Основная цель анализа защищенности — выявление уязвимостей, установление причин их возникновения и внедрение изменений в технические и организационные аспекты защиты информационной безопасности.
Этот обобщённый подход отражает суть услуг по анализу защищённости.
Анализ защищённости информационных систем сам по себе не улучшает уровень защиты. Он предоставляет ценные сведения о том, что в системе работает эффективно, а что требует дополнительного внимания и улучшения. Этот процесс служит отправной точкой для дальнейших действий по усилению защиты. Обладая пониманием текущего состояния, специалисты по информационной безопасности могут адаптировать процессы и методы для повышения их эффективности.
Анализ защищённости необходимо проводить регулярно, чтобы он стал неотъемлемой частью процесса защиты информации, аналогично ежегодному медицинскому осмотру. Оптимальная частота проведения анализа зависит от особенностей инфраструктуры и предоставляемых услуг.
Как выбрать периодичность? Ответьте себе честно, как часто вы сможете, основываясь на результатах анализа, вносить изменения в ИТ/ИБ-процессы и настраивать инфраструктуру? Это и будет необходимая частота. Мы расскажем о периодичности и сложности, которые чаще всего выбирают коллеги. Эти оценки являются средними значениями, поэтому помните, что каждый случай уникален.
Существуют события, которые могут потребовать внепланового анализа защищённости информационных систем, независимо от графика. К таким событиям относятся:
Сканирование уязвимостей (Vulnerability Scanning/Vulnerability Research)
Сканирование проводится с помощью сетевого сканера уязвимостей. Результатом является отчёт, включающий:
Периодичность: ежемесячно или чаще, в зависимости от процесса устранения уязвимостей и установки обновлений.
Сложность: низкая.
Оценка уязвимостей (Security Analysis, Vulnerability Assessment)
Оценка уязвимостей информационных систем проводится с использованием автоматизированных средств и учетных записей ИТ-активов заказчика. Цель — предоставить наиболее полную картину потенциальных уязвимостей инфраструктуры с минимальным количеством ложных срабатываний.
Помимо сетевых сканеров, возможно использование ручных проверок, когда к анализу результатов сканирования подключается аналитик. Это помогает сократить количество ложных срабатываний и выделить приоритетные уязвимости, требующие немедленного внимания.
На этом этапе можно определить наличие уязвимости, но не вероятность её эксплуатации злоумышленниками.
Периодичность: раз в квартал или чаще. Поскольку эта услуга пересекается со сканированием уязвимостей, многие чередуют их проведение.
Сложность: средняя.
В ходе аудита безопасности проверяется соответствие ИТ-системы установленным требованиям протоколов безопасности, нормативным актам и стандартам, регулирующим информационную безопасность.
Аудит безопасности акцентируется на соблюдении требований и рекомендаций лучших практик, а также нормативных актов, стандартов и документации производителей оборудования и программного обеспечения.
Периодичность и сложность аудита зависят от множества факторов, включая источник задачи.
Пентесты представляют собой метод оценки защищенности, в рамках которого специалист пытается эксплуатировать выявленные уязвимости. Цель состоит в том, чтобы получить актуальную информацию о способности средств защиты противостоять попыткам проникновения по конкретным сценариям и предоставить рекомендации для устранения обнаруженных нарушений безопасности.
Существует несколько типов пентестов:
Эти услуги могут комбинироваться и адаптироваться под конкретные потребности.
Периодичность: 1-2 раза в год, в зависимости от скорости устранения выявленных нарушений безопасности.
Сложность: высокая.
Главная задача Red Teaming заключается в моделировании атаки на инфраструктуру так, как это сделали бы настоящие злоумышленники, для проверки эффективности процессов и средств защиты в условиях неожиданной атаки.
Если атака успешна, это не означает необходимость распуска ИБ-службы. Red Teaming помогает выявить слабые места и ошибки, получить практический опыт без серьёзных последствий.
Команда красных (атакующих) действует скрытно, имитируя действия реальных злоумышленников, тогда как команда защитников не знает о проводимых работах. По завершении составляется отчёт, описывающий, каким образом был получен доступ, чтобы специалисты по ИБ могли пересмотреть или улучшить защитные меры. Анализ отчётов красной и синей команд позволяет выявить неожиданные моменты, переходящие в purple team.
Purple Team представляет собой совместный подход к анализу защищенности, объединяющий усилия синей и красной команд. Цель заключается не только в выявлении слабых мест, но и в улучшении общего уровня защиты компании с участием ИБ-команды на всех этапах. Работа purple team позволяет оценить эффективность защитных решений, оптимизировать процессы реагирования и усилить контроль за безопасностью.
У purple team есть конкретные метрики для оценки работы:
Важна не только абсолютная величина этих показателей, но и динамика их улучшения.
Синергия между командами защитников и атакующих способствует росту компетенций, позволяя каждой стороне узнавать о новых технологиях, подходах и инструментах.