Методология

Экспресс-обследование IT-инфраструктуры при внедрении результативной кибербезопасности

Ядро методологии

Содержание

alukash.jpgАлексей Лукаш

Аудит IT-инфраструктуры является ключевым инструментом для оценки IT-ландшафта организации с точки зрения кибербезопасности. Он помогает выявлять слабые места и потенциальные угрозы в системах, что позволяет предпринять необходимые меры для их устранения, сократить поверхность атаки и уменьшить риск сбоев оборудования. Проведение аудита IT-инфраструктуры также позволяет выявлять избыточные или устаревшие компоненты и разрабатывать рекомендации по их обновлению. Полное понимание всех ее элементов способствует повышению финансовой эффективности организации за счет обнаружения и устранения излишних ресурсов. Кроме того, аудит позволяет собрать информацию, анализ которой поможет установить соответствие требованиям регуляторов и различных стандартов, выявить отклонения от этих требований и сформировать план по их устранению.

Как можно заметить, такой аудит обладает множеством полезных для организации свойств. Однако это ресурсоемкий процесс, требующий привлечения опытных экспертов и занимающий много времени, и чаще всего организациям приходится балансировать между тщательностью проведения аудита и эффективностью работы самой организации.

В контексте результативной кибербезопасности (РКБ) актуальная и достоверная информация об IT-инфраструктуре имеет критическое значение. Чтобы построить устойчивую к кибератакам инфраструктуру, специалистам подразделений информационных технологий и информационной безопасности важно иметь полное представление о текущей конфигурации IT-ландшафта. Вся собранная информация становится основой при «приземлении» недопустимых событий на IT-инфраструктуру и на всех последующих этапах. В силу своей масштабности проведение полноценного аудита может значительно усложнить весь процесс реализации принципов РКБ. Однако, применяя подход, основанный на недопустимых событиях, можно провести экспресс-обследование, подразумевающее анализ только тех составляющих инфраструктуры, которые имеют прямое отношение к целевым и ключевым системам, а также к точкам проникновения. Именно такой вид обследования мы и рассмотрим в этой статье.

Определение границ IT-инфраструктуры и сбор общих технических характеристик

Экспресс-обследование IT-инфраструктуры в контексте недопустимых событий тесно связано с этапом их проработки, поскольку на момент начала работ по анализу IT-ландшафта должны быть определены границы, включающие ключевые и целевые системы. Так как данные этой системы находятся внутри IT-инфраструктуры, важно получить полную информацию о ее текущей конфигурации и технических характеристиках. Это необходимо для определения спецификаций будущей системы обеспечения ИБ, создаваемой в рамках построения киберустойчивой IT-инфраструктуры.

Под сбором технических характеристик IT-инфраструктуры подразумевается определение количества площадок, инвентаризация IT-активов, анализ сетевой инфраструктуры и используемых веб-сервисов. Рассмотрим данные этапы подробнее.

  1. Определение сведений о площадках IT-инфраструктуры

    Этап определения сведений о площадках необходим для формирования общих границ IT-инфраструктуры организации. В рамках этого этапа проводится классификация площадок, что позволяет определить их типы (офисы, дата-центры, удаленные локации). Собираются сведения о каналах связи между площадками, их пропускной способности, резервировании и сценариях реагирования при отказе одного или всех каналов связи.

    Это важно для понимания структурных особенностей каждой площадки, их роли в общей системе, а также для учета их географической дислокации, где размещены IT-ресурсы.

  2. Инвентаризация IT-активов

    На начальном этапе экспресс-обследования важно произвести инвентаризацию основных IT-активов организации. Необходимо провести инвентаризацию оборудования, что подразумевает учет всех серверов, рабочих станций, периферийных устройств, сетевого оборудования, систем и сетей хранения данных, систем резервного копирования (например, ленточных библиотек) и оборудования систем информационной безопасности (например, криптографического оборудования).

    Создание детализированного списка оборудования дает ясное понимание наличия и состояния каждого устройства, что критически важно для оценки его роли в IT-инфраструктуре.

    Далее проводится инвентаризация ПО. Это нужно для выявления всех используемых программных решений, включая операционные системы, прикладное ПО, сервисы электронной почты, системы управления инфраструктурой, инвентаризационные системы и другие программные продукты. Инвентаризация ПО позволит в дальнейшем оценить актуальность текущего ПО и выявить в нем потенциальные уязвимости, которые могут быть использованы злоумышленниками, что станет основой для определения векторов атаки и разработки программы кибертрансформации.

  3. Анализ сетевой инфраструктуры

    Следующим шагом является анализ сетевой инфраструктуры организации. Необходимо провести анализ архитектуры сети, что подразумевает составление или актуализацию схем локально вычислительных сетей (ЛВС) организации, а также детальное описание имеющихся сетевых сегментов и методов их сегментации. Основная цель этого анализа — получение четкого понимания физической и логической топологии сети, то есть того, как именно связаны устройства друг с другом и как организована передача данных между ними. Подобный анализ проводится как отдельно для каждой площадки, так и для WAN-сети, обеспечивающей взаимодействие между всеми площадками.

    Также важно провести анализ сетевых устройств, включающий в себя создание полного списка всех маршрутизаторов, коммутаторов, точек доступа и средств защиты, таких как брандмауэры и файрволы. Получение полного понимания конфигурации этих устройств критически важно для формирования актуальной матрицы сетевой связанности и выявления потенциальных уязвимостей в защите организации, поскольку устаревшие или неправильно настроенные устройства могут использоваться хакером для реализации недопустимых событий.

  4. Анализ систем хранения данных и систем резервного копирования

    В ходе обследования собираются сведения о физическом хранении данных ключевых и целевых систем. Анализируется, используются ли для этого диски серверов, программно-определяемые хранилища или аппаратные системы хранения данных. Также уточняется способ подключения этих систем хранения данных к серверному оборудованию, особенности управления этими системами, а также информация о персонале, ответственном за управление.

    В части, связанной с системой резервного копирования, выясняется факт ее наличия и изучаются детали архитектуры. Исследуется наличие выделенной сети для резервного копирования, а также расположение резервных копий: находятся ли они рядом с продуктивными данными или хранятся на отдельных устройствах. Дополнительно выясняется наличие неизменяемых копий и копий, размещенных на других площадках.

  5. Анализ применяемых веб-сервисов

    Анализ веб-сервисов, используемых в организации, с точки зрения информационной безопасности необходим для обеспечения защищенности данных и IT-инфраструктуры. Необходимо определить все активные веб-сервисы, включая как внутренние, так и внешние приложения и платформы. Это позволяет составить доступное представление о системах, используемых в организации, и выделить возможные точки проникновения.

Сбор данных о процессах IT и ИБ

После того как были обозначены границы IT-инфраструктуры, следующий этап подразумевает сбор информации, касающейся процессов информационной безопасности и информационных технологий, чтобы оценить их текущее состояние и выявить возможные уязвимости в конфигурации. Основные пункты, которые необходимо проанализировать, приведены в таблице 1.

Оцениваемый процессКомментарий
Идентификация и аутентификация пользователейОпределить места и условия хранения учетных записей
Оценить парольную политику, сложность применяемых паролей и регулярность их обновления
Проверить наличие многофакторной аутентификации (MFA) для повышения безопасности входа в системы
Регистрация событий безопасностиОпределить, какие события регистрируются (например, успешные и неуспешные попытки входа, изменение учетных записей и критические системные события)
Определить места и условия хранения журналов, лог-файлов
Управление конфигурацией информационных системОпределить, ведется ли база данных управляемых элементов конфигураций (включая оборудование, ПО, сети и др.)
Защита от DDoS-атакОпределить применяемые средства защиты от DDoS атак
Защита веб-приложенийОпределить способы обеспечения защиты веб-приложений (наличие файрволов веб-приложений – WAF)
Средства анализа защищенностиОпределить, применяются ли сканеры уязвимостей (если да, то как часто)
Средства мониторинга событий ИБКакие решения используются для мониторинга событий ИБ
Средства обнаружения вторженийПрименяются ли в организации системы, обнаруживающие и предотвращающие подозрительную активность в сети и на устройствах (IDS/IPS-системы). Если да, указать производителя и версию ПО
Средства антивирусной защитыКак устроена защита конечных точек от воздействия вредоносного кода (производитель, версия ПО)
Средства управления правами доступаИспользуемые системы управления доступом (производитель, версия ПО)
VPN-решенияКаким образом осуществляется шифрование соединения при удаленном подключении к корпоративным ресурсам
Резервное копированиеКак устроен процесс резервного копирования, разработаны ли планы восстановления

Таблица 1. Перечень основных компонентов процессов IT и ИБ, оцениваемых в рамках экспресс-обследования

Анализ целевых систем

После того как мы определили общие границы инфраструктуры, ее компоненты и обеспечивающие процессы ИБ и IT, мы опускаемся на уровень целевых систем (далее — ЦС). Это необходимо для понимания особенностей их функционирования, определения связей с другими системами и последующего выявления потенциальных уязвимостей.

На этом этапе важно провести подробный анализ каждой ЦС, включая ее архитектуру, применяемые технологии и механизмы защиты.

Анализ ЦС предлагается проводить с нескольких сторон:

  • со стороны текущей конфигурации IT-ландшафта ЦС;
  • со стороны пользователей ЦС;
  • со стороны применяемых мер и средств защиты информации.

Такой подход позволяет оценить важность каждого компонента, его влияние на общую безопасность целевой системы и достаточность мер, обеспечивающих киберустойчивость.

Детально разберем каждое из трех направлений этого анализа.

  1. Анализ целевых систем со стороны конфигурации IT-ландшафта

Анализ ЦС с точки зрения ее конфигурации начинается с определения всех компонентов, задействованных в ее функционировании. Важно определить:

  • физические и виртуальные серверы, используемые в ЦС для обработки данных;
  • сетевое оборудование, применяемое для коммутации информационных потоков ЦС;
  • системное и прикладное ПО, применяемое для решения бизнес-задач и обеспечивающее функционирование ЦС;
  • регулярность проверки обновлений и патчинга ПО;
  • используемые системы хранения данных (базы данных, облачные решения и локальные хранилища);
  • имеющуюся документацию, описывающую конфигурацию IT-ландшафта ЦС (архитектурные схемы, схемы сети, документы по конфигурации и эксплуатации применяемых решений, входящих в состав ЦС).

Необходимо проанализировать компонентный состав ПО и надежность аппаратных компонентов ИС. Помимо этого, важно оценить безопасность мест хранения данных, эффективность управления сетевыми ресурсами и уровень автоматизации процессов. В рамках анализа следует выявить узкие места и потенциальные риски, связанные с использованием устаревших технологических решений.

  1. Анализ целевых систем со стороны пользователей

При анализе целевых систем важным аспектом является перечень клиентских устройств, с которых пользователи подключаются к информационной системе. Обычно это компьютеры, ноутбуки, планшеты и смартфоны, использующие веб-интерфейсы для доступа к функциям системы. В рамках анализа ЦС с точки зрения пользователей необходимо в первую очередь определить:

  • количество пользователей ЦС;
  • типы устройств, с которых осуществляется подключение.

Также ключевым элементом при анализе ЦС является определение того, как организован доступ пользователей к ресурсам информационной системы, поскольку правильно выстроенная система предоставления прав доступа позволяет минимизировать потенциальные угрозы, связанные с несанкционированным доступом к информации и ресурсам ЦС или повышением полномочий пользователей, что может быть использовано злоумышленником. Следует выяснить:

  1. Применяется ли принцип наименьших привилегий пользователей.
  2. Сколько пользователей имеют права доступа уровня «администратор».
  3. Какая система используется для управления доступом пользователей.
  4. Ведется ли журнал доступа к системе и ее ресурсам, кто и как анализирует подозрительную активность.
  5. Как часто проводится аудит и пересмотр прав доступа пользователей.

Кроме того, для сотрудников организации и подрядчиков может быть реализован удаленный доступ к ЦС. Поэтому также важно определить опубликованные наружу сервисы. Что касается самих подрядных организаций, имеющих доступ к ЦС, то необходимо удостовериться, что для них используются только учетные записи с ограниченной функциональностью и доступом только к нужным сегментам ИС, а также что применяются средства многофакторной аутентификации и установлен контроль доступа.

  1. Анализ целевых систем со стороны применяемых мер и средств защиты информации

Анализ ЦС с точки зрения внедренных средств защиты информации позволяет выявить потенциальные уязвимости и оценить эффективность существующих механизмов защиты.

Первым шагом такого анализа является определение информации, обрабатываемой в ЦС, чтобы в дальнейшем сформировать меры, достаточные для ее защиты в рамках реализации РКБ.

Далее проводится сбор информации о применяемых мерах и средствах защиты информации в конкретной ЦС. Существенную помощь в этом процессе оказывают данные, определенные при формировании общего перечня используемых решений IT и ИБ. Проанализировав этот перечень, нужно выделить те средства и меры обеспечения безопасности, которые непосредственно относятся к рассматриваемой ЦС и используются для обеспечения ее безопасности.

Обработка и фиксация результатов экспресс-обследования IT-инфраструктуры

В рамках проведения экспресс-обследования IT-инфраструктуры эксперты собирают и анализируют полученные данные. Обработанная информация позволяет экспертам выявить уязвимости в организации защитных мер, которые могут быть использованы хакерами для получения несанкционированного доступа к ресурсам организации и последующей реализации недопустимых событий. Понимание этих векторов атак является критически важным при реализации принципов РКБ, поскольку на их основе будут разрабатываться рекомендации по усилению защитных свойств IT-инфраструктуры и реализовываться этап кибертрансформации.

Результаты обследования могут фиксироваться в различных форматах, обеспечивающих максимальную ясность и доступность для руководства организации. Чаще всего это детализированный отчет, включающий описание ландшафта IT и ИБ, диаграммы, визуализирующие текущую архитектуру сети, выявленные слабые места и точки проникновения. Кроме того, составляется резюме с кратким изложением основных уязвимостей и рекомендациями для быстрого ознакомления.

Выбор экспертов для проведения экспресс-обследования IT-инфраструктуры

Результат проведения любого аудита во многом зависит от экспертов, которые выполняют работу. Квалификация, опыт и методология, применяемая экспертами, играют важную роль при формировании данных о состоянии проверяемых активов. Для экспресс-обследования организации могут выбрать одну из двух опций, рассмотренных в таблице 2.

Привлечение сторонних организаций и экспертовПроведение работ своими силами
Обратившись к внешним специалистам, можно рассчитывать на высокую квалификацию и опыт экспертов. Они специализируются на проведении таких работ, имеют богатый опыт и доступ к актуальным методикам. В своих суждениях внешние эксперты объективны, а арсенал инструментов для аудита неоднократно использовался на других проектах, что позволяет прогнозировать сроки проведения работ. К недостаткам можно отнести стоимость проводимых работ и доверие организации к поставщику услугПри самостоятельном проведении работ важно учитывать квалификацию штатных сотрудников. Они должны обладать достаточными знаниями и опытом в областях IT и ИБ. Следует учитывать, что специалисты из штатного расписания могут быть менее беспристрастными, поскольку могут являться ответственными за оцениваемые активы. Такая ситуация может негативно сказаться на объективности обследования и его результатах

Таблица 2. Варианты выбора экспертов для проведения экспресс-обследования

Инструменты для проведения экспресс-обследования IT-инфраструктуры

Каждая организация самостоятельно определяет подходы к проведению обследования своей IT-инфраструктуры. Экспертов можно выбирать по-разному, однако существуют и общие черты, касающиеся инструментов, которые буду применяться для проведения работ.

При проведении работ эксперты в первую очередь опираются на свой опыт. Они используют опросные листы и проводят интервью с ключевыми сотрудниками организации, чтобы получить информацию, в том числе об особенностях функционирования IT-инфраструктуры, которые могут быть не задокументированы. Однако, если специалисты оцениваемой организации по каким-то причинам не обладают полным пониманием конфигурации IT-инфраструктуры, эксперты могут прибегать к автоматизированным решениям для сбора данных.

Например, для определения конфигурации сетевого оборудования могут применяться сканеры сети и ПО для учета IT-устройств, однако анализ оборудования с точки зрения наличия уязвимостей производится экспертным методом. В таблице 3 приведен перечень инструментов и методов, которые могут применяться при обследовании IT-инфраструктуры и помогут собрать исчерпывающую информацию в короткие сроки.

Типы инструментовПримеры инструментов
Автоматизированные средства инвентаризации оборудования и ПОПрограммы для сканирования сети и сбора информации об установленных устройствах и приложениях
Модули управления конфигурацией (CMDB)
Средства визуализации и анализа IT-инфраструктурыДиаграммы связей и зависимостей между компонентами IT-инфраструктуры
Топологические схемы сетей и размещения оборудования
Дашборды для отображения ключевых метрик и показателей
Инструменты анализа ПОСканеры уязвимостей
Средства анализа производительности и эффективности используемого ПО
Средства аудита процессов IT и ИБИнтервью со специалистами отделов IT и ИБ организации
Опросные листы
Анализ технической документации и регламентов организации
Специализированные аудиторские инструментыКомплексные решения для IT-аудита с набором готовых методик
Гибкие платформы для настройки собственных процедур проверки

Таблица 3. Перечень инструментов для проведения экспресс-обследования IT-ландшафта

Заключение

В заключение отметим, что экспресс-обследование IT-инфраструктуры представляет собой важный инструмент для скорой актуализации информации о состоянии защищенности основных ее ресурсов, используемых для достижения стратегических целей организации. Он позволяет оперативно выявить имеющиеся уязвимости и определить точки приложения усилий для реализации принципов РКБ.

Основное отличие экспресс-обследования от полноценного IT-аудита инфраструктуры заключается в том, что проводится анализ не всего ландшафта, а его отдельных составляющих, которые могут быть интересны злоумышленнику с точки зрения нанесения максимального урона организации. Такой подход позволяет более точно спрогнозировать даты окончания работ и получить информацию о состоянии IT-инфраструктуры в короткие сроки.

Однако полученные данные являются лишь частью более обширного процесса. Полноценный IT-аудит остается неотъемлемой частью стратегии безопасности любой организации, так как он обеспечивает глубокий анализ и долгосрочное планирование развития всей IT-инфраструктуры организации, а не отдельных ее частей. Наличие актуальной и достоверной информации о состоянии инфраструктуры IT и ИБ в любой момент времени способствует поддержанию высокой степени защищенности и адаптируемости к новым киберугрозам. Поэтому экспресс-обследование должно восприниматься как важное дополнение, описывающее актуальное состояние наиболее важных объектов IT-инфраструктуры организации, необходимое для выстраивания результативной кибербезопасности в короткий срок.

Следующие статьи

Инвентаризация IT-активов