Loader

Видимість усієї ІТ-інфраструктури, як база щодо запобігання реальним бізнес-ризикам

Повне, постійно оновлюване та детальне розуміння всіх ІТ-активів є одним із базових принципів для забезпечення безпеки. Спочатку треба зрозуміти, що насправді означає “видимість”, що це більше, ніж просто ідентифікація того, що є, та знання того, які проблеми необхідно вирішити.

Якщо ми подивимося на відправну точку будь-якої системи інформаційної безпеки, найкращі практики за останні 20 років, ми побачимо, що початковим етапом є “виявлення”, “ідентифікація”, “розуміння” або якась їх варіація. У сукупності всі вони говорять про те, що ми не можемо захистити те, про що не знаємо, що воно у нас є. Або, що точніше, ми не можемо почати приймати правильні рішення про те, як і де захищати наше середовище, якщо ми не знаємо, що у нас є. Широка видимість того, які активи є частиною нашої спільної інфраструктури, є ключовим та основним елементом будь-якої успішної програми безпеки.

Незважаючи на те, що це широко прийнято та визнано, більшість фахівців з безпеки скажуть, що досягти стану повної видимості все ще важко. Групи безпеки впроваджують широкий спектр інструментів, витрачають багато часу на інтеграцію наборів даних із систем управління активами та інших потенційних джерел інформації, та все ж мало хто скаже, що впевнений у тому, що дійсно розуміє своє середовище. Чому це так? Здебільшого це зводиться до двох ключових міркувань, які не враховуються, коли організації намагаються зрозуміти своє середовище:
· Чи дійсно потрібно знайти та ідентифікувати всі активи чи тільки ті, про які є інформація?
· Чи розумієте ви контекст активів з точки зору виявлених загроз безпеці, ризику та впливу на вашу організацію?

Насамперед досягнення повної видимості означає ідентифікацію та оцінку всіх технічних активів у вашому середовищі, а не тільки “легких”, знайомих більшості ІТ-фахівців та команд безпеки. Хоча починати з серверів, робочих станцій, обладнання мережевої інфраструктури та інших традиційних ІТ-пристроїв – це чудова практика, занадто часто трапляється, що інші активи не беруться до уваги або зовсім не помічаються. Що ще є? Запитайте себе, чи ваша команда виявляє наступні активи:
· Бази даних
· Веб-програми
· OT / ICS / SCADA / промислові пристрої IoT
· Хмарна інфраструктура
· Платформи віртуалізації
· Контейнери
· Сервіси хмарного оркестрування
· Конфігурації інфраструктури як коду (IaC)
· Active Directory / облікові дані / групи
· Публічні хости / імена хостів / записи

Список можна продовжити. Хоча може здатися, що ідентифікувати ці види активів надто складно, вони, як і раніше, є критично важливими для більшості підприємств. Якщо команди безпеки хочуть зробити перший значущий крок до покращення видимості та більш повного розуміння нашого середовища, то ми повинні взяти в руки всі ці активи, а також більш традиційні, з якими ми всі знайомі.

Саме з цієї причини компанія Tenable постійно розширює набір інструментів, щоб мати можливість безпечно та правильно ідентифікувати такі активи та збирати ці дані в одному місці. Виявлення вразливостей та інших ризиків безпеки починається з визначення та розуміння мети. Маючи такий рівень видимості, організації можуть краще зрозуміти, де в їхньому середовищі існують найбільші ризики, і почати робити необхідні кроки для зниження ризиків там, де це найважливіше.

Деякі організації вже досягли того рівня, коли вони стали дійсно добре збирати дані інвентаризації активів і мають гарне уявлення про те, як виглядає їхнє середовище. Але це ще одне місце, де все починає руйнуватися. Наявність великої кількості розрізнених даних, зазвичай розподілених між кількома різними сховищами, означає, що групам безпеки доводиться проводити багато перетворень, щоб зібрати інформацію в одному місці для кращого аналізу, та знайти способи нормалізації зібраної інформації. Зрештою, не кожен актив має IP-адресу або ім’я хоста. Репозиторії коду не мають тих самих ідентифікаторів, як і екземпляр контейнера. Веб-програми можуть бути ідентифіковані за доменним ім’ям або URL, але промисловий програмований логічний контролер може навіть не бути підключений до певної мережі.

І не лише базові ідентифікатори активів різноманітні та складні. Будь-який тип вразливості або виявлення безпеки буде настільки ж різним і розрізненим, залежно від активу. Сервер може мати вразливість, що легко ідентифікується, якій присвоєний номер CVE, але неправильна конфігурація IaC взагалі не буде мати стандартного ідентифікатора. Вразливості веб-застосунків, такі як SQL Injection і Cross-Site Scripting, є більш поширеними методами, ніж конкретні, послідовно ідентифіковані вразливості ОС. А у світі Active Directory основні проблеми безпеки пов’язані з порушеннями в роботі AD та перевірці облікових даних у масштабах всього підприємства, і ці проблеми не усуваються застосуванням патча, якого бракує.

Якщо фахівцям з безпеки доручено спробувати зрозуміти ризики в середовищі та ухвалити рішення про те, де і що слід пом’якшити в першу чергу, з чого ви можете почати, якщо ви не дивитеся на речі за принципом “яблука-до-яблук”? Насправді, такий тип розрізнених даних навіть не є “яблука-до-апельсинів”, а більше схожий на “яблука-до-зоряних кораблів-до-пінгвінів-до-прикметників”. Розуміння контексту, що лежить в основі активів та результатів перевірки на безпеку, є ключовим моментом. Спочатку ми маємо зібрати разом всю цю інформацію та нормалізувати її таким чином, щоб був послідовний та вимірний спосіб зрозуміти ризик, на який наражається бізнес у результаті кожного з цих виявлень. Потім ми можемо почати зіставляти різні фактори ризику один з одним і прийняти найкраще рішення про те, де організація наражається на найбільший ризик, наскільки великий ризик і що потрібно зробити для його зниження. Збирати дані і так досить складно, але навіть якщо ви впораєтеся з цією частиною, ви не просунетеся далеко, якщо не зможете зосередитися на тому, що дійсно важливо. Ви залишитеся з великою кількістю електронних таблиць і баз даних, з якими доведеться працювати, ставлячи ті самі питання про те, з чого почати.

Бажаєте отримати додаткові рекомендації щодо стратегії безпеки?

Ознайомтеся з Ретроспективою ландшафту загроз 2021 року” компанії Tenable”, в якій представлений всебічний аналіз минулорічного ландшафту загроз, який фахівці з безпеки можуть використовувати для покращення своєї безпеки прямо зараз, а також перегляньте вебінар “Управління експозицією для сучасної поверхні атаки: Визначення та інформування про те, що у вашому середовищі наражається на найбільший ризик і що необхідно виправити в першу чергу“.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Tenable і організації партнерських тренінгів звертайтеся, будь ласка: tenable_sales@oberig-it.com, +38 073 168 08 65.

Джерело: https://bit.ly/3vAkynZ