Журнал "Information Security/ Информационная безопасность" #4, 2020

Настройка параметров нарушителя в Skybox пол- ностью соответствует мето- дике ФСТЭК России и фак- тически сводится к тому, чтобы указать расположе- ние, тип нарушителя и его потенциал. При этом коли- чество нарушителей может быть неограниченным. Специализированные средства, такие как Skybox Security, позволяют не толь- ко моделировать все сцена- рии реализации угроз и автоматически оценивать их опасность, но и получить дополнительные возможно- сти контроля конфигураций сетевого оборудования и политики сегментирова- ния, анализа правил доступа межсетевых экранов и их изменений. кам и установленным в орга- низации политикам конфигу- рирования. 2. Оптимизировать правила доступа межсетевых экранов: l выявлять затененные и избы- точные правила; l выявлять редко используе- мые правила и объекты; l формировать рекомендации по оптимизации правил и настроек. 3. Автоматически контроли- ровать принятую политику сег- ментирования сети (доступ между зонами безопасности) с указанием причины несоот- ветствия вплоть до конкретных правил на конкретных устрой- ствах. Моделирование нарушителей и анализ условий для реализации угроз В ходе моделирования угроз и оценки их опасности нам также необходимо определить нарушителя, иметь перечень защищаемых информационных ресурсов и уязвимостей (второе условие для реализации угроз). Настройка параметров нару- шителя в Skybox полностью соответствует методике ФСТЭК России и фактически сводится к тому, чтобы указать располо- жение, тип нарушителя и его потенциал. При этом количество нарушителей может быть неограниченным. С перечнем информационных ресурсов, в отношении которых рассматриваются угрозы, тоже все довольно просто. Skybox интегрируется с различными сканерами защищенности (например, MaxPatrol, Qualys, Tenable, Rapid7 и др.), а также с системами инвентаризации и патч-менеджмента (например, Microsoft WSUS и CSSM, Red Hat Satellite, IBM BigFix и др.). При этом существует возмож- ность загрузки данных и из дру- гих источников с помощью встроенного Generic CMDB CSV Parser или API. Таким образом, Skybox позволяет не только сформировать полный список всех имеющихся информацион- ных ресурсов, но и постоянно обновлять информацию об уста- новленных версиях, обновле- ниях и патчах. Важно отметить, что такая интеграция с различными системами позволяет не только получить список информацион- ных ресурсов, но и иметь все- гда полную и актуальную информацию об имеющихся уязвимостях даже в период "до" и "между" сканирования- ми, а также для сегментов, которые не сканируются по тем или иным причинам. Достигается это за счет использования встроенного движка "пассивного" выявле- ния уязвимостей Vulnerability Detector. Работает этот движок следующим образом. Skybox имеет собственную ежедневно обновляемую базу всех извест- ных уязвимостей, а также информацию обо всех инфор- мационных ресурсах, включая данные об их версиях, уста- новленных обновлениях и патчах. Используя встроенные алгоритмы, Skybox может авто- матически проанализировать, для каких платформ, прило- жений и сервисов актуальны те или иные уязвимости. А далее Skybox приступает к выполнению самой трудоем- кой задачи – анализу возмож- ных маршрутов от всех нару- шителей до всех имеющихся уязвимостей. Этот анализ как раз и позволяет проверить вто- рое условие для реализации угрозы, а именно наличие сете- вого доступа. Важный момент в том, что проверка именно этого условия позволяет отсе- ять колоссальное количество угроз и признать их неактуаль- ными, так как при отсутствии сетевого доступа эксплуатация уязвимости не представляется возможной. При этом также производится автоматическая оценка опасности каждой акту- альной угрозы, что позволяет сфокусироваться на устране- нии наиболее критичных век- торов атак. В итоге остается только опре- делиться с тем, какой из пред- ложенных Skybox вариантов снижения уровня угрозы выбрать. И это может быть не только устранение самой уязви- мости путем установки обнов- лений или патчей, но и актива- ция сигнатур системы пред- отвращения атак (IPS) или бло- кировка сетевого доступа по конкретным адресам или пор- там (рис. 2). Таким образом, моделирова- ние угроз на сетевом уровне можно практически полностью автоматизировать. Специали- зированные средства, такие как Skybox Security, позволяют не только моделировать все сце- нарии реализации угроз и авто- матически оценивать их опас- ность, но и получить дополни- тельные возможности контроля конфигураций сетевого обору- дования и политики сегменти- рования, анализа правил досту- па межсетевых экранов и их изменений. При этом решения подобного класса востребованы не только службами информа- ционной безопасности (с точки зрения повышения реального уровня защищенности), но и подразделениями ИТ, поскольку они позволяют полу- чать актуальную информацию по карте сети в режиме реаль- ного времени. l 36 • УПРАВЛЕНИЕ Рис. 2 Ваше мнение и вопросы присылайте по адресу is@groteck.ru Skybox имеет собственную ежедневно обновляемую базу всех известных уязвимостей, а также информацию обо всех информационных ресурсах, включая данные об их версиях, установленных обновлениях и патчах. Используя встроенные алгоритмы, Skybox может автоматически проанализировать, для каких платформ, приложений и сервисов актуальны те или иные уязвимости.

RkJQdWJsaXNoZXIy Mzk4NzYw