Елена ПономарёваЧто такое процесс управления IT-активами
Управление IT-активами — это непрерывный процесс обнаружения, отслеживания и управления программными и аппаратными IT-активами на протяжении всего их жизненного цикла: от планирования закупки до вывода из эксплуатации.
Выстроенный процесс управления IT-активами глубоко интегрирован во многие процессы любой организации.
Управлять IT-активами необходимо, чтобы:
- оптимизировать расходы на эксплуатацию IT-инфраструктуры и своевременно планировать ее модернизацию;
- проводить учет и инвентаризацию всех компонентов IT-инфраструктуры;
- выявлять слабые места в работе IT-инфраструктуры и сервисов;
- повышать прозрачность IT-инфраструктуры благодаря сведениям о том, где, кем и какие активы применяются;
- обеспечивать безопасное использование IT-активов.
Универсального подхода к управлению IT-активами, который подходил бы для всех организаций без исключения, не существует, поскольку каждая организация имеет свои уникальные процессы, потребности и технологии.
Существует множество международных стандартов, включающих в себя лучшие практики и рекомендации по организации управления IT-активами. В качестве наиболее популярных можно выделить ITIL, IAITAM (IBPL), COBIT 5. Каждый из стандартов имеет свои особенности, и команде IT-специалистов предстоит непростая задача по выбору наиболее подходящего. Важно помнить, что данные рекомендации не являются обязательными, и каждая организация может и должна адаптировать их под свои уникальные потребности.
Процесс управления IT-активами играет важную роль в кибербезопасности. С учетом растущего количества кибератак и утечек данных команде кибербезопасности просто необходимо иметь детальное представление о границах и свойствах объекта защиты, ведь невозможно защищать то, чего ты не знаешь.
В этой статье мы расскажем о подходе к управлению IT-активами в интересах кибербезопасности.
Что является IT-активом
Для того чтобы избежать разночтений, стоит договориться, что же является IT-активом. Каждая методология или стандарт толкует определение IT-актива по-разному. Кроме того, определение IT-актива может различаться в зависимости от того, как организация использует это определение. Например, для одной организации IT-активом может считаться любое оборудование или ПО, а для другой — только то, что является ключевым для бизнес-процессов.
Определение IT-актива можно сформулировать следующим образом: IT-актив — это программное обеспечение и (или) оборудование, которое используется для обработки, хранения и передачи информации и обеспечивает измеримую ценность для основной деятельности организации.
Чтобы лучше понять, что является IT-активом, мы сформировали ряд критериев, которые, по нашему мнению, характеризуют IT-активы и которые представляют интерес для команд ИТ и ИБ.
IT-актив:
- имеет ценность и непосредственно влияет на деятельность организации — IT-активы играют ключевую роль в работоспособности ряда бизнес-процессов;
- является конфигурационной единицей или их совокупностью — понимание взаимосвязи между IT-активами важно для обеспечения кибербезопасности IT-сервисов;
- готовится или уже введен в эксплуатацию — для кибербезопасности не представляют интерес IT-активы, не введенные в эксплуатацию.
Как управление IT-активами связано с кибербезопасностью
Развитие технологий неизбежно влечет увеличение количества киберугроз, а значит, необходимо своевременно принимать соответствующие меры для защиты активов. Однако перед тем, как ответить на вопрос «Как защищать?», нужно ответить на вопрос «Что защищать?». В этом и заключается основная задача процесса управления IT-активами в интересах кибербезопасности — определить границы объекта защиты.
Для того чтобы определить границы защищаемого объекта, команда ИБ должна обладать информацией об IT-инфраструктуре организации, а значит, основной запрос со стороны службы кибербезопасности — получение полных, актуальных и достоверных сведений об IT-активах. Кроме того, чтобы своевременно реагировать на кибератаки, необходимо постоянно улучшать качество мониторинга, а значит, сведения об IT-активах должны поступать непрерывно. Соответственно, службам IT и ИБ необходимо выработать единый подход, основанный на том, что устойчивой работы IT-инфраструктуры организации не добиться в отрыве от кибербезопасности.
Например, команда ИТ передает команде ИБ сведения о сетевом оборудовании (коммутаторах, маршрутизаторах, межсетевых экранах), что позволяет выявить IT-активы, которые могут быть потенциальными точками проникновения, и дает возможность своевременно поставить эти IT-активы на мониторинг.
Сведения о рабочих станциях сотрудников позволяют команде кибербезопасности точно знать их местоположение, как они настроены, какое программное обеспечение на них установлено и какие уязвимости необходимо устранять в этом ПО.
Кроме того, управление IT-активами поможет команде ИБ определить, какие активы должны защищаться в первую очередь и какие меры защиты должны быть приняты в зависимости от степени их важности. Такой подход позволит службе ИБ оптимизировать ресурсы и сосредоточиться на наиболее значимых IT-активах:
- целевых системах;
- ключевых системах;
- точках проникновения в IT-инфраструктуру.
Поиск источника правды об IT-активах
Как показывает практика, даже внедрение решений класса configuration management database не гарантирует высокого уровня зрелости процесса управления IT-активами. Сканирование IT-инфраструктуры сторонними инструментами может выявить достаточно большое количество расхождений в базе IT-активов: появляются IT-активы, которые отсутствуют в базе, или же существуют IT-активы, о которых внесено недостаточно информации, — это говорит о том, что процесс управления IT-активами не выстроен должным образом.
Как же найти тот самый источник правды, который бы удовлетворял требованиям кибербезопасности?
Прежде чем внедрять новые решения, стоит сформировать набор критериев к базе активов и посмотреть в сторону инструментов управления IT-инфраструктурой, которые уже внедрены в организации. На первый взгляд, они могут иметь иное назначение, однако могут выполнять функцию источника сведений об IT-активах.
Примерами могут быть:
- NetBox — решение для управления сетями и инфраструктурой (только в том случае, если любая активность будет регистрироваться в NetBox);
- Ansible — инструмент управления конфигурацией; мониторинг файлов inventory позволяет контролировать появление новых IT-активов, а также собирать информацию об уже развернутых IT-активах;
- Zabbix — система мониторинга компьютерной сети, серверов и сетевого оборудования (при условии, что на всех IT-активах будет развернут агент, посылающий всю необходимую информацию на сервер).
Все инструменты вместе или каждый в отдельности могут стать потенциальным источником необходимых сведений об IT-активах, которые можно обогащать необходимой информацией (например, сведениями о принадлежности к целевым (ключевым) системам, сведениями о владельце (администраторе) IT-актива).
Как интегрировать процесс управления IT-активами в кибербезопасность
Шаг 1
Определите, в каком состоянии сейчас находится процесс управления IT-активами в организации. Для этого команде ИБ совместно с командой ИТ необходимо максимально честно и аргументированно ответить на следующие вопросы:
Если большая часть ответов «да», можно говорить о достаточно высоком уровне зрелости процесса управления IT-активами в организации. Темы вопросов, на которые ответили «нет», могут рассматриваться в качестве приоритетных областей, которые нужно проработать совместными усилиями команд ИБ и ИТ.
Важно понимать, что цели обеих команд в области управления IT-активами совпадают: нужен отлаженный процесс, который работает как часы. Значит, на основании ответов на вопросы выше можно сформулировать набор требований к процессу и план по их реализации с указанием сроков и ответственных лиц. При этом не стоит забывать, что наличие невыполненных требований на текущий момент не является стоп-фактором для интеграции процесса управления IT-активами в кибербезопасность. По мере их исполнения качество данных и результаты будут постоянно улучшаться как для процесса в целом, так и для его интеграции в кибербезопасность.
Шаг 2
Синхронизируйте цели, задачи и требования к процессу между командами кибербезопасности и ИТ. Они должны быть максимально прозрачными и понятными для всех участников. Одним из вариантов закрепления достигнутых договоренностей является документ — соглашение (например, OLA), в котором будут зафиксированы:
- источник хранения актуальных данных об IT-активах на стороне команды ИТ;
- набор передаваемых данных об IT-активах;
- требования к актуальности и достоверности;
- расписание передачи и актуализации данных об IT-активах;
- способы взаимодействия и сроки реагирования в случае выявления проблем и расхождений;
- роли и ответственные лица.
Кроме того, хорошей практикой является документирование процесса в виде детального описания, карточек, диаграмм, workflow и т. д., что позволит снизить порог вхождения новых участников процесса и обеспечит понимание между всеми заинтересованными лицами.
Шаг 3
Определите технические аспекты. Учитывая размеры инфраструктуры современных организаций, становится очевидным, что если эксперты службы ИБ будут вручную обрабатывать сведения об IT-активах, полученные в виде Excel-таблиц, то оперативно получать достоверные данные и использовать их в связанных процессах не получится.
Пример: использование в процессе управления уязвимостями
Не получили (не обработали) своевременно сведения о новом IT-активе → не выполнили сканирование на уязвимости → IT-актив содержал критически опасную уязвимость, которую злоумышленники использовали для атаки на целевую систему.
Пример: использование в процессе мониторинга событий
Не получили (не обработали) своевременно сведения о новом IT-активе → при сработке средств защиты аналитики не смогли сразу разобраться, что это за актив → потратили дополнительное время на сбор необходимого контекста и несвоевременно отреагировали на атаку → злоумышленник выполнил перемещение внутри периметра и добрался до целевых систем.
В сложившихся условиях задачи по поиску источника информации об IT-активах и созданию инструментов для технической интеграции играют ключевую роль. Создание подобных инструментов всегда имеет индивидуальный характер в зависимости от систем и особенностей инфраструктуры и, как правило, выполняется итерационно — от прототипа в виде набора скриптов до продуктивных решений. Важно помнить, что при каждой итерации данные инструменты начинают вносить все более весомый вклад в качество и эффективность функционирования процесса. Поэтому подобные активности следует запускать как можно раньше.
Шаг 4
Держите ситуацию в фокусе и постоянно отслеживайте изменения. После того как процесс управления IT-активами был интегрирован в кибербезопасность, эффективность данной интеграции необходимо отслеживать на регулярной основе и постоянно улучшать. В инфраструктуре происходит множество изменений: меняются процессы, состав и совокупность систем, роли и участники и т. д. Все эти изменения нужно своевременно отслеживать и реагировать на них. Для этого:
- отслеживайте изменения на уровне стратегии и миссии организации;
- интегрируйтесь в процесс управления изменениями ИТ и организации в целом;
- регулярно пересматривайте документы и параметры процесса;
- проработайте удобную систему метрик и показателей для оценки «здоровья» процесса;
- непрерывно работайте над автоматизацией контролей («все, что может проверить человек, должен проверять робот»).
Заключение
В заключение сформируем критерии успешно выстроенного процесса управления IT-активами:
- имеется база IT-активов;
- база IT-активов содержит полные, актуальные и достоверные сведения о всех IT-активах организации;
- назначен владелец процесса управления IT-активами;
- роли, функции и зоны ответственности распределены между участниками процесса IT-активами;
- все участники процесса осведомлены о своих обязанностях;
- осуществляется сбор метрик и показателей процесса;
- проводится оценка эффективности процесса управления IT-активами на основе собранных метрик и показателей.