Журнал "Information Security/ Информационная безопасность" #4, 2020

Организации довольно часто просто не знают, как выглядит их сеть в текущий момент времени. Статичные схемы, красиво выполнен- ные, например, в Visio, к сожалению, практически никогда не отражают дей- ствительность, и мы неред- ко сталкиваемся с тем, что такие схемы демонстрируют картину "как это было год назад". На сегодняшний день существует целый ряд про- дуктов, направленных на автоматизацию процесса моделирования угроз на уровне сети. Одним из лиди- рующих продуктов является решение Skybox Security, которое давно представлено на российском рынке без- опасности. за 100 тыс. строк. При этом встречаются случаи, когда толь- ко на одном межсетевом экране настроено более 100 тыс. пра- вил и 3–4 тыс. виртуальных интерфейсов. Не стоит забывать и о том, что настройки сети динамично меняются, запускаются новые сервисы, вводится микросег- ментация. При этом управление оборудованием, как правило, выполняется посредством ряда консолей и модулей разных про- изводителей, что значительно усложняет получение единой наглядной картины эффектив- ного действия правил доступа по всей сети. В этих условиях контроль и периодический пере- смотр такого объема настроек и правил сетевого доступа – очень трудоемкая задача, поэтому выполнить ее вручную практически невозможно. Как следствие, организации довольно часто просто не знают, как выглядит их сеть в текущий момент времени. Статичные схемы, красиво выполненные, например, в Visio, к сожалению, практически нико- гда не отражают действитель- ность, и мы нередко сталкива- емся с тем, что такие схемы демонстрируют картину "как это было год назад". Бывало даже, что номера сетей, включая IP- адресацию, не соответствовали реальной ситуации. Актуальные сведения об уязвимостях С наличием уязвимостей тоже все не так очевидно. Безуслов- но, сканеры эффективно выявляют уязвимости различ- ных компонентов ИТ-инфра- структуры, но проблема в том, что сканирования проводятся на периодической основе, а некоторые сегменты вообще не сканируются (например, из- за того, что они недоступны для сканера защищенности). В результате получается, что полная актуальная картина отсутствует. Предположим, последнее сканирование было проведено месяц назад, но ведь в течение этого времени уста- навливались обновления и патчи, и это означает, что часть данных уязвимостей уже устра- нена, а условия для реализации угрозы отсутствуют. С другой стороны, в среднем в мире каж- дый месяц обнаруживается порядка 600–1200 новых раз- личных уязвимостей, а значит мы можем не знать о новых появившихся угрозах до сле- дующего сканирования. Таким образом, мы можем ошибочно посчитать, что условия для реа- лизации угрозы существуют (так называемые ошибки первого рода, или false positive), или наоборот, мы можем не знать об их существовании (ошибки второго рода, или false negative) (рис. 1). В результате получается, что если мы хотим выстроить дина- мический процесс оценки воз- можных сценариев реализации угроз на сетевом уровне, то для этого нам необходимо учи- тывать два условия, а именно: 1. Иметь четкое представле- ние сети с учетом всех ее настроек для анализа наличия/отсутствия сетевого доступа. 2. Понимать актуальный пере- чень имеющихся уязвимостей. Очевидно, что сделать анализ всех возможных сетевых марш- рутов от всех нарушителей до всех уязвимостей – задача крайне трудоемкая и без средств автоматизации здесь не обойтись. На сегодняшний день суще- ствует целый ряд продуктов, направленных на автоматиза- цию процесса моделирования угроз на уровне сети. Одним из лидирующих продуктов являет- ся решение Skybox Security, которое давно представлено на российском рынке безопасно- сти. Ниже рассмотрим более подробно функциональные воз- можности этого решения. Skybox – платформа автоматизации моделирования угроз Платформа Skybox Security позволяет автоматизировать следующие основные функции: l динамическое моделирова- ние карты сети, а также анализ настроек сетевого оборудова- ния и межсетевых экранов; l создание актуальной обнов- ляемой базы защищаемых информационных ресурсов и имеющихся на них уязвимо- стей; l моделирование угроз и симу- ляция атак путем анализа досту- пов от всех потенциальных нарушителей до всех имеющих- ся уязвимостей на модели сети; l автоматический расчет опас- ности угроз с помощью гибко настраиваемой скоринговой модели; l формирование рекомендаций по снижению уровня угрозы. Моделирование сети Для службы информационной безопасности важно понимать, как устроена сеть и какой доступ в ней разрешен, а какой запрещен, но для этого нужно понимать все настройки сете- образующих устройств, включая правила маршрутизации, NAT, правила доступа межсетевых экранов, маршрутизаторов и т.д. При этом важно не только видеть текущую картину, но и отслеживать все изменения в реальном масштабе времени. Для этого Skybox собирает и анализирует все конфигура- ции сетевого оборудования, включая виртуальные и облач- ные сетевые сегменты, а затем строит динамически обновляе- мую модель, которая в точности отражает реальную сеть. В слу- чае изменений настроек или правил Skybox просто загрузит новую конфигурацию и пере- считает модель. Такая модель позволяет авто- матически и без влияния на реальную сеть проверить вто- рое условие реализации атаки, а именно вычислить и визуали- зировать на карте сети воз- можные маршруты прохожде- ния заданного типа трафика с демонстрацией разрешающих и запрещающих правил и настроек, задействованных для этих маршрутов. Необходимо отметить, что построенная сетевая модель дает и ряд дополнительных воз- можностей, которые не имеют прямого отношения к опреде- лению вектора атаки. Так, например, анализ конфигура- ций и настроек позволяет: 1. Автоматически осуществ- лять проверку конфигураций сетевого оборудования на соответствие лучшим практи- • 35 АВТОМАТИЗАЦИЯ www.itsec.ru Рис. 1