8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности

По мнению специалистов по информационной безопасности компании Cisco, отсутствие се­тевой политики безопасности может привести к серьезным инцидентам. Ее разработку рекомендуется начи­нать с оценки рисков сети и создания рабочей группы по реагированию на инциденты.

В компании Cisco рекомендуют со­здавать политики использования, которые описывают роли и обязан­ности сотрудников компании для надлежащей защиты корпоратив­ной конфиденциальной информа­ции. Начать можно с разработки главной политики безопасности, в которой четко нужно прописать общие цели и задачи организации режи­ма информационной безопаснос­ти компании.

Следующий шаг - создание по­литики допустимого использования для партнеров, чтобы проинформи­ровать их о доступной им информа­ции. При этом следует четко изло­жить любые действия, которые будут восприниматься как враждебные, а также описать возможные способы реагирования при обнаружении та­ких действий.

В заключение необходимо со­здать политику допустимого использования для администраторов, где будут описаны процедуры администрирования учетных записей сотрудников, внедрения политики и проверки привилегий. Также, если в компании существуют опреде­ленные политики использования паролей или категорирования ин­формации, они должны быть здесь упомянуты. Далее необходимо про­верить названные политики на не­противоречивость и полноту, а так­же убедиться в том, что сформули­рованные требования к админист­раторам нашли свое отображение в планах по обучению.

Проведение анализа рисков информационной безопасности.

Назначение анализа рисков со­стоит в том, чтобы категорировать информационные активы компа­нии, определить наиболее значимые угрозы и уязвимости активов и обоснованно выбрать соответствующие контрмеры безопасности. Подразу­мевается, что это позволит найти и поддерживать приемлемый баланс между безопасностью и требуемым уровнем доступа к сети. Различают следующие уровни информационных рисков [12]:

• Низкий уровень риска. Скомпрометированные информа­ционные системы и данные (доступные для изучения неавторизован­ными лицами, поврежденные или утерянные) не приведут к серьезно­му ущербу, финансовым пробле­мам или к проблемам с правоохранительными органами.

• Средний уровень риска. Скомпрометированные информа­ционные системы и данные приведут к умеренному ущер­бу или к небольшим проблемам с правоохранительными органа­ми, или к умеренным финансо­вым проблемам, а также к получе­нию дальнейшего доступа к дру­гим системам. Затронутые систе­мы и информация требуют уме­ренных усилий по восстановле­нию.

• Высокий уровень риска. Скомпрометированные информа­ционные системы и данные приведут к значи­тельному ущербу или к серьезным проблемам с правоохрани­тельными органами, или к финансовым проблемам, нанесе­нию ущерба здоровью и безопас­ности сотрудников. Затронутые системы и информация требуют существенных усилий по восстановлению.

Рекомендуется определить уро­вень риска для каждого из пере­численных устройств: сетевых уст­ройств, устройств мониторинга сети, серверов аутентификации, почтовых серверов, файловых серверов, серверов сете­вых приложений (DNS и DHCP), сервера баз данных (Oracle, MS SQL Server), персональных компьютеров и других устройств.

При этом считается, что сетевое оборудование, такое как коммутато­ры, маршрутизаторы, DNS- и DHCP-серверы в случае компрометации могут быть использованы для даль­нейшего проникновения в сеть и по­этому должны относиться к группе среднего или высокого уровней рисков. Воз­можное повреждение этих устройств может привести к прекращению ра­боты всей сети. Такие инциденты мо­гут нанести серьезный ущерб ком­пании.

После определения уровней ри­ска необходимо определить роли пользователей этих систем. Реко­мендуется выделять пять наиболее общих типов пользователей.

Администраторы. Внутренние пользователи, отвечающие за сете­вые ресурсы.

Привилегированные пользователи. Внутренние пользователи с необходимостью высокого уровня до­ступа.

Рядовые пользователи. Внутрен­ние пользователи с обычным уров­нем доступа.

Партнеры. Внешние пользовате­ли с необходимостью доступа к не­которым ресурсам.

Другие. Внешние пользователи или клиенты.

Определение уровней рисков и типов доступа, требуемых для каж­дой сети, позволяет сформировать некоторую матрицу безопасности (рис 8.3). Эта матрица безопасности является стартовой точкой для даль­нейших шагов по обеспечению без­опасности, например таких, как со­здание соответствующей стратегии по ограничению доступа к сетевым ресурсам.

Рис. 8.3. Матрица безопасности Cisco

Определение состава и структуры группы сетевой безопасности.

Специалистами по защите информации компании Cisco Systems рекомендуется создать группу се­тевой безопасности под руковод­ством менеджера по безопасности с представителями из каждой значи­мой бизнес-единицы компании (ми­нимум - из представителей бизнес-единиц развития, исполнения и про­изводства и/или продаж). Члены группы должны хорошо знать поли­тику' безопасности и технические ас­пекты защищаемых систем и сетей. Часто это требует дополнительного обучения сотрудников названной группы. Группа безопасности должна принимать участие в разработке политики безопасности, организа­ции режима информационной безопасности, а также своевременно реагировать на инциденты в облас­ти информационной безопасности компании.

Процесс сопровождения поли­тик безопасности заключается в кон­троле и при необходимости пере­смотре политик безопасности ком­пании. Как минимум, необходим ежегодный пересмотр политики без­опасности и проведение анализа ри­сков.

На практике группа сетевой без­опасности должна проводить ана­лиз рисков, подтверждать запросы на проведение изменений в системе безопасности, проводить монито­ринг оповещений о появлении новых уязвимостей с использованием списков рассылок вендоров и неза­висимых аналитических центров, например CERT или SANS, и под­держивать соответствие требованиям политики безопасности с по­мощью определенных технических и организационных мер.

Так как нарушения безопасности часто обнаруживаются во время проведения мониторинга сети, члены группы сетевой безопасности долж­ны участвовать в расследовании ин­цидентов и предупреждению подоб­ных нарушений в дальнейшем. Каж­дый член группы безопасности дол­жен обладать хорошими знаниями в области прикладного, системного и сетевого программного и аппарат­ного обеспечения систем безопаснос­ти. При этом рекомендуется опреде­лить индивидуальные роли и обя­занности каждого члена группы сете­вой безопасности.

Предупреждение нарушений политики безопасности компании.

Под предупреждением наруше­ний компания Cisco понимает под­тверждение изменений в системах безопасности и мониторинг безопасности сети.

Изменения в системах безопас­ности могут быть определены как изменения в сетевом оборудова­нии, которые могут иметь потен­циальное воздействие на состояние безопасности сети. Политика без­опасности компании должна опре­делять специфические требования конфигурации безопасности, описанные не техническими термина­ми. Другими словами, вместо формулировки «Не разрешены внеш­ние ftp-соединения во внутрен­нюю сеть» лучше воспользоваться определением «Внешние соедине­ния не должны быть способны по­лучать файлы из внутренней сети». При этом желательно стремиться к определению уникальных требо­ваний компании. Использование стандартных шаблонов обеспече­ния безопасности и настроек по умолчанию в подходе компании Cisco настоятельно не рекоменду­ется.

Группа сетевой безопасности просматривает описанные общедо­ступным языком требования и оп­ределяет соответствие техническо­го дизайна и настроек элементов сети этим требованиям. Если выяв­ляются несоответствия, группа без­опасности вносит необходимые из­менения в сетевую конфигурацию для выполнения требований поли­тики безопасности, при этом груп­пой сетевой безопасности могут контролироваться не все измене­ния. Важно просмотреть те из них, которые наиболее значимы и суще­ственны для сети компании в плане безопасности, например:

• любые изменения в конфигура­ции межсетевых экранов;

• любые изменения в списках кон­троля доступа;

• любые изменения в конфигура­ции SNMP;

• любые изменения или обновления программного обеспечения, версии которого отличаются от разрешен­ного списка версий программного обеспечения.

Компания Cisco рекомендует сле­довать следующим правилам:

• регулярно изменять пароли на се­тевых устройствах;

• ограничить доступ к сетевым уст­ройствам согласно утвержденно­му списку сотрудников;

• гарантировать, что текущая вер­сия программного обеспечения сетевого и серверного оборудования соответствует требованиям безопасности.

В добавление к этим правилам необходимо включить представи­теля группы сетевой безопасности в постоянно действующую комис­сию компании по утверждению из­менений для отслеживания всех из­менений, происходящих в сети ком­пании. Представитель группы без­опасности может запретить реализа­цию любого изменения, связанного с безопасностью, до тех пор, пока это изменение не будет разрешено руководителем группы сетевой без­опасности.

Мониторинг сетевой безопасно­сти фокусируется на обнаружении изменений в сети, позволяющих определить нарушение безопаснос­ти. Отправной точкой мониторин­га безопасности является определе­ние понятия нарушения безопасно­сти. Анализ угроз и информацион­ных рисков позволяет сделать вы­воды о требуемом уровне полноты мониторинга безопасности сети компании. В дальнейшем при про­ведении процесса утверждения изменений безопасности каждый раз проверяется значимость выявлен­ных угроз сети. Оценивание этих угроз определяет объекты и часто­ту мониторинга.

Так, в матрице анализа ри­сков межсетевой экран определен как устройство с высоким уровнем риска. Это означает, что мониторинг межсетевого экрана выполняется постоянно в режиме реального вре­мени. Из раздела подтверждения из­менений безопасности следует, что необходимо отслеживать все изме­нения в настройках конфигурации межсетевого экрана, то есть SNMP-агент должен отслеживать та­кие события, как отвергнутые по­пытки регистрации, необычный тра­фик, изменения на межсетевом экра­не, предоставление доступа к межсе­тевому экрану и установление соеди­нений через межсетевой экран.

Следуя этому примеру, можно создать политику мониторинга для каждого компонента сети, опреде­ленного при проведении анализа ри­сков. Рекомендуется проводить мо­ниторинг компонентов сети с низ­ким уровнем риска еженедельно, со средним уровнем риска ежеднев­но, с высоким уровнем риска раз в час. При этом, если требуется более быстрое время реагирования, необ­ходимо уменьшить названные про­межутки времени.

Важно также определить в поли­тике безопасности порядок уведом­ления членов группы сетевой без­опасности о нарушениях. Как пра­вило, средства мониторинга без­опасности сети будут первыми ав­тономно обнаруживать нарушения. Должна быть предусмотрена воз­можность отправки по любым до­ступным каналам связи уведомле­ний в центр реагирования на инци­денты в области безопасности для оперативного оповещения членов группы сетевой безопасности.

Реагирование на нарушения политики безопасности.

Под реагированием на наруше­ния безопасности здесь понимается определение нарушений безопасно­сти, порядка восстановления и пересмотра правил безопасности.

При обнаружении нарушения безопасности важно своевременно отреагировать и оперативно восста­новить нормальное функциониро­вание сервисов сети. Главное прави­ло - своевременное оповещение группы сетевой безопасности после обнаружения нарушения. Если оно не выполняется, реагирование будет замедлено, а, следовательно, послед­ствия вторжения окажутся более тя­желыми, поэтому необходимо раз­работать соответствующую проце­дуру реагирования и оповещения действенную 24 часа в день, 7 дней в неделю.

Далее необходимо четко опреде­лить уровень привилегий по внесе­нию изменений, а также порядок вне­сения изменений. Здесь возможны следующие корректирующие дей­ствия:

• реализация изменений для пре­дупреждения дальнейшего распространения нарушения;

• изолирование поврежденных си­стем;

• взаимодействие с провайдером для отслеживания источника атаки;

• использование записывающих ус­тройств для сбора доказательств;

• отключение поврежденных систем или источников атаки;

• обращение в правоохранительные органы или федеральные агент­ства;

• выключение поврежденных сис­тем;

• восстановление систем в соответствии со списком приоритетности;

• уведомление руководства и юрис­тов компании.

Необходимо детализировать лю­бые изменения в политике безопасности, которые могут быть произве­дены без необходимости получения разрешения от руководства.

Отметим, что существует две основных причины сбора и хране­ния информации об атаках: для оп­ределения последствий реализации атаки и для расследования и пресле­дования злоумышленников. Тип ин­формации и способ ее сбора зависит от этих целей.

Для определения последствий на­рушения безопасности рекомендует­ся проделать следующие шаги:

• зафиксировать инцидент с помо­щью записи сетевою трафика, сня­тия копий файлов журналов, ак­тивных учетных записей и сетевых подключений;

• ограничить дальнейшие наруше­ния путем отключения учетных записей, отсоединения сетевого обо­рудования от локальной сети и от Интернета;

• провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки;

• попытаться найти другие подтвер­ждения компрометации (часто при компрометации системы оказыва­ются затронутыми другие системы и учетные записи);

• хранить и просматривать файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом к оп­ределению метода атаки.

В случае необходимости прове­дения юридических действий, сле­дует уведомить руководство ком­пании и привлечь обслуживающих компанию юристов для сбора соот­ветствующих доказательств. Если нарушение было внутренним, по­требуется привлечь сотрудников отдела кадров.

Восстановление работоспособ­ности сервисов сети компании является конечной целью процедуры реагирования на нарушения в об­ласти безопасности. Здесь необхо­димо определить порядок восста­новления доступности сервисов, например с помощью процедур ре­зервного копирования. При этом надо учитывать, что каждая систе­ма имеет для этого собственные ме­ханизмы, поэтому политика без­опасности, являясь общей для всех элементов сети, при необходимос­ти должна позволять детализиро­вать условия восстановления кон­кретного элемента. Если требуется получить разрешение на восста­новление, необходимо описать по­рядок получения разрешения в по­литике безопасности.

Пересмотр политики безопас­ности является заключительным этапом ее жизненного цикла. Здесь важно обратить внимание на следу­ющие аспекты. Политика безопас­ности должна быть «жизнеспособным» документом, адаптирован­ным к изменяющимся условиям. Сравнение существующей полити­ки безопасности с лучшими прак­тиками в этой области и последую­щий пересмотр политики должны поддерживать в состоянии защи­щенность активов сети. Необходи­мо регулярно обращаться на сайты различных независимых аналити­ческих центров, например CERT или SANS, за полезными советами и рекомендациями по обеспечению безопасности и учитывать их в под­держиваемой политике безопаснос­ти компании.

Также рекомендуется проводить аудит безопасности сети силами консалтинговых компаний, облада­ющих опытом таких работ. Для се­тей с высокими требованиями к доступности информационных ресур­сов рекомендуется проведение, как минимум, ежегодного независимого аудита безопасности. Кроме того, достаточно эффективны и внутрен­ние тренировки, направленные на отработку действий в чрезвычайных ситуациях.