Читать книгу Политики безопасности компании при работе в Интернет - Группа авторов - Страница 45

Создание политик использования. Компания Cisco рекомендует создать политики использования, которые описывают роли и обязанности сотрудников компании для надлежащей защиты конфиденциальной информации. При этом можно начать с разработки главной политики безопасности, в которой четко прописать общие цели и задачи организации режима информационной безопасности компании.

Следующий шаг – создание политики допустимого использования для партнеров, чтобы проинформировать партнеров компании о том, какая информация им доступна. Следует четко описать любые действия, которые будут восприниматься как враждебные, а также возможные способы реагирования при обнаружении таких действий.

В заключение необходимо создать политику допустимого использования для администраторов, чтобы описать процедуры администрирования учетных записей сотрудников и проверки привилегий. При этом если компания имеет определенную политику относительно использования паролей или категорирования информации, то нужно ее здесь упомянуть. Далее необходимо проверить названные политики на непротиворечивость и полноту, а также убедиться в том, что сформулированные требования к администраторам нашли свое отображение в планах по обучению.

Проведение анализа рисков. Назначение анализа рисков состоит в том, чтобы категорировать информационные активы компании, определить наиболее значимые угрозы и уязвимости активов и обоснованно выбрать соответствующие контрмеры безопасности. Подразумевается, что это позволит найти и поддерживать приемлемый баланс между безопасностью и требуемым уровнем доступа к сети. Различают следующие уровни информационных рисков:

• низкий уровень – информационные системы и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), не приведут к серьезному ущербу, финансовым проблемам или к проблемам с правоохранительными органами;

• средний уровень – информационные системы и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), приведут к умеренному ущербу или к небольшим проблемам с правоохранительными органами, или к умеренным финансовым проблемам, а также к получению дальнейшего доступа к другим системам. Затронутые системы и информация требуют умеренных усилий по восстановлению;

• высокий уровень – информационные системы и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), приведут к значительному ущербу или к серьезным проблемам с правоохранительными органами, или к финансовым проблемам, нанесению ущерба здоровью и безопасности сотрудников. Системы и информация требуют существенных усилий по восстановлению.

Рекомендуется определить уровень риска для каждого из перечисленных устройств: сетевые устройства, устройства мониторинга сети, серверы аутентификации (TACACS+ и RADIUS), почтовые серверы, файловые серверы, серверы сетевых приложений (DNS и DHCP), серверы баз данных (Oracle, MS SQL Server), персональные компьютеры и другие устройства.

При этом считается, что сетевое оборудование, такое, как коммутаторы, маршрутизаторы, DNS– и DHCP-серверы в случае компрометации могут быть использованы для дальнейшего проникновения в сеть и поэтому должны относиться к группе среднего или высокого риска. Возможное повреждение этих устройств может привести к прекращению работы всей сети. Такие инциденты наносят серьезный ущерб компании.

После определения уровней риска необходимо определить роли пользователей в этих системах. Рекомендуется выделять следующие пять наиболее общих типов пользователей:

• администраторы – внутренние пользователи, отвечающие за сетевые ресурсы;

• привилегированные пользователи – внутренние пользователи с необходимостью большего уровня доступа;

• рядовые пользователи – внутренние пользователи с обычным уровнем доступа;

• партнеры – внешние пользователи с необходимостью доступа к некоторым ресурсам;

• другие – внешние пользователи или клиенты.

Определение уровней риска и типов доступа, требуемых для каждой сети, позволяет сформировать некоторую матрицу безопасности (см. табл. 2.1). Эта матрица безопасности является стартовой точкой для дальнейших шагов по обеспечению безопасности, например таких, как создание соответствующей стратегии по ограничению доступа к сетевым ресурсам.

Таблица 2.1. Матрица безопасности Cisco

Определение состава и структуры группы сетевой безопасности. Рекомендуется создать группу сетевой безопасности под руководством менеджера по безопасности с представителями из каждой значимой бизнес-единицы компании (минимум из представителей бизнес-единиц развития, исполнения и производства и/или продаж). Члены группы должны хорошо знать политику безопасности и технические аспекты защищаемых систем и сетей. Часто это требует дополнительного обучения сотрудников названной группы. Группа безопасности должна принимать участие в разработке политики безопасности, организации режима информационной безопасности, а также своевременно реагировать на инциденты в области информационной безопасности компании.

Процесс сопровождения политик безопасности заключается в контроле и, при необходимости, пересмотре политик безопасности компании. Необходим как минимум ежегодный пересмотр политики безопасности и проведение анализа рисков.

На практике группа сетевой безопасности должна проводить анализ рисков, подтверждать запросы на проведение изменений в системе безопасности, проводить мониторинг оповещений о появлении новых уязвимостей с использованием списков рассылок вендоров и независимых аналитических центров, например CERT или SANS, а также поддерживать соответствие требованиям политики безопасности с помощью определенных технических и организационных мер.

Так как нарушения безопасности часто обнаруживаются во время проведения мониторинга сети, то члены группы сетевой безопасности должны участвовать в расследовании инцидентов и предупреждении подобных нарушений в дальнейшем. Каждый член группы безопасности должен обладать хорошими знаниями в области прикладного, системного и сетевого программного и аппаратного обеспечения систем безопасности. При этом рекомендуется определить индивидуальные роли и обязанности каждого члена группы сетевой безопасности.

Предупреждение. Под предупреждением нарушений компания Cisco понимает подтверждение изменений в системах безопасности и мониторинг безопасности сети.

Подтверждение изменений в системах безопасности. Изменения в системах безопасности могут быть определены как изменения в сетевом оборудовании, которые способны оказать потенциальное воздействие на состояние безопасности сети. Политика безопасности компании должна определять специфические требования конфигурации безопасности и содержать минимум технических деталей. Другими словами, вместо такого определения требования, как «не разрешены внешние FTP-соединения во внутреннюю сеть», нужно определить это требование так – «внешние соединения не должны быть способны получать файлы из внутренней сети». При этом желательно стремиться к определению уникальных требований компании. Использование стандартных шаблонов обеспечения безопасности и настроек по умолчанию в подходе компании Cisco настоятельно не рекомендуется.

Группа сетевой безопасности просматривает описанные общедоступным языком требования и определяет соответствие технического дизайна и настроек элементов сети этим требованиям. Если выявляются несоответствия, группа безопасности создает требуемые изменения сетевой конфигурации для выполнения требований политики безопасности и применяет их в дальнейшем. При этом группой сетевой безопасности могут контролироваться не все изменения. Здесь важно просмотреть изменения, наиболее значимые и существенные для сети компании в плане безопасности. Например, к ним относятся изменения:

• в конфигурации межсетевых экранов,

• в списках контроля доступа,

• в конфигурации SNMP,

• версий программного обеспечения.

Компания Cisco рекомендует следовать следующим правилам:

• регулярно изменять пароли на сетевых устройствах;

• ограничить доступ к сетевым устройствам согласно утвержденному списку сотрудников;

• гарантировать, что текущая версия программного обеспечения сетевого и серверного оборудования соответствует требованиям безопасности.

В добавление к этим правилам необходимо включить представителя группы сетевой безопасности в постоянно действующую комиссию компании по утверждению изменений для отслеживания всех изменений, происходящих в сети компании. Представитель группы безопасности может запретить реализацию любого изменения, связанного с безопасностью, до тех пор, пока это изменение не будет разрешено руководителем группы сетевой безопасности.

Мониторинг сетевой безопасности. Мониторинг сетевой безопасности фокусируется на обнаружении изменений в сети, позволяющих определить нарушение безопасности. Отправной точкой мониторинга безопасности является определение понятия «нарушение безопасности». Анализ угроз и информационных рисков позволяет определить требуемый уровень полноты мониторинга безопасности сети компании. В дальнейшем при утверждении изменений безопасности каждый раз проверяется значимость выявленных угроз сети. Оценкой этих угроз определяется объект и частота мониторинга.

Например, в матрице анализа рисков межсетевой экран определен как устройство с высоким уровнем риска. Это означает, что мониторинг межсетевого экрана должен выполняться постоянно в режиме реального времени. Из раздела подтверждения изменений безопасности следует, что необходимо выявлять все изменения в настройках конфигурации межсетевого экрана. То есть SNMP-агент должен отслеживать такие события, как отвергнутые попытки регистрации, необычный трафик, изменения на межсетевом экране, предоставление доступа к межсетевому экрану и установление соединений через межсетевой экран.

Таким образом можно создать политику мониторинга для каждой компоненты сети, определенной при проведении анализа рисков. Рекомендуется проводить мониторинг компонент сети с низким уровнем риска – еженедельно, со средним уровнем риска – ежедневно, с высоким уровнем риска – раз в час. При этом если требуется более быстрое время реагирования, то необходимо уменьшить названные временные промежутки.

Важно также определить в политике безопасности порядок уведомления членов группы сетевой безопасности о нарушениях. Как правило, средства мониторинга безопасности сети будут первыми автономно обнаруживать нарушения. Должна быть предусмотрена возможность отправки по любым доступным каналам связи уведомлений в центр реагирования на инциденты в области безопасности для оперативного оповещения членов группы сетевой безопасности.

Реагирование на нарушения. Под реагированием на нарушения в безопасности здесь понимается определение нарушений безопасности, порядка восстановления и пересмотра правил безопасности.

Нарушения безопасности. При обнаружении нарушения безопасности важно своевременно отреагировать и оперативно восстановить нормальное функционирование сервисов сети. Здесь главное правило – своевременное оповещение группы сетевой безопасности после обнаружения нарушения. Если это правило не выполняется, то реагирование будет замедлено, а следовательно, вторжение и последствия более тяжелыми. Поэтому необходимо разработать соответствующую процедуру реагирования и оповещения, действенную 24 часа в день 7 дней в неделю.

Далее необходимо четко определить уровень привилегий по внесению изменений, а также порядок внесения изменений. Здесь возможны следующие корректирующие действия:

• реализация изменений для предупреждения дальнейшего распространения нарушения,

• изолирование поврежденных систем,

• взаимодействие с провайдером для отслеживания источника атаки,

• использование записывающих устройств для сбора доказательств,

• отключение поврежденных систем или источников атаки,

• обращение в правоохранительные органы или федеральные агентства,

• выключение поврежденных систем,

• восстановление систем в соответствии со списком приоритетности,

• уведомление руководства и юристов компании.

Необходимо детализировать любые изменения в политике безопасности, которые могут быть произведены без обязательного получения разрешения от руководства.

Отметим, что существуют две основные причины для сбора и хранения информации об атаках: определение последствий реализации атаки и расследование и преследование злоумышлеников. Тип информации, способ сбора и обработка информации обусловлены целями реагирования на нарушения безопасности.

Для определения последствий нарушения безопасности рекомендуется осуществить следующие шаги:

• зафиксировать инцидент с помощью записи сетевого трафика, снятия копий файлов журналов, активных учетных записей и сетевых подключений;

• ограничить дальнейшие нарушения путем отключения учетных записей, отсоединения сетевого оборудования от сети и от Интернета;

• провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки;

• попытаться найти другие подтверждения компрометации. Часто при компрометации системы оказываются затронутыми другие системы и учетные записи;

• просматривать хранимые файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом для определения метода атаки.

Если необходимо произвести юридические действия, следует уведомить руководство и привлечь юристов компании для сбора соответствующих доказательств. Если нарушение было внутренним, то потребуется привлечь сотрудников отдела кадров компании.

Восстановление. Восстановление работоспособности сервисов сети компании является конечной целью процедуры реагирования на нарушения в области безопасности. Здесь необходимо определить порядок восстановления доступности сервисов, например с помощью процедур резервного копирования. При этом надо учитывать, что каждая система имеет свои собственные механизмы резервного копирования. Поэтому политика безопасности, являясь общей для всех элементов сети, при необходимости должна позволять детализировать условия восстановления конкретного элемента. Если требуется получить разрешение на восстановление, нужно описать порядок получения разрешения в политике безопасности.

Пересмотр политики безопасности. Пересмотр политики безопасности является заключительным этапом жизненного цикла политики безопасности. Здесь важно обратить внимание на следующее. Политика безопасности должна быть «жизнеспособным» документом, адаптированным к изменяющимся условиям. Сравнение существующей политики безопасности с лучшими практиками в этой области и последующий пересмотр политики должны поддерживать в актуальном состоянии защищенность активов сети. Необходимо регулярно обращаться на Web-сайты различных независимых аналитических центров, например CERT или SANS, за полезными советами и рекомендациями по обеспечению безопасности и учитывать их в поддерживаемой политике безопасности компании.

Также рекомендуется проводить аудит безопасности сети путем обращения в соответствующие консалтинговые компании, специализирующиеся на оказании подобных услуг. Для сетей с высокими требованиями к доступности информационных ресурсов рекомендуется проведение независимого аудита безопасности как минимум раз в год. Кроме того, достаточно эффективны и внутренние тренировки для отработки действий в чрезвычайных ситуациях.