Журнал "Information Security/ Информационная безопасность" #2, 2025

Зачем заниматься настройками? Зачемзаниматьсяуправлениембез- опасностьюконфигураций,кпримеру, банковскиморганизациям?Вопросрито- рический. ТребованияБанкаРоссии,Националь- нойсистемыплатежныхкартидругих регулирующихоргановниктонеотменял, аштрафыисанкции–достаточноубе- дительныйаргумент.Нозачемэтонужно всемостальным?­ l Во-первых,чтобысократитьвозмож- нуюповерхностькибератаки.Дажеслабо подготовленныйхакерсможетдобиться успеха,есливкомпании,кпримеру, слабаяпарольнаяполитикаилицарит неразберихасправамидоступа. l Во-вторых,безопасноеконфигуриро- вание–одинизсамыхэффективных способовобеспечитьбазовуюзащищен- ностькомпаниибезвнедрениядопол- нительныхСЗИ.Вместопервоочередной покупкивеерапродуктовдляпредотвра- щениякибератак,стоит,какминимум параллельно,начатьсработысо встроеннымимеханизмамиИТ-систем. Почему работать с настройками сложно? Основнаяпроблемавработе с настройкамипростаифундаменталь- на:ихоченьмного. Еслисобратьнастройкиповсемтипам ресурсов,которыеестьвсетисредне- статистическойкомпании(ОС,СУБД, прикладноеПО,веб-серверыит.д.),то получитсяоколо1000штук,изнихкри- тическиважных–200–300.Вмасштабе инфраструктурына1000хостов–уже 200–300тыс.настроек.При10тыс.хостов настройкиисчисляютсямиллионами. Отметимрадикальноеотличиеотработы с"классическими"вендорскимибрешами (сCVE),гдеуязвимостейсвысокимрис- ком,требующихсрочногореагирования, будетотсилы2–3насистему. ПриэтомподразделениеИБвыступает заказчикомилишьчастичнымисполни- телем,таккакнеможетвыполнитьзада- чубезопаснойнастройкибезпривлече- нияИТ.ИТ-администраторы,всвоюоче- редь,непонимают,зачтоимвсеэто– "красный"отчетотсканерауязвимостей напятьсотилиболеестраницпокаждой ИТ-системеобъективнодеморализует. Крометого,многоевтребованияхстан- дартовможетбытьнепонятнобезобъ- яснений,таккаквсвоейежедневной работепосопровождениюсистемадми- нистраторымоглиникогданесталки- ватьсясчастьюнастроек,которыеотно- сятсякбезопасности. Ноутверждать,чтосканеруязвимо- стейбесполезен,–тоженекорректно: онидеальнорешаетзадачуоценки общегоуровнязащищенностиоргани- зацииипозволяетИБ-специалистам проводитькачественныйGAP-анализ. Историческиприменениесканеравпро- цессеуправленияконфигурациями в компанияхбылосвязановосновном с отсутствиемальтернатив–кактуаль- ностиэтогостоп-факторамывернемся чутьпозже,потомучтоальтернативы появилисьибудутактивноразвиваться вближайшиегоды. Другаяпроблемавуправлении настройкамисвязанастем,чтовносить изменениявработубоевыхсистем в принципесложно:дляэтогонеобходи- мовыделятьисогласовыватьтехноло- гическиеокна,постояннооценивать импактотизменений,тестироватьработу системпослеизменениянастроек… Задача,котораядаженабумагекажется бесконечнойималовыполнимой. Ешьте слона по частям Входемноголетнеговзаимодействия склиентамимыпришликоптимальному процессу,которыйпредполагаетпоста- новкупоэтапноговнедренияуправления конфигурацияминарельсы"осознанной дружбысИТ". Чтобыпокрытьнастройкамивсю инфраструктурусдостаточнымуровнем защищенности,придетсяначинать с малого:спервыхверсийстандартов безопасности,скоторымиИТсможет работатьикоторымиИБсможетуправ- лять.Дляэтогонеобходимосформиро- ватьсокращенныйпереченьнаиболее критичныхнастроекпокаждойсистеме. ИТ-администраторамнужночеткопони- мать,чемважныконкретныенастройки встандарте,изнать,чтопроцессзаймет немноговремениблагодаряихограни- ченномуколичеству.Тогдапоставленные целиизадачибудутвосприниматься какреалистичныеивыполнимые. Дляформированиякорректныхцелей можноиспользоватьподходSMARTили любыедругиеметодики,ориентирован- ныенадостижимостьиизмеримость результата.Всеучастникипроцесса (особенноисполнители)должныиметь возможность"ощутить"результат:поста- вить"галочку",закрытьтикет,выполнить KPI,отчитаться,повыситьсвоюсамо- 24 • СПЕЦПРОЕКТ Настройка дружбы ИБ и ИТ: внедряем стандарты безопасного конфигурирования ля устранения уязвимостей в стороннем ПО чаще всего приме- няется установка обновлений от вендора, а для обеспечения безопасности собственного исходного кода используются прак- тики SDLC. На рынке есть множество инструментов для решения этих задач, причем как для нужд ИБ, так и с учетом специфики ИТ. Постановка и достижение целей в этих про- цессах, несмотря на их сложность, выглядят вполне осуще- ствимыми. В случае с уязвимостями, связанными с небезопас- ными настройками,процесс обычно останавливается тогда, когда из ИБ в ИТ-отдел попадает тысячестраничный отчет, полученный из сканера уязвимостей. Д Кирилл Евтушенко, генеральный директор ООО “Кауч” Фото:Кауч