Співробітником IT-TEAM SERVICE Антоном Ракитського підготовлена чергова стаття для інформаційно-аналітичного журналу сфери зв'язку та інформатизації ICTNEWS . Стаття вийшла в третьому номері журналу за 2014 рік.
Нижче наводимо доповнений, в порівнянні з журнальним варіантом, текст статті.
Як знизити ризики бізнесу, впроваджуючи процес управління уразливими
«Той, хто знає ворога і знає себе, не опиниться в небезпеці і в ста битвах.
Той, хто не знає ворога, але знає себе, буде то перемагати, то програвати.
Той, хто не знає ні ворога, ні себе, неминуче буде розбитий в кожному бою »
Сунь Цзи "Мистецтво Війни", 6 століття до н. Е.
Для того щоб зрозуміти, наскільки потрібна організації система управління уразливими, потрібно в першу чергу зрозуміти від кого і від чого ми захищаємося. Це можуть бути і зовнішні загрози - хакери, конкуренти, а можуть і внутрішні - недобросовісні співробітники.
Управління ризиками
Існує безліч методик і стандартів, які дозволяють організації впровадити у себе процеси управління ризиками, щоб запобігти негативному впливу інцидентів інформаційної безпеки. Одним з найвідоміших стандартів з управління ризиками є ISO 31000: 2009 «Менеджмент ризиків. Принципи і керівні вказівки », який говорить про управління всіма можливими ризиками організації - операційними, фінансовими. Для управління ІТ-ризиками найчастіше застосовується стандарт ISO / IEC 27005: 2011 року (в Узбекистані доцільніше застосовувати стандарт O'z DSt ISO / IEC 27005 до: 2013 «Методи забезпечення безпеки. Управління ризиками інформаційної безпеки», який є модифікованою версією міжнародного стандарту).
Починаючи процес управління ризиками, потрібно визначити контекст, тобто визначити які саме процеси, системи, нормативи і умови будуть включені в процес управління ризиками. Наступний етап - ідентифікація ризиків, що має на меті визначення організацією потенційних інцидентів, які можуть завдати шкоди. Далі йдуть аналіз ризиків - визначення можливих наслідків від виникнення інцидентів, їх масштабів, оцінка ризиків - визначення конкретних наслідків інцидентів, виражених кількісно (сума збитків) або якісно (великі, малі втрати). Далі йде власне обробка ризиків - прийняття рішення про те, як організація надходить з ризиками, тобто як вона ними керує.
Методів обробки ризиків всього чотири:
1. Розподіл (передача) ризику. Приклад такого методу - укладення договору зі страховою компанією, яка в разі виникнення страхового випадку покриє всі виниклі збитки.
2. Збереження (прийняття) ризику. У цьому випадку керівництво підприємства усвідомлює ризики, але з причини відсутності коштів і персоналу ніяк не може вплинути на величину ризику, тоді ризик просто приймається як даність.
3. Модифікація (зниження) ризику. Найчастіше до критичних систем і процесів, так чи інакше, застосовується зниження ризиків, яке дозволить знизити фінансові та репутаційні витрати від виникнення інцидентів.
4. Запобігання (уникнути) ризику. Організація відмовляється від будь-яких дій, які можуть супроводжуватися ризиком. Простіше кажучи, вовків боятися - в ліс не ходити. 
Як же уявити собі, що таке ризик? Існує безліч визначень, в тому числі і з застосуванням математичних формул. Дуже наочним є графічний варіант визначення ризику, який дає стандарт AS / NZS 4360: 2004. У вільному перекладі визначення ризику стандарт дає в такому вигляді - «Ризик - це ймовірність того, що відбудеться якась подія, яке вплине на поставлені цілі» (в оригіналі «1.3.13 Risk is the chance of something happening that will have an impact on objectives »).
Тобто ризик можна представити як об'ємну фігуру, яка може змінювати розмір за трьома вимірами. Слово «ймовірність» з визначення ризику відповідає за вимір по осі рівня загрози, слово «надасть» - по осі рівня вразливості (наскільки вразливою виявиться наша інфраструктура в разі виникнення інциденту), а слово «поставлені цілі» - по осі впливу на бізнес.
Таким чином, рівень ризику може змінюватися тільки за цими трьома вимірами. Зменшення обсягу фігури в цьому випадку означає зменшення і ризику. Обсяг фігури може бути зменшений за рахунок зниження рівня загроз, наприклад, якби повністю вдалося виключити ймовірність несанкціонованого доступу і виключити діяльність хакерів, то ризик був би повністю виключений. Чи реально це? Навпаки, рівень загроз з кожним роком тільки зростає. Зниження ризику може бути досягнуто і за рахунок зниження рівня вразливості інфраструктури до погроз, наприклад, застосуванням антивірусного ПО для протидії комп'ютерним вірусам. Чим більше застосовується механізмів автоматизації і чим вони складніші, тим вище рівень вразливості, як кажуть в таких випадках - зростає площа атаки. Третім способом зменшити ризик є зниження впливу на бізнес - якщо виключити повністю ІКТ з процесу виробництва, то воно не буде схильна ризикам. Тут теж з кожним роком спостерігається тільки зростання рівня проникнення ІКТ в усі сфери життя.
Заходи виявлення і запобігання
Прикладами заходів виявлення є системи антивірусного захисту, системи управління подіями інформаційної безпеки (SIEM). Вони фактично виявляють вже відбулися інциденти і в кращому випадку дозволяють мінімізувати їх наслідки. Також заходи виявлення можна назвати реактивними, а запобігання - проактивними. Давайте розглянемо заходи та їх ефективність на двох прикладах.
Приклад 1. Якщо для того щоб потрапити з точки А в точку Б нам потрібно пройти через будівництво, то яким чином можна знизити ризик отримати травму на будівництві, наприклад від падіння цегли? Найпростіший і ефективний спосіб - обійти її стороною і таким способом виключити загрозу, це якраз приклад запобігання ризику. Але якщо ви працюєте на будівництві, цей спосіб для вас не застосуємо. Тоді можна застосувати найпростіший і відомий спосіб зниження рівня вразливості - надіти каску, дуже доступний і досить ефективний спосіб проактивного захисту, тому що всі захисні заходи вжито до виникнення інциденту. Як знизити ризик застосуванням реактивної захисту? Потрібно купити рюкзак, помістити туди комп'ютер зі спеціальною програмою, повісити на плечі відеокамери, які будуть аналізувати ситуацію навколо, аналізувати ваше місце розташування, швидкість руху. Тоді в разі, якщо буде виявлено падаючий цегла і, на думку системи, він буде представляти загрозу для вас, вона видасть повідомлення з попередженням, чи встигнете ви зреагувати - інше питання. Скільки буде коштувати така система і наскільки вона ефективна?
Приклад 2. Якщо є ймовірність зараження якоюсь хворобою, то можна зробити двома способами - проактивно, зробити щеплення, і з високою часткою ймовірності запобігти зараженню, або тільки в разі зараження (реактивно) застосовувати якісь ліки.
Світова практика і думка експертів
Слід враховувати, що процес забезпечення інформаційної безпеки сам по собі є збитковим, тобто не приносить дохід, а навпаки, споживає кошти на придбання технічних засобів, навчання персоналу, оплату аудиту.
Практика показує, що в більшості випадків значно практичніше застосовувати в першу чергу проактивні заходи. На думку фахівців дослідницького центру Computer Crime Research Center «Найефективніша міра, яку може прийняти організація для захисту від мережевих атак і шкідливого ПО, це установка патчів на вразливих системах» (в оригіналі «The single most important thing an organization can do to defend itself against network attacks and malware is to patch vulnerable systems. ») як бачимо, мова тут не йде навіть про антивіруси, як найвідоміший елемент забезпечення безпеки, адже ті ж комп'ютерні віруси поширюються, в тому числі, через уразливості, що не були своєчасно усунені .
На думку агентства Gartner, підприємства, які здійснюють процес управління уразливими, піддаються успішним атакам на 90% рідше, ніж ті, які роблять рівні інвестиції тільки в системи виявлення вторгнення.
Фахівці IT-TEAM SERVICE, проводячи експертизи рівня забезпечення інформаційної безпеки, також використовують засоби виявлення і управління уразливими і можуть відзначити, наприклад, рішення QualysGuard VM, як зручний інструмент для аудитора ІБ.
Управління уразливими на прикладі QualysGuard VM
QualysGuard Vulnerability Management автоматизує на підприємстві процес мережевого аудиту і управління уразливими, який включає в себе: виявлення мережевих ресурсів, побудова наочної карти мережі, призначення пріоритетів для ресурсів, надання звітів про оцінку вразливостей і відстеження процесу їх усунення відповідно до тих ризиками, які вони несуть для бізнесу . За допомогою цього інструменту менеджери безпеки зможуть провести аудит, підвищити захищеність мережі і забезпечити її відповідність, як внутрішнім політикам безпеки, так і зовнішнім нормативним вимогам. Оскільки рішення засноване на технології SaaS ( «ПО як сервіс») і надається як послуга, то немає необхідності розгортати і впроваджувати будь-яку додаткову інфраструктуру і відповідно нести витрати на її супровід.
Дуже важливим модулем системи є модуль управління політиками Policy Compliance , Який дозволяє створювати і контролювати власні або попередньо записаних політики, наприклад, наявність конкретних патчів і сервіспак на комп'ютерах організації, наявність антивірусного ПО і т.д. Застосування цього модуля особливо актуально для банків у зв'язку з вимогами щодо відповідності стандарту PCI DSS. Слід скасувати, що рішення QualysGuard застосовуються як самими банками для проведення внутрішніх сканувань, так і аудиторами зі статусом Qualified Security Assessor. У 2013 році система QualysGuard VM отримала вищу оцінку від Gartner в огляді засобів оцінки вразливостей.
IT-TEAM SERVICE, будучи єдиним офіційним партнером Qualys в Узбекистані , Готове сприяти всім бажаючим в проведенні повнофункціонального пілотного тестування системи QualysGuard.
При створенні статті були використані наступні джерела інформації:
Як же уявити собі, що таке ризик?
Чи реально це?
Як знизити ризик застосуванням реактивної захисту?
Скільки буде коштувати така система і наскільки вона ефективна?
