Журнал "Information Security/ Информационная безопасность" #4, 2019

Нет патчменеджмента, но есть разнотипные системы защиты В дочерних структурах и на удаленных небольших площад- ках крупных распределенных организаций не всегда учиты- ваются все актуальные угрозы, нижние уровни инфраструктуры на практике недостаточно защищены и вполне могут сыг- рать для гипотетического зло- умышленника роль распахнутой двери в инфраструктуру всей организации. Один из первых шагов для взлома организации со стороны злоумышленника – сканирование целевой системы, для того чтобы найти уязвимые места. Если же на периметре он ничего не находит, то начи- нает изучать другие точки входа через удаленные компоненты, расположенные на площадках филиалов, дочерних или даже подрядных организаций. После этого злоумышленник эксплуа- тирует уязвимости. В основном это уязвимости устаревших версий ПО, на которые уже вышли патчи с исправлениями. Но на нижних уровнях не зани- маются поиском уязвимостей и регулярным обновлением, поэтому для киберпреступников открываются возможности для реализации своих целей. При- чиной этому могут быть как отсутствие достаточных бюд- жетов, так и нехватка квали- фицированных специалистов. Для построения центров реаги- рования на нижних уровнях необходимо закупать дорого- стоящие средства защиты, предназначенные для обнару- жения инцидентов и реагиро- вания на них. К тому же эффек- тивный анализ требует найма опытных специалистов, кото- рые в большом дефиците (и тем более в регионах). Кроме того, "зоопарк" реше- ний на разных уровнях услож- няет процесс управления и контроля. Когда на разных уровнях применяются средства различных производителей, возможность эффектного цент- рализованного мониторинга усложняется. Рассмотрим, например, решения класса SIEM: если в дочерней органи- зации используется система одного производителя, а в управляющей (головной) организации – другого, то спе- циалисты головного центра реагирования не смогут опе- ративно помогать реагировать на инциденты своей подчинен- ной организации из-за техно- логических различий исполь- зуемых решений. Поэтому нельзя сбрасывать со счетов выстраивание единой стандар- тизации применения тех или иных ИБ-решений в крупных корпорациях, холдингах и ОГВ с распределенной ведомствен- ной инфраструктурой. Не менее важная проблема – несоответствие нормам зако- нодательства в сфере ИБ. Без применения единой концепции или корпоративных стандартов (единого согласованного под- хода при реализации системы ИБ в многоуровневых инфор- мационных системах) на нижних уровнях возникает риск невы- полнения принятых норм. Голов- ному центру в этом случае необходимо иметь средства контроля, чтобы отслеживать состояние защищенности на любом уровне распределенной инфраструктуры. 22 • ТЕХНОЛОГИИ Защита организации с распределенной сетью не признает мелочей и километров ередко при создании системы обеспечения ИБ в крупных организациях со сложной разветвленной инфраструктурой основной фокус направлен на защиту головных организаций. Практика расследований PT Expert Security Center 1 насчитывает немало историй, когда головной офис пострадавшей компании, обратившейся за помощью, был хорошо защищен (чистый периметр без уязвимостей и лишних сервисов, песочницы, NGFW), а в региональных подразделениях ситуация в плане ИБ оказывалась плачевной (словарные пароли, недостаточная защита от восстановления учетных записей, неготовность сотрудников к фишингу и т.п.). При этом все офисы находились в одном домене, без жесткой сегментации между сетями. В итоге атакующие взламывали менее защищенный офис, “дампили” привилегированные учетные записи и спокойно заходили в головное подразделение 2 . Н Сергей Куц, эксперт Positive Technologies 1 https://www.ptsecurity.com/ru-ru/services/esc/ 2 https://www.anti-malware.ru/practice/methods/How-to-write-correlation-rules-in-SIEM-system-with- out-programming-skills Для эффективного выполнения задач по ИБ в распределенных инфраструктурах необходимо выработать единую политику, которая будет учитывать специфику организаций с разным уровнем зрелости информационной безопасности. Но, не дожидаясь итогового формирования политики на всех уровнях крупной корпорации, необходимо сразу же, с максимальной оперативностью начать учитывать реальные угрозы, о которых забывают на нижних уровнях структуры. А это означает, что службы информационной безопасности должны получить или начать использовать с большей эффективностью инструментарий, имеющий возможности иерархических установок для сквозной интеграции и единой техподдержки, что, в свою очередь, обеспечит необходимый минимум с точки зрения организации централизованного мониторинга безопасности на всех уровнях распределенных систем.