Анализ защищенности или аудит информационной безопасности — это процесс оценки и определения уровня защиты информации в информационных системах (ИС) от угроз информационной безопасности (ИБ) и рисков ИБ. Его цель — определить уязвимости в исследуемой инфраструктуре, чтобы потом принять меры для их устранения и повышения общего уровня безопасности.
В процессе анализа защищенности выполняется оценка различных аспектов информационной безопасности:
Управление доступом. Проверка управления доступом, аутентификации и авторизации пользователей, управления привилегиями.
Физическая защита. Определение степени безопасности физической инфраструктуры: видеонаблюдение, СКУД, доступ к серверным помещениям и другим важным объектам ИБ.
Безопасность корпоративной сети. Правильная настройка конфигурации межсетевых экранов NGFW, защищенных туннелей, Intrusion detection systems (IDS), intrusion prevention systems (IPS) и других СЗИ корпоративной сети.
Application security. Анализ ПО, с целью выявления уязвимостей, допущенных при разработке. В том числе недостатки из открытого проекта по обеспечению безопасности web-приложений (OWASP Top-10), такие как: SQL-инъекции, Cross-Site Scripting, HTML-инъекции, раскрытие критических важных данных и другие.
Vulnerability Management. Идентификация и классификация уязвимостей, а также разработка и внедрение мер по их устранению и предотвращению.
Аудит обеспечения безопасности. Анализ журналов логов, мониторинг ИБ, обнаружение и реагирование на инциденты ИБ, а также оценка уровня защищенности от внешних угроз и несанкционированного доступа, поиск уязвимостей и разработка рекомендаций по устранению уязвимостей.
Обучение персонала. Оценка эффективности методик обучения осведомленности сотрудников и знания ими политик ИБ компании.
Результаты ИТ-аудита представляются в виде отчета, в котором указаны выявленные уязвимые места и рекомендации по их исправлению. Рекомендации должны включать в себя технические и организационные меры, применение политик безопасности, обновление ПО и прочее.
Анализ защищенности ИС необходим:
Перед вводом в эксплуатацию созданной ИС.
Необходимо провести анализ защищенности.
После внесения изменений в ИС.
При внесении изменений в IT-инфраструктуру компании, обновления ПО, добавления новых функций, изменения конфигураций, конфигурационных файлов.
После инцидента.
Если в ИС произошел инцидент: взлом, утечка данных, вирусное заражение, необходимо расследование. После расследования инцидента следует провести анализ защищенности, который поможет понять причины и уязвимости, которые были использованы злоумышленниками.
При регулярных проверках.
Рекомендуется проводить регулярные проверки защищенности ИС, чтобы оценить настоящий уровень информационной безопасности, выявить вновь обнаруженные уязвимости, приспособиться к изменяющейся среде и своевременно принять меры по ликвидации обнаруженных рисков.
При изменении нормативно-правовых актов регулятора.
Если появляются новые нормативно-правовые акты по ИБ, будет полезен ИТ-аудит для проверки соответствия информационной системы новым требованиям.
При аудите ИС проверяются:
Аппаратное обеспечение.
Проверяется физическая безопасность серверных помещений, ПК, сетевого, коммутационного оборудования и других устройств.
Программное обеспечение.
Проверяются ОС, прикладное программное обеспечение, СУБД и другие элементы. Также проверяются наличие патчей, конфигурации безопасности и аутентификации.
Корпоративная сеть.
Проверяется функционирование и правильной настройка межсетевых экранов, маршрутизаторов, коммутаторов и другого сетевого оборудования.
Управление доступом.
Проверка политик и механизмов аутентификации, авторизации и аудита пользователей и их ролей в ИС. Анализ паролей, прав доступа и других мер информационной безопасности.
Управление уязвимостями.
Проверяется наличие функционала устранения уязвимостей в ИС. Используются сканеры обнаружения уязвимостей, установка обновлений на программное обеспечение, учет и регистрация уязвимостей.
Политики информационной безопасности.
Проверяются наличие и соответствие политик ИБ, методов резервного копирования, восстановления, удаления информации, обработки инцидентов безопасности и других ЛНПА.
Наиболее применяемые виды анализа защищенности ИС:
Автоматическое тестирование на проникновение.
Процесс использования специальных инструментов и скриптов для автоматического обнаружения и эксплуатации уязвимостей.
Ручное тестирование на проникновение.
Специалисты по ИБ проводят ручное тестирование информационной системы, используя различные методологии для того, чтобы обнаружить и эксплуатировать уязвимости, которые не могут быть автоматически выявлены по методу черного, серого и белого ящика.
Моделирование атак киберпреступников.
Процесс имитации действий злоумышленников для вторжения в информационную систему или сеть. Целью моделирования атак является проверка эффективности защитных мер и выявление потенциальных уязвимостей в системе.
Средства анализа защищенности ИС:
Сканеры уязвимостей.
Сканируют ИС на наличие известных уязвимостей: простые пароли, устаревшее ПО, ошибки настройки конфигурации.
Сервисы обнаружения вторжений.
Анализируют сетевой трафик и события системы, для обнаружения аномальной или потенциально вредоносной активности.
Анализаторы кода.
Проверяют исходный код приложений используя статическое, динамическое, смешанное тестирование: SAST, DAST, OAST, IAST, RASP на наличие уязвимостей, таких как SQL-инъекции и других.
Средства мониторинга.
Мониторят события, происходящие в ИС, чтобы обнаружить аномалии или подозрительную активность.
Тест на проникновение.
Управляемая и согласованная с заказчиком атака на ИС с целью оценки ее защищенности. Пентестеры используют различные инструменты и методы для идентификации уязвимостей и оценки эффективности существующих механизмов защиты.
Анализаторы угроз.
Исследование существующих угроз безопасности, чтобы выявить стабильность ИС. В программы-анализаторы встроены инструменты, которые проверяют документы и файлы на содержание потенциально опасных данных, проверяют буфер обмена, записывают события в течение всего рабочего дня.
Анализ защищенности ИС включает:
Аудит ИС выполняется в несколько шагов.
1. Для начала определяются цели анализа и охват исследуемой ИС: физические и логические границы проведения анализа, используемое ПО, сетевые технологии, СУБД и прочее.
2. Сбор всех доступных данных об ИС заказчика: места размещения, архитектура, сетевая инфраструктура, политики безопасности, ЛНПА.
3. Определение активов ИС, чтобы знать, что защищать: серверное оборудование, ПК пользователей, сетевое и коммутационное оборудование, ПО, данные.
4. Выявление и изучение потенциальных угроз ИБ, которым подвержена ИС: физические – несанкционированный доступ и порча аппаратного обеспечения, сетевые – DDoS-атаки, DNS\ARP-спуфинг, программные – внедрение вредоносного ПО и вирусов, социальные, например фишинговые атаки.
5. Использование анализа уязвимостей, например сканеров исходного кода, для обнаружения возможных уязвимостей в системе.
6. Оценка рисков, связанных с обнаруженными потенциальными угрозами, а также определение вероятности эксплуатации уязвимостей и возможный вред, который возможен.
7. Разработка рекомендаций по совершенствованию, основанных на обнаруженных рисках, включая меры по устранению брешей, обновлению политик ИБ, подготовки персонала.
8. Реализация мер и рекомендаций по улучшению ИБ. Этот шаг может включать изменение конфигурации системы, обновления ПО, усложнения паролей, подготовке сотрудников и т. д.
9. Тестирование и повторный анализ защищенности, для проверки эффективности принятых мер и рекомендаций. При необходимости может потребоваться корректировка и повторный процесс анализа.
Важно отметить, что анализ защищенности ИС является непрерывным процессом, так как угрозы и уязвимости меняются и совершенствуются со временем, а злоумышленники постоянно совершенствуют свои навыки.
Анализ защищенности ИС или аудит безопасности — это понятия, под которыми понимают один и тот же процесс или услугу. Проводить подобное исследование рекомендуется регулярно всем компаниям, вне зависимости от их специфики. Исследование ИС поможет узнать реальный уровень защищенности компании и впоследствии избежать масштабных репутационных и финансовых потерь.
Компания ActiveCloud предлагает полный перечень услуг по обеспечению информационной безопасности для компаний-представителей разных сфер бизнеса. Для консультации по вопросам кибербезопасности оставьте заявку и мы обязательно с Вами свяжемся.