Во многих организациях для выявления слабых мест в системе защиты используются программы сканирования сетей. На первый взгляд,  схема весьма привлекательна: щелкаем на клавише "Пуск" пользовательского интерфейса программы и ждем отчета о наличии уязвимых мест. Однако в реальности все не так просто. Вместо сжатой и удобной для анализа информации с краткими рекомендациями о вмешательстве оператора мы получаем массу данных, обладающих довольно низкой информативностью. Кроме того, учитывая типовую сложность корпоративных сетей в сочетании с относительной незрелостью программ оценки работоспособности систем защиты, полнота и точность отчетов по результатам проверки оставляют желать лучшего. Однако при правильном подходе к реализации схем оценки уязвимости затраты могут окупиться значительно быстрее, чем в случае многих других инвестиций, связанных с внедрением ИТ. Фактическая отдача определяется не проверкой сетей на наличие слабых мест, а, скорее, оценкой способности персонала ИТ защитить сеть.

По распространенному сценарию администратор выбирает инструмент оценки работоспособности систем защиты и запускает его в сети. Отчет, в котором перечислены тысячи уязвимых мест, представляется руководителю, порождая опасения, неуверенность и сомнения. У руководства при ознакомлении с подобным отчетом обычно возникают вопросы: "как после устранения всех проблем предотвратить их появление в будущем?", "допустим ли данный уровень уязвимости?" и "каков приемлемый уровень уязвимости?" Поскольку проверка на наличие слабых мест в системе защиты дает лишь картину в конкретный момент времени, такая схема поведения реализует принцип принятия решений в форме реакции на результаты проверки. Для обеспечения эффективной проверки работоспособности систем безопасности нужно с самого начала сосредоточиться на программируемом аспекте оценки.

С этой точки зрения создание успешного проекта оценки уязвимых мест требует организованного подхода. Для упрощения задачи целесообразно разбить проект на четыре этапа:

  • планирование проекта
  • оценка уровня безопасности сети
  • обработка результатов
  • отчет о результатах

Этап 1: Планирование проекта

Данный этап предусматривает формулировку целей и задач проекта оценки, определение систем, подлежащих проверке, составление графика мероприятий, распределение ролей и сфер ответственности. Заметим, что однократный цикл оценки малоэффективен. При составлении графика следует запланировать не менее трех циклов. Результаты первых двух циклов дают основу для сопоставления с результатами третьего цикла.

Как упоминалось выше, коэффициент окупаемости инвестиций в реализацию технологии оценки уязвимости определяется способностью этой технологии давать представление об эффективности работы персонала, отвечающего за безопасность сети. Проверку уязвимости выполняет программа, поэтому результаты проверки являются объективным материалом, удобным для получения количественной оценки. Благодаря этим качествам, проверка уязвимости позволяет отслеживать положительную динамику.

Например, можно организовать сканирование определенного количества целевых систем в первую неделю месяца на протяжении трех месяцев. Каждый цикл сканирования дает список выявленных слабых мест в системе защиты с указанием мер по их корректировке, предлагаемых персоналу, ответственному за управление системами. Наглядной мерой эффективности работы персонала, отвечающего за ИТ, являются количественные показатели за период между соседними циклами сканирования, например, число сохраняющих уязвимость систем, число систем с новыми слабыми местами в системе защиты, а также число систем, соответствующих основным требованиям безопасности и поддерживающих необходимый уровень исправлений. Проведение одинаковых циклов сканирования в различных организационных структурах дает основу для сравнения эффективности стратегий, процессов и персонала. В долгосрочной перспективе результаты оценок могут дать ценную информацию для обоснования корректировки размеров вознаграждений и поощрений администраторов и руководителей ИТ.

Для гарантии объективности анализа результатов проекта необходимо четко обозначить рамки мероприятий с указанием целевых систем, слабых мест в системе защиты, выявляемых в ходе оценки, а также графика проведения циклов сканирования. На Рисунке 1 представлена типовая схема, иллюстрирующая рамки мероприятий в ходе выполнения проекта.

Этап 2: Оценка уровня безопасности сети

Этап начинается с выбора инструмента выявления слабых мест в системе безопасности, определенных на этапе планирования. После подтверждения пригодности выбранного инструмента для выполнения поставленной задачи можно перейти к сканированию целевых систем.

Этап 3: Обработка результатов

Необработанные результаты оценки необходимо перевести в более удобную для восприятия форму. К полученным данным о наличии выявляемых в рамках проекта слабых мест в системе безопасности следует добавить предложения по их корректировке. Это увеличивает возможности персонала, отвечающего за ИТ, по своевременному устранению выявленных недостатков. Заметим, что с точки зрения руководства, оказание поддержки персоналу в деле повышения уровня безопасности имеет большую ценность по сравнению с простым выявлением существующих проблем.

На Рисунке 2 представлен пример подготовки результатов оценки. Для более углубленного отчета можно оценить степень риска, соответствующую каждому выявленному пробелу в системе безопасности. Эта информация поможет сотрудникам, отвечающим  за ИТ, расставить приоритеты мероприятий в случае выявления значительного числа недостатков. Углубленный отчет также дает руководству больше информации для сравнения результатов по различным организационным структурам.

Этап 4: Отчет о результатах оценки

Отчет о результатах оценки должен содержать информацию об устранении выявленных недостатков персоналом, отвечающим за ИТ, и о повышении эффективности работы персонала в промежутках между циклами оценки. Эта информация поможет дополнить дискуссию о слабых местах в системе защиты обсуждением процессов и стратегий, которые могут быть усовершенствованы.

Резюме

Правильно построенный проект оценки слабых мест в системе безопасности может дать исчерпывающее представление о способности персонала обеспечить защиту сети. В долгосрочной перспективе коэффициент окупаемости инвестиций при использовании стратегического подхода к оценке уязвимости существенно перевесит отдачу, обеспечиваемую в режиме тактических действий в ответ на выявление недостатков.


Бен Смит (bensmi@microsoft.com) — Специалист по безопасности в компании Microsoft.