ЛикБез по экономически эффективному плану обеспечения информационной безопасности для среднего и малого бизнеса

Тимур Бахриддинов, Евгений Мазыленко

От редакции: В 2012 году специалисты по информационной безопасности Тимур Бахриддинов и Евгений Мазыленко разработали пошаговый план внедрения стратегии кибербезопасности для малого и среднего бизнеса, который уже в первый год своего существования продемонстрировал феноменальные результаты. Мы связались с Евгением и Тимуром с просьбой познакомить читателей  "Системного администратора" с этой разработкой и объяснить, каким образом системные администраторы и технические руководители организаций могут приступить к его внедрению уже сегодня.

Современный мир развивается настолько динамично, что порой просто невозможно найти время для того, чтобы ознакомиться со всеми новыми технологиями, которые развитие привносит в нашу жизнь. Даже специалисты, которые постоянно отслеживают появление новых технологий в своей отрасли, упускают львиную долю новых технологий в других. Менеджеры часто фокусируются на камерах и сигнализациях, забывая о самом уязвимом месте компании - носителях информации.

Информационная безопасность стала жизненно важным элементом в современном техническом менеджменте организации. Изучив за годы работы сотни кейсов наших клиентов, мы разработали эффективный и незатратный план обеспечения информационной безопасности для малых и средних предприятий, не требующий узкой специализации или найма дорогостоящих специалистов.  Вскоре после того, как наши клиенты продемонстрировали выдающиеся результаты после имплементации разработанного нами плана (сокращение утечек данных до 0 в 60% случаев), многие организации также начали применять этот подход с аналогичными результатами.

Наличие в компании специалиста по кибербезопасности - несомненный плюс, однако, мы понимаем, что таких специалистов на рынке немного и стоимость их услуг весьма высока, поэтому в разработке нашего плана мы стремились к минимальной стоимости его интеграции в стратегию технического управления бизнеса.

Обладая успешным опытом работы с современными фреймворками, такими как NIST и SANS, в разработке плана информационной безопасности мы сделали фокус на категоризации объектов для постоянного мониторинга, а также на доступности программного обеспечения. Следует отметить, что большинство элементов плана можно полностью автоматизировать, остальные - частично. Выбор элементов основан на частоте актуальных угроз.

Итак, какие элементы контроля информационной безопасности мы выделяем и как их применять на практике? Ниже приведен список этих элементов и базовые инструкции по их имплементации. Более подробные сведения вы можете изучить в нашем мануале. 

1. Защита от вредоносного ПО и безопасность используемых программ

Создайте список одобренного ПО, настройте антивирус на отправку событий на серверы и журналы. Настройте антивирус на ежечасное обновление и включите Microsoft MSRT для ежемесячного удаления вредоносного ПО.

Используйте проект OWASP Top 10 для обучения разработчиков избегать распространенных уязвимостей. Проводите регулярные встречи с командами разработчиков и тестировщиков. Создайте тестовую среду с инструментами, такими как Samurai WTF, и интегрируйте безопасность на всех этапах разработки (SDLC). 

2. Контроль разрешенных и неразрешенных устройств и ПО

Цель – отслеживать все устройства и ПО в сети в режиме реального времени. SourceFire RNA с оповещениями New Host и New MAC found автоматизирует мониторинг устройств. Для контроля ПО используйте Kaspersky Anti-Virus, Qualys BrowserCheck, SCCM, Dell Kace KBox и Splunk для Linux. Автоматизируйте отчеты для упрощения контроля.

3. Ведение и анализ журналов аудита безопасности

Централизуйте сбор и хранение журналов с помощью решений для их анализа. Настройте систему для поиска ключевых событий и создания оповещений. Используйте инструменты, такие как ELSA, и ресурсы от Microsoft для создания отчетов.

4. Безопасные конфигурации аппаратного и программного обеспечения

Цель – разработать и мониторить безопасные конфигурации систем.

• Создание стандартов конфигурации: следуйте текущим стандартам безопасных настроек.
• Регулярные аудиты: используйте MBSA для сравнения системы с заданными стандартами.
• Настройка политики безопасности: применяйте шаблоны безопасности Microsoft через групповую политику на контроллере домена.
• Базовые параметры системы: отслеживайте изменения.
• Для Linux используйте md5sum для создания и сравнения контрольных sum файлов.

5. Защита границ сети

Мониторьте входящий и исходящий трафик, используя руководства производителей и поддерживая зоны безопасности. Используйте инструменты, такие как Linux Security Onion, для мониторинга. Оповещайте команду безопасности о входах и изменениях политики. 

6. Безопасная конфигурация сетевых устройств

Поддерживайте безопасные конфигурации брандмауэров, маршрутизаторов и коммутаторов, используя руководства от NSA, CIS и DISA STIGs. Регулярно обновляйте сетевую схему, используйте аутентификацию Radius и двухфакторную аутентификацию. Оповещайте администраторов о входах и изменениях.

7. Постоянная оценка и устранение уязвимостей

Настройте ежедневное сканирование сетей, используйте системы обнаружения вторжений. Автоматически обновляйте продукты с помощью Microsoft WSUS. Отслеживайте уязвимости в таблице, проверяйте применение исправлений.

8. Контролируемое использование административных привилегий

Следите за учетными записями с повышенным доступом, утверждайте новые записи, проверяйте необходимость доступа ежегодно. Используйте разные пароли для разных систем, требуйте регулярную смену паролей. Записывайте все действия администраторов, создавайте ежедневные отчеты. Изолируйте системы и данные по отделам, проверяйте доступ сотрудников ежемесячно.

9. Мониторинг и контроль учетных записей

Настройте автоматические оповещения о изменениях в учетных записях. Проводите ежеквартальный обзор учетных записей. При переводе сотрудников отменяйте старые доступы. Создавайте оповещения о новых учетных записях, администраторских доступах и блокировках.

10. Ограничение и контроль сервисов и услуг

Фильтруйте входящий и исходящий трафик. Используйте SourceFire RNA для мониторинга новых потоков. Сканируйте сеть с помощью nmap для выявления всех служб и их обоснования.

11. Контроль беспроводных устройств

Используйте активные и пассивные сканеры для обнаружения беспроводных сетей. Регулярное сканирование с помощью Nessus помогает обнаруживать несанкционированные точки доступа.

12. Контроль потери данных (DLP)

Определяйте критические данные и создавайте правила фильтрации для обнаружения нешифрованной передачи чувствительной информации. Обучайте пользователей безопасной работе с данными, используйте сигнатуры Snort для поиска критических данных, настройте системы оповещения для быстрого реагирования на угрозы.

13. Проектирование безопасных сетей

Планируйте и соблюдайте принципы безопасности, выявляйте и исправляйте уязвимости. Отслеживайте разрешенные соединения и проверяйте правила брандмауэра. Сегментируйте сети по зонам безопасности и вовлекайте команду в обсуждения и упражнения по безопасности.

14. Проверка на проникновение

Проводите активные попытки эксплуатации уязвимостей во всех зонах сети. Документируйте проблемы для предотвращения повторений. Используйте платформу BackTrack для тестирования, регулярно изучайте её инструменты.

15. Возможность реагирования на инциденты

Создайте механизмы для быстрого сообщения о подозрительных действиях (телефоны, email), обучите сотрудников. Проводите ежемесячное обучение группы реагирования на инциденты (IRT), улучшайте учебные программы.

16. Возможности восстановления данных

Разработайте письменный план восстановления, идентифицируйте критические бизнес-процессы. Тестируйте резервное копирование и восстановление, документируйте процедуры для минимизации времени восстановления.

17. Оценка навыков безопасности и обучение для устранения пробелов

Оцените навыки безопасности команды, обеспечьте обучение для устранения пробелов. Участвуйте в мероприятиях сообщества, создайте домашнюю лабораторию, проводите регулярное обучение для улучшения навыков.   

                                                                                 ***

Стоит отметить, что это выдержка из разработанного нами плана. При этом, мы убеждены, что следуя этим простым шагам, компетентный системный администратор, работающий в малой или средней организации, сможет убедиться на практике, что правильное планирование и внедрение этих критически важных элементов контроля позволяют эффективно обеспечивать информационную безопасность в организации с минимальными вложениями и, что крайне важно, в кратчайшие сроки.

25 марта 2013 г.