Услуги и решения по 
информационной безопасности
© 2017 Сzics.ru
Мы храним то, что Вы создаете!
Анализ защищенности
Введение
В современном высокотехнологичном мире на первый план выходит проблема защищенности корпоративных информационных систем. Каждый новый инцидент подтверждает: когда конфиденциальная информация уязвима, потенциальный ущерб деятельности и репутации компании достигает колоссальных размеров. Защита компании от внешних угроз – сложная и затратная задача, особенно когда возникает необходимость соответствовать растущему количеству правовых стандартов и требований регуляторов, разрабатываемых для
предотвращения подобных угроз. Однако незащищенная система обойдется еще дороже.

В попытках найти компромисс многие компании решают эту задачу по частям, выбирая разные инструменты для каждой системы, отдела или региона. В результате им приходится увеличивать бюджет и нанимать большое количество высокооплачиваемых специалистов, которые вручную тестируют и настраивают все системы. Снизить временные и денежные затраты позволит система MaxPatrol
– комплексное программное решение, разработанное компанией Positive Technologies. MaxPatrol автоматизирует процесс поиска уязвимостей и контроля соответствия техническим стандартам в ИТ-инфраструктуре любого масштаба.

Компания ЗИКС совместно с компанией Positive Technologies предлагает услугу по реализации системы анализа защищенности и соответствия стандартам Max Patrol для организаций любого размера.
Реализация системы анализа защищенности и соответствия стандартам MaxPatrol позволяет достичь следующих целевых эффектов:
  • Контроль эффективности процессов информационной безопасности
  • Оценка защищенности информационных систем
  • Инвентаризация активов и контроль изменений
  • Контроль политик безопасности Компании
Задачи, решаемые системой анализа защищенности и соответствия стандартам MaxPatrol:
  • Проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности
  • Автоматизация процессов контроля соответствия отраслевым и международным стандартам
  • Оценка эффективности подразделений ИТ и ИБ с помощью расширяемого набора метрик безопасности и KPI
  • Снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов
  • Автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений
  • Комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки
  • Встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NSA, NIST, CIS
  • Максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем
  • Поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли
Контроль эффективности процессов ИБ
В большинстве компаний многие из распространенных средств защиты уже используются или находятся на этапе внедрения. Так, трудно представить сейчас корпоративную сеть, в которой механизмы межсетевого экранирования, антивирусной защиты или установки обновлений
не были реализованы в том или ином виде. В связи с этим, одним из наиболее важных моментов становится оценка эффективности существующих процессов ИБ с помощью метрик безопасности. Расширяемый набор метрик, входящих в MaxPatrol 8, позволяет контролировать текущее состояние и динамику изменений распространенных процессов информационной безопасности. В ходе внедрения набор метрик может быть адаптирован под нужды Заказчика. Так, например, при внедрении решений класса DLP или контроля за действиями пользователей, можно контролировать количество и процент рабочих станций, на которых установлен агент системы. Данная простая метрика позволяет эффективно отслеживать прогресс проекта, а возможность рассчитывать её значение для различных групп компьютеров
подразделений – проводить анализ работы ИТ и ИБ специалистов. Важной характеристикой метрик безопасности является то, что они измеряются в абсолютных значениях (количество узлов, изменений и несоответствий), что позволяет легко спроецировать их на трудозатраты или перевести в денежное выражение.
Ниже приведены популярные метрики, контролируемые с помощью MaxPatrol 8:
  • Количество и процент рабочих станций с установленным антивирусным пакетом.
  • Количество и процент рабочих станций с обновленными антивирусными базами.
  • Количество нестандартных серверных портов и приложений на рабочих станциях/серверах.
  • Среднее время (задержка) развертывания критических обновлений.
  • Количество и процент систем, содержащих критические уязвимости.
  • Процент охвата систем корпоративными и международными стандартами.
  • Уровень соответствия (несоответствия) различных систем корпоративным и международным стандартам.
  • Количество и процент систем, работающих с системами сбора и корреляции событий безопасности.
  • Количество уязвимостей, возникающих в течение определенного промежутка времени (месяц, квартал, год).
  • Количество уязвимостей, устраняемых в течение определенного промежутка времени (месяц, квартал, год).
  • Количество уязвимостей, требующих устранения.
  • Среднее время устранения уязвимостей для различных подразделений.
  • Количество изменений конфигураций различных систем.
Оценка защищенности
Система MaxPatrol 8 основана на базе профессионального сканера уязвимостей XSpider. Существующие в XSpider механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок.

Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети.
Рисунок 3 – Механизм оценки защищенности MaxPatrol
1. Сетевой сканер
Основой MaxPatrol 8 являет высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать
сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи.
2. Тестирование на проникновение
Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны
злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближенны к тем, которые используются реальными нарушителями, что позволяет
не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений.
3. Анализ безопасности баз данных
Специализированные модули позволяют получить экспертную оценку защищенности популярных СУБД, таких как Microsoft SQL Server 2000/2005/2008/2012, Oracle 9i,10g. Проверки затрагивают все аспекты безопасности СУБД, такие как:
  • настройки сетевого взаимодействия
  • система аутентификации
  • механизмы разграничения доступа
  • права и привилегии пользователей
  • управление обновлениями
Анализ безопасности СУБД «изнутри» позволяет выявить уязвимости, которые либо невозможно, либо крайне сложно идентифицировать методами тестирования на проникновение.
4. Анализ безопасности Web-приложений
Модуль анализа безопасности Web-приложений позволяет идентифицировать уязвимости в наследуемых приложениях и приложениях собственной разработки. Эвристические механизмы позволяют обнаруживать большинство типичных ошибок, допускаемых при разработке
Web-приложений: внедрение операторов SQL (SQL Injection), межсайтовое выполнение сценариев (Cross-Site Scripting, XSS) и др.

В создании модуля анализа безопасности Web-приложений принимали участие сотрудники Positive Technologies и внешние специалисты – признанные эксперты отрасли, участники международной организации Web Application Security Consortium (www.webappsec.ru), что позволило обеспечить высочайшее качество сканирования.
5. Системные проверки
При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.

База знаний включает в себя системные проверки для большинства распространенных операционных систем линек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.

В отличие от классических системных сканеров, MaxPatrol 8 не требует развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) MaxPatrol 8 выбирает наиболее безопасный из них, что обеспечивает защиту чувствительных данных при передаче по сети.
Инвентаризация активов и контроль изменений
Инвентаризация и контроль изменений в постоянно изменяющихся и растущих информационных системах без использования средств автоматизации становятся практически невыполнимыми задачами. Но с другой стороны – наличие актуальных данных о ИС необходимо для
эффективного функционирования системы управления ИБ.
1. Непрерывная инвентаризация
Рисунок 4 – Инвентаризация активов
Автоматизированная инвентаризация информационных активов является важным компонентов системы управления ИТ и ИБ. Высокопроизводительный сетевой сканер, уникальные методы определения версий приложений, реализованные в MaxPatrol 8, дают возможность оперативно собирать информацию о существующих элементах ИТ инфраструктуры и отслеживать происходящие изменения. Функции инвентаризации, основанные на системных проверках, дают возможность минимизировать сетевой трафик и воздействие на системы, что позволяет чаще проводить сканирования и получать более актуальную информацию. Результаты инвентаризации могут быть использованы для контроля изменений или документирования состояния системы или отдельных узлов.
2. Своевременное отслеживание изменений
Рисунок 5 – Контроль изменений с помощью MaxPatrol
Контроль изменений является одним из основополагающих моментов современных подходов к управлению информационной инфраструктурой, таких как ITIL, СOBIT. Для оценки эффективности предпринятых мер, планирования развития ИТ и ИБ требуется не только знать текущее состояние системы, но и иметь возможность сравнить его с состоянием, например, на прошлой неделе, в прошлом месяце.

Механизмы формирования отчетов в MaxPatrol 8 позволяют отслеживать изменения состоянии всей информационной системы, отдельных ее
подразделений и узлов. Примерами событий, контролируемых с помощью этого механизма, являются: появление новых сетевых узлов и служб, переустановка ОС, изменение аппаратной конфигурации, изменения в параметрах безопасности систем, полученных в результате оценки защищенности и контроля политик безопасности.
Контроль политик безопасности
Рисунок 6 – Контроль политик безопасности с помощью MaxPatrol
Настраиваемые под требования Компании модули анализа для различных операционных систем и приложений позволяют проводить автоматическую проверку на соответствие техническим стандартам безопасности, а также рекомендациям производителей и «Best Practice». Наглядная картина соответствия требованиям политик может быть сформирована как для СУИБ Компании в целом, так и для отдельных подразделений, узлов и приложений.

Консолидация результатов анализа системы различными модулями позволяет контролировать политики различной степени сложности. Так, политика безопасности Web-приложения может включать в себя требования по отсутствию уязвимостей типа «SQL Injection», требования по
настройке ОС, базы данных, Web-сервера Apache, настройке межсетевого экрана Cisco PIX и других компонентов, развернутых на нескольких узлах. Система MaxPatrol 8 позволяет проверить все эти параметры в рамках одной сессии сканирования, проанализировав результаты работы модулей анализа безопасности Web-приложений, баз данных и системных проверок.

Система MaxPatrol 8 содержит ряд готовых политик, основанных на рекомендациях производителей программ и активного сетевого оборудования, компетентных организаций, таких как NSA, NIST, CIS, DoD и т. д. Архитектура системы позволяет адаптировать проверки под
конкретные требования, добавляя проверки для новых приложений и формируя политики на основе технических регламентов Компании. Это позволяет в любой момент времени иметь актуальную информацию об узлах, чьи состояния нарушают политику безопасности, и оперативно устранять несоответствия.

Комплексный подход к поиску уязвимостей позволяет MaxPatrol 8 за одно сканирование проводить проверку на соответствие сложным стандартам безопасности. Так, механизмы сканирования MaxPatrol 8 полностью соответствуют требованиям Payment Card Industry Data Security Standard (PCI DSS) Technical and Operational Requirements for Approved Scanning Vendors, таким как:
  • Поиск устаревших систем
  • Проверка стандартных учетных записей
  • Поиск троянских программ
  • Работа с защищенными протоколами (SSL/TLS)
  • Проверка сетевого оборудования, операционных систем, приложений и СУБД
  • Проверка Web-служб собственной разработки
  • Анализ уязвимостей сетевых служб беспроводных устройств
Контактная информация
ООО «Компания ЗИКС»
124498, Москва, Зеленоград, Георгиевский пр-д, дом 5
Тел.: +7 (499) 645-5555
Факс: +7 (499) 645-5555
info@czics.ru
www.czics.ru
ЗАО «Позитив Текнолоджиз»
107061 Москва, Преображенская пл., д. 8
БЦ «Преображенский»
Тел.: +7 (495) 744-0144
Факс: +7 (495) 744-0187
pt@ptsecurity.com
www.ptsecurity.ru
(с) Copyright, Positive Technologies, 2002-2015