Как подружить данные об инцидентах, активах и уязвимостях

Почему важно иметь полную видимость инфраструктуры и как компаниям защитить свой бизнес?

Середина августа. В организации авиационно-промышленного сектора специалисты экспертного центра безопасности (PT Expert Security Center) обнаружили свежие следы компрометации серверов. Идентифицировали пострадавшую организацию и уведомили ее о случившемся. Угроза была оперативно устранена, Группа ChamelGang не успела развить атаку дальше. Примечательно, что для попадания внутрь сети злоумышленники использовали пачку связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) из группы ProxyShell.

Указанные уязвимости публиковались весной и в начале лета, но готовый эксплойт для них появился 13 августа. И сразу же начались атаки. Это один из примеров, демонстрирующих, насколько быстро действуют злоумышленники. Компании же с установкой обновлений не торопятся: по состоянию на 31 августа четверть серверов Microsoft Exchange в сети (45 тыс. установок) оставались без патчей.

Проведенный анализ защищенности сетевых периметров корпоративных информационных систем показал, что 47% уязвимостей могут быть устранены установкой актуальных версий ПО; при этом находились поистине древние уязвимости, например CVE-2004-2761, о которой известно уже 16 лет. Компании затягивают с обновлениями: только 39% компаний удается устранить критически опасные уязвимости на приоритетных для них активах в течение первых двух дней̆, в то время как злоумышленники действуют быстро и адаптируют новейшие эксплойты (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для проведения атаки на систему) для своих атак иногда в течение суток.

При работе с уязвимостями также важна скорость их устранения, особенно если это касается значимых активов компании. Так как же понять, что требует первоочередного внимания, с какими уязвимостями и на каких узлах нельзя медлить? Ответ таков: надо познакомиться со своей инфраструктурой.

Открыть глаза на инфраструктуру

Перечислим основные меры, которые снижают риски проникновения в инфраструктуру. В первую очередь нужно обнаружить все устройства и ПО. Следующий шаг — убедиться, что ваши системы безопасности полностью покрывают всю вашу сеть и ничего не пропускают. Зачастую в компаниях используется сразу несколько разных систем безопасности, которые видят сеть по-разному, работая каждая со своей частью. Это плохой вариант. Необходимо видеть целостную картину безопасности, построить которую помогает технология security asset management.

Security asset management позволяет управлять
ИТ-активами:
  • собирать полную информацию об инфраструктуре;
  • автоматически определять активы;
  • непрерывно актуализировать данные, учитывать изменения.

 

Зачем управлять активами?

Во-первых: чтобы добиться прозрачности инфраструктуры. При работе с заданным списком IP-адресов системы безопасности проверяют только ту часть сети, которую вы обозначили для них. Если список неполный, то останутся непроверенные сегменты. Технология security asset management позволяет перейти от категории IP-адресов к понятию ИТ-активов — обнаруживать и идентифицировать элементы инфраструктуры, подключенные к сети. Таким образом системы безопасности получат полные сведения об узлах и системах, а значит смогут покрыть всю инфраструктуру.

Второе преимущество — автоматический учет изменений инфраструктуры, причем не только в момент сканирования, но и в реальном времени. Security asset management позволит учитывать изменения любой информации (в том числе смену IP-, MAC-адресов, модернизацию оборудования, восстановление системы из резервной копии, появление новых сетевых карт, кластеров, систем с несколькими интерфейсами), а также хранить данные о конфигурации и историю сканирования для каждого актива. Это поможет при расследовании инцидентов.

Кроме того, появляется возможность уточнять уровни значимости активов. Если мы определим, какие из них наиболее важные, как они влияют на ключевые бизнес-процессы, то сможем правильно приоритизировать задачи по устранению уязвимостей.

Активы можно группировать по различным признакам: инфраструктурной роли, части сегмента сети, к которой они относятся, установленному ПО и т. д. Это дает возможность создавать статические и динамические группы и автоматизировать выполнение различных операций над активами и найденными уязвимостями.

И самое важное: security asset management позволит системам безопасности работать в единой базе актуальных знаний об инфраструктуре и обогащать друг друга данными об активах сети.

 

Закажите звонок

И мы перезвоним вам в ближайшее время