Семь ключевых аксиом контроля безопасности в ИТ-среде предприятия. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-Weekly
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Семь ключевых аксиом контроля безопасности в ИТ-среде предприятия

Лента новостейБезопасностьУправление ИБ

Семь ключевых аксиом контроля безопасности в ИТ-среде предприятия

Александр Самарин | 19.08.2016

Для защиты ИТ-среды предприятия необходимо систематически проводить мероприятия, направленные на повышение уровня безопасности информационных систем и предотвращение атак на информационные ресурсы. При этом существуют ключевые аксиомы контроля, по которым можно судить об уровне безопасности на предприятии.

Инвентаризация санкционированного и выявление нелегального ПО

Начнем с программного обеспечения, ведь поиск и сканирование систем с уязвимыми версиями ПО является «любимым» занятием «плохих парней» — хакеров. Некоторые из них распространяют файлы документов, медиафайлы и другой контент через собственные сайты или негласно через легальные сайты сторонних владельцев, подставляя вредоносные веб-страницы. Когда ничего не подозревающие пользователи выполняют доступ к вредоносному содержимому с уязвимым браузером или клиентской программой, хакеры проникают к ним в машины, получая долгосрочный контроль над чужим компьютером. Некоторые сложные проникновения могут использовать уязвимости «нулевого дня»[1].

Обычно наиболее уязвимыми машинами будут либо рабочие станции с посторонним ПО, которое никому не нужно и не обновляется, либо с вредоносным ПО, уже внедренным хакерами на скомпрометированной машине. Когда один компьютер взломан и продолжает эксплуатироваться, злоумышленники часто используют его в качестве «пункта наблюдения» для сбора конфиденциальной информации о владельце и о других взаимодействующих компьютерах. Кроме того, такие машины становятся стартовой точкой для проникновения по всей сети. В результате хакер может быстро превратить одну скомпрометированную машину в армию подобных.

Предприятию, не имеющему полного реестра программ, как правило, не удастся устранить проблемы блокировки нарушителей и злоумышленников, а также выявить системы, работающие с уязвимым или вредоносным ПО. Контроль и управление всем ПО предприятия также играет важную роль в планировании и эксплуатации резервного копирования/восстановления информационных систем. Следовательно, без инвентаризации ПО проблемы по размеру больше и возникают чаще.

Инвентаризация ПО, внедренная в рамках всего предприятия, должна охватывать все типы используемых операционных систем на всех устройствах, включая серверы, рабочие станции и ноутбуки. Механизм инвентаризации должен записывать наименование системного и прикладного ПО, установленного на каждом сервере/станции, а также номер версии и релиза (уровень обновления) поименованного ПО.

Комплекс инвентаризации ПО должен быть интегрирован с инвентаризацией аппаратного оборудования таким образом, чтобы все устройства и соответствующее ПО отслеживались из единого центра. Проще говоря, аккуратная и полная инвентаризация программного обеспечения может быть противопоставлена как защита от обманных трюков самых хитроумных хакеров. В нашем случае без надлежащего контроля за программным обеспечением предприятия невозможно создать должную оборону для необходимой защиты своих информационных активов.

Применение «белого списка» ПО

Инвентаризация ПО является базисом для создания «белого списка». Он может быть внедрен с помощью специализированных коммерческих программ или с прикладными программами «белых списков», встроенными в антивирусные пакеты или ОС Windows. Системы инвентаризации ПО доступны и применяются сегодня на многих предприятиях. Лучшие из них обеспечивают инвентаризацию сотен установленных и эксплуатируемых приложений, извлекая информацию о версиях патчей каждой действующей программы, чтобы подтвердить актуальность и принадлежность программного приложения к общему перечню легального ПО.

Функции проверки по внедренным «белым спискам», разрешенным для запуска программ, включены во многие современные комплексы безопасности. Более того, коммерческие решения дополнительно могут комплектоваться антишпионскими, антивирусными программами, персональным файерволом и встроенными системами обнаружения вторжений (IDS) и/или предотвращения вторжений (IPS). Возможно одновременное применение и «белого», и «черного» списков. Большинство решений для такой защиты указывает наименование, расположение в файловой системе и криптографический хэш[2], дающий пользователю возможность определить, следует ли разрешить приложению работать на защищаемом компьютере.

Наиболее эффективны инструменты из специализированных «белых списков». Иногда применяются функции типа «серого списка», который составляется администраторами систем и определяет правила для выполнения конкретных программ, но только для уполномоченных пользователей и/или только в определенное время суток.

При разработке на предприятии списка санкционированного ПО необходимо учесть каждый тип системы и оборудования, включая серверы, рабочие станции и ноутбуки, различные по моделям и функциональным назначениям. Обязательно установите средства проверки целостности файлов для обеспечения гарантии того, что критические системные файлы (важных систем, исполняемых приложений, библиотечных модулей и настроек конфигураций) и файлы ПО из «белого списка» будут неизменны. Любые корректировки таких файлов должны автоматически сигнализировать о событиях персоналу безопасности. Система оповещения должна иметь возможность отличить обычные, спланированные корректировки и «выделить» необычные или неожиданные изменения.

Реализованная технология «белых списков» приложений позволяет системе запускать ПО, если оно включено в «белый список», и запрещает запускать все остальное постороннее ПО. «Белый список» может быть очень обширным и содержать разнообразные дополнения от вендоров коммерческих программ, чтобы пользователи не испытывали неудобства при работе с офисным ПО общего назначения. Для специальных систем, которые используют строго ограниченное число программ для своей бизнес-функциональности, «белый список» может быть довольно узкий. При защите системы со специализированным ПО возможно применение виртуальной среды, имеющей более высокую степень защищенности от инфекций и вторжений.

Технологию «белых списков» необходимо поддерживать регулярным осмотром/сканированием, выявляя нелегальное ПО, а затем, соответственно, генерировать оповещения о его обнаружении. Чтобы выявить любые изменения или установки ПО на устройствах в сети, необходимо реализовать и регламентировать строгий процесс контроля изменений. Этот процесс включает оповещение, когда неопознанные объекты (исполняемые файлы, библиотеки DLL и т. п.) замечены в системе. Контроль за изменениями должен предусматривать и проверку модифицированных версий ПО путем сравнения хэш-значений файлов. Злоумышленники часто используют модифицированные версии известных программ для нападения, а сравнение файлового хэша укажет на взломанные программные компоненты.

Продолжение следует




[1] Примечание. Уязвимостью «нулевого дня» называют уязвимость, которая ранее не была известна, и поэтому для нее пока нет исправления/обновления.


[2] Примечание. Криптографический хэш — результат математического преобразования над файлом для контроля целостности этого файла.



Теги: безопасность, Software, инвентаризация

Журнал IT-Manager № 07-08/2016    [ PDF ]    [ Подписка на журнал ]

Об авторе

Александр Самарин

Александр Самарин

Аудитор информационных систем


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

мероприятия

| 07.02.2018
Бизнес встреча «Цифровая трансформация промышленного предприятия»

Санкт-Петербург, Санкт-Петербург, ул. Достоевского, д. 19/21, лит. Б, Интеллектуальный кластер "Игры разума", Арт пространство "Delos"

Также смотрите

Журнал IT-Manager: № 11/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Январь >>>>
Пн Вт Ср Чт Пт Сб Вс
1234567
891011121314
15161718192021
22232425262728
2930311234