Что делать с ИБ предприятия? Инструменты

Концептуально методы ИБ мало чем отличаются от физической безопасности.

Учет активов

Чтобы защитить что-то сначала надо понять, что следует защищать. Надо собрать иформацию обо всех IT-активах. Внимание, не обо всех важных, а вообще обо всех. Т.к. ломают через самое слабое звено. Если мы перечислили и защитили все, кроме одной точки входа (маршрутизатор, VPN, почта), то поломают через эту самую точку, о которой вы забыли.

Как сделать таблицу. Открывем Exel или Google Calc и начинаем перечислять в столбик все IT-активы: ПК, ноутбуки, корпоративные телефоны, аккаунты во всех облачных сервисах, в которых может быть корпоративные данные, сетевое оборудование, принтеры, IoT-устройства, серверы со всеми их IP-адресами (включая impi).

Где искать: в почте, в админках IaaS-провадеров, хостингов, у админов. Далее вменяем ответсветсвенность за актуальность содержимого отвественным: админам, или менеджерам принимающим решения об использовании того или ного IT-актива. Иначе через месяц снова появятся неконтролируемые источники утечек.

Это будет непростно, но в результате мы получим первую ИБ метрику – площадь атаки. Получим исходные данные с которыми можно дальше работать. Это входные данные для любых других процессов ИБ и бухгалтерского учета. А так же, может выясниться, что часть серверов или сервисов давно не используется и их можно удалить, тем самым оптимизировав расходы.

Аудит ИБ

Благодаря учету, у нас появится список ip-адресов.

Цели:

  • Выявить уязвимости
  • Выявить необновленное ПО

Методы

  • Сканеры
  • Мониторинг

Результат

  • Список уязвимостей
  • Уровень уязвимости площади атаки Харденинг (архитектура)

Чем лучше продумана и реализована архитектура, тем меньше нужно активных средств контроля. Представьте идеально безопасную шаурмичную в подземелье без окон с бронированной дверью. В этом случае не нужны датчики разбития стекла, камер видеонаблюдения на периметре и т.п. Но много ли посетителей будет у такой шаурмичной?

В IT ситуация аналогичная. Можно отстроить "IT-бункер", но им будет неудобно пользоваться. Например, Linux на рабочих ПК – это великолепная идея с точки зрения информационной безопасности, т.к.

95% зловредов создаются для Windows. Linux бесплатен и с откртым исходным кодом – а это некоторый контроль, что в коде нет "закладок". Но на Linux не выйдет просто скачать взломаный Photoshop или запустить клиент 1С. Точнее можно, но нужна квалификация больше, чем просто скачал и несколько раз нажал "Next".

Или другой пример, отстроив IT-бункер, управленец вдруг решает, что хочет доступ к критичной финансовой информации с его новенького но китайского смартфона. А как я уже говорил, ломают через самое звено. А китайский смартфон – это как раз неконтролируемое незащищенное устройство, с почти гарантированным сливом данных в Китай.

Или третий пример. Если у пользователя нет административных прав к ПК, а набор ПО ограничен только проверенными решениями от надежных поставщиков, то вирусам практически не откуда взяться. Но в этом случае замедляются бизнес-процессы, а нагрузка на IT- подразделение возрастает в разы. Приходится ставить несколько антивирусов, чтобы не допустить ни одной атаки. И практика показывает, что незря. По статистике, каждый месяц мы блокируем 10 попыток установки вируса руками пользователя на каждом ПК. Поэтому приходится искать компромисы, внердять точечные решения. Например, 80% зловредов на Windows (пруф) используют powershell, который почти никогда не используется пользователями и его спокойно можно отключить.

Цели

  • Уменьшить площадь атаки
  • Затруднить взлом тем самым уменьшить вероятность взлома

Методы

  • Сегментация
  • Мандатная система контроля доступа

Фреймворки

  • CIS
  • Cyber Essential

Результат

  • Пользовательские ПК и сервера настроены безопасным образом
  • Архитектура приложений и методы взаимодействия с ней безопасны.

Контроль уязвимостей и обновления

Тут все просто, чем быстрее ставится обновление (патчинг), тем меньше вероятность, что вас взломают. Нужно помнить, если вышло обновление безопасности, значит уже некоторое время об уязвимости известно неограниченному кругу лиц, а ваши IT-активы в это время подвержены уязвимости.

В качестве компенсирующей меры может выступать закрытый внутренний периметр. Если ваши сервиси доступны только через VPN, то уязвимость невозможно проэксплуатировать извне, и риск взлома резко уменьшается. Но это не значит, что вы в полной безопасности, потому что во внутреннем периметре может появится зараженный ПК с которого будут взломаны уязвимые сервисы изнутри периметра. Поэтому даже внутри периметра не стоит затягивать с обновлениями.

Как это делать? Для рабочих станиций нужно использовать автоматизированные средства. Если это windows, то поможет AD, если Linux, то можно настроить автоматические обновления, если Mac то просто каждому надо следить, чтобы своевременно устанавливались последние обновления. Мы используем IBM BigFix, который устанавливает и контролирует обновления для всех систем без участия пользователей.

Для серверов автоматически обновления не стоит ставить, потому что есть риски нарушить работу сервисов, и обновления должны проходить под контролем IT-пресонала. Так же не обязательно ставить сразу все обновления, достаточно только те, которые закрывают эксплуатируюемую уязвимость. Если уязвимый сервис доступнен из интернета – его надо патчить в первую очередь. В своей работе мы используем мониторинг уязвимостей в составе ПО Wazuh и узнаем об уязвимостях в реальном времени.

Превент (предупреждение)

Даже если у пользователей ПК нет прав, а список ПО ограничен, все равно есть файлы, которые пользователи так или иначе открывают. На сегодня взлом через почту – самый популярный вид заражения, для этого даже не нужны административные права (повышение привилегий). А для защиты от незвестных угроз используют эвристический анализ – EDR.

Цели

  • предотвращение взлома

Методы

  • Антивирус
  • EDR

Результат

  • Мониторинг

Какую бы защиту вы не отстроили, всегда остается вероятность взлома. Без мониторинга злоумышленник может остаться незамеченным. И сколь угодно долго может шпионить, сливать данные и развивать атаку незаметно заражая все больше и больше IT-активов.

Для выявления злоумышленника с каждой системы нужно собирать большое количество данных об авторизациях, системных событиях, действиях пользователей, и трафика. Это данные должны обрабатываться в реальном времени с помощью индикаторов компрометации (IOC) а так же нужны будут для ретроспективного анализа, который позволяет найти признаки компрометации в прошлом. Как реализовать?

Как минимум системные логи надо передавать за пределы системы, в этом случае злоумышленник не сможет замести следы удалив логи на скомпрометированном сервере.

Если у вас больше трех серверов, то вручную просматривать логи слишком трудозатратно, для этого используются средства обработки данных от open source (бесплатных) таких как Graylog, Wazuh до мощных Enterprise SIEM-решений: Splunk, IBM Qradar, Arcsight.

Цели

  • Выявление атак в реальном времени
  • Ретроспективный анализ по историческим данным
  • Лишить возможности злоумышленника замести следы
  • Контроль привелигированных пользователей

Методы

  • Системы обнаружения вторжений
  • Сбор логов авторизации
  • Сбор действий привилегированных пользователей
  • Системные события
  • Индикаторы компрометации

Результат

  • Осведомление

90% всех проблем безопасности связаны с действиями пользователя: устанавливают пиратское ПО или устанавливают из недоверенных источников, открывают ссылки и файлы от сомнительных отправителей, используют плохие пароли или ненадежно их хранят. Обучение пользователей может в нелько раз сократить количество инцидентов. Как минимум стоит внедрить политику безопасности, а лучше внедрить систему периодического обучения. В идеальном случае подкрепить санкциями за нарушение политики ИБ.