В плане ИТ-безопасности
большинство предприятий сталкивается с примерно одинаковыми
вопросами. Корпорация Майкрософт не является исключением. Мы
потратили два года на работу в группе, занимающейся вопросами
управления рисками и выполнения нормативных требований,
подразделения MMS (Microsoft® Managed Solutions — управляемые решения
корпорации Майкрософт). (Подробнее о подразделении MMS см. Корпорация
Майкрософт дает новый заряд энергии своему подразделению
информационных технологий.)
Группа, занимающаяся
вопросами управления рисками и выполнения нормативных требований,
несет ответственность за определение, мониторинг и исправление
состояния риска для всех сред MMS (как для ориентированных на
клиента служб, так и для координации инфраструктуры). Сначала наш
менеджер, Арджуна Шунн (Arjuna Shunn), осознал, что нам необходимо
технологическое решение, обеспечивающее нужные средства управления и
контроля в централизованном, взаимосвязанном виде. Рассмотренные в
этой статье технологии являются прямым результатом наших ранних
идей, помноженных на двухлетний опыт использования в нашей работе
различных продуктов корпорации Майкрософт и сторонних
производителей.
Прежде всего, нам были
необходимы технологии безопасности, которые обеспечивали бы три
основных типа контроля (упреждающий, выявляющий и корректирующий), а
также предоставляли бы возможность аудита и создания отчетности. Мы
представляли себе этот набор средств поделенным на четыре категории:
панель управления рисками, противодействие вредоносному программному
обеспечению, обнаружение неполадок сети и управление требуемой
конфигурацией. Мы постарались включить в наши операции по управлению
рисками хотя бы по одному средству из каждой категории. И
обнаружили, что, используя преимущества технологий каждой из четырех
категорий, группа ИТ-безопасности может достичь разумного баланса
между ценой и эффективностью.
Две наши основные операции по
управлению рисками — реагирование на события в плане безопасности и
управление выполнением нормативных требований — существенно выиграли
от такого подхода, но нам все еще предстоит многое сделать для
достижения того уровня координации между отдельными средствами,
которого мы в результате хотим добиться. Взаимосвязанный набор
технологий дает гораздо больше в плане оперативной эффективности,
но, к сожалению, в отрасли еще нет такой интегрированной
системы.
К счастью, для групп
ИТ-безопасности не все потеряно; это лишь вопрос времени, когда
четыре системы начнут работать совместно и взаимодействовать для
повышения эффективности. Когда это случится, они не только обеспечат
активный мониторинг защищенности системы, но также пригодятся для
выполнения аудита и прочих повседневных ИТ-операций. В этой статье
описывается наилучшее применение каждой системы, а в качестве
примечаний приводятся некоторые примеры ее использования.
Панель управления
рисками
По нашему мнению, панель RMD
(risk management dashboard — панель управления рисками) совершенно
необходима. Это самая важная технология в работе группы
ИТ-безопасности. Мониторинг рисков CIA2 (confidentiality, integrity,
availability, and accountability — конфиденциальность, целостность,
доступность и отчетность) на предприятии часто выполняется
разрозненными системами и процессами, не имеющими единого интерфейса
для объединения и корреляции данных, а также устранения рисков.
Кроме того, нормативные требования определяют уровни прозрачности
данных предприятия, которые всё труднее обеспечивать, а налаженной
системы для удобного отслеживания правил от их создания до
применения на предприятии не существует. Об этом свидетельствуют
обычные трудности организаций, связанные с получением данных,
определением корреляции, оценкой, исправлением и соответствием
требованиям. (Диспетчер System Center Operations Manager 2007, хотя
и не является полноценным RMD-решением, описанным в этой статье, всё
же обеспечивает единый интерфейс для мониторинга нескольких ресурсов
и сбора соответствующих оповещений, как показано на рис. 1.)
Рис.
1 Диспетчер System Center
Operations Manager 2007 обеспечивает единый интерфейс для просмотра
оповещений и сетевого управления ресурсами
Получение данных затрудняется
невозможностью объединения и нормализации данных от разрозненных
источников. Объединение данных является сложной задачей само по
себе, потому что требует отказаться от слишком распространенного
подхода бессистемного сбора данных и включения их в отчет. Даже
когда объединение выполняется, остаются еще большие сложности с
нормализацией, потому что чрезвычайно трудно установить общую
инфраструктуру, необходимую для поддержки нормализации данных. А без
нормализации невозможно осмысленно сравнивать связанные с
безопасностью и работоспособностью события, получаемые от различных
систем.
Для выполнения необходимой
автоматизации панель управления рисками должна иметь доступ к
каналам данных от других источников помимо технологий безопасности,
описанных в этой статье. Для определения общей ситуации с рисками
может использоваться много не связанных с безопасностью данных. Для
расследования происшествий может использоваться вся информация,
например журналы маршрутизаторов, учет элементов систем, состояние
исправлений, осуществившие в текущий момент вход в систему
пользователи, отчеты о производительности и данные об управлении
изменениями. Следовательно, общей системе требуется доступ ко всем
этим данным. Мы знаем, что даже инфраструктуры предприятий, в
наибольшей степени основанные на продуктах корпорации Майкрософт,
включают в себя технологии других производителей, поэтому панель RMD
должна принимать данные и от последних через определенный общий
интерфейс.
Если данные могут быть
получены и нормализованы, следующим шагом является их сопоставление.
Цель — определить связь последовательности событий (например
неполадки сети, отчета антивируса и необходимого изменения
конфигурации), образующих единый блок связанных с рисками данных, на
которые необходимо отреагировать. Это требует большого ручного труда
по определению логической системы связей, которая в результате будет
обеспечивать осмысленное оповещение о рисках. На основе существующих
в настоящее время технологий создать такую логику как минимум
непросто.
Оценка данных также требует
обширной ручной работы. Даже если обнаружена корреляция, аналитику
необходимо просмотреть связанные данные, чтобы определить ее
значимость. Значимость коррелированных данных не выше значимости
правил, на которых основана корреляция. Поэтому необходим дальнейший
ручной анализ связанных данных для оценки рисков, которым
подвергается ИТ-среда. При этом снижению объема ручного
вмешательства, требуемого для достижения нужного уровня сортировки
событий, может служить четкая и кодифицированная схема управления
рисками. Без такой схемы сложно разработать практический набор
правил корреляции в определенной реализации.
Если допустить, что система
достигла этапа оценки риска, то следующим этапом будет
автоматизированное устранение этого риска. В настоящее время это
возможно только на предприятиях, и даже в этом случае выполняется
только для ограниченного набора технологий, например для управления
исправлениями или антивирусов. Возглавляемое системой RMD
автоматизированное устранение рисков даст ИТ-администратору огромные
возможности по обеспечению приемлемого уровня ИТ-рисков. Когда
одновременно выявляется несколько рисков, корреляционная логика
должна помочь определить приоритет реагирования на каждое
происшествие, основываясь на данных классификации элементов
системы.
И, наконец, задачей огромной
сложности для ИТ-отделов является обеспечение подтверждения
соответствия различным нормативным требованиям. Как отмечалось выше,
рассматриваемая система должна обладать такой функциональностью.
Включенная в политику централизованная система управления рисками
может быть очень полезна для создания отчетов и подтверждений
соответствия требованиям. Но политика должна отвечать не только на
вопросы «где» и «почему». Для автоматизированного устранения рисков
политика должна быть преобразована в набор стандартов, в отношении
которых панель управления может выполнять мониторинг, обеспечение
выполнения и предоставление обратной связи.
После сказанного мы можем
дать обобщенное определение идеальной панели управления рисками как
метода обеспечения унифицированного интерфейса для оценки
работоспособности корпоративной системы, обеспечения соответствия
нормативным требованиям и политике, а также процессов управления
рисками. Это достигается путем объединения информации от
разрозненных продуктов и источников, связанных с безопасностью и
работоспособностью системы, в единую взаимосвязанную картину рисков.
Хорошее RMD-решение должно:
- выполнять объединение, нормализацию и определение корреляции
данных от разрозненных источников;
- обеспечивать автоматизированный сбор информации и оценку
рисков;
- сопоставлять нормативные правила с политиками, а также
поддерживать аудит и составление отчетов;
- предоставлять унифицированную инфраструктуру, которую можно
модифицировать в соответствии с потребностями конкретного
предприятия.
Панель должна позволять
организовывать и отображать данные в определенных разрезах,
например, показывая: наиболее важные происшествия по типу или
системе, которая является их источником; ожидающие разрешения
происшествия; разрешенные происшествия и т.п. Она также должна
давать возможность раскрывать каждую строку отчета для получения
более подробной информации. Рассматривая какое-либо событие,
пользователь должен иметь удобный доступ к любым связанным с ним
данным. Это повысит качество решений и позволит принимать их
быстрее.
Необходимо отметить, что
панель RMD также полезна для администраторов, не входящих в группу
обеспечения безопасности. Заключая в себе целостный взгляд на среду,
эта панель может стать центральной точкой просмотра текущего
состояния для всего персонала. Например, панель может оповещать
группу системы обмена сообщениями об атаке SMTP-шлюза по типу «отказ
в обслуживании». Это событие является происшествием в области
безопасности для группы управления рисками, однако группа системы
обмена сообщениями будет воспринимать его как происшествие в области
доступности службы. Хотя группа системы обмена сообщениями,
возможно, не ответственна за установление и разрешение таких
происшествий, она, по крайней мере, может быть заинтересована в
информации о них, поскольку они влияют на управляемые ею элементы
системы.
Технологии
противодействия вредоносному программному обеспечению
Комплексная система
противодействия вредоносному программному обеспечению важна для
защиты инфраструктуры от непредвиденных угроз, скрывающихся в коде и
действиях пользователей. Сегодня в целом существует два отдельных
типа средств для защиты от вредоносного программного обеспечения:
антивирусы и средства борьбы с программами-шпионами (так, защитник
Windows®, показанный на рис. 2, относится ко второй категории). Обе
категории эффективно предотвращают, обнаруживают и ликвидируют
последствия различных типов «инфекции». Впрочем, объединение обоих
типов средств защиты в одно общее решение — лишь вопрос времени.
Когда это произойдет, в системе появится единый пакет программ,
противодействующих вредоносному ПО.
Рис.
2 Защитник Windows оберегает
клиентов от программ-шпионов
Комплексное решение по борьбе
с вредоносным ПО должно выполнять мониторинг в режиме реального
времени и периодическое сканирование. Оно должно централизованно
сообщать об известном вредоносном ПО (включая вирусы,
программы-шпионы и rootkit-программы), а также о неизвестном
вредоносном ПО на основании типичных схем опасного поведения.
Надежная технология противодействия вредоносному ПО должна следить
за всеми классическими точками входа (включая файловую систему,
реестр, оболочку, обозреватель, электронную почту и подключенные
приложения) путем тесной интеграции с операционной системой и
приложениями.
Кроме того, решение по
противодействию вредоносному ПО должно обеспечивать безопасность не
только базовой системы. Такое решение должно следить за
распространенными службами обмена сообщениями и совместной работы,
через которые часто проникают зараженные файлы, например за
SharePoint® и программами обмена
мгновенными сообщениями. Оно должно обеспечивать автоматизированное
предотвращение нежелательных действий, запрещая те из них, чья
вредоносность установлена или подозревается, а также тщательно
сканируя данные пользователя для удаления таких угроз, как
скрывающиеся в документах макровирусы, еще не заразившие
систему.
Нет нужды говорить, что
средства противодействия вредоносному ПО бесполезны без обновления.
Система должна содержать свои базы сигнатур и средства удаления в
актуальном состоянии, чтобы быть готовой к самым новым угрозам. При
обнаружении таковой поставщик защитных программ должен предоставить
дополнительные средства защиты прежде, чем уязвимость «нулевого дня»
будет использована злоумышленником. Простое в управлении решение по
противодействию вредоносному ПО также должно иметь централизованную
настройку и возможность обновления.
Конечно, производительность
системы не должна приноситься в жертву такой защите. Снижение
производительности означает снижение продуктивности работы.
Пользователи могут даже попытаться отключить такое решение по
противодействию вредоносному ПО, что приведет к полному отсутствию
защиты.
Наконец, не следует
недооценивать важность дополнительных технологий для помощи системе
противодействия вредоносному ПО. Брандмауэры, ограничение прав
пользователей и другие элементы также повышают защиту от
вредоносного кода и действий пользователей.
Обнаружение неполадок
сети
В то время, как средства
противодействия вредоносному ПО следят за компьютерам, средство NAD
(network anomaly detection — обнаружение неполадок сети)
контролирует типичные пути распространения, следя за известными
признаками подозрительного поведения и передавая эту информацию на
панель RMD для обработки (в категорию NAD, например, должен быть
включен брандмауэр, как показано на рис.
3). Подозрительным поведением может быть хорошо известный
трафик атаки (например червя или «отказа в обслуживании») или
отправка по электронной почте данных, отвечающих определенному
шаблону (например номера социального страхования США).
Рис.
3 Брандмауэр является важной
составляющей решения по обнаружению неполадок сети
Несмотря на все усилия
ИТ-менеджмента, в любой крупной корпоративной сети неизбежно
происходят эпизодические происшествия с вредоносным программным
обеспечением. Решение NAD может обеспечить систему раннего
предупреждения, помогающую ускорить устранение рисков. Более того,
возможности решения NAD по мониторингу данных, а также способность
обнаруживать и прекращать утечки конфиденциальной информации —
полезные средства защиты информации в средах, где возникают проблемы
утечки данных и соответствия нормативным требованиям.
Как и в случае технологий
противодействия вредоносному ПО, решение NAD должно постоянно
адаптироваться к новейшим угрозам и типам конфиденциальных данных,
иначе ценность его будет невысока. Кроме того, хорошая система NAD
должна хорошо различать действительные неполадки и сводить к
минимуму число ложных сообщений об обнаружении. В противном случае
администраторы могут начать игнорировать сообщения, поступающие от
системы NAD, предполагая, что каждое сообщение является лишь
очередной ложной тревогой.
После небольшой настройки и
обучения система NAD должна отличать и отслеживать типичные схемы
использования трафика. Это необходимо, поскольку новые типы
вредоносного программного обеспечения и прочие атаки могут
обнаруживать себя за счет изменения такой схемы. Существенную роль в
общей системе NAD играет сетевое оборудование, потому что данное
решение должно обрабатывать данные маршрутизаторов, коммутаторов и
брандмауэров. Предупреждения системы NAD затем могут обрабатываться
корреляционным модулем панели RMD.
При этом существует
заманчивая возможность — встроить средства обнаружения неполадок
сети в программы противодействия вредоносному ПО или брандмауэры
компьютеров, что создаст систему защиты, в которой все подключенные
компьютеры помогают отслеживать и, в идеале, останавливать угрозы до
их широкого распространения.
Управление требуемой конфигурацией
Одна из крупнейших задач, с
которыми сталкиваются ИТ-отделы больших предприятий, — поддержание
надлежащей конфигурации систем. Существует множество причин для
поддержания конфигурации систем. Вот лишь некоторые из них: удобство
управления, простота масштабирования, обеспечение соответствия
требованиям, блокирование различных форм проникновения, повышение
продуктивности работы и т.д. Многое из перечисленного — компоненты
безопасности.
Управление требуемой
конфигурацией для большинства предприятий остается в значительной
мере непроработанной задачей — сказывается ее сложность и начальные
затраты. Однако исследования показывают, что в длительной
перспективе поддержание систем дает сокращение расходов и повышает
надежность. Решение по отслеживанию заданной конфигурации (desired
configuration monitoring — DCM) может в этом помочь.
Хорошая система DCM должна
автоматически сканировать сеть для обеспечения надлежащего
развертывания новых систем, а также для проверки соответствия
существующих систем установленным требованиям. Независимо от того,
какая стоит задача — обеспечение развертывания последних исправлений
или минимизация числа имеющих привилегии домена пользователей, —
полное решение DCM должно настраивать системы, анализировать их и
предоставлять отчетность о том, насколько конфигурация каждой
системы близка к идеальной. Корректировки могут быть простыми (как
внесение исправлений в новые системы сети при их развертывании) или
принудительными (например принудительные настройки клиентов
электронной почты пользователей). Ключевой задачей является привязка
их к политикам предприятия и нормативным положениям. (Система DCM
также может помогать в обнаружении и удалении заражения вредоносным
программным обеспечением, так как простые типы заражения будут
хорошо заметны в результатах сканирования.)
Система DCM является одним из
основных источников сообщений для корреляционного модуля панели RMD,
а также предоставляет существенные подробности того, насколько
рассматриваемый компьютер отличается от нормы. Своевременность
данных может отличаться в зависимости от того, одно или пять
оповещений о происшествии в области безопасности поступило. Таким
образом, каждый элемент системы необходимо сканировать с
пропорциональной его значению частотой. Например, элемент с низкой
значимостью можно сканировать всего один раз в месяц, элемент
средней значимости — каждую неделю, а элемент высокой — по меньшей
мере раз в день.
Правильная настройка системы
DCM также является фундаментальным элементом хорошего механизма NAP
(network access protection — защита доступа к сети). Она позволяет
системе проверять соответствие конфигурации подключенных к сети
компьютеров и блокировать новые или неизвестные компьютеры до
окончания проверки. Кроме того, система DCM должна искать уязвимости
конфигурации (например слабые списки управления доступом к общим
ресурсам), чтобы администраторы могли предпринять соответствующие
меры.
Не следует считать, что
система DCM применима только к компьютерам, например клиентам или
серверам. В нее могут быть включены сетевые устройства и сама
основная служба каталогов. При наличии достаточно понятной схемы
сети идеальная система DCM легко обеспечит соответствие связанных
устройств стандартам. Только представьте возможности! Не нужно
вручную настраивать конфигурацию маршрутизатора, ее обеспечит DCM.
Или, скажем, набор стандартных настроек групповой политики связан с
определенным набором серверов или клиентов. Система DCM должна
отслеживать их состояние и предупреждать в случае изменения настроек
домена.
Собранные системой DCM данные
должны быть достаточно надежны для использования в ИТ-аудите.
Хорошая система DCM должна иметь возможность управления изменениями
и соответствием нормативным требованиям, чтобы вопросы аудита могли
решаться своевременно и практически без задержек. Например, одна из
рутинных контрольных проверок — проверка того, что членство
локального администратора на MMS-серверах не изменилось. Система DCM
просто создана для обеспечения выполнения этого правила!
Даже если ваш ИТ-отдел не
готов к самокорректируемой системе DCM, можно развернуть и получить
отличные результаты от варианта этой системы — мониторинга требуемой
конфигурации. Эта система также предоставляет отчеты и оповещения о
проблемах конфигурации, но экономический эффект, скорее всего, будет
не тот, потому что устранение проблем производится в значительной
мере вручную. При этом, тем не менее, будет возможно определять
корреляцию в данных и уведомлениях, необходимых панели RMD.
Здесь стоит сделать небольшое
предупреждение. В любой из описанных выше форм система DCM должна
быть ограничена только минимумом важных элементов конфигурации и
данными о состоянии основных участков. Иначе она может войти в
конфликт с гибкостью, необходимой ИТ-группе. Если требования системы
DCM к конфигурации устареют, система быстро станет восприниматься
как обуза, а не полезный инструмент. Так что важно не отставать от
последних представлений об оптимальной конфигурации элементов. Более
того, предлагается включить в систему DCM регулярные обновления схем
конфигурации рассматриваемых элементов систем или приложений в
соответствии с передовыми рекомендациями.
Заключение
Независимо от того, создается
ли панель управления самостоятельно или покупается у надежного
поставщика, она является основным инструментом реагирования на
происшествия. Средства противодействия вредоносному программному
обеспечению также важны для защиты от угроз, количество которых
увеличивается с каждым днем. Обнаружение неполадок сети находится в
состоянии перехода от простого обнаружения сигнатур вредоносного
программного обеспечения и выявления вторжений к определению утечек
данных — а благодаря последнему можно устранить все поводы для
появления в прессе очередного скандала, связанного с бессилием
средств безопасности. Управление требуемой конфигурацией — средство
хоть и новое, но скоро станет опорой для мониторинга и поддержки
конфигураций. Независимо от того, кто поставщик всех этих решений,
необходимо иметь по крайней мере один инструмент, принадлежащий к
каждой из четырех категорий!
По нашим оценкам, на данный
момент ни один поставщик (включая корпорацию Майкрософт) не
предлагает единого, целостного решения для всех четырех категорий.
Пользователям необходимо самим подбирать набор продуктов, отвечающих
конкретным потребностям. В этой статье мы хотели лишь дать общий
обзор того, что следует учитывать, к чему стремиться, и как должно
выглядеть идеальное решение.
