Введение
В современном высокотехнологичном мире на первый план выходит проблема защищенности корпоративных информационных систем. Каждый новый инцидент подтверждает: когда конфиденциальная информация уязвима, потенциальный ущерб деятельности и репутации компании достигает колоссальных размеров. Защита компании от внешних угроз – сложная и затратная задача, особенно когда возникает необходимость соответствовать растущему количеству правовых стандартов и требований регуляторов, разрабатываемых для предотвращения подобных угроз.
Однако незащищенная система обойдется еще дороже.
В попытках найти компромисс многие компании решают эту задачу по частям, выбирая разные инструменты для каждой системы, отдела или региона. В результате им приходится увеличивать бюджет и нанимать большое количество высокооплачиваемых специалистов, которые вручную тестируют и настраивают все системы.
Снизить временные и денежные затраты позволит система анализа защищенности.
Комплексное программное решение автоматизирует процесс поиска уязвимостей и контроля соответствия техническим стандартам в ИТ-инфраструктуре любого масштаба.
Компания ЗИКС предлагает услугу по реализации системы анализа защищенности и соответствия стандартам ISO 15408 и ISO 17799 для организаций любого размера.
Реализация системы анализа защищенности и соответствия стандартам позволяет достичь следующих целевых эффектов:
Контроль эффективности процессов информационной безопасности
Оценка защищенности информационных систем
Инвентаризация активов и контроль изменений
Контроль политик безопасности Компании
Задачи, решаемые системой анализа защищенности и соответствия стандартам:
Проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности
Автоматизация процессов контроля соответствия отраслевым и международным стандартам
Оценка эффективности подразделений ИТ и ИБ с помощью расширяемого набора метрик безопасности и KPI
Снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов
Автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений
Комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки
Встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NSA, NIST, CIS
Максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем
Поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли
Контроль эффективности процессов ИБ
В большинстве компаний многие из распространенных средств защиты уже используются или находятся на этапе внедрения. Так, трудно представить сейчас корпоративную сеть, в которой механизмы межсетевого экранирования, антивирусной защиты или установки обновлений
не были реализованы в том или ином виде. В связи с этим, одним из наиболее важных моментов становится оценка эффективности существующих процессов ИБ с помощью метрик безопасности. Расширяемый набор метрик, входящих в систему анализа защищенности, позволяет контролировать текущее состояние и динамику изменений распространенных процессов информационной безопасности. В ходе внедрения набор метрик может быть адаптирован под нужды Заказчика. Так, например, при внедрении решений класса DLP или контроля за действиями пользователей, можно контролировать количество и процент рабочих станций, на которых установлен агент системы. Данная простая метрика позволяет эффективно отслеживать прогресс проекта, а возможность рассчитывать её значение для различных групп компьютеров
подразделений – проводить анализ работы ИТ и ИБ специалистов. Важной характеристикой метрик безопасности является то, что они измеряются в абсолютных значениях (количество узлов, изменений и несоответствий), что позволяет легко спроецировать их на трудозатраты или перевести в денежное выражение.
Ниже приведены популярные метрики, контролируемые с помощью системы анализа защищенности:
Количество и процент рабочих станций с установленным антивирусным пакетом.
Количество и процент рабочих станций с обновленными антивирусными базами.
Количество нестандартных серверных портов и приложений на рабочих станциях/серверах.
Среднее время (задержка) развертывания критических обновлений.
Количество и процент систем, содержащих критические уязвимости.
Процент охвата систем корпоративными и международными стандартами.
Уровень соответствия (несоответствия) различных систем корпоративным и международным стандартам.
Количество и процент систем, работающих с системами сбора и корреляции событий безопасности.
Количество уязвимостей, возникающих в течение определенного промежутка времени (месяц, квартал, год).
Количество уязвимостей, устраняемых в течение определенного промежутка времени (месяц, квартал, год).
Количество уязвимостей, требующих устранения.
Среднее время устранения уязвимостей для различных подразделений.
Количество изменений конфигураций различных систем.
Оценка защищенности
Система анализа защищенности основана на базе профессионального сканера уязвимостей. Существующие механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок.
Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети.
Рисунок 1 – Механизм оценки системы анализа защищенности
1. Сетевой сканер
Основой системы анализа защищенности являет высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.
2. Тестирование на проникновение
Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны
злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближенны к тем, которые используются реальными нарушителями, что позволяет
не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений.
3. Анализ безопасности баз данных
Специализированные модули позволяют получить экспертную оценку защищенности популярных СУБД, таких как Microsoft SQL Server 2000/2005/2008/2012, Oracle 9i,10g. Проверки затрагивают все аспекты безопасности СУБД, такие как:
настройки сетевого взаимодействия
система аутентификации
механизмы разграничения доступа
права и привилегии пользователей
управление обновлениями
Анализ безопасности СУБД «изнутри» позволяет выявить уязвимости, которые либо невозможно, либо крайне сложно идентифицировать методами тестирования на проникновение.
4. Анализ безопасности Web-приложений
Модуль анализа безопасности Web-приложений позволяет идентифицировать уязвимости в наследуемых приложениях и приложениях собственной разработки. Эвристические механизмы позволяют обнаруживать большинство типичных ошибок, допускаемых при разработке
Web-приложений: внедрение операторов SQL (SQL Injection), межсайтовое выполнение сценариев (Cross-Site Scripting, XSS) и др.
5. Системные проверки
При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.
База знаний включает в себя системные проверки для большинства распространенных операционных систем линек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.
Некоторые системы анализа защищенности не требуют развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) система выбирает наиболее безопасный из них, что обеспечивает защиту чувствительных данных при передаче по сети.
Инвентаризация активов и контроль изменений
Инвентаризация и контроль изменений в постоянно изменяющихся и растущих информационных системах без использования средств автоматизации становятся практически невыполнимыми задачами. Но с другой стороны – наличие актуальных данных о ИС необходимо для
эффективного функционирования системы управления ИБ.
1. Непрерывная инвентаризация
Автоматизированная инвентаризация информационных активов является важным компонентов системы управления ИТ и ИБ. Высокопроизводительный сетевой сканер, уникальные методы определения версий приложений, реализованные в системе анализа защищенности, дают возможность оперативно собирать информацию о существующих элементах ИТ инфраструктуры и отслеживать происходящие изменения. Функции инвентаризации, основанные на системных проверках, дают возможность минимизировать сетевой трафик и воздействие на системы, что позволяет чаще проводить сканирования и получать более актуальную информацию. Результаты инвентаризации могут быть использованы для контроля изменений или документирования состояния системы или отдельных узлов.
2. Своевременное отслеживание изменений
Контроль изменений является одним из основополагающих моментов современных подходов к управлению информационной инфраструктурой, таких как ITIL, СOBIT. Для оценки эффективности предпринятых мер, планирования развития ИТ и ИБ требуется не только знать текущее состояние системы, но и иметь возможность сравнить его с состоянием, например, на прошлой неделе, в прошлом месяце.
Механизмы формирования отчетов в системе анализа защищенности позволяют отслеживать изменения состоянии всей информационной системы, отдельных ее
подразделений и узлов. Примерами событий, контролируемых с помощью этого механизма, являются: появление новых сетевых узлов и служб, переустановка ОС, изменение аппаратной конфигурации, изменения в параметрах безопасности систем, полученных в результате оценки защищенности и контроля политик безопасности.
Контроль политик безопасности
Настраиваемые под требования Компании модули анализа для различных операционных систем и приложений позволяют проводить автоматическую проверку на соответствие техническим стандартам безопасности, а также рекомендациям производителей и «Best Practice». Наглядная картина соответствия требованиям политик может быть сформирована как для СУИБ Компании в целом, так и для отдельных подразделений, узлов и приложений.
Консолидация результатов анализа системы различными модулями позволяет контролировать политики различной степени сложности. Так, политика безопасности Web-приложения может включать в себя требования по отсутствию уязвимостей типа «SQL Injection», требования по
настройке ОС, базы данных, Web-сервера Apache, настройке межсетевого экрана Cisco PIX и других компонентов, развернутых на нескольких узлах. Система анализа защищенности позволяет проверить все эти параметры в рамках одной сессии сканирования, проанализировав результаты работы модулей анализа безопасности Web-приложений, баз данных и системных проверок.
Некоторые системы анализа защищенности содержат ряд готовых политик, основанных на рекомендациях производителей программ и активного сетевого оборудования, компетентных организаций, таких как NSA, NIST, CIS, DoD и т. д. Архитектура системы позволяет адаптировать проверки под
конкретные требования, добавляя проверки для новых приложений и формируя политики на основе технических регламентов Компании. Это позволяет в любой момент времени иметь актуальную информацию об узлах, чьи состояния нарушают политику безопасности, и оперативно устранять несоответствия.
Комплексный подход к поиску уязвимостей позволяет системе анализа защищенности за одно сканирование проводить проверку на соответствие сложным стандартам безопасности. Так, механизмы сканирования системы анализа защищенности полностью соответствуют требованиям Payment Card Industry Data Security Standard (PCI DSS) Technical and Operational Requirements for Approved Scanning Vendors, таким как:
Поиск устаревших систем
Проверка стандартных учетных записей
Поиск троянских программ
Работа с защищенными протоколами (SSL/TLS)
Проверка сетевого оборудования, операционных систем, приложений и СУБД
Проверка Web-служб собственной разработки
Анализ уязвимостей сетевых служб беспроводных устройств
Контактная информация
ООО «Компания ЗИКС»
124498, Москва, Зеленоград, Георгиевский пр-д, дом 5
Тел.: +7 (499) 645-5555
Факс: +7 (499) 645-5555
info@czics.ruwww.czics.ru(с) Copyright, Czics, 2014-2021