Автоматизация процесса визуализации и анализа рисков сетевой безопасности компании

Роман
Ванерке

Руководитель отдела технических решений ЗАО “ДиалогНаука"

Виктор
Сердюк

Генеральный директор ЗАО “ДиалогНаука"

Вместе с тем, несмотря на большое количество используемых средств защиты информации (СЗИ), одна из основных проблем, с которой сталкивается большинство подразделений ИБ, заключается в отсутствии актуальной информации о сетевой топологии и, как следствие, в невозможности оценить текущие риски сетевой безопасности. Вот лишь некоторые последствия, к которым может привести отсутствие этой информации:

• сложность выявления уязвимостей, связанных с текущей архитектурой сети. Так, например, в компании может существовать доступ из гостевой Wi-Fi-сети в корпоративную ЛВС, а подразделение может и не знать об этом;
• сложность приоритезации выявленных уязвимостей без привязки к топологии сети и значимости информационных активов;
• сложность в расследовании инцидентов ИБ, в процессе которых необходимо понимать, какой была топология сети на момент возникновения инцидента;
• невозможность отслеживания изменений в конфигурации сети и контроля выполнения требований корпоративных политик и международных стандартов.

Одним из вариантов решения всех вышеназванных проблем может являться использование специализированных систем, предназначенных для автоматизации задач по анализу рисков сетевой безопасности (далее по тексту будем называть эти системы САРБ). САРБ позволяют в режиме реального времени получать информацию о конфигурации сетевых устройств, строить виртуальную модель сети и выполнять анализ ее текущей конфигурации на соответствие требованиям по защите информации. В настоящее время на российском рынке представлено несколько систем подобного класса, включая RedSeal (www.red-sealnetworks.ru), FireMon (www.fire-mon.com/), SkyBox (www.skyboxse-curity.com/) и др. Рассмотрим далее основные функции, которые может выполнять САРБ для повышения уровня ИБ компании на примере продукта RedSeal, который на текущий момент времени получил наибольшее распространение в России.

Построение модели сети организации

Одной из базовых задач систем анализа рисков сетевой безопасности является построение актуальной карты сети. Как правило, это делается путем автоматизированного сбора конфигураций сетевых устройств 3-го уровня (маршрутизаторы, балансировщики нагрузки) и СЗИ (межсетевые экраны, системы предотвращения атак). Получение конфигурации обычно осуществляется путем подключения к устройствам либо считывания файлов конфигурации из заданного хранилища (CMDB, файловые ресурсы). На основе полученной информации САРБ автоматически строит актуальную карту сети.

На рис. 1 показан пример карты сети, построенной при помощи системы RedSeal.

Необходимо отметить, что сетевые устройства, СЗИ и сегменты сети можно группировать (например, PCI, головной офис, филиалы и т.п.) для последующего использования при анализе доступа и контроле политик. Система RedSeal позволяет хранить всю историю изменений в топологии сети, что обеспечивает возможность получить состояние карты сети на любой момент времени в прошлом.

Анализ конфигурации сети

САРБ позволяет проводить анализ настроек сетевых устройств и межсетевых экранов (МЭ) с точки зрения соответствия лучшим практикам и стандартам по ИБ. Так, система RedSeal содержит более 100 проверок безопасности для каждого типа устройств, которые позволяют выявлять эксплуатационные уязвимости, связанные с неправильной настройкой устройства. Кроме того, система также позволяет создавать собственные правила проверок с учетом специфики конкретной организации. Поддерживаются простые проверки с использованием регулярных выражений, а также более сложные с помощью Javascript.

Кроме этого, САРБ также позволяет оценить эффективность используемых правил фильтрации межсетевых экранов. В частности, система должна помогать выявлять неактивные, неиспользуемые, избыточные или ошибочные правила фильтрации. Таким образом, САРБ позволяет значительно упростить процедуру аудита правил доступа, настроенных на сетевых устройствах и МЭ.

Моделирование сетевого доступа

На основе построенной модели сети САРБ позволяет проверить доступность узлов. Таким образом, имеется возможность проверить корректность разграничения доступа между различными сегментами сети. Это, в частности, позволяет выявлять возможные нарушения политик разграничения сетевого доступа в компании.

Моделирование угроз безопасности

САРБ, как правило, интегрируется с сетевыми сканерами уязвимостей в части сбора информации об имеющихся на узлах в сети уязвимостях. На основе этой информации САРБ позволяет построить и отобразить на карте сети возможные векторы атак, которые могут быть реализованы злоумышленником. При этом система отображает как прямые, так и косвенные атаки, для реализации которых требуется компрометация промежуточных узлов сети (см. рис. 3).

Использование данной функции позволяет администратору безопасности оперативно понять, каким угрозам подвержены те или иные узлы корпоративной сети. Необходимо отметить, что система RedSeal, которая уже упоминалась ранее, может интегрироваться со всеми основными западными сканерами безопасности, а также с системами MaxPatrol и XSpider, разработанными российской компанией Positive Technologies.

Моделирование изменений в сети

Еще одной важной задачей, которую решают системы анализа рисков сетевой безопасности, является оценка того, как повлияет на уровень защищенности то или иное изменение ее конфигурации. Для этого на основе построенной топологии сети САРБ позволяет смоделировать на ней возможные изменения. В частности, система покажет, какие при этом появятся новые угрозы, исходя из имеющихся в сети уязвимостей.

Эта функциональность позволяет подразделениям ИБ более эффективно анализировать те изменения, которые хотят внести службы IТ в сетевую топологию компании.

Как правило, САРБ может интегрироваться с существующей системой HelpDesk-компании и получать из нее тикеты с запросами на внесение изменения в конфигурацию сети.

Приоритезация уязвимостей

На основе имеющейся информации САРБ позволяет автоматически выделить приоритетные уязвимости, устранение которых приведет к предотвращению наиболее опасных атак. Приоритезация уязвимостей осуществляется исходя из возможности их активизации с учетом топологии сети. Так, например, на сервере СУБД может присутствовать уязвимость в Web-сервисе, но ее активизация невозможна, так как доступ по 80-му порту блокируется межсетевым экраном, за которым расположен этот сервер. Кроме этого, при приоритезации также может учитываться значимость IТ-актива, которая определяется администратором безопасности.

Таким образом, данная функциональность позволяет выделить наиболее критические уязвимости и сосредоточиться на их устранении.

Мониторинг несанкционированных изменений в сети

Возможности САРБ позволяют отслеживать несанкционированные изменения в настройках активного сетевого оборудования и СЗИ. Также система автоматически выявляет нарушения заданной политики разграничения сетевого доступа.

Так, в системе RedSeal есть встроенные проверки для контроля выполнения требований PCI DSS в части разграничения доступа.

Все выявленные нарушения автоматически отображаются на карте сети, а информация об инциденте направляется администратору безопасности. Информация может направляться по электронной почте, отображаться на консоли системы либо передаваться в SIEM-систему.

Заключение

САРБ представляет собой универсальную платформу для получения актуальной информации о конфигурации сети и ее анализа с точки зрения рисков ИБ. Системы данного класса позволяют дополнить все существующие средства защиты информации, которые уже используются в компании. При этом в использовании САРБ могут быть заинтересованы не только подразделения по защите информации, но и сотрудники IТ-отделов.

Использование САРБ позволяет существенно повысить общий уровень информационной безопасности компании за счет более эффективного управления рисками, связанными с имеющимися уязвимостями, нарушениями политики разграничения сетевого доступа и другими факторами.

ДИАЛОГНАУКА, ЗАО
117105 Москва,
ул. Нагатинская, 1, стр. 1
Тел.: (495) 980-6776
Факс: (495) 980-6775
E-mail: info@DialogNauka.ru
www.DialogNauka.ru