2. Основные определения
Angara Technologies Group
Недокументированные
(недекларированные)
возможности
Уязвимость
Управление
уязвимостями
Обозначает недостаток в системе,
используя который можно
намеренно нарушить её
целостность и вызвать
неправильную работу
Возможности программного
обеспечения, не отраженные в
документации
Циклический процесс,
включающий непрерывный
мониторинг, приоритезацию и
устранение уязвимостей в
системах
Определения
1
2
3
1
2
3
3. Классический подход
Целью анализа защищенности информационных ресурсов является проверка выполнения
требований законодательства РФ и внутренних локальных актов по защите информации
Анализ защищенности информационных ресурсов как правило представляет собой разовый
процесс, который выполняется обычно не более 1 раза в год (в лучшем случае)
Ответственными и вовлеченными в процесс анализа защищенности в основном являются службы
ИБ (в редких случаях привлекаются службы ИТ)
Действующие инструкции как правило:
• Устанавливают требования по проведению
сканирования
• Обязанность по исправлению выявленных
уязвимостей
• Использование конкретных программных продуктов и
версий
• Используемы метрики оценки – «Количество
уязвимостей»
Angara Technologies Group
4. В чем проблемы классического подхода?
Angara Technologies Group
Vulnerability Management ≠ Vulnerability Scanning
Периодичность проведения анализа защищенности
Вовлеченные службы в процесс анализа защищенности
Vulnerability Scanning – используются только программные средства для идентификации
уязвимостей в информационной инфраструктуре
Vulnerability Management – процесс, который включает в себя как подпроцесс сканирования
уязвимостей, так и другие подпроцессы, такие как определение плана сканирования, обработка
рисков, формирование корректирующих действий и т.д.
При поведении сканирования уязвимостей 1 раз в год, новые уязвимости, которые могут появляться
в период между сканированиями, возможно обнаружить только после очередного сканирования
уязвимостей
Службы ИБ не обладают полной и достаточной информацией о степени критичности всех
информационных ресурсов
Служба ИБ очень часто не знают, что делает Служба ИТ в информационной инфраструктуре
6. Angara Technologies Group
Офицер безопасности является владельцем процесса. Он разрабатывает
данный процесс и следит за его выполнением на каждом этапе процесса
Инженер по сканированию уязвимостей является специалистом по
уязвимостям. Он устанавливает порядок проведения сканирования, настройку
соответствующих средств и разрабатывает расписание сканирования для
различных ИТ ресурсов
Владелец информационного ресурса является владельцем сканируемого
ресурса со стороны бизнес подразделений. Он принимает решение о исправлении
выявленных уязвимостях или о принятие соответствующего риска
Инженер информационных систем – инженер ИТ службы, как правило
обеспечивающий устранение выявленных уязвимостей
8. Этап 1. Подготовка к сканированию
Подготовка к сканированию
Angara Technologies Group
Ответственный: Security Officer
Определение границ процесса Vulnerability Management.
• перечень сканируемых информационных систем – выделенный сегмент сети,
информационная система, филиал/отделение.
• перечень уязвимостей – только критичные или только те, для которых существуют экспойты
или только относящиеся к определенному виду систем/узлов
• тип сканирования (внешний/внутренний, глубина сканирования, права доступа и типы
учетных записей)
Информирование о процессе владельцев информационных ресурсов и служб ИТ
Разработка плана сканирования (конфигурация сканирования, используемые средства) и
согласование его со службой ИТ
Общее правило: начинать с ограниченного перечня систем и потенциальных уязвимостей, что бы не
быть перегруженными их количеством и совместно отработать все детали процесса.
Решение о порядке сканирования и исправлении уязвимостей, бюджете и сроках – принимает
владелец актива.
9. Процесс Vulnerability Management
Офицер безопасности
Инженер по сканированию
уязвимостей
Владелец информационного
ресурса
Инженер информационных
систем
Подготовительныемероприятия
Определение процесса
сканирования уязвимостей
Начало
Конец
Информирование владельца ИР
и инженера ИС
Разработка плана сканирования
Получение информации о
сканировании
Получение информации о
сканировании
1 этап
10. Этап 2. Сканирование уязвимостей
Angara Technologies Group
Ответственный: Vulnerability Engineer и IT Engineer
Проведение технического сканирования уязвимостей (VE)
Отслеживание состояния информационных систем при сканировании (ITE)
Регистрация недоступности систем
Регистрация стабильности работы систем
Регистрация снижения производительности систем
Получение результатов сканирования и направление их владельцу ресурса
Сферы интересов:
Руководство и служба безопасности - риски, с которыми сталкивается организация в настоящее
время. Этот риск включает в себя количество обнаруженных уязвимостей и степень
серьезности / риска выявленных уязвимостей.
Владельцы активов – отчет об уязвимостей в системах, за которые они несут ответственность.
ИТ служба - обзор (по технологиям) технической информации об обнаруженных уязвимостях, а
также рекомендации по их устранению.
11. Процесс Vulnerability Management
Офицер безопасности
Инженер по сканированию
уязвимостей
Владелец информационного
ресурса
Инженер информационных
систем
Сканированиеуязвимостей
Старт сканирования
уязвимостей
Начало
Проблемы обнаружены
Конец
да
Мониторинг стабильности/
производительности ИС при
сканировании
Обработка проблем
Информация о проблемах
Получение результатов
сканирования
нет
Результаты
сканирования
Результаты
сканирования
Результаты
сканирования
Результаты
сканирования
2 этап
12. Этап 3. Определение способов устранения
Angara Technologies Group
Ответственный: Security Officer, IT Engineer и Asset Owner
Анализ выявленных уязвимостей при сканировании
Сотрудник службы безопасности анализирует выявленные уязвимости и определяет
связанные с ними риски. Предоставляет информацию по способам устранения данных рисков
(выявленных уязвимостях).
Формирование рекомендаций по устранению выявленных уязвимостей
ИТ служба должна проанализировать уязвимости с технической точки зрения и ответит на
такие вопросы, как доступны ли обновления ПО, можно ли внести изменения в
конфигурации. А также не приведет ли установка определенного обновления к снятию с
поддержки ПО производителем.
Обработка рисков, связанных с выявленными уязвимостями
Владельцы активов должны принять риск или подтвердить необходимость устранения
уязвимостей. В этом случае, должен быть определен план устранения уязвимостей или, если
это невозможно, определение компенсирующих мер по снижению рисков (изоляция узла,
изменение режима работы…)
Определение плана корректирующих действий, направленных на устранение уязвимостей
Владельцы активов должны согласовать график обновления своих систем
13. Процесс Vulnerability Management
Офицер безопасности
Инженер по сканированию
уязвимостей
Владелец информационного
ресурса
Инженер информационных
систем
Определениекорректирующихдействий
Анализ уязвимостей
Начало
Риск принимается?
Конец
да
Определение корректирующих
действий
Формирование рекомендаций
по устранению рисков
нет
Результаты
сканирования
План корректирующих
действий
Анализ уязвимостей и их
соотношение с рисками
Анализ уязвимостей с
технической стороны
План корректирующих
действий
Результаты
сканирования
Результаты
сканирования
Формирование рекомендаций в
технической части
Отказ от процесса
(для принятия риска)
Конец
3 этап
14. Этап 4. Устранение уязвимостей
Angara Technologies Group
Ответственный: IT Engineer и Asset Owner
Выполнение корректирующих действий для устранения уязвимостей
Согласованные действия по устранению уязвимостей должны выполнятся в
отведенное время по согласованию с владельцем ресурса. Если возникают
какие-то проблемы, альтернативные действия должны также должны быть
согласованы с владельцем ресурса
Контроль успешности выполнения корректирующих действий
Сотрудник службы безопасности должен отслеживать статус корректирующих
действий.
15. Процесс Vulnerability Management
Офицер безопасности
Инженер по сканированию
уязвимостей
Владелец информационного
ресурса
Инженер информационных
систем
Выполнениекорректирующихдействий
Начало
Работы выполнены
успешно?
Конец
да
нет
Информация о выполнении
корректирующих действий
Выполнение корректирующих
действий
Обсуждение альтернативных
вариантов
Информация о выполнении
корректирующих действий
4 этап
16. Этап 5. Проверка исправлений
Angara Technologies Group
Ответственный: Security Officer и Vulnerability Engineer
Повторное техническое сканирование уязвимостей
Анализ результатов сканирования уязвимостей на предмет полноты и
достаточности выполненных корректирующих действий
Возврат к Этапу 3 «Определение корректирующих действий» (при выявлении
недостаточности выполненных ранее корректирующих действий)
Одной из практик проверки исправлений может быть процесс Penetration
Testing, который также должен проводится периодически и быть
синхронизированным с процессом Vulnerability Management
17. Процесс Vulnerability Management
Офицер безопасности
Инженер по сканированию
уязвимостей
Владелец информационного
ресурса
Инженер информационных
систем
Повторноесканированиеуязвимостей
Начало
Уязвимости
компенсированы?
Конец
да
нет
Выполнение повторного
сканирования
Информация о результатах
повторного сканирования
Анализ результатов
сканирования
Информация о результатах
повторного сканирования
Инициация фазы «Определение
корректирующих действий»
5 этап
19. Angara Technologies Group
А также не стоит забыть, что все уязвимости являются следствием ошибок на этапе
разработки и программирования систем. Поэтому одним из способов минимизации
уязвимостей является процесс безопасноq разработки - SDLC
21. Контакты
+7 (495) 269-26-06
Angara Professional Assistance
121987, г. Москва, ул. Барклая, д.6, стр. 3,
БЦ Барклай Парк
info@angaratech.ru
Angara Technologies Group
121087, г. Москва, Багратионовский пр-д, д. 7, к.2
БЦ Рубин
+7 (495) 269-26-07
support@angaratech.ru
www.angaratech.ru