19 декабря 2022 г.
В связи с уходом с российского ИТ-рынка большинства зарубежных вендоров оставшиеся решения дорабатываются по функциональности и модернизируются, чтобы перекрыть возникшие потребности заказчиков. Это относится и к сфере информационной безопасности. Тем не менее, задачи, связанные с аудированием системы защиты инфраструктуры, требуют экспертного подхода, который в полной мере не заменит автоматизированная система. В текущих реалиях у директоров по информационной безопасности и руководителей организаций появилась необходимость в решении этой проблемы. Однако штатным администраторам внутри компаний не всегда хватает нужных компетенций и экспертизы. Высококвалифицированные ИБ-кадры стоят довольно дорого, а более молодым специалистам просто не хватает опыта для решения подобных задач. Поэтому многие компании обращаются за помощью к ИТ-интеграторам.
На что стоит обратить внимание, чтобы обеспечить безопасность инфраструктуры
С учетом существующих на сегодняшний день рисков, необходимо регулярно и тщательно проводить аудиты безопасности всей инфраструктуры организации. Например, важно, чтобы передача и обмен данными внутри компании и за ее пределами были не просто эффективны для бизнеса, но и максимально защищены согласно лучшим мировым практикам.
В первую очередь для эффективности бизнесу необходимо развитие используемых в организации сервисов и приложений, а значит модернизация и совершенствование всей инфраструктуры, учитывая изменения во внутренних регламентах, стандартах и законодательстве РФ.
Влиять на информационную безопасность организации может нехватка специалистов с определенными компетенциями или смена сотрудников в подразделении из-за кадровой текучки. Например, специалисты компании могут быть хорошо обучены или обладать исключительными компетенциями во всем департаменте по администрированию какой-то узконаправленной системы. Но неожиданно они могут уйти к конкурентам или просто покинуть компанию, а найти замещающего специалиста в сжатые сроки не так просто.
Бывает, что руководство компании не доверяет своим администраторам. Ведь существует много примеров, когда одной из серьезных угроз безопасности для компании становился обиженный администратор, способный, в силу своих полномочий, обрушить половину бизнес-процессов. Поэтому проверка своих же сотрудников ИТ-директором или директором по информационной безопасности — тоже очень важны.
Помимо этого, необходимо контролировать взаимодействие со сторонними компаниями в формате аутсорсинга и понимать, как организован удаленный доступ и насколько он защищен. Опять же, бывают случаи, когда сотрудники могут быть заинтересованы в компрометации той или иной информации. Эти риски важно учитывать во избежание ситуаций, ставящих под угрозу информационную безопасность организации. Конечно, полностью избавиться от всех рисков невозможно, но можно минимизировать их, регулярно проводя плановые и внеплановые проверки состояния безопасности инфраструктуры и компетенций ИТ и ИБ команд.
Проблематика
Есть несколько основных проблем, которые на сегодняшний день встречаются в подавляющем большинстве компаний. К ним можно отнести, в первую очередь, отсутствие актуальной информации о текущем состоянии инфраструктуры именно с точки зрения информационной безопасности. Поскольку многие компании сейчас отделяются от зарубежного бизнеса, перенимая весь объем задач на себя, им может просто не хватать компетенций и времени для поддержки такого объема и качества решений. При этом, у многих даже нет понимания, что именно администрировалось коллегами из заграничных филиалов или головной компании. К тому же, в ходе текучки кадров, какая-то информация могла не протоколироваться. Поэтому ее придется экстренно собирать через ИТ или ИБ департаменты, а не у каждой компании есть на это время и необходимые кадровые ресурсы.
Во-вторых, трудности может вызвать необходимость разработки и планирования стратегии развития сетевой и инфраструктурной безопасности, так как не у каждой организации есть понимание, как именно должна выглядеть эта стратегия, а также какие бизнес-процессы нужно проанализировать перед планированием и подготовкой.
Отсутствие актуальной информации о рисках сетевой и инфраструктурной безопасности, возможных угрозах и каналах утечки тоже может создать сложности. Хоть на рынке и есть услуги по тестированию на проникновение, результатом будет отчет по выявленным уязвимостям. При этом задачей пентестеров не является анализ деталей всей инфраструктуры заказчика и ее бизнес-процессов. Подобные работы не подразумевают построение модели угроз и аудирование каждой информационной системы именно с точки зрения корректности настроек безопасности. Поэтому дополнительно должны проводиться технические аудиты безопасности инфраструктуры. Так заказчик будет уверен, что на 99% все, что можно было сделать штатными средствами, сделано не только эффективно, но и безопасно. После этого можно переходить к поиску возможных уязвимостей с помощью пентеста.
Чтобы избежать ряда проблем, необходимо актуализировать внутреннюю техническую ИТ и ИБ документацию. Это может быть схема сети, регламенты резервного копирования, выдачи доступов или VPN-подключений, и т.д. Помимо этого, важно оценивать параметры существующих информационных систем на соответствие внутренней документации и лучшим практикам в области информационной безопасности.
Мы часто сталкиваемся с тем, что информация в документации не соответствует фактическим системным процессам и настройкам. Поэтому очень важно, чтобы документация была актуальной, когда происходит какой-то критический инцидент и его необходимо своевременно отработать по ранее подготовленным материалам, чтобы время простоя системы было минимальным. Однако зачастую оказывается, что документация была написана 4 или 5 лет назад. За это время полностью сменился штат отдела инфраструктуры, было выполнено несколько внедрений, произведена модернизация ряда ИТ-процессов — и всё это документально не отображалось. Естественно, такая документация считается устаревшей и уже не имеет ничего общего с текущим состоянием инфраструктуры. Поэтому важно, чтобы документация актуализировалась при каждом внесении значимых изменений в ИТ-системы организации, важные для обеспечения безопасности бизнес-процессов.
Цели проведения комплексных аудитов
Проводить комплексный аудит безопасности инфраструктуры организации необходимо, чтобы получить достоверную и актуальную информацию: о существующем сетевом оборудовании и параметрах конфигурации; об используемых методах и технологиях обеспечения защиты ИТ-инфраструктуры от атак, инициированных из внешних и внутренних источников; о текущем состоянии обеспечения безопасности инфраструктуры организации.
После проведения комплексного аудита заказчик получает рекомендации по минимизации рисков на основе найденных отклонений на соответствие лучшим практикам, вендорским рекомендациям и мировым стандартам информационной безопасности. В ходе таких аудитов эксперты подскажут, как штатными средствами, и не только, обеспечить безопасность ИТ-инфраструктуры в текущих реалиях.
Мы рекомендуем проводить такие аудиты хотя бы раз в год — это поможет проверить уровень компетенции системных администраторов и текущее состояние инфраструктуры. Если навыков специалистов внутри организации будет недостаточно, можно позаимствовать экспертов у интегратора. За счет обширного опыта в проведении аудитов для разных ИТ-инфраструктур, они смогут произвести грамотную оценку.
По факту речь идет даже не об аудите как таковом, а об экспертных технических работах по обследованию всей инфраструктуры: серверов, сетевого оборудования, системы защиты почты, Wi-Fi и других ИТ-сервисов. Заказчик может проводить эти работы как самостоятельно, при условии, что ему для этого будет достаточно сил и компетенций штатных специалистов, так и привлекая экспертов с рынка. Однако при самостоятельном проведении комплексного аудита, мы рекомендуем компаниям поручать это своим независимым от ИТ подразделениям, например, ИБ-департаменту. При этом важно учитывать уровень компетенций специалистов, которые будут проводить обследование.
Рассмотрим кейс
В одной крупной коммерческой компании ИТ-директор как-то обратился к нам с жалобой на новое приобретенное решение NGFW, работой которого оказался недоволен, и желанием протестировать аналог. Однако продукт, установленный у заказчика, уже на тот момент превосходил аналоги по своим функциональным возможностям. Чтобы разобраться в ситуации, мы провели обследование, в результате которого выяснилось, что настройка и внедрение продукта, по сути, не производились. Своими силами администратор с этим справиться не смог, а может не захотел, и решил оставить «как есть» — подключил к сети и поставил работать в серверной. А для правильной работоспособности решение необходимо было грамотно настроить и внедрить. Но, то ли от недостатка времени, то ли квалификации, действующий сотрудник этого не сделал и не сообщил своему руководству. Поэтому продукт простаивал в серверной, естественно, не выполняя своих функций, а руководство в результате оказалось недовольно приобретенным решением.
Несмотря на то, что этот пример может показаться достаточно забавным, он наглядно подсвечивает несколько проблем — недостаточную квалификацию сотрудника, отсутствие полной и актуальной информации у руководства о текущем состоянии инфраструктуры, а также необходимость всегда учитывать и отслеживать возможные риски, даже такие как как человеческий фактор.
Выводы
У компании всегда должно быть полное представление о состоянии защиты инфраструктуры и информационных систем в целом, а также актуальная информация о характеристиках работы сети, о каких-либо дефектах, об обнаруженных аномалиях. Тогда можно будет приступать к оценке рисков, с целью предотвратить их или минимизировать. И хоть полностью избежать всех рисков невозможно, их можно существенно сократить.
Также нужно иметь четкий план по модернизации инфраструктуры и информационных систем. При этом важно помнить о необходимости своевременной замены решения в случае прекращение поддержки вендором, чтобы оно не вышло из строя.
Говоря о поддержании безопасности инфраструктуры, в качестве примера можно рассмотреть наше здоровье. Человек регулярно обращается к врачу для обследования своего организма, чтобы контролировать его состояние. Но если долго не посещать врача, здоровье может оказаться под угрозой. Поэтому лучше регулярно обследовать свой организм, чтобы снизить риски, чем потом лечить внезапно выявленную запущенную болезнь. Так и перманентный мониторинг состояния инфраструктуры может стать залогом здорового бизнеса.
Источник: Елена Белоусова, технический эксперт направления инфраструктурной безопасности ГК Softline