Целью инвентаризации IT-активов является формирование перечня таких активов. Анализ данных об IT-активах и связях между ними помогает сформировать представление об IT-инфраструктуре организации. Результаты инвентаризации могут использоваться для определения и уточнения целевых и ключевых систем и точек проникновения.
В рамках концепции результативной кибербезопасности по результатам инвентаризации требуется получить информацию о следующих видах IT-активов:
- узлы сетевого периметра и локальной вычислительной сети (далее — ЛВС);
- сервисы, запущенные на узлах внешнего сетевого периметра;
- корпоративные беспроводные сети, в том числе гостевые;
- инфраструктура облачных сервисов.
Все вышеперечисленные активы (кроме узлов в ЛВС) должны оцениваться с точки зрения возможности получения доступа в ЛВС организации.
IT-актив — программное обеспечение или оборудование, которое используется в организации для обработки, хранения и передачи информации
Инвентаризация IT-активов — сбор сведений об IT-активах для получения представления об IT-инфраструктуре организации.
Для проведения инвентаризации могут быть использованы данные из уже имеющихся систем, в которых ведется учет IT-активов.
В организациях могут быть внедрены различные системы учета IT-активов:
- Учет IT-активов для бухгалтерского учета.
- Учет IT-активов для предоставления IT-услуг.
- Учет IT-активов для обеспечения ИБ.
Нужно понимать, что IT-актив может учитываться по-разному (например, как имущество организации или как конфигурационная единица, участвующая в предоставлении IT-услуги), поэтому информация из других систем учета нуждается в дополнительном анализе. Характеристики систем учета IT-активов приведены в таблице 1.
Таблица 1. Характеристики различных систем учета IT-активов
Вид учета | Учет IT-активов для бухгалтерского учета | Учет IT-активов для предоставления IT-услуг | Учет IT-активов для обеспечения ИБ |
---|
Цель учета | Регистрация и обобщение информации о состоянии IT-активов в денежном выражении | Предоставление IT-услуги в соответствии с соглашением об уровне обслуживания (SLA) или соглашением об операционном уровне (OLA) | Контроль за IT-ресурсами (в том числе исключение того, что работники могут использовать их в корыстных целях) |
Цель инвентаризации | Проверка наличия IT-активов организации и состояния ее финансовых обязательств на определенную дату путем сличения фактических данных с данными бухгалтерского учета | Понимание влияния IT-активов на предоставление IT-услуги или продукта | Управление информационной безопасностью IT-активов |
Пример используемого инструментария | Присвоение инвентарных номеров и нанесение их на IT-активы | База данных конфигурационных единиц (CMDB) | Система управления событиями и информацией о безопасности (SIEM-система) |
Ценность информации для анализа защищенности | Низкая | Средняя | Высокая |
Из таблицы видно, что один и тот же IT-актив может быть рассмотрен в различных системах учета и цели учета у них различаются, поэтому ценность результатов также разная.
Существуют следующие методы инвентаризации IT-активов:
- Анализ информации, собранной из различных систем учета IT-активов, в том числе бухгалтерских.
- Анализ архитектуры целевых систем, в том числе понимание их интеграционных взаимодействий, и анализ архитектуры корпоративной сети.
- Анализ сети организации, в том числе сканирование доступных беспроводных точек доступа и обнаружение доступных для подключения сетевых розеток.
- Анализ используемых облачных сервисов.
- Анализ договоров с поставщиками IT-услуг.
Для проведения инвентаризации необходимо выполнить следующие восемь шагов.
Шаг | Описание шага |
---|
Шаг 1. Определение рабочей группы по проведению инвентаризации | Для проведения инвентаризации создается рабочая группа, чей состав определяется в зависимости от размера организации и должен включать IT-специалистов и экспертов ИБ |
Шаг 2. Анализ данных, полученных из различных систем учета IT-активов | В организации могут существовать различные системы учета IT-активов. Данные из этих систем учета должны быть проанализированы для понимания IT-инфраструктуры организации (например, из бухгалтерских систем можно взять имеющийся учет IT-активов, а также выявить обязательства перед поставщиками IT-услуг) |
Шаг 3. Анализ архитектуры целевых систем из перечня недопустимых событий | Документация по архитектуре целевых систем из перечня недопустимых событий может послужить хорошим источником информации об IT-активах (компонентах целевых систем). Анализ этой документации поможет определить IT-активы и их роли в функционировании целевых систем |
Шаг 4. Сканирование сети организации и инвентаризация ПО | Производится сканирование сетевого периметра и внутренней сети организации и инвентаризация установленного ПО. Используя сетевой сканер, можно выявить все активные узлы, находящиеся во внутренней сети и на периметре сети компании. Для сканирования рекомендуется использовать специализированные решения следующих классов: - сканеры сети (например, Nmap); - сканеры уязвимостей (например, MaxPatrol VM); - сканеры беспроводных сетей (например, Aircrack-ng); - специализированное или общесистемное ПО для инвентаризации ПО (например, OSC Inventory или Microsoft Configuration Manager). Иногда можно использовать специализированные решения, которые имеют функцию сканирования и инвентаризации ПО (например, Kaspersky Security Center) |
Шаг 5. Анализ используемых облачных сервисов | Все используемые облачные сервисы должны быть выявлены и проанализированы на предмет их связи с IT-инфраструктурой организации. Выявить облачные сервисы можно: - В ходе интервьюирования работников IT-функции. - Через анализ договоров с провайдерами облачных сервисов. - Через анализ межсетевых взаимодействий с инфраструктурой облачных сервисов |
Шаг 6. Анализ договоров с поставщиками IT-услуг | Договоры с поставщиками IT-услуг могут предоставить информацию об используемых IT-активах и потребляемых IT-услугах. Объем информации зависит от объема передачи IT-инфраструктуры на аутсорсинг |
Шаг 7. Определение владельцев IT-актива | Для каждого IT-актива должен быть определен владелец IT-актива |
Шаг 8. Формирование результатов инвентаризации IT-активов | Все результаты инвентаризации должны быть зафиксированы в форме отчета и объединены в реестр IT-активов, который должен содержать следующие поля: - номер актива; - наименование IT-актива; - краткое описание; - IP-адрес (при наличии) / MAC-адрес; - тип IT-актива |
Результаты инвентаризации IT-активов могут быть использованы для определения ключевых систем и точек проникновения. Отчет должен содержать описание использованных методов и основных результатов, включающих реестр IT-активов. Объем и наполнение такого отчета зависят от масштаба IT-инфраструктуры организации.