ИТ vs ИБ: дружба или соперничество?
В современных реалиях администраторам приходится иметь дело с достаточно зрелыми ИТ-инфраструктурами, в которых переплетено много аппаратного и программного обеспечения, в том числе и виртуальные платформы. Периодически ИТ-отдел сталкивается с проблемами сбоя и отказа оборудования. Помимо этого могут совершаться атаки на периметр корпоративной сети, может случиться утечка конфиденциальной информации. С инцидентами такого класса должна работать уже другая команда – служба информационной безопасности (ИБ).
Типичная схема взаимодействия ИТ- и ИБ-служб
В любой современной компании рано или поздно возникает вопрос – как разделить и одновременно согласовать все действия служб ИТ и ИБ при разрешении инцидентов. Чтобы ответить на него без абстрактного теоретизирования, давайте рассмотрим подобного рода взаимодействие на конкретном примере.
Предположим, что в организации с налаженными и устоявшимися бизнес-процессами возникает необходимость добавить VLAN и перегруппировать устройства. В идеальном случае сотрудник службы ИТ должен создать заявку в трекере задач или в электронной почте на согласование своих действий со службой ИБ. Администратор информационной безопасности (АИБ), в свою очередь, оценивает все риски и дает либо «добро», либо мотивированный отказ.
Допустим, в нашем конкретном примере АИБ дал разрешение на внесение изменений в настройки коммутатора. В этом случае администратор ИТ, получив разрешение, вносит все необходимые изменения в конфигурацию устройства, после чего обновляет заявку с пометкой «выполнено». АИБ, получив подобное уведомление, перепроверят внесенные изменения и закрывает заявку.
При таком взаимодействии любые несанкционированные изменения внутри организации практически исключены. Но, к сожалению, в реальной работе все далеко не так радужно. Нередко служба информационной безопасности узнает о том, что были внесены какие-либо изменения уже после того, как «отвалился» критичный бизнес-процесс. Далее происходит расследование инцидента, начинающееся с «пинга» устройства, с просмотром его конфигурационных файлов, и уже потом, если в ручном режиме так и не удалось обнаружить ошибку, идет возврат на резервную копию. Как можно заметить, это достаточно долгий, трудоемкий и зачастую неэффективный алгоритм действий.
Efros Config Inspector
Выстраивание правильной схемы взаимодействия ИТ- и ИБ-служб – это внутренняя политика организации. Тем не менее есть решение, которое сводит к минимуму риски при возникновении различного рода инцидентов, – Efros Config Inspector.
Отыграем историю, рассказанную выше, на несколько шагов назад и предположим, что администратор ИТ не создавал никаких заявок и без ведома АИБ решил сам изменить конфигурацию сетевого устройства. Совершив ошибку в настройке, администратор ИТ случайно отключил сеть у одного из департаментов организации. При использовании Efros Config Inspector администратору ИБ в течение одной минуты придет уведомление о том, что на конкретном устройстве в данный момент времени от имени определенной учетной записи было внесено конкретное изменение, которое привело к недоступности сети в одном из сегментов организации.
В подобном случае расследование инцидента занимает не более одной-двух минут, и АИБ точно знает, что и где произошло. Теперь ему нужно всего лишь снять трубку телефона и сообщить администратору ИТ, чтобы тот вернул настройки к предыдущей конфигурации.
Рассмотрим ситуацию детально. Первой ошибкой, которую допустил администратор ИТ, стало несогласованное изменение конфигурации сетевого устройства. Это не то чтобы недопустимо, но крайне нежелательно. Ведь любое изменение может представлять угрозу безопасности периметра организации. Администратор ИБ в таком случае оценивает все риски и принимает единственно верное решение. Пропуск этого шага чреват серьезным инцидентом, который может привести к потере денег, времени и в конечном итоге способен даже повлиять на репутацию компании.
Далее, администратор ИБ должен каким-то образом увидеть, что у него произошла смена конфигурации. Это решается тремя путями: во-первых, все изменения отображаются в консоли пользователя Efros Config Inspector; во-вторых, о каждом инциденте приходит уведомление на электронную почту; в-третьих, все данные из Efros Config Inspector можно выгрузить в стороннюю SIEM-систему (Security Information and Event Management), если таковая используется в организации.
Обнаружив несоответствие действующей конфигурации заданному эталону, администратор ИБ принимается за расследование инцидента, что достаточно просто благодаря журналированию всех событий, происходящих с устройством и удобно отсортированных по категориям в Efros Config Inspector. Путем нехитрого анализа администратор ИБ может с точностью сказать, кто и когда внес изменения, повлекшие за собой негативные последствия. Поскольку расследование инцидента происходит оперативно, то и замести следы нарушителю не удается.
Следующий шаг: сотруднику ИБ необходимо сделать так, чтобы действующая конфигурация снова соответствовала эталону. Он сообщает об инциденте в службу ИТ, чтобы они вернули крайнюю согласованную рабочую конфигурацию. После чего АИБ перепроверят с помощью Efros Config Inspector соответствие действующей конфигурации заданному эталону, затем, при полном соответствии целевому состоянию конфигураций устройств, АИБ принимает текущую конфигурацию за базовую и ставит ее на контроль.
Таким образом, Efros Config Inspector позволяет улучшить качество взаимодействия двух служб, ИТ и ИБ, тем самым повысив безопасность ИТ-инфраструктуры организации.
Защита, настройка, соответствие регулирующим документам
Использование таких решений, как Efros Config Inspector, может оказаться полезным в том числе и для самой ИТ-службы. В данном случае дело заключается не столько в усилении контроля за действиями и изменениями, сколько в качестве настройки того или иного элемента инфраструктуры.
Зачастую в наших организациях используется мультивендорный набор оборудования и программного обеспечения, и чтобы настроить каждое устройство, администратор должен обладать экспертными знаниями по каждому такому решению. На практике же настройка оборудования происходит по принципу «работает – не трогай». То есть узел, на который завязаны один или несколько критичных бизнес-процессов, нередко оказывается неустойчивым к сетевым атакам. Чтобы не допустить возможности атаки на сетевые устройства, в Efros Config Inspector реализовано несколько интересных решений.
Первое – база уязвимостей. Просто кликнув на устройство и запустив проверку, администратор может увидеть, какие актуальные угрозы содержит в себе конфигурация данного устройства. В базе уязвимостей можно получить детальную информацию по всем возможным слабым местам действующей конфигурации. Это помогает администратору ИТ своевременно устранять все недоработки в настройке оборудования.
Второе – база лучших мировых практик по настройке. Здесь все просто: в решениях тех или иных производителей заложены достаточно широкие функциональные возможности, которые реализуются далеко не всегда. Но все мы знаем, что чем сложнее система, тем больше в ней слабых мест и уязвимостей. Поэтому с помощью Efros Config Inspector можно провести аудит имеющихся устройств и уже на основе полученных рекомендаций привести систему в соответствие с мировыми практиками безопасных конфигураций. Для каждой операции имеется подробное описание, поэтому ложные действия полностью исключены.
Третье – проверка на соответствие (compliance). Фактически это соответствие тем или иным регулирующим документам – государственным либо внутренним корпоративным. Иногда эксплуатирующий персонал сталкивается с тем, что ИТ-инфраструктура организации должна на 100% удовлетворять требованиям таких документов. На этот случай в Efros Config Inspector заложены как логика проверки по действующим документам, так и возможность внесения собственных правил.
Таким образом мы получаем вполне законченное решение, которое позволяет не только контролировать изменения конфигурации, но и помогать ИТ-службе решать свои задачи – создавать безопасный периметр.
Отчеты могут быть составлены на основании различных данных настроек сетевых устройств, таких как отчет о пользователях, отчет о текущей или загрузочной конфигурации, отчет о состоянии интерфейсов и др.
Последняя версия продукта Efros Config Inspector 3.0 помимо сетевых устройств позволяет работать с платформами виртуализации и даже с операционными системами Windows и Unix – в качестве системы контроля целостности файлов и контроля каталогов пользователей AD и LDAP (Lightweight Directory Access Protocol). Новый графический интерфейс работы с Efros Config Inspector 3.0 также обеспечивает удобное отслеживание различных данных статистики, например количество устройств с ошибками и количество инцидентов.
Последняя версия продукта Efros Config Inspector 3.0
Главными особенностями нового поколения продукта Efros Config Inspector являются принцип модульности, гибкость его настройки и новая система поиска уязвимостей и рекомендаций по безопасной настройке сетевого оборудования.
Таким образом, применение в организациях Efros Config Inspector поможет ИТ-администраторам быть уверенными в правильности конфигураций оборудования, оперативно планировать и проводить изменения в динамичной ИТ-инфраструктуре, а администраторам ИБ – быть спокойными за периметр сети и соответствие конфигураций регулирующим документам.
