Семь ключевых аксиом контроля безопасности в ИТ-среде предприятия

Логотип компании
Семь ключевых аксиом контроля безопасности в ИТ-среде предприятия
Инвентаризация ПО, внедренная в рамках всего предприятия, должна охватывать все типы используемых операционных систем на всех устройствах, включая серверы, рабочие станции и ноутбуки.

Для защиты ИТ-среды предприятия необходимо систематически проводить мероприятия, направленные на повышение уровня безопасности информационных систем и предотвращение атак на информационные ресурсы. При этом существуют ключевые аксиомы контроля, по которым можно судить об уровне безопасности на предприятии.

Инвентаризация санкционированного и выявление нелегального ПО

Начнем с программного обеспечения, ведь поиск и сканирование систем с уязвимыми версиями ПО является «любимым» занятием «плохих парней» — хакеров. Некоторые из них распространяют файлы документов, медиафайлы и другой контент через собственные сайты или негласно через легальные сайты сторонних владельцев, подставляя вредоносные веб-страницы. Когда ничего не подозревающие пользователи выполняют доступ к вредоносному содержимому с уязвимым браузером или клиентской программой, хакеры проникают к ним в машины, получая долгосрочный контроль над чужим компьютером. Некоторые сложные проникновения могут использовать уязвимости «нулевого дня»[1].

Обычно наиболее уязвимыми машинами будут либо рабочие станции с посторонним ПО, которое никому не нужно и не обновляется, либо с вредоносным ПО, уже внедренным хакерами на скомпрометированной машине. Когда один компьютер взломан и продолжает эксплуатироваться, злоумышленники часто используют его в качестве «пункта наблюдения» для сбора конфиденциальной информации о владельце и о других взаимодействующих компьютерах. Кроме того, такие машины становятся стартовой точкой для проникновения по всей сети. В результате хакер может быстро превратить одну скомпрометированную машину в армию подобных.

Предприятию, не имеющему полного реестра программ, как правило, не удастся устранить проблемы блокировки нарушителей и злоумышленников, а также выявить системы, работающие с уязвимым или вредоносным ПО. Контроль и управление всем ПО предприятия также играет важную роль в планировании и эксплуатации резервного копирования/восстановления информационных систем. Следовательно, без инвентаризации ПО проблемы по размеру больше и возникают чаще.

Инвентаризация ПО, внедренная в рамках всего предприятия, должна охватывать все типы используемых операционных систем на всех устройствах, включая серверы, рабочие станции и ноутбуки. Механизм инвентаризации должен записывать наименование системного и прикладного ПО, установленного на каждом сервере/станции, а также номер версии и релиза (уровень обновления) поименованного ПО.

Комплекс инвентаризации ПО должен быть интегрирован с инвентаризацией аппаратного оборудования таким образом, чтобы все устройства и соответствующее ПО отслеживались из единого центра. Проще говоря, аккуратная и полная инвентаризация программного обеспечения может быть противопоставлена как защита от обманных трюков самых хитроумных хакеров. В нашем случае без надлежащего контроля за программным обеспечением предприятия невозможно создать должную оборону для необходимой защиты своих информационных активов.

Применение «белого списка» ПО

Инвентаризация ПО является базисом для создания «белого списка». Он может быть внедрен с помощью специализированных коммерческих программ или с прикладными программами «белых списков», встроенными в антивирусные пакеты или ОС Windows. Системы инвентаризации ПО доступны и применяются сегодня на многих предприятиях. Лучшие из них обеспечивают инвентаризацию сотен установленных и эксплуатируемых приложений, извлекая информацию о версиях патчей каждой действующей программы, чтобы подтвердить актуальность и принадлежность программного приложения к общему перечню легального ПО.

Функции проверки по внедренным «белым спискам», разрешенным для запуска программ, включены во многие современные комплексы безопасности. Более того, коммерческие решения дополнительно могут комплектоваться антишпионскими, антивирусными программами, персональным файерволом и встроенными системами обнаружения вторжений (IDS) и/или предотвращения вторжений (IPS). Возможно одновременное применение и «белого», и «черного» списков. Большинство решений для такой защиты указывает наименование, расположение в файловой системе и криптографический хэш[2], дающий пользователю возможность определить, следует ли разрешить приложению работать на защищаемом компьютере.

Наиболее эффективны инструменты из специализированных «белых списков». Иногда применяются функции типа «серого списка», который составляется администраторами систем и определяет правила для выполнения конкретных программ, но только для уполномоченных пользователей и/или только в определенное время суток.

При разработке на предприятии списка санкционированного ПО необходимо учесть каждый тип системы и оборудования, включая серверы, рабочие станции и ноутбуки, различные по моделям и функциональным назначениям. Обязательно установите средства проверки целостности файлов для обеспечения гарантии того, что критические системные файлы (важных систем, исполняемых приложений, библиотечных модулей и настроек конфигураций) и файлы ПО из «белого списка» будут неизменны. Любые корректировки таких файлов должны автоматически сигнализировать о событиях персоналу безопасности. Система оповещения должна иметь возможность отличить обычные, спланированные корректировки и «выделить» необычные или неожиданные изменения.

Реализованная технология «белых списков» приложений позволяет системе запускать ПО, если оно включено в «белый список», и запрещает запускать все остальное постороннее ПО. «Белый список» может быть очень обширным и содержать разнообразные дополнения от вендоров коммерческих программ, чтобы пользователи не испытывали неудобства при работе с офисным ПО общего назначения. Для специальных систем, которые используют строго ограниченное число программ для своей бизнес-функциональности, «белый список» может быть довольно узкий. При защите системы со специализированным ПО возможно применение виртуальной среды, имеющей более высокую степень защищенности от инфекций и вторжений.

Технологию «белых списков» необходимо поддерживать регулярным осмотром/сканированием, выявляя нелегальное ПО, а затем, соответственно, генерировать оповещения о его обнаружении. Чтобы выявить любые изменения или установки ПО на устройствах в сети, необходимо реализовать и регламентировать строгий процесс контроля изменений. Этот процесс включает оповещение, когда неопознанные объекты (исполняемые файлы, библиотеки DLL и т. п.) замечены в системе. Контроль за изменениями должен предусматривать и проверку модифицированных версий ПО путем сравнения хэш-значений файлов. Злоумышленники часто используют модифицированные версии известных программ для нападения, а сравнение файлового хэша укажет на взломанные программные компоненты.

Продолжение следует




[1] Примечание. Уязвимостью «нулевого дня» называют уязвимость, которая ранее не была известна, и поэтому для нее пока нет исправления/обновления.


[2] Примечание. Криптографический хэш — результат математического преобразования над файлом для контроля целостности этого файла.

Читайте также
Вне всяких сомнений, 2022 год изменил мир. Но тогда уместен вопрос: как он повлиял на приоритеты кибербезопасности? Этот вопрос я не перестаю задавать собеседникам и крайне редко получаю убедительные, содержательные ответы. Как правило, это ответ из популярного словаря полумаркетолога, а они так же скучны, как вода в канализации: «Мы будем повышать качество наших продуктов и услуг». Гм... а до этого вы их понижали?
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.



Опубликовано 19.08.2016

Похожие статьи