Управление информационной безопасностью в современной компании/организации представляет собой сложную организационно-техническую задачу, включающую ряд стратегических и тактических задач.
В техническом плане данная задача распадается на использование локальных подсистем мониторинга и управления отдельными средствами защиты информации и создание комплексных систем мониторинга и управления ИБ. В качестве ключевых систем комплексного мониторинга и управления ИБ следует выделить следующие:
- подсистема централизованного мониторинга событий и расследования инцидентов ИБ (SIEM);
- подсистема контроля защищенности и выявления уязвимостей ИТ-инфраструктуры и приложений;
- подсистема контроля информационных потоков и противодействия утечкам защищаемой информации (DLP);
- подсистема централизованного управления обновлениями программного обеспечения.
Задачи
Задача мониторинга событий и расследования инцидентов ИБ является одной из ключевых задач комплексной системы обеспечения ИБ в компании/организации. Необходимость данной системы обусловлена как лучшими современными практиками ИБ, так и требования ФСТЭК, изложенными в соответствующих руководящих документах. В ходе практической эксплуатации компоненты ИТ-инфраструктуры, различные компоненты ИБ, прикладные системы генерируют значительный поток событий ИБ. Подобные события могут представлять собой как нормальный поток операций штатного функционирования, так и содержать в себе признаки инцидентов ИБ. Для работы с событиями используют SIEM-системы, решающие следующие задачи:
- централизованный сбор и консолидация, хранение событий ИБ;
- агрегация событий ИБ;
- корреляция и обнаружение инцидентов ИБ в режиме реального времени;
- приоритезация инцидентов на базе матрицы критичности ресурсов;
- визуализация в различных режимах функционирования;
- эффективное расследование инцидентов и определение основных причин нарушения политики безопасности;
- ретроспективный анализ событий ИБ;
- информирование операторов и взаимодействие с исполнительными механизмами реагирования.
Для анализа защищенности и выявления уязвимостей в ИТ-инфраструктуре и системном программном обеспечении используются специализированные сканеры, которые в автоматическом режиме выявляют уязвимости/ошибки в конфигурации, избыточность открытых портов и протоколов, несоответствие настроек корпоративным политикам ИБ. Сканеры могут работать в режиме pen-tesp, audit.
Уязвимости кода прикладных информационных систем в настоящее время являются одним из факторов успешных атак на информационные системы. Учитывая, что современные атаки носят целенаправленный (тергетированный) характер, вопрос минимизации количества уязвимостей прикладного ПО выходит на первое место. Для анализа исходного года используется специальные средства, которые функционируют на основе баз уязвимостей, характерных для определенных языков программирования. Своевременное выявление уязвимостей и их закрытие доработкой кода или на уровне web application firewall позволяет снизить риск таргетированных атак.
Контроль информационных потоков в интрасети компании/организации является одной из важных задач, позволяющих выявить аномальную активность на различных уровнях сетевой модели OSI. Для выявления такой активности используются специализированные средства, которые осуществляют анализ поведенческой активности узлов информационной сети, что позволяет с использованием шаблонов выявлять подозрительные участки.
Для анализа информационного обмена на прикладном уровне используются системы DLP-класса (системы противодействия утечкам данных). Данные системы контролируют обычно следующие ключевые каналы распространения информации: WEB-канал, электронная почта, внешние носители пользовательских АРМ и корпоративные файловые хранилища. Настроенная эталонная модель допустимых информационных потоков в привязке к пользователям и информационным объекта позволяет выявлять аномальное поведение, что в совокупности с последующим расследованием позволяет пресекать недопустимую деятельность в компании/организации.
Контроль конфигураций и обновлений системного программного обеспечения являются важными составляющими процесса управления ИБ в компании/организации. Средства контроля конфигураций предназначены для выявления несанкционированных изменений конфигурации различных сетевых узлов по сравнению с зафиксированной эталонной конфигурацией. Данные средства позволяют выявлять следы недопустимой деятельности вредоносного ПО или администраторов, которые не были выявлены или пресечены на более ранних этапах. Средства управления обновлениями ПО предназначены для когерентного управления установкой патчей, политик, обновлений системного ПО на различных узлах информационной сети.
Ключевые результаты внедрения решения
- Прозрачная автоматизированная система выявления недостатков конфигураций и уязвимостей ИТ-инфраструктуры.
- Автоматизированная система выявления уязвимостей прикладного программного обеспечения.
- Инструменты оперативного выявления, реагирования и расследования инцидентов информационной безопасности.
- Средства выявления сетевых аномалий в интрасети компании/организации.
- Средства контроля утечек защищаемой информации по различным каналам в компании/организации.
Технологии
- Infowatch Traffic Monitor, Appercut (Infowatch)
- MaxPatrol (Positive Technologies)
- Efros Config Inspector («Газинформсервис»)
- ArcSight (HP)
- QRadar, AppScan (IBM)
- Nessus (Tenable)
- Triton (Websence)
- NSI (Arbor)
