Алексей ЛукашЭкспресс-обследование IT-инфраструктуры при внедрении результативной кибербезопасности
Ядро методологииАлексей ЛукашАлексей ЛукашАлексей ЛукашАудит IT-инфраструктуры является ключевым инструментом для оценки IT-ландшафта организации с точки зрения кибербезопасности. Он помогает выявлять слабые места и потенциальные угрозы в системах, что позволяет предпринять необходимые меры для их устранения, сократить поверхность атаки и уменьшить риск сбоев оборудования. Проведение аудита IT-инфраструктуры также позволяет выявлять избыточные или устаревшие компоненты и разрабатывать рекомендации по их обновлению. Полное понимание всех ее элементов способствует повышению финансовой эффективности организации за счет обнаружения и устранения излишних ресурсов. Кроме того, аудит позволяет собрать информацию, анализ которой поможет установить соответствие требованиям регуляторов и различных стандартов, выявить отклонения от этих требований и сформировать план по их устранению.
Как можно заметить, такой аудит обладает множеством полезных для организации свойств. Однако это ресурсоемкий процесс, требующий привлечения опытных экспертов и занимающий много времени, и чаще всего организациям приходится балансировать между тщательностью проведения аудита и эффективностью работы самой организации.
В контексте результативной кибербезопасности (РКБ) актуальная и достоверная информация об IT-инфраструктуре имеет критическое значение. Чтобы построить устойчивую к кибератакам инфраструктуру, специалистам подразделений информационных технологий и информационной безопасности важно иметь полное представление о текущей конфигурации IT-ландшафта. Вся собранная информация становится основой при «приземлении» недопустимых событий на IT-инфраструктуру и на всех последующих этапах. В силу своей масштабности проведение полноценного аудита может значительно усложнить весь процесс реализации принципов РКБ. Однако, применяя подход, основанный на недопустимых событиях, можно провести экспресс-обследование, подразумевающее анализ только тех составляющих инфраструктуры, которые имеют прямое отношение к целевым и ключевым системам, а также к точкам проникновения. Именно такой вид обследования мы и рассмотрим в этой статье.
Экспресс-обследование IT-инфраструктуры в контексте недопустимых событий тесно связано с этапом их проработки, поскольку на момент начала работ по анализу IT-ландшафта должны быть определены границы, включающие ключевые и целевые системы. Так как данные этой системы находятся внутри IT-инфраструктуры, важно получить полную информацию о ее текущей конфигурации и технических характеристиках. Это необходимо для определения спецификаций будущей системы обеспечения ИБ, создаваемой в рамках построения киберустойчивой IT-инфраструктуры.
Под сбором технических характеристик IT-инфраструктуры подразумевается определение количества площадок, инвентаризация IT-активов, анализ сетевой инфраструктуры и используемых веб-сервисов. Рассмотрим данные этапы подробнее.
Этап определения сведений о площадках необходим для формирования общих границ IT-инфраструктуры организации. В рамках этого этапа проводится классификация площадок, что позволяет определить их типы (офисы, дата-центры, удаленные локации). Собираются сведения о каналах связи между площадками, их пропускной способности, резервировании и сценариях реагирования при отказе одного или всех каналов связи.
Это важно для понимания структурных особенностей каждой площадки, их роли в общей системе, а также для учета их географической дислокации, где размещены IT-ресурсы.
На начальном этапе экспресс-обследования важно произвести инвентаризацию основных IT-активов организации. Необходимо провести инвентаризацию оборудования, что подразумевает учет всех серверов, рабочих станций, периферийных устройств, сетевого оборудования, систем и сетей хранения данных, систем резервного копирования (например, ленточных библиотек) и оборудования систем информационной безопасности (например, криптографического оборудования).
Создание детализированного списка оборудования дает ясное понимание наличия и состояния каждого устройства, что критически важно для оценки его роли в IT-инфраструктуре.
Далее проводится инвентаризация ПО. Это нужно для выявления всех используемых программных решений, включая операционные системы, прикладное ПО, сервисы электронной почты, системы управления инфраструктурой, инвентаризационные системы и другие программные продукты. Инвентаризация ПО позволит в дальнейшем оценить актуальность текущего ПО и выявить в нем потенциальные уязвимости, которые могут быть использованы злоумышленниками, что станет основой для определения векторов атаки и разработки программы кибертрансформации.
Следующим шагом является анализ сетевой инфраструктуры организации. Необходимо провести анализ архитектуры сети, что подразумевает составление или актуализацию схем локально вычислительных сетей (ЛВС) организации, а также детальное описание имеющихся сетевых сегментов и методов их сегментации. Основная цель этого анализа — получение четкого понимания физической и логической топологии сети, то есть того, как именно связаны устройства друг с другом и как организована передача данных между ними. Подобный анализ проводится как отдельно для каждой площадки, так и для WAN-сети, обеспечивающей взаимодействие между всеми площадками.
Также важно провести анализ сетевых устройств, включающий в себя создание полного списка всех маршрутизаторов, коммутаторов, точек доступа и средств защиты, таких как брандмауэры и файрволы. Получение полного понимания конфигурации этих устройств критически важно для формирования актуальной матрицы сетевой связанности и выявления потенциальных уязвимостей в защите организации, поскольку устаревшие или неправильно настроенные устройства могут использоваться хакером для реализации недопустимых событий.
В ходе обследования собираются сведения о физическом хранении данных ключевых и целевых систем. Анализируется, используются ли для этого диски серверов, программно-определяемые хранилища или аппаратные системы хранения данных. Также уточняется способ подключения этих систем хранения данных к серверному оборудованию, особенности управления этими системами, а также информация о персонале, ответственном за управление.
В части, связанной с системой резервного копирования, выясняется факт ее наличия и изучаются детали архитектуры. Исследуется наличие выделенной сети для резервного копирования, а также расположение резервных копий: находятся ли они рядом с продуктивными данными или хранятся на отдельных устройствах. Дополнительно выясняется наличие неизменяемых копий и копий, размещенных на других площадках.
Анализ веб-сервисов, используемых в организации, с точки зрения информационной безопасности необходим для обеспечения защищенности данных и IT-инфраструктуры. Необходимо определить все активные веб-сервисы, включая как внутренние, так и внешние приложения и платформы. Это позволяет составить доступное представление о системах, используемых в организации, и выделить возможные точки проникновения.
После того как были обозначены границы IT-инфраструктуры, следующий этап подразумевает сбор информации, касающейся процессов информационной безопасности и информационных технологий, чтобы оценить их текущее состояние и выявить возможные уязвимости в конфигурации. Основные пункты, которые необходимо проанализировать, приведены в таблице 1.
Таблица 1. Перечень основных компонентов процессов IT и ИБ, оцениваемых в рамках экспресс-обследования
После того как мы определили общие границы инфраструктуры, ее компоненты и обеспечивающие процессы ИБ и IT, мы опускаемся на уровень целевых систем (далее — ЦС). Это необходимо для понимания особенностей их функционирования, определения связей с другими системами и последующего выявления потенциальных уязвимостей.
На этом этапе важно провести подробный анализ каждой ЦС, включая ее архитектуру, применяемые технологии и механизмы защиты.
Анализ ЦС предлагается проводить с нескольких сторон:
Такой подход позволяет оценить важность каждого компонента, его влияние на общую безопасность целевой системы и достаточность мер, обеспечивающих киберустойчивость.
Детально разберем каждое из трех направлений этого анализа.
Анализ ЦС с точки зрения ее конфигурации начинается с определения всех компонентов, задействованных в ее функционировании. Важно определить:
Необходимо проанализировать компонентный состав ПО и надежность аппаратных компонентов ИС. Помимо этого, важно оценить безопасность мест хранения данных, эффективность управления сетевыми ресурсами и уровень автоматизации процессов. В рамках анализа следует выявить узкие места и потенциальные риски, связанные с использованием устаревших технологических решений.
При анализе целевых систем важным аспектом является перечень клиентских устройств, с которых пользователи подключаются к информационной системе. Обычно это компьютеры, ноутбуки, планшеты и смартфоны, использующие веб-интерфейсы для доступа к функциям системы. В рамках анализа ЦС с точки зрения пользователей необходимо в первую очередь определить:
Также ключевым элементом при анализе ЦС является определение того, как организован доступ пользователей к ресурсам информационной системы, поскольку правильно выстроенная система предоставления прав доступа позволяет минимизировать потенциальные угрозы, связанные с несанкционированным доступом к информации и ресурсам ЦС или повышением полномочий пользователей, что может быть использовано злоумышленником. Следует выяснить:
Кроме того, для сотрудников организации и подрядчиков может быть реализован удаленный доступ к ЦС. Поэтому также важно определить опубликованные наружу сервисы. Что касается самих подрядных организаций, имеющих доступ к ЦС, то необходимо удостовериться, что для них используются только учетные записи с ограниченной функциональностью и доступом только к нужным сегментам ИС, а также что применяются средства многофакторной аутентификации и установлен контроль доступа.
Анализ ЦС с точки зрения внедренных средств защиты информации позволяет выявить потенциальные уязвимости и оценить эффективность существующих механизмов защиты.
Первым шагом такого анализа является определение информации, обрабатываемой в ЦС, чтобы в дальнейшем сформировать меры, достаточные для ее защиты в рамках реализации РКБ.
Далее проводится сбор информации о применяемых мерах и средствах защиты информации в конкретной ЦС. Существенную помощь в этом процессе оказывают данные, определенные при формировании общего перечня используемых решений IT и ИБ. Проанализировав этот перечень, нужно выделить те средства и меры обеспечения безопасности, которые непосредственно относятся к рассматриваемой ЦС и используются для обеспечения ее безопасности.
В рамках проведения экспресс-обследования IT-инфраструктуры эксперты собирают и анализируют полученные данные. Обработанная информация позволяет экспертам выявить уязвимости в организации защитных мер, которые могут быть использованы хакерами для получения несанкционированного доступа к ресурсам организации и последующей реализации недопустимых событий. Понимание этих векторов атак является критически важным при реализации принципов РКБ, поскольку на их основе будут разрабатываться рекомендации по усилению защитных свойств IT-инфраструктуры и реализовываться этап кибертрансформации.
Результаты обследования могут фиксироваться в различных форматах, обеспечивающих максимальную ясность и доступность для руководства организации. Чаще всего это детализированный отчет, включающий описание ландшафта IT и ИБ, диаграммы, визуализирующие текущую архитектуру сети, выявленные слабые места и точки проникновения. Кроме того, составляется резюме с кратким изложением основных уязвимостей и рекомендациями для быстрого ознакомления.
Результат проведения любого аудита во многом зависит от экспертов, которые выполняют работу. Квалификация, опыт и методология, применяемая экспертами, играют важную роль при формировании данных о состоянии проверяемых активов. Для экспресс-обследования организации могут выбрать одну из двух опций, рассмотренных в таблице 2.
Таблица 2. Варианты выбора экспертов для проведения экспресс-обследования
Каждая организация самостоятельно определяет подходы к проведению обследования своей IT-инфраструктуры. Экспертов можно выбирать по-разному, однако существуют и общие черты, касающиеся инструментов, которые буду применяться для проведения работ.
При проведении работ эксперты в первую очередь опираются на свой опыт. Они используют опросные листы и проводят интервью с ключевыми сотрудниками организации, чтобы получить информацию, в том числе об особенностях функционирования IT-инфраструктуры, которые могут быть не задокументированы. Однако, если специалисты оцениваемой организации по каким-то причинам не обладают полным пониманием конфигурации IT-инфраструктуры, эксперты могут прибегать к автоматизированным решениям для сбора данных.
Например, для определения конфигурации сетевого оборудования могут применяться сканеры сети и ПО для учета IT-устройств, однако анализ оборудования с точки зрения наличия уязвимостей производится экспертным методом. В таблице 3 приведен перечень инструментов и методов, которые могут применяться при обследовании IT-инфраструктуры и помогут собрать исчерпывающую информацию в короткие сроки.
Таблица 3. Перечень инструментов для проведения экспресс-обследования IT-ландшафта
В заключение отметим, что экспресс-обследование IT-инфраструктуры представляет собой важный инструмент для скорой актуализации информации о состоянии защищенности основных ее ресурсов, используемых для достижения стратегических целей организации. Он позволяет оперативно выявить имеющиеся уязвимости и определить точки приложения усилий для реализации принципов РКБ.
Основное отличие экспресс-обследования от полноценного IT-аудита инфраструктуры заключается в том, что проводится анализ не всего ландшафта, а его отдельных составляющих, которые могут быть интересны злоумышленнику с точки зрения нанесения максимального урона организации. Такой подход позволяет более точно спрогнозировать даты окончания работ и получить информацию о состоянии IT-инфраструктуры в короткие сроки.
Однако полученные данные являются лишь частью более обширного процесса. Полноценный IT-аудит остается неотъемлемой частью стратегии безопасности любой организации, так как он обеспечивает глубокий анализ и долгосрочное планирование развития всей IT-инфраструктуры организации, а не отдельных ее частей. Наличие актуальной и достоверной информации о состоянии инфраструктуры IT и ИБ в любой момент времени способствует поддержанию высокой степени защищенности и адаптируемости к новым киберугрозам. Поэтому экспресс-обследование должно восприниматься как важное дополнение, описывающее актуальное состояние наиболее важных объектов IT-инфраструктуры организации, необходимое для выстраивания результативной кибербезопасности в короткий срок.
| Средства обнаружения вторжений | Применяются ли в организации системы, обнаруживающие и предотвращающие подозрительную активность в сети и на устройствах (IDS/IPS-системы). Если да, указать производителя и версию ПО |
| Средства антивирусной защиты | Как устроена защита конечных точек от воздействия вредоносного кода (производитель, версия ПО) |
| Средства управления правами доступа | Используемые системы управления доступом (производитель, версия ПО) |
| VPN-решения | Каким образом осуществляется шифрование соединения при удаленном подключении к корпоративным ресурсам |
| Резервное копирование | Как устроен процесс резервного копирования, разработаны ли планы восстановления |