Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение

Руслан Рахметов, Security Vision

В предыдущих публикациях были рассмотрены совокупные компоненты угроз информационной безопасности: источники, уязвимости и способы реализации угроз, объекты и виды вредоносного воздействия. Далее логично будет перейти к рассмотрению защитных мер - как организационных, так и технических.

Основными международными стандартами практического обеспечения информационной безопасности являются ISO/IEC 27001:2013 Information security management systems – Requirements («Системы менеджмента информационной безопасности – Требования») и NIST SP 800-53 rev.5 Security and Privacy Controls for Information Systems and Organizations («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»,  редакция 5), которые включают в себя описание организационных и технических требований для разработки целостной системы обеспечения и управления информационной безопасностью.

Общими процессами обеспечения информационной безопасности в соответствии со стандартом ISO/IEC 27001:2013 являются:

• процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры);

• процесс управления учетными записями пользователей и администраторов информационных систем;

• процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий;

• процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы;

• процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными);

• процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности;

• процесс криптографической защиты информации при хранении и передаче;

• процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем;

• операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем;

• процесс защиты от вредоносного программного обеспечения;

• процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев;

• процесс аудита и мониторинга событий информационной безопасности;

• процесс управления инцидентами информационной безопасности;

• процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты);

• процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании «облачных» сервисов;

• процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения;

• процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками;

• процесс управления соответствием нормативным требованиям, предъявляемым к компании;

• процесс проведения независимых аудитов и тестов информационной безопасности.

Стандарт NIST SP 800-53, в свою очередь, группирует меры защиты следующим образом:

• контроль доступа;

• осведомленность и обучение;

• аудит и подотчетность;

• оценка, авторизация и мониторинг;

• управление конфигурациями;

• планирование непрерывности операций;

• идентификация и аутентификация;

• участие субъектов при обработке их персональных данных;

• реагирование на инциденты;

• обслуживание систем;

• защита носителей информации;

• авторизация для работы с персональными данными;

• физическая безопасность и защита от стихийных бедствий;

• управление программой обеспечения информационной безопасности;

• кадровая безопасность;

• оценка рисков;

• приобретение систем и сервисов;

• защита систем и средств коммуникации;

• целостность систем и информации.

Все меры защиты, описанные в стандарте NIST SP 800-53, включают в себя также и конкретные шаги по реализации соответствующей меры. Например, мера «Контроль доступа» включает в себя следующие действия: создание политик и процедур контроля доступа, управление учетными записями, защиту доступа, контроль потоков информации, разделение и минимизацию полномочий, контроль неудачных попыток аутентификации, уведомление об осуществляемом мониторинге и правилах работы с информационными системами, уведомление о предыдущих попытках аутентификации, контроль количества параллельных сессий, блокировку сессии пользователя после периода бездействия, принудительный разрыв сессии по тайм-ауту или определенному условию, определение списка возможных действий без прохождения идентификации или аутентификации, использование меток безопасности и конфиденциальности, контроль удаленного и беспроводного доступа, контроль доступа мобильных устройств, использование внешних систем, предоставление общего доступа к информации, предоставление публично доступного контента, защита от массового извлечения данных, принятие решений о контроле доступа, применение контролера доступа (Reference Monitor).

Рассматриваемая пятая редакция данного стандарта в настоящий момент имеет статус Draft, её принятие в качестве опубликованного стандарта планируется летом 2019 года. Более подробно с данным документом, а также с другими стандартами NIST и ISO в области информационной безопасности можно будет ознакомиться в наших дальнейших публикациях.

Переходя к описанию технических мер защиты информации, следует упомянуть, что внедрение различных средств защиты целесообразно производить только после прохождения основных этапов построения комплексной системы управления информационной безопасностью: разработки внутренних нормативных документов в области риск-менеджмента и кибербезопасности, инвентаризации и классификации активов, оценки и анализа рисков, технико-экономического обоснования внедрения конкретных типов средств защиты. Следует также учесть, что даже самое современное и «продвинутое» средство требует тонкой настройки для выполнения защитных бизнес-функций в конкретной компании, поэтому для экономически эффективного использования потребуется сначала выработать понимание того, какие именно риски будет закрывать та или иная система киберзащиты, а затем соответствующим образом её настроить и непрерывно поддерживать в актуальном состоянии.

Итак, основные типы средств защиты можно условно классифицировать и кратко описать следующим образом:

1. Средства антивирусной защиты предотвращают выполнение вредоносного кода и деятельность вредоносного программного обеспечения на конечных точках (рабочих станциях и серверах), в локальном и веб-трафике, в электронной почте. Они обнаруживают вредоносный код с помощью средств сигнатурного, эвристического, репутационного анализа и анализа на основе индикаторов компрометации.

2. Средства антиэксплойт защиты позволяют обнаруживать и предотвращать вредоносное воздействие эксплойтов, т.е. программ или набора команд, использующих уязвимости установленного прикладного или системного программного обеспечения. Для этого данные типы средств контролируют обращения к определенным участкам оперативной памяти, попытки заменить адрес возврата при выполнении программной функции, попытки переопределить тип используемых объектов в памяти (данные или команды), попытки заполнить определенные участки оперативной памяти своим кодом и т.д.

3. Средства детектирования, реагирования и защиты на конечных точках (англ. Endpoint Detection and Response / Endpoint Protection Platform) анализируют работу конечных точек и ищут соответствия их поведению известным индикаторам компрометации, например, путем анализа хэш-сумм запущенных файлов и сетевых подключений к определенным IP-адресам. Кроме того, они осуществляют репутационный анализ и корреляцию данных от всех оснащенных данной системой конечных точек, выстраивают хронологию атак с отображением цепочки атаки, выявляют затронутые атакой данные, процессы, узлы в сети, а также изолируют зараженные узлы в сети и собирают форензик-данные для последующего проведения компьютерного криминалистического исследования.

4. Средства создания защищенной программной среды и контроля целостности обеспечивают защиту и мониторинг используемого системного и прикладного программного обеспечения для исключения запуска вредоносного или нежелательного ПО, а также осуществляют контроль целостности и подлинности используемых санкционированных программ. Этот функционал достигается путем инвентаризации и построения списков разрешенного и запрещенного к использованию системного и прикладного ПО; контроля версий, цифровой подписи издателя, контрольных сумм, имён компонент системного и прикладного ПО; контроля запуска программ, включая мониторинг файловой и сетевой активности, а также запросов на повышение привилегий и взаимодействие с пользовательскими данными.

5. Средства контроля и управления учетными записями осуществляют централизованное управление учетными записями пользователей и администраторов информационных систем в течение полного жизненного цикла от создания до удаления, включая контроль членства в группах, полномочий, делегирования, наследования привилегий, а также осуществляют управление сервисными (технологическими) учетными записями и управление авторизацией пользователей, администраторов, иных сущностей в информационных системах. Такие системы, как правило, поддерживают интеграцию с системами кадрового делопроизводства, документооборота, планирования и администрирования, системами контроля и учета доступа и с системами мультифакторной аутентификации с использованием одноразовых паролей или биометрических данных. Одной из опций функционала данного класса систем является журналирование действий учетных записей систем, администраторов и пользователей.

6. Средства предотвращения утечек данных предназначены для контроля обработки информации в информационных системах, включая передачу по различным каналам, обработку (хранение, изменение, удаление) на конечных точках и удаленных сетевых ресурсах, вывод на печать, копирование на съемные носители информации и прочее. Кроме того, функционал данных систем позволяет проводить классификацию данных с маркированием конфиденциальной информации, поиск такой информации на конечных точках, сетевых ресурсах, в потоках сетевого трафика.

7. Средства межсетевого экранирования осуществляют мониторинг и контроль входящего и исходящего сетевого локального и интернет-трафика на конечных точках и сетевом оборудовании. Существует несколько классов данных средств, которые отличаются по функционалу, например, простейшие межсетевые экраны с контролем состояния соединений (или даже без такового), работающие на сетевом и транспортом уровнях модели OSI, или межсетевые экраны уровня приложений, обеспечивающие анализ и контроль соединений на прикладном уровне модели OSI, что позволяет глубоко анализировать и фильтровать контекст передаваемых данных в зависимости от конкретного приложения. Межсетевые экраны нового поколения (англ. NGFW – Next Generation Firewalls) отличаются интеграцией дополнительных средств мониторинга и анализа сетевого трафика, таких как системы глубокого анализа трафика, сетевые антивирусные системы и системы предотвращения вторжений, системы глубокого анализа приложений и их контекста, механизмы URL-фильтрации веб-ресурсов в зависимости от категории размещенной на них информации, механизмы раскрытия зашифрованного трафика (SSL/TLS-инспекция). Межсетевые экраны веб-приложений (англ. WAF – Web Application Firewall) являются на настоящий момент самыми современными средствами межсетевого экранирования, которые предназначены для глубокого анализа передаваемых данных из Интернета внутрь сети, например, веб-приложениям и включают в себя функционал поведенческого анализа работы клиентов с веб-приложением и блокировку подозрительных действий на основе эвристики, системы репутации подключающихся клиентов по IP-адресам и географическому расположению, системы защиты пользователей от наиболее распространенных атак на веб-приложения, системы установки виртуальных патчей (т.н. «заплаток»), которые не позволяют эксплуатировать известные уязвимости в веб-приложении до момента их устранения.

8. Средства обнаружения/предотвращения вторжений предназначены для анализа сетевого трафика и поведения системы в целях выявления вредоносной активности, такой как использование эксплойтов, несанкционированный доступ к защищаемым ресурсам, функционирование вредоносного или нежелательного ПО. Данный класс средств защиты функционирует либо на сетевом уровне, либо на уровне конечных точек. Есть различия в функционале систем обнаружения и предотвращения вторжений: системы обнаружения вторжений детектируют вредоносный код или эксплойты и выдают предупреждения об этом администратору системы для осуществления дальнейших действий, а системы предотвращения вторжений не позволяют обнаруженному вредоносному коду или эксплойтам запускаться, своевременно блокируя данный код в памяти конечного устройства или в сетевом трафике. Данный класс систем различается также и по способу обнаружения угроз:

• сигнатурные системы базируются на заранее заданных шаблонах (сигнатурах), характеризующих специфическое поведение вредоносного кода или особые участки кода или команд эксплойтов;

• системы на основе анализа состояния и обнаружения аномалий оценивают конечные точки или сетевые узлы по наличию отклонений в их нормальном поведении, например, по количеству и типу трафика, операциям с файлами, обращениям к памяти и веткам реестра и т.д.;

• системы на основе правил получают данные о поведении сетевых узлов из журналов трафика или логов функционирования систем, а затем производят их сравнение с заданными условиями для реагирования в соответствии с преднастроенными правилами (т.е. набором логических выражений вида «если – то»);

• системы на основе правил приложений используются в том случае, если приложение функционирует по проприетарным протоколам, для которых требуются особые правила детектирования вторжений, учитывающие все нюансы работы конкретного ПО.

9. Средства изолированного выполнения программ (т.н. «песочницы») позволяют запускать проверяемый программный код в некоторой изолированной виртуальной среде, которая специально предназначена для выявления аномалий или потенциально вредоносного воздействия. Песочницы могут быть установлены как локально в ЦОД компании, так и в облачной инфраструктуре поставщика данного решения. По методу детектирования и способу включения в сеть песочницы разделяются на:

• активные песочницы, установленные в разрыв соединений и получающие данные на проверку непосредственно от сетевых устройств или серверов;

• пассивные песочницы, получающие данные от пользователя по его команде и при его непосредственном участии, а также получающие только копию веб- или почтового трафика без возможности прервать передачу подозрительных файлов;

• песочницы, использующие техники подавления техник их обмана, например, при пересылке по электронной почте запароленного архива с подозрительным файлом и при сообщении пароля к архиву в тексте, в теме или отдельным письмом;

• песочницы, использующие техники искусственного интеллекта для распознания техник их обхода, а также эмулирующие действия реального человека для анализа потенциально вредоносных файлов, например, при пересылке по электронной почте ссылки на скачивание файла, которая ведет на страницу, требующую ввода кода Captcha.

10. Средства сканирования на наличие уязвимостей предназначены для проведения анализа уязвимостей различных систем путем получения данных об используемых версиях прикладного и системного ПО и сравнением данной информации с каталогами известных уязвимостей, применимых к данным версиям. Сканирования могут проводиться как в аутентифицированном режиме, когда сканер имеет возможность аутентифицироваться в системе и получить широкий доступ к текущим настройкам, так и в неаутентифицированном режиме, при котором сканер будет изучать систему только снаружи.

11. Системы ресурсов-приманок для злоумышленников (англ. honeypots и honeynets) представляют собой заранее созданные «муляжи» информационной системы, предназначенные для анализа поведения атакующего в среде, похожей на реальную среду организации, но не содержащей никаких ценных данных. Различают как отдельные системы (honeypots), например, поддельные сервера для заманивания атакующих, так и целые сети (honeynets), служащие той же цели и воспроизводящие уменьшенную картину инфраструктуры организации. Атакующие, попав в такую ловушку, попробуют применить свой инструментарий для проведения атаки, а в этот момент их действия будут тщательно журналироваться и затем изучаться подразделениями кибер-разведки для выявления тактик, техник и процедур атак.

12. Средства управления портативными устройствами (англ. MDM – Mobile Device Management или EMM – Enterprise Mobility Management) представляют собой решения для контроля портативных устройств сотрудников организации (смартфонов, планшетов, портативных компьютеров) и позволяют контролировать соответствие модели, версии операционной системы, установленных приложений заранее заданному стандарту; контролировать отсутствие внесенных изменений в прошивку устройств (отсутствие прав root, отсутствие jailbreak); удаленно управлять устройствами для установки корпоративного ПО, отключения ненужных или потенциально небезопасных функций, удаленного стирания данных с аппарата в случае утери или кражи; предоставлять защищенный доступ к корпоративным ресурсам, как правило через VPN-соединение; обеспечивать работу с корпоративными данными на выделенном зашифрованном участке внутреннего хранилища, а также исключать обмен данными между корпоративными и личными приложениями.

13. Средства мониторинга и корреляции событий ИБ осуществляют сбор, агрегацию, запись, хранение, поиск, таксономию, обогащение, корреляцию событий безопасности. Данные средства подразделяются на системы управления событиями ИБ (Log Management), в которых нет полноценной корреляции событий из разных источников на основании задаваемых правил, и на полноценные системы SIEM (Security Information and Event Management), которые, помимо корреляции событий и создания инцидентов, могут также оснащаться дополнительными функциями, такими как управление рисками и уязвимостями, инвентаризация активов, автоматизированное реагирование на инцидент, интеграция с источниками Threat Intelligence (TI Feeds), построение отчетов и диаграмм и т.д. Данные системы необходимы в случае работы с большим потоком разнородных событий информационной безопасности от различных источников в целях выявления потенциальных инцидентов и своевременного реагирования на них.

Кроме описанных выше классов средств защиты существуют и другие, менее распространенные, такие как системы защиты от DDoS-атак, системы защиты электронной почты, системы криптографической защиты информации, средства контроля баз данных, системы контроля действий пользователей, системы инвентаризации, классификации и учета активов, системы анализа и поиска актуальных угроз (Threat Hunting) и многие другие.