Полное, постоянно обновляемое и детальное понимание всех ИТ-активов является одним из базовых принципов для обеспечения безопасности. Сначала нужно понять, что на самом деле означает «видимость», что это больше, чем просто идентификация того, что есть, и знание того, какие проблемы необходимо решить.
Если мы посмотрим на отправную точку любой системы информационной безопасности, лучшие практики за последние 20 лет, мы увидим, что начальным этапом является » обнаружение «, «идентификация», «понимание» или какая-то их вариация. В совокупности все они говорят о том, что мы не можем защитить то, о чем не знаем, что оно у нас есть. Или, что более точно, мы не можем начать принимать правильные решения о том, как и где защищать нашу среду, если мы не знаем, что у нас есть. Широкая видимость того, какие активы являются частью нашей общей инфраструктуры, является ключевым и основополагающим элементом любой успешной программы безопасности.
Несмотря на то, что это широко принято и признано, большинство специалистов по безопасности скажут, что достичь состояния полной видимости все еще трудно. Группы безопасности внедряют широкий спектр инструментов, тратят много времени на интеграцию наборов данных из систем управления активами и других потенциальных источников информации, и все же мало кто скажет, что уверен в том, что действительно понимает свою среду. Почему это так? По большей части это сводится к двум ключевым соображениям, которые не учитываются, когда организации пытаются понять свою среду:
• Действительно ли нужно найти и идентифицировать все активы или только те, о которых есть информация?
• Понимаете ли вы контекст активов с точки зрения обнаруженных угроз безопасности, риска и влияния на вашу организацию?
Прежде всего, достижение полной видимости означает идентификацию и оценку всех технических активов в вашей среде, а не только «легких», знакомых большинству ИТ-специалистов и команд безопасности. Хотя начинать с серверов, рабочих станций, оборудования сетевой инфраструктуры и других традиционных ИТ-устройств – это отличная практика, слишком часто случается, что другие активы упускаются из виду или совсем не замечаются. Что еще есть? Спросите себя, выявляет ли ваша команда следующие активы:
• Базы данных
• Веб-приложения
• OT / ICS / SCADA / промышленные устройства IoT
• Облачная инфраструктура
• Платформы виртуализации
• Контейнеры
• Сервисы облачной оркестровки
• Конфигурации инфраструктуры как кода (IaC)
• Active Directory / учетные данные / группы
• Публичные хосты / имена хостов / записи
Список можно продолжить. Хотя может показаться, что идентифицировать эти виды активов слишком сложно, они по-прежнему критически важны для большинства предприятий. Если команды безопасности хотят сделать первый значимый шаг к улучшению видимости и более полному пониманию нашей среды, то мы должны взять в руки все эти активы, а также более традиционные, с которыми мы все знакомы.
Именно по этой причине компания Tenable постоянно расширяет набор инструментов чтобы иметь возможность безопасно и правильно идентифицировать такие активы и собирать эти данные в одном месте. Выявление уязвимостей и других рисков безопасности начинается с определения и понимания цели. Имея такой уровень видимости, организации могут лучше понять, где в их среде существуют наибольшие риски, и начать предпринимать необходимые шаги по снижению рисков там, где это наиболее важно.
Некоторые организации уже достигли того уровня, когда они стали действительно хорошо собирать данные инвентаризации активов и имеют хорошее представление о том, как выглядит их среда. Но это еще одно место, где все начинает рушиться. Наличие большого количества разрозненных данных, обычно распределенных между несколькими различными хранилищами, означает, что группам безопасности приходится проводить много преобразований, чтобы не только собрать информацию в одном месте для лучшего анализа, но и найти способы нормализации собранной информации. В конце концов, не каждый актив имеет IP-адрес или имя хоста. Репозитории кода не имеют тех же идентификаторов, что и экземпляр контейнера. Веб-приложения могут быть идентифицированы по доменному имени или URL, но промышленный программируемый логический контроллер может даже не быть подключен к определенной сети.
И не только базовые идентификаторы активов разнообразны и сложны. Любой тип уязвимости или обнаружения безопасности будет столь же различным и разрозненным, в зависимости от самого актива. Сервер может иметь легко идентифицируемую уязвимость, которой присвоен номер CVE, но неправильная конфигурация IaC вообще не будет иметь стандартного идентификатора. Уязвимости веб-приложений, такие как SQL Injection и Cross-Site Scripting, являются более распространенными методами, чем конкретные, последовательно идентифицируемые уязвимости ОС. А в мире Active Directory основные проблемы безопасности связаны с нарушениями в работе AD и проверке учетных данных в масштабах всего предприятия, и эти проблемы не устраняются применением недостающего патча.
Если специалистам по безопасности поручено попытаться понять риски в среде и принять решение о том, где и что следует смягчить в первую очередь, с чего вы можете начать, если вы не смотрите на вещи по принципу «яблоки-к-яблокам»? В действительности, такой тип разрозненных данных даже не является «яблоки-к-апельсинам», а больше похож на «яблоки-к-звездным кораблям-к-пингвинам-к-прилагательным». Понимание контекста, лежащего в основе активов и результатов их проверки на безопасность, является ключевым моментом. Сначала мы должны собрать вместе всю эту информацию и нормализовать ее таким образом, чтобы был последовательный и измеримый способ понять риск, которому подвергается бизнес в результате каждого из этих обнаружений. Затем мы можем начать сопоставлять различные факторы риска друг с другом и принять наилучшее решение о том, где организация подвергается наибольшему риску, насколько велик риск и что нужно сделать для его снижения. Собирать данные и так достаточно сложно, но даже если вы справитесь с этой частью, вы не продвинетесь далеко, если не сможете сосредоточиться на том, что действительно важно. Вы останетесь с большим количеством электронных таблиц и баз данных, с которыми придется работать, задавая все те же вопросы о том, с чего начать.
Хотите получить дополнительные рекомендации по стратегии безопасности?
Ознакомьтесь с «Ретроспективой ландшафта угроз 2021 года» компании Tenable», в которой представлен всесторонний анализ прошлогоднего ландшафта угроз, который специалисты по безопасности могут использовать для улучшения своей безопасности прямо сейчас, а также посмотрите вебинар «Управление экспозицией для современной поверхности атаки: Определение и информирование о том, что в вашей среде подвергается наибольшему риску и что необходимо исправить в первую очередь».
Источник: https://bit.ly/3vAkynZ
