3. Предпосылки анализа защищенности
5. Заключение
Раньше с кибератаками больше сталкивались банковский, финансовый секторы, о кибербезопасности задумывались крупные предприятия. Сейчас сектор экономики или размер компании не имеет значения, под угрозой все, кто связан с интернетом. Руководители компаний прикладывают значительные усилия, чтобы повысить уровень защищённости, а вот об обратной связи о качестве построенной ИБ часто задумываются поздно. Получить ответ о точках роста построенной ИБ всё-таки лучше в красивом отчёте, а не из полузакрытых форумов или телеграмм-каналов.
Цель анализа защищенности
Главная цель анализа защищённости — выявить уязвимости, понять причину их появления и внести изменения в техническую и организационную часть защиты общей ИБ.
Это обобщённое целеполагание набора услуг по анализу защищённости.
Причины проведения работ
Анализ защищённости информационных систем не повышает уровень защищённости. Он предоставляет обратную связь о том, что в системе функционирует эффективно, а что требует дополнительных мер и усилий. Этот этап выступает в качестве отправной точки для последующих действий по повышению защищённости. Обладая пониманием текущего статуса, ИБ- специалисты адаптируют существующие процессы и техники для улучшения их эффективности.
Предпосылки анализа защищенности
Анализ защищённости лучше проводить на регулярной основе, чтобы он стал обязательной частью процесса защиты информации, как ежегодный чекап организма. Оптимальная регулярность у каждой инфраструктуры своя, как и у каждой услуги.
Как выбрать периодичность? Честно ответьте себе, как часто вы сможете, используя полученные результаты, влиять на ИТ/ИБ-процессы и настройку инфраструктуры? Это и есть необходимая регулярность. Мы расскажем о периодичности и сложности, которую чаще всего выбирают коллеги. Эти оценки, скорее среднее значение, поэтому помните, что каждый случай уникален.
Ряд событий также инициирует анализ защищённости информационных систем вне зависимости от графика. К ним относятся:
- обновление инфраструктуры, в том числе внедрение новых информационных систем,
- открытие новых офисов или филиалов (добавление дополнительных подсистем в уже существующую инфраструктуру),
- смена ИБ-команды, руководителя ИБ-департамента или подрядчика.
Виды анализа защищенности
Сканирование уязвимостей - Vulnerability Scanning/Vulnerability Research
Сканирование проводят сетевым сканером уязвимостей — на выходе получается отчёт, в который входит:
- верхнеуровневая статистика,
- перечень выявленных нарушений безопасности,
- рекомендации по их устранению.
Периодичность: ежемесячно или чаще. Зависит от процесса устранения уязвимостей и установки обновлений.
Сложность: низкая
Оценка уязвимостей — Security Analysis, Vulnerability Assessment
Оценка уязвимостей информационных систем также проходит с помощью автоматизированных средств, только в этом случае с применением учетных записей от ИТ-активов заказчика. Цель — предоставить максимально полную картину потенциальных уязвимостей инфраструктуры с минимальным количеством ложных срабатываний.
Кроме сетевых сканеров, возможно также использовать ручные проверки, где к разбору результатов работы сканера подключается аналитик. За счёт этого сокращается количество «ложных» нарушений безопасности и выделяются приоритетные, с которыми нужно работать сейчас.
На этом этапе можно определить, есть ли брешь, но не вероятность того, что ей воспользуются злоумышленники.
Периодичность: раз в квартал или чаще. Поскольку пересекается с услугой по сканированию уязвимостей, многие используют их попеременно.
Сложность: средняя
Аудит безопасности — Security Audit
В ходе анализа проверяется, насколько ИТ-система соответствует требованиям протоколов безопасности или нормативным актам и стандартам, которые регулируют ИБ.
Аудит безопасности делает упор на соответствии требованиям и рекомендациям, лучшим практикам или рекомендациям нормативных актов, стандартов и документации производителей оборудования и ПО.
Периодичность и сложность зависит от многих факторов и, в первую очередь, от источника подобной задачи.
Тестирование на проникновение, пентест — Penetration Testing
Пентесты — это метод оценки защищённости, в рамках которого специалист пытается эксплуатировать выбранные уязвимости. Цель — получить актуальную информацию о возможностях средств защиты противостоять попыткам проникновения по конкретным сценариям и сформировать рекомендации для последующего закрытия выявленных нарушений безопасности.
Существует несколько типов пентестов.
Внешнее тестирование. В этом случае специалист ищет путь проникновения внешнего нарушителя в корпоративную инфраструктуру. Используются уязвимости и ошибки конфигураций сервисов, которые доступны из интернета.
Внутреннее тестирование. АнализОценка защищённости происходит изнутри — как если бы злоумышленник действовал из заданного сегмента инфраструктуры. Для этих работ предоставляют удалённый доступ или готовят рабочее место на объекте.
Фишинг. Специалисты имитируют действия злоумышленников при помощи электронной почты или телефонных номеров. Здесь активно используют средства социальной инженерии, а тестируются пользователи инфраструктуры. Часто включается как часть внешнего тестирования.
Это базовые услуги, их часто перемешивают и адаптируют под конкретные нужды.
Периодичность: зависит от скорости устранений нарушений безопасности выявленных на предыдующих пентестах. Чаще всего это 1-2 раза в год.
Сложность: высокая.
Red Teaming
Основная задача — это проведение атаки на инфраструктуру так, как это сделали бы злоумышленники. Это нужно, чтобы проверить процессы и средства информационной защиты в условиях неожиданной атаки.
Если атака оказалась успешной, это не значит, что нужно срочно распускать ИБ-службу. RedTeaming позволяет узнать слабые стороны и ошибки, получить практический опыт без последствий.
Обычно красные (атакующие) действуют скрытно, как это бы делали настоящие злоумышленники. Команда защищающихся при этом не знает, что проводятся какие-то работы. По завершению исполнитель предоставляет отчёт, как и к чему был получен доступ, чтобы ИБ-специалисты могли пересмотреть уже имеющиеся меры по обеспечению защиты или внедрить новые. Интересно оценить отчёт красных вместе с отчётом синих, всплывают неожиданные моменты, которые в последующем переходят в фиолетовую команду.Purple Teaming
Purple Team — это более дружелюбный подход к анализу защищённости информационных систем. Он представляет симбиоз работы синей и красной команд, цель которого не только выявление слабых мест, но и улучшение общего уровня защиты компании с привлечением ИБ-команды на всех этапах. Работа фиолетовой команды позволяет оценить эффективность защитных решений, оптимизировать процессы реагирования и добавить уровни контроля защищённости.
У purple team есть конкретные метрики, которые позволяют оценить работу команды:
MTTD (Mean Time to Detect): Среднее время обнаружения инцидента.
MTTR (Mean Time to Respond): Среднее время реакции на инцидент.
В начале работ важны не абсолютные числа, а динамика их улучшения.
За счёт синергии растут и компетенции защитников и атакующих — каждая из сторон узнаёт о новых технологиях, подходах и инструментах.
Заключение
От информационной безопасности зависит не только финансовый рост вашей организации, конфиденциальность ваших клиентов и сотрудников, но и репутация организации и специалистов ИБ-службы. Регулярный анализ защищённости информационных систем – это неотъемлемая часть построения устойчивой инфраструктуры.
Александр Борисов,
руководитель направления отдела средств защиты информации Innostage