«Открытые технологии» об инструментах для менеджеров по информационной безопасности
Системы управления рисками в основном имеют дело с моделями защиты, которые учитывают такие параметры, как актуальные угрозы, имеющиеся ошибки в программном обеспечении, важность, интервал и время простоя различных ресурсов, вероятность атаки, вариант защиты и возможная величина ущерба |
Традиционные продукты для защиты корпоративных сетей достаточно известны: антивирусы, детекторы уязвимостей, межсетевые экраны и детекторы вторжений. Однако зачастую их возможностей не хватает для отражения атак, поскольку все эти инструменты могут перестать выполнять возложенные на них функции из-за ошибок в конфигурации или саботажа сотрудников. Менеджеры по информационной безопасности не всегда могут заметить критичные отклонения от нормы, поэтому у нападающего есть шанс проникнуть даже в самую защищенную систему. Возможно, чтобы уменьшить вероятность этого, компаниям стоит попробовать средства автоматизации управления системами информационной безопасности.
Именно этой теме был посвящен семинар «Управление информационной безопасностью», проведенный компанией «Открытые технологии». К средствам автоматизации защиты Сергей Белик, менеджер по развитию решений «Открытых технологий», отнес корреляторы событий, системы обновлений, средства аутентификации, авторизации и администрирования (authentication, authorization, administration — 3А) и системы управления рисками. Корреляторы событий собирают системные журналы с традиционных средств защиты, с операционных систем и приложений и выискивают в них признаки нападения. Программы для обновления автоматизируют процедуру установки исправлений, чтобы устранять известные ошибки. Эта же система может заниматься инвентаризацией установленного ПО для поиска потенциально опасных систем. Средства 3А обеспечивают управление идентификационной информацией и допуском пользователей к информационным ресурсам. Система управления рисками позволяет моделировать риск и подсчитать возможный ущерб атаки на корпоративную среду.
В качестве примера коррелятора событий Белик привел продукт netForensics одноименной компании. Этот же продукт распространяет и Cisco Systems под именем CiscoWorks SIMS. Он позволяет собирать системные сообщения от самых разнообразных устройств и приложений, приводить их к единому стандартному виду, а дальше выискивать в этом потоке сообщений следы подозрительной активности. Аналогичный продукт есть у компании Network Intelligence. К классу корреляторов можно также отнести и Security Fusion Module, который является частью консоли управления Site Protector от компании ISS и координирует работу детектора уязвимостей и детектора вторжений этой компании, однако он интегрируется только с другими продуктами ISS.
Своевременное обновление программных продуктов становится важным компонентом обеспечения безопасности, поскольку большинство нападений, использующих ту или иную ошибку, случаются сразу после публикации информации о ней. Поэтому рекомендуется максимально быстро обновить весь «парк программ» в корпоративной сети. Для решения задач, связанных с обновлением программных продуктов, можно использовать специализированные продукты, такие как Altiris, PatchLink или Microsoft SMS.
Чтобы обеспечить защиту от несанкционированного доступа, все защитные механизмы должны знать, какой доступ является санкционированным. Для этого нужно обеспечить своевременное изменение прав доступа при изменении обязанностей сотрудников или при их увольнении. При этом важно изменить все учетные записи, чтобы «сиротскими записями» не могли воспользоваться злоумышленники, да и сам уволенный служащий. Для быстрого и комплексного изменения пользовательских данных применяется система управления идентификационной информацией, которая обычно основана на модели ролевого управления. В ней пользователям ставятся в соответствие определенные роли, а с каждой ролью связываются определенные права доступа. При изменении роли, исполняемой сотрудником, изменяется и список доступных ему информационных ресурсов. Эта же система позволяет реализовать унифицированный доступ по единому паролю.
Системы управления рисками в основном имеют дело с моделями защиты, которые учитывают такие параметры, как актуальные угрозы, имеющиеся ошибки в программном обеспечении, важность, интервал и время простоя различных ресурсов, вероятность атаки, вариант защиты и возможная величина ущерба. Система позволяет аккуратно просчитать все существующие в информационной системе риски, смоделировать оптимальный комплекс контрмер, автоматически разработать профиль защиты и даже оценить остаточные риски. Одну из таких систем, «Кибергард Анализ — Контроль», разработал Институт системного анализа РАН, а компания «Открытые технологии» стала дистрибьютором данной системы и планирует активно использовать ее в своих проектах.