|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
286 Управление уязвимостями |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Инвентаризация ресурсов |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Первым этапом в стратегии управления уязвимостями должно стать прове- дение инвентаризации. Тем не менее во многих организациях нет эффектив- ного реестра ресурсов, поэтому они испытывают трудности при защите своих устройств. Инвентаризация ресурсов – это инструмент, который администра- торы безопасности могут использовать для просмотра устройств, имеющихся
ворганизации, и выделения тех, которые должны быть защищены программ- нымобеспечением.Когдаречьидетостратегииуправленияуязвимостями,ор- ганизация должна начать стого,чтобы сделать одного сотрудника ответствен- ным за инвентаризацию ресурсов с целью гарантировать, что все устройства зарегистрированыичторезультатинвентаризацииактуален(1).Инвентариза- ция ресурсов также является отличным инструментом, который сетевые и си- стемные администраторы могут использовать для быстрого поиска и исправ- ления устройств и систем.
Без этого о некоторых устройствах могут забыть при исправлении или уста- новке нового программного оборудования, используемого для обеспечения безопасности.Этоустройстваисистемы,накоторыебудутнацеленызлоумыш- ленники. Как было показано в главе 5 «Компрометация системы», существуют инструменты,которые могут сканировать сеть и определять,в каких системах не установлены исправления.Отсутствие инвентаризации ресурсов также мо- жет привести к недостаточному выделению или перерасходу средств на обес печение безопасности. Это связано с тем, что она не может правильно опре- делить устройства и системы,для которых ей необходимо приобрести защиту. Проблем, которые ожидаются на этом этапе, много. IT-отделы в современных организациях часто сталкиваются с плохим управлением изменениями, под- дельными серверами и отсутствием четких границ сети. Организациям также нехватаетэффективныхинструментов,чтобыподдерживатьинвентаризацию
всогласованном порядке.
Управление информацией
Вторым этапом стратегии управления уязвимостями является контроль того, как информация поступает в организацию. Наиболее важной информацией является интернет-трафик, поступающий из сети организации. Увеличилось количество червей, вирусов и других вредоносных программ, от которых нуж- но защищаться. Также усилился поток трафика как внутри, так и снаружи ло- кальных сетей. Возросший поток трафика угрожает распространением боль- шего количества вредоносных программ.Поэтому следует обратить внимание на этот информационный поток, чтобы не допустить проникновения угроз из сети. Помимо угрозы вредоносных программ, управление информацией также касается данных организации. Организации хранят разные типы дан- ных, и некоторые из них ни в коем случае не должны попасть в руки не тех людей. Если к коммерческой тайне и личной информации клиентов получат доступ хакеры, это может нанести непоправимый ущерб. Организация может
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Создание стратегии управления уязвимостями 287to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
лишиться своей репутации либо даже быть оштрафована на огромные суммы |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
за неспособность защитить пользовательские данные. Конкурирующие орга- низации могут получить секретные формулы, прототипы и бизнес-секреты, что позволит им обойти компанию, ставшую жертвой взлома. Следователь- но, управление информацией имеет жизненно важное значение в стратегии управления уязвимостями.
Организацияможетразвернутькоманду компьютерной безопасности по реагированию на инциденты для обработки всего, что угрожает хранению и передаче информации (2). Вышеупомянутая команда будет не только реа- гировать на инциденты со взломом, но и сообщать руководству, когда пред- принимаются попытки вторжения, чтобы получить доступ к конфиденциаль- ной информации. Также она будет определять, какие наиболее правильные меры следует предпринять в этой связи. Помимо этой команды, организация может принять политику наименьших привилегий, когда дело доходит до до- ступа к информации. Эта политика гарантирует, что пользователям запрещен доступ к любой информации, кроме той, что необходима им для выполнения своих обязанностей. Сокращение числа лиц, имеющих доступ к конфиденци- альнойинформации,–хорошаямерадляуменьшениявозможностейатаки(2). Наконец, в стратегии управления информацией организации можно было бы создатьмеханизмыдляобнаруженияипредотвращениядоступазлоумышлен- ников к файлам.Эти механизмы можно внедрить в сеть,чтобы запретить вход вредоносному трафику и гарантировать поступление оповещений о наличии подозрительных действий, таких как отслеживание (snooping). Их также мож- но установить на устройствах конечных пользователей, чтобы предотвратить незаконное копирование или чтение данных.
На этом этапе стратегии управления уязвимостями существует несколько проблем. Начнем с того, что с годами объемы информации увеличивались, что усложняло работу с ней, а также контроль над доступом к ней. Ценная ин- формация,касающаяся потенциальных взломов,такая как оповещения,также превысила возможности обработки большинства IT-отделов. Неудивительно, что релевантные оповещения об атаках отбрасываются как ложные срабаты- вания из-за количества аналогичных оповещений, которые IT-отдел получает ежедневно.
Бывали случаи, когда атаки на организации осуществлялись вскоре пос ле игнорирования оповещений, поступавших от средств мониторинга сети. Нельзя перекладывать всю вину на IT-отдел, т. к. существует огромное коли- чество новой информации, которую такие инструменты генерируют каждый час. Большая часть – ложные срабатывания. Трафик, входящий и выходящий из сетей организации, также стал сложным. Вредоносные программы пере- даются нетрадиционными способами. Также возникает проблема, когда речь идет о передаче информации о новых уязвимостях обычным пользователям, которые не разбираются в техническом жаргоне. Все эти проблемы влияют на время отклика и действия, которые организация может предпринять в случае потенциальных или проверенных попыток взлома.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
288 Управление уязвимостями |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Оценка рисков |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Это третий шаг в стратегии управления уязвимостями. Прежде чем риски мо- гутбытьнейтрализованы,команда по обеспечению безопасностидолжна про- вести углубленный анализ уязвимостей, с которыми она сталкивается. В иде- альной IT-среде команда по обеспечению безопасности может реагировать на все уязвимости, поскольку у нее достаточно ресурсов и времени. Однако вдействительности существуеточеньмного ограничивающих факторов,когда речьидеторесурсах,доступныхдлянейтрализациирисков.Вотпочемуоценка рисков имеет решающее значение.На этом этапе организация должна расста- вить приоритеты одних уязвимостей над другими и выделить ресурсы для их устранения. Оценка рисков состоит из 5 этапов.
Область действия
Оценка рисков начинается с определения области действия. Команда по обес печению безопасности имеет ограниченный бюджет. Поэтому она должна определитьобласти,которые будетохватывать,ите области,с которыми рабо- тать не будет.Она определяет объект защиты,его чувствительность и уровень, на котором его нужно защищать. Область действия должна быть тщательно выверена, поскольку ей предстоит определять, откуда будет проводиться ана- лиз внутренних и внешних уязвимостей.
Сбор данных
Послеопределенияобластидействиянеобходимособратьданныеосуществую- щих политиках и процедурах, которые применяются для защиты организации откиберугроз.Этоможносделатьспомощьюинтервью,анкетиопросов,прово- димых для персонала, таких как пользователи и сетевые администраторы. Все сети, приложения и системы, которые охватываются областью действия,долж- нысобиратьсоответствующиеданные.Этиданныемогутвключатьвсебяпакет обновления, версию ОС, работающие приложения, местоположение, права на управление доступом, тесты на обнаружение вторжений, тесты брандмауэра , сетевые обзоры и сканирование портов. Эта информация позволит лучше по- нятьтип угроз,с которыми сталкиваются сети,системы и приложения.
Анализ политик и процедур
Организацииустанавливаютполитикиипроцедурыдляуправленияиспользо- ванием своих ресурсов. Они обеспечивают правильное и безопасное исполь- зование.Поэтому важно пересмотретьи проанализироватьсуществующие по- литики и процедуры. Там могут быть недостатки. Некоторые политики также могутбытьнепрактичными.Анализируяполитикиипроцедуры,следуеттакже определить уровень их соответствия со стороны пользователей и администра- торов.То,что политика и процедуры сформулированы и распространяются,не означает, что они соблюдаются. Наказания, установленные за несоблюдение, также следуетпроанализировать.В конце концов,станетизвестно,достаточно ли у организации политик и процедур для устранения уязвимостей.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Анализ уязвимостей |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Создание стратегии управления уязвимостями
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
289to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
После анализа политик и процедур необходимо провести анализ уязвимо- стей, чтобы определить уязвимость организации и выяснить, достаточно ли у нее защитных мер, чтобы защитить себя. Анализ уязвимостей выполняется с помощью инструментов, которые мы обсуждали в главе 4 «Разведка и сбор данных». Здесь используются те же инструменты, что применяют хакеры для определения уязвимостей организации, чтобы принять решение, какие экс- плойты использовать.Обычнодля этого процесса организации вызываютспе- циалистов, проводящих тестирование на проникновение в сеть. Самым боль- шим недостатком в анализе уязвимостей является количество выявленных ложных срабатываний, которые необходимо отфильтровать. Поэтому следует использовать вместе разные инструменты, чтобы составить надежный список существующих в организации уязвимостей.
Специалисты, проводящие тестирование на проникновение, должны ими- тировать реальные атаки и выявлять системы и устройства, которые испы- тывают стресс и подвергаются компрометации в процессе этого. В конце вы- явленные уязвимости классифицируются в соответствии с рисками, которые они представляют для организации. Уязвимости с меньшей степенью серьез- ности и подверженности воздействию обычно имеют низкий рейтинг. В си- стеме оценки уязвимостей есть три класса. Младший класс предназначен для уязвимостей, которые требуют много ресурсов для эксплуатации, но при этом оказываюточеньнебольшое влияние на организацию.Умеренный класс пред- назначен для уязвимостей с разумным потенциалом для повреждения, экс- плуатации и воздействия. Класс повышенной серьезности предназначен для уязвимостей, которые требуют мало ресурсов для эксплуатации, но могут на- нести большой ущерб организации при их наличии.
Анализ угроз
Угрозы организации представляют собой действия, код или программное обеспечение, которые могут привести к подделке, уничтожению данных или прерыванию функционирования служб. Анализ угроз проводится для оценки рисков, которые могут возникнуть в организации. Выявленные угрозы долж- ны бытьпроанализированы с целью определения их влияния на организацию. Угрозы классифицируются аналогично уязвимостям, но измеряются с точки зрения мотивации и возможностей. Например, у инсайдера может быть низ- кая мотивация для осуществления злонамеренной атаки на организацию, но множество возможностей, благодаря тому что он знает, как работает органи- зация изнутри. Поэтому система оценок может несколько отличаться от той, что используется при анализе уязвимостей. В конце определяется количество выявленных угроз, а также проводится их классификация.
Анализ приемлемых рисков
Анализ приемлемых рисков–последний этап.Здесь существующие политики, процедуры и механизмы безопасности сначала оцениваются, чтобы опреде-