Журнал "Information Security/ Информационная безопасность" #4, 2019

Практика показывает, что начать с выстраивания ИБ-процессов на всех уров- нях не получится. Причины могут варьироваться от эко- номических до ресурсных. Поэтому эффективнее использовать унифициро- ванный подход к кибербезо- пасности при иерархической структуре, основанный на использовании на нижних структурных уровнях сенсо- ров. Это позволит обеспе- чить мониторинг ИБ, не упи- раясь в глобальную органи- зацию ИБ-процессов в каж- дой филиальной структуре. Начать с головы и прокачать филиалы Начинать нужно с реализации основных процессов по ИБ на уровне головной организации, затем тиражировать наработан- ные практики и методики на дочерние структуры. И в первую очередь следует разобраться в составе компонентов инфор- мационных систем и в сетевой архитектуре (т.е. в том, как те или иные компоненты взаимо- действуют друг с другом). Это послужит началом для органи- зации процессов инвентариза- ции программных и аппаратных ресурсов (Asset Management) и управления уязвимостями (Vulnerability Management). Это позволит закрыть основные лазейки для хакеров, а именно уязвимые места инфраструкту- ры с учетом ее распределенно- сти (ограничить сетевую доступ- ность с нижних уровней). Лучшие современные прак- тики ИБ (NIST, ISO, норматив- ная база по ГосСОПКА, требо- вания к мерам защиты от ФСТЭК России и т.п.) также рекомендуют включить в пере- чень основных ИБ-процессов следующие: l инвентаризация программных и аппаратных ресурсов, что поз- волит отслеживать изменения и выявлять появление новых компонентов, которые при появлении в инфраструктуре могут порождать новые угрозы; l управление уязвимостями, т.е. отслеживание наличия в систе- ме уязвимых мест с регулярным их закрытием (обновление ПО, смена прошивок и т.п.); l анализ событий и выявление инцидентов (Event Management), необходимые для постоянного мониторинга запускаемых в инфраструктуре процессов, которые могут быть нелегитим- ными, т.е. стать своего рода пред- посылками для проведения атаки; l обработка инцидентов и реа- гирование на них (Incident Management): недостаточно про- сто выявлять инциденты, необхо- димо уметь оперативно реаги- ровать на них для предупрежде- ния дальнейшего проникновения или дальнейшего заражения, в зависимости от типа атаки; l повышение квалификации службы ИБ: группа реагирова- ния на атаки должна обладать актуальными знаниями о совре- менных методах и способах компьютерных атак для более эффективного и оперативного реагирования на новые вызовы и угрозы. Этому способствет участие в киберполигонах, спе- циализированных тренингах, курсах и пр.; l анализ эффективности при- нимаемых мер (контроль соот- ветствия): без этого нельзя оце- нить правильность выбранного вектора (стратегии). Данный процесс необходимо автомати- зировать, так как отслеживание метрик выполнения мер в рас- пределенных инфраструктурах вручную занимает слишком много времени и не позволяет составить общую картину по всем организациям сразу. Таким образом, можно выстроить стратегию развития ИБ в организации и планомерно достигать определенного уровня зрелости. Сроки ее реализации зависят от количества пред- приятий, входящих в холдинг, и от распределенности их инфра- структуры. А вот говорить о том, что процессы ИБ выстроены эффективно, можно только на основании конкретных резуль- татов. К измеримым парамет- рам могут относиться количе- ство закрытых уязвимостей и угроз, количество выявленных инцидентов, сроки реагирования на разные типовые атаки и пр. Но в тех случаях, когда на нижнем уровне иерархии инфор- мационная безопасность "недо- зрела", специалистам, работаю- щим на верхних уровнях инфра- структуры, необходимо иметь возможность собирать инфор- мацию для мониторинга. Для организации централизованного мониторинга можно использо- вать различные инструменты, в частности специализированные агенты и сканеры, которые спо- собны собрать события ИБ, про- анализировать сетевой трафик, проанализировать файлы на наличие вредоносного ПО, а вер- дикты отправить в центр для дальнейшего анализа и принятия действий по реагированию. Таким образом будет обеспечи- ваться автоматический сбор и передача необходимых для выявления атак данных снизу вверх. Что делать, если "низы не могут" Рассмотрим более подробно, какие задачи предлагается решать на разных уровнях иерар- хической структуры системы кибербезопасности в тех случаях, когда процессы "внизу" строить некому и некогда (см. рис.). Практика показывает, что начать с выстраивания ИБ-про- цессов на всех уровнях не полу- чится. Причины могут варьиро- ваться от экономических до ресурсных. Поэтому эффектив- нее использовать унифицирован- ный подход к кибербезопасности при иерархической структуре, • 23 ТЕХНОЛОГИИ www.itsec.ru Типовая схема распределенной системы кибербезопасности