Журнал "Information Security/ Информационная безопасность" #4, 2020

С одной стороны, есть информационные ресур- сы (объекты защиты), в частности сервисы и приложения, функцио- нирующие в различных средах: физические и виртуальные серверы, контейнерные среды, рабочие станции и т.д. С другой стороны, есть источник угрозы в лице хакеров, действующих в сети Интернет, – внеш- ний нарушитель или в лице нелояльных сотрудников – внутрен- ний нарушитель. И эти нарушители пытаются атаковать в сети серви- сы и приложения доступ- ными инструментами. При этом, разумеется, используются раз- личные средства сетевой без- опасности, например межсете- вые экраны, предназначенные для блокирования возможных векторов атак. В этой статье мы, рассматривая сетевой уро- вень, ограничимся локальным и удаленным сетевым доступом потенциального нарушителя, исключая угрозы, связанные с физическим доступом зло- умышленника к оборудованию компании. Как проанализировать сово- купность всех факторов и с какими сложностями придется при этом столкнуться? При оценке вектора атаки в нашей модели предлагаем рассмот- реть следующие основные пара- метры: l источник угрозы (наруши- тель); l защищаемые информацион- ные ресурсы (приложения или сервисы); l условия для реализации угроз – наличие уязвимости и наличие сетевого доступа. В результате анализа векто- ров атак мы ожидаем получить понимание всех возможных сце- нариев реализации угрозы с учетом реальных настроек нашей сети и имеющихся в инфраструктуре уязвимостей, а также оценить опасность каж- дой такой угрозы. Рассмотрим более подробно процесс определения парамет- ров моделирования угроз, пере- численных выше. С нарушите- лями как потенциальными источниками угроз более-менее все очевидно. Как сказано выше, они могут быть либо внешними, либо внутренними, в зависимости от того, откуда осуществляется атака. Из систем инвентаризации и ска- неров защищенности можно получить как сам перечень защищаемых информационных ресурсов, так и информацию об имеющихся в сети уязвимо- стях, что в нашем случае является одним из условий для реализации угрозы. А вот для анализа второго условия реа- лизации атаки (наличие сете- вого доступа) мы как минимум должны знать текущие настрой- ки сети и правил доступа на межсетевых экранах. И вот тут начинают появляться различ- ные сложности, которые далее рассмотрим более подробно. Сложности моделирования угроз Анализ настройки сложных распределенных сетей Сеть является одним из важ- нейших элементов ИТ-инфра- структуры любой организации. В состав сети входит достаточно большое количество активного сетевого оборудования (марш- рутизаторы, коммутаторы, балансировщики нагрузки и др.) и межсетевых экранов различ- ных производителей. Не стоит забывать и про активное исполь- зование виртуальных сетевых устройств, особенно учитывая растущую популярность таких технологий, как Cisco ACI или VMware NSX/NSX-T. Общее количество подобных устройств, включая виртуаль- ные, может достигать сотен и даже тысяч. Общее количе- ство правил фильтрации, спис- ков контроля доступа и прочих настроек, связанных с обес- печением безопасности и конт- роля сетевого доступа к эле- ментам инфраструктуры, также может измеряться десятками и сотнями тысяч. В нашей прак- тике нередко встречаются слу- чаи, когда общее количество правил доступа переваливает 34 • УПРАВЛЕНИЕ Автоматизация процессов моделирования угроз на уровне сети оделирование и оценка опасности угроз достаточно давно применяются на практике во многих компаниях в качестве превентивного метода защиты. Они позволяют своевременно выявить слабые места и принять меры по устранению имеющихся недостатков системы безопасности. В этой статье попробуем разобраться, применим ли такой подход на сетевом уровне. Возможно ли автоматически создавать все сценарии реализации угроз на уровне сети и так же автоматически оценивать их опасность? М Юрий Черкас, региональный директор Skybox Security в России и СНГ Виктор Сердюк, генеральный директор АО “ДиалогНаука”

RkJQdWJsaXNoZXIy Mzk4NzYw