Журнал "Information Security/ Информационная безопасность" #5, 2024

Gartner пока еще нет устоявшегося тер- мина для таких систем. Типичным пред- ставителем систем мониторинга такого типа можно назвать комплекс инфор- мационной безопасности САКУРА, кото- рый инсталлируется на рабочих местах, контролирует состояние их защищен- ности по заранее заданным правилам и параметрам безопасности информа- ции. При отклонении от этих правил и параметров САКУРА выполняет кор- ректирующие действия, блокируя запуск отдельных программ и процессов и ограничивая доступ к корпоративным терминальным серверам. Для выпол- нения этого САКУРА использует мощ- ный инструмент взаимодействия с опе- рационной системой как для Windows (PowerShell), так и для UNIX-подобных систем (Bash). Программный комплекс САКУРА обеспечивает инвентаризацию программного и аппаратного обеспече- ния рабочих мест, фиксацию даты и вре- мени изменения программного и аппа- ратного обеспечения, времени начала и окончания работы пользователей в используемом программном обес- печении, получение и обработку инфор- мации о состоянии их защищенности и сетевых соединениях. Комплекс интег- рируется со средствами удаленного доступа: Microsoft RDP, КриптоПро NGate, ИнфоТеКС ViPNet, OpenVPN. И не только безопасность информации Системы мониторинга второго типа, контролируя определенные параметры информационной системы в динамике и статике, накапливают огромный объем данных, который может быть интересен не только службам информационной безопасности. Например, принципы мониторинга, заложенные в программном комплексе САКУРА для контроля состояния обес- печения безопасности информации, вполне можно применить и в смежной области – контроле и учете рабочего времени работника. Это может быть очень полезным для HR-менеджеров при разрешении трудовых споров, свя- занных с прогулами, опозданиями, нарушением трудового распорядка. Такой учет полезен и руководителям подразделений при определении раз- мера участия того или иного работника в реализации поставленных задач (гриды, премии) планировании дальней- шей деятельности. Ну и, конечно же, это будет полезно топ-менеджерам при оценке суммар- ной задействованности подразделения в общем производственном процессе (время активности за компьютером и в конкретных приложениях, управ- ление KPI). Система мониторинга, решая задачи обеспечения безопасности информации, отслеживает в том числе состояние рабочего места, установленное на нем программное обеспечение и готовность к работе. А своевременное обнаружение проблем с техническими средствами позволит ИТ-службе правильно сплани- ровать регламентные работы. Можно найти еще много полезных фишек. Некоторые из них, полученные из анализа возможностей программного комплекса САКУРА, вы найдете в таб- лице "Функции мониторинга". Кому какие системы подходят Выбор класса средств мониторинга зависит от многих факторов: и от стоя- щих задач, и от технологий ведения бизнеса, и от размера самого бизнеса, и еще много от чего. Можно предположить, что среднему и малому бизнесу будут больше инте- ресны системы мониторинга второго типа в силу своей простоты обслужива- ния и возможности превентивного пре- сечения возможных нарушений, влияю- щих на безопасность информации. Часть задач, которые решаются исключительно апостериорным мониторингом в этом случае может быть отдана на аутсорсинг специализированным компаниям. Крупному бизнесу, который может себе позволить содержание полноцен- ного ИБ-подразделения, скорее всего будут интересны системы мониторинга первого типа. Но найдут свое применение и системы мониторинга второго типа. То есть велика вероятность использова- ния комбинированного подхода. Еще одним потребителем систем мониторинга первого типа, скорее всего, станут специализированные компании, например SOC-центры, оказывающие услуги мониторинга. Средства защиты постоянно совер- шенствуются – это прогресс, который идет, в частности, по пути универсали- зации этих средств. Если раньше мы с легкостью могли идентифицировать то или иное средство защиты по клас- сификации Gartner, то сейчас это не всегда возможно. С точки зрения ИТ-специалиста, это очень хорошо: нет зоопарка средств, упрощается администрирование – поста- вил одно средство и сразу решил поло- вину проблем. А с точки зрения ИБ-спе- циалиста – наоборот: злоумышленник, преодолев один рубеж, поняв логику и алгоритм защиты, может применить свои познания для преодоления второго и третьего рубежей. Зачастую, особенно для SMB-сегмен- та, практичнее воспользоваться спе- циализированным инструментом, а не универсальным. Так и в нашем случае целесообразнее использовать средство, “заточенное” под конкретные задачи и позволяющее изолировать себя от остальных средств защиты. При этом изоляция не означает отсутствие взаи- модействия. Взаимодействие важно и нужно. О мониторинге и оценке рисков В завершение немного об оценке рис- ков информационной безопасности. – Может ли система мониторинга оце- нить риски информационной безопас- ности? – Нет! – Можно ли использовать данные, полученные в ходе мониторинга, для оценки рисков информационной безопас- ности? – Да! – Почему? – Потому что оценка риска – это про- цесс идентификации, анализа и оценки приемлемости уровня риска 4 . При этом определяется вероятность реализации угрозы, ущерб от реализации угрозы, стоимость защитных мер и пр. Системы мониторинга с этим не справятся, хотя они, конечно, смогут помочь в иденти- фикации рисков. А работу с инцидента- ми информационной безопасности успешно могут делать системы монито- ринга первого типа, так как идентифи- кация риска – это процесс обнаружения, распознавания и описания рисков. Кроме того, при идентификации риска необходимо провести идентификацию источников риска, событий и их причин, а также их возможных последствий, а это как раз то, чем занимаются при разработке правил корреляции. Полу- чается, что правила корреляции тесно связаны именно с рисками информа- ционной безопасности и бизнес-задача- ми компании. l • 29 SOC + EDR www.itsec.ru Определение местоположения АРМ (геолокация) Визуализация и анализ местоположения пользователя для оперативного изменения прав доступа к ресурсам ИС Да Да Сбор доказательной базы о нарушении трудовой дисциплины (несоблюдение установленного места работы, незаконное перемещение, нарушение политик безопасности) для предъявления претензий работнику и разрешения трудовых конфликтов Да Да 4 ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения Ваше мнение и вопросы присылайте по адресу is@groteck.ru