телефоны, email), обучите сотрудников. Проводите ежемесячное обучение группы реагирования на инциденты (IRT), улучшайте учебные программы.
- Возможности восстановления данных
Разработайте письменный план восстановления, идентифицируйте критические бизнес-процессы. Тестируйте резервное копирование и восстановление, документируйте процедуры для минимизации времени восстановления.
- Оценка навыков безопасности и обучение для устранения пробелов
Оцените навыки безопасности команды, обеспечьте обучение для устранения пробелов. Участвуйте в мероприятиях сообщества, создайте домашнюю лабораторию, проводите регулярное обучение для улучшения навыков.
***
Стоит отметить, что это выдержка из разработанного нами плана. При этом, мы убеждены, что следуя этим простым шагам, компетентный системный администратор, работающий в малой или средней организации, сможет убедиться на практике, что правильное планирование и внедрение этих критически важных элементов контроля позволяют эффективно обеспечивать информационную безопасность в организации с минимальными вложениями и, что крайне важно, в кратчайшие сроки.
25 марта 2013 г.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
|
ЛикБез по экономически эффективному плану обеспечения информационной безопасности для среднего и малого бизнеса.
