Введение В современном высокотехнологичном мире на первый план выходит проблема защищенности корпоративных информационных систем. Каждый новый инцидент подтверждает: когда конфиденциальная информация уязвима, потенциальный ущерб деятельности и репутации компании достигает колоссальных размеров. Защита компании от внешних угроз – сложная и затратная задача, особенно когда возникает необходимость соответствовать растущему количеству правовых стандартов и требований регуляторов, разрабатываемых для предотвращения подобных угроз. Однако незащищенная система обойдется еще дороже. В попытках найти компромисс многие компании решают эту задачу по частям, выбирая разные инструменты для каждой системы, отдела или региона. В результате им приходится увеличивать бюджет и нанимать большое количество высокооплачиваемых специалистов, которые вручную тестируют и настраивают все системы.Снизить временные и денежные затраты позволит система анализа защищенности.Комплексное программное решение автоматизирует процесс поиска уязвимостей и контроля соответствия техническим стандартам в ИТ-инфраструктуре любого масштаба.Компания ЗИКС предлагает услугу по реализации системы анализа защищенности и соответствия стандартам ISO 15408 и ISO 17799 для организаций любого размера. Реализация системы анализа защищенности и соответствия стандартам позволяет достичь следующих целевых эффектов: Контроль эффективности процессов информационной безопасности Оценка защищенности информационных систем Инвентаризация активов и контроль изменений Контроль политик безопасности Компании Задачи, решаемые системой анализа защищенности и соответствия стандартам: Проактивная защита корпоративных ресурсов с помощью автоматического мониторинга информационной безопасности Автоматизация процессов контроля соответствия отраслевым и международным стандартам Оценка эффективности подразделений ИТ и ИБ с помощью расширяемого набора метрик безопасности и KPI Снижение затрат на аудит и контроль защищенности, подготовку ИТ и ИБ проектов Автоматизация процессов инвентаризации ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений Комплексный анализ сложных систем, включая сетевое оборудование Cisco, платформ Windows, Linux, Unix, СУБД Microsoft SQL, Oracle, сетевые приложения и Web-службы собственной разработки Встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NSA, NIST, CIS Максимальная автоматизация процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем Поддержка базы знаний командой профессиональных консультантов, признанных экспертов отрасли Контроль эффективности процессов ИБ В большинстве компаний многие из распространенных средств защиты уже используются или находятся на этапе внедрения. Так, трудно представить сейчас корпоративную сеть, в которой механизмы межсетевого экранирования, антивирусной защиты или установки обновлений не были реализованы в том или ином виде. В связи с этим, одним из наиболее важных моментов становится оценка эффективности существующих процессов ИБ с помощью метрик безопасности. Расширяемый набор метрик, входящих в систему анализа защищенности, позволяет контролировать текущее состояние и динамику изменений распространенных процессов информационной безопасности. В ходе внедрения набор метрик может быть адаптирован под нужды Заказчика. Так, например, при внедрении решений класса DLP или контроля за действиями пользователей, можно контролировать количество и процент рабочих станций, на которых установлен агент системы. Данная простая метрика позволяет эффективно отслеживать прогресс проекта, а возможность рассчитывать её значение для различных групп компьютеров подразделений – проводить анализ работы ИТ и ИБ специалистов. Важной характеристикой метрик безопасности является то, что они измеряются в абсолютных значениях (количество узлов, изменений и несоответствий), что позволяет легко спроецировать их на трудозатраты или перевести в денежное выражение. Ниже приведены популярные метрики, контролируемые с помощью системы анализа защищенности: Количество и процент рабочих станций с установленным антивирусным пакетом. Количество и процент рабочих станций с обновленными антивирусными базами. Количество нестандартных серверных портов и приложений на рабочих станциях/серверах. Среднее время (задержка) развертывания критических обновлений. Количество и процент систем, содержащих критические уязвимости. Процент охвата систем корпоративными и международными стандартами. Уровень соответствия (несоответствия) различных систем корпоративным и международным стандартам. Количество и процент систем, работающих с системами сбора и корреляции событий безопасности. Количество уязвимостей, возникающих в течение определенного промежутка времени (месяц, квартал, год). Количество уязвимостей, устраняемых в течение определенного промежутка времени (месяц, квартал, год). Количество уязвимостей, требующих устранения. Среднее время устранения уязвимостей для различных подразделений. Количество изменений конфигураций различных систем. Оценка защищенности Система анализа защищенности основана на базе профессионального сканера уязвимостей. Существующие механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок.Сочетание в одном продукте функций сетевых и системных сканеров, а также средств оценки защищенности СУБД и Web-приложений, позволяют получать максимально достоверную картину защищенности сети. Рисунок 1 – Механизм оценки системы анализа защищенности 1. Сетевой сканер Основой системы анализа защищенности являет высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на магистральные каналы связи. 2. Тестирование на проникновение Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetration testing), позволяя получить оценку защищенности сети со стороны злоумышленника. Разработанные экспертами интеллектуальные алгоритмы и механизмы поиска уязвимостей, эффективность которых доказана независимыми исследованиями, максимально приближенны к тем, которые используются реальными нарушителями, что позволяет не только идентифицировать ошибки в эксплуатации систем, но и обнаруживать новые, ещё неизвестные уязвимости реализации сетевых приложений. 3. Анализ безопасности баз данных Специализированные модули позволяют получить экспертную оценку защищенности популярных СУБД, таких как Microsoft SQL Server 2000/2005/2008/2012, Oracle 9i,10g. Проверки затрагивают все аспекты безопасности СУБД, такие как: настройки сетевого взаимодействия система аутентификации механизмы разграничения доступа права и привилегии пользователей управление обновлениями Анализ безопасности СУБД «изнутри» позволяет выявить уязвимости, которые либо невозможно, либо крайне сложно идентифицировать методами тестирования на проникновение. 4. Анализ безопасности Web-приложений Модуль анализа безопасности Web-приложений позволяет идентифицировать уязвимости в наследуемых приложениях и приложениях собственной разработки. Эвристические механизмы позволяют обнаруживать большинство типичных ошибок, допускаемых при разработке Web-приложений: внедрение операторов SQL (SQL Injection), межсайтовое выполнение сценариев (Cross-Site Scripting, XSS) и др. 5. Системные проверки При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.База знаний включает в себя системные проверки для большинства распространенных операционных систем линек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.Некоторые системы анализа защищенности не требуют развертывания программных модулей на узлах, что упрощает эксплуатацию и снижает совокупную стоимость владения. Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования. При поддержке узлом нескольких протоколов (например, Telnet и SSH) система выбирает наиболее безопасный из них, что
