и упорядоченной документации и дублирующие обязанности. Единственный способ подготовить их к этому процессу – проводить регулярные служебные мероприятия, чтобы гарантировать, что все важное задокументировано и со- трудники четко понимают свои обязанности.

Оценка уязвимостей

Оценка уязвимостей тесно связана с оценкой риска в стратегии управления уязвимостью. Оценка уязвимостей включает в себя выявление уязвимых ре- сурсов. Эта фаза проводится с помощью ряда согласованных попыток взлома и тестов на проникновение. Объектами этих атак являются серверы, принте- ры, рабочие станции, брандмауэры, маршрутизаторы и коммутаторы в сети организации. Цель состоит в том, чтобы смоделировать реальный сценарий взлома с использованием тех же инструментов и методов, которые может использовать потенциальный злоумышленник. Большинство этих инстру- ментов мы обсуждали в главах, посвященных разведке и компрометации си- стемы. Цель данного этапа – не только выявить уязвимости, но и сделать это быстро и точно. Вы должны получить исчерпывающий отчет обо всех уязви- мостях, которые есть.

Проблем, стоящих на этом этапе, много. Первое, что следует рассмотреть,– это то, что должна оценивать организация. Без соответствующей инвентари- зации ресурсов нельзя будет определить, на каких устройствах ей следует со- средоточиться. Также будет легко забыть оценить защищенность отдельных хостов, а они тем не менее могут оказаться ключевыми целями для потенци- альной атаки. Другая проблема связана с используемыми сканерами уязви- мостей. Некоторые сканеры предоставляют неверные отчеты об оценке и на- правляют организацию по неверному пути. Конечно, ложные срабатывания

мый проценти по-прежнему обнаруживаютнесуществующие уязвимости.Это может привести к растрате ресурсов организации, когда дело доходит до мер по нейтрализации уязвимостей.Нарушения–еще один набор проблем,с кото- рыми сталкиваются на этом этапе.В результате всех проверочныхдействий по взлому и тестированию на проникновение страдают сеть, серверы и рабочие станции. Сетевое оборудование, такое как брандмауэры, также работает мед- ленно, особенно когда выполняются атаки типа «отказ в обслуживании».

Иногда мощные тестовые атаки в самом деле приводят к сбою в работе сер- веров,нарушая основные функции организации.Эту проблему можно решить, проведя этитесты вто время,когда серверы не используются пользователями, или предложив замену при оценке основных инструментов.Также существует проблема использования самих инструментов. Такие средства, как Metasploit, требуют глубокого понимания Linux и опыта работы с интерфейсами команд- ной строки. Это же относится и ко многим другим инструментам сканирова- ния. Трудно найти средства сканирования, которые предлагают хороший ин- терфейс и в то же время обеспечивают гибкость написания пользовательских сценариев. Наконец, иногда инструменты сканирования лишены приличной функции составления отчетов, и это вынуждает специалистов, занимающихся проведением анализа на проникновение,вручную написатьэти отчеты.Их от- четы могут быть не такими подробными, как те, что могли бы сгенерировать напрямую инструменты сканирования.

Отчеты и отслеживание исправлений

После оценки уязвимости мы переходим к стадии отчетов и исправлений. Эта фаза имеет две одинаково важные задачи: отчеты и исправление ошибок. Отчеты помогают системным администраторам понять текущее состояние безопасности­ в организации и области, где она все еще уязвима, и указывают на это ответственному лицу.Отчеты также дают руководству нечто осязаемое, чтобы у него была возможность связать это с будущим управлением организа- цией. Отчеты обычно пишутся до момента исправления, чтобы вся информа- ция, собранная на этапе управления уязвимостями, могла беспрепятственно перетекать в эту фазу.

Исправление запускает реальный процесс завершения цикла управления уязвимостями. Этап управления уязвимостями, как обсуждалось, преждевре- менно заканчивается после анализа угроз и уязвимостей,атакже определения приемлемых рисков.Исправлениедополняетэто,предлагая решениядля про- тиводействия выявленным угрозам и уязвимостям.Все уязвимые узлы,серве- ры и сетевое оборудование отслеживаются, после чего принимаются необхо- димые меры для устранения уязвимостей,а также защиты их от последующих эксплойтов. Это самая важная задача в стратегии управления уязвимостями, и если она выполнена надлежащим образом, управление уязвимостями счи- тается успешным. Действия, осуществляемые в этой задаче, включают в себя

ступных обновлений для всех систем организации. Также определяются ре- шения для ошибок, которые были обнаружены средствами сканирования. На этом этапе еще выделяются несколько уровней безопасности,таких как анти- вирусныепрограммыибрандмауэры.Еслиэтафазанеудалась,товесьпроцесс управления уязвимостями становится бессмысленным.

Как и ожидалось, на данном этапе встречается множество проблем, по- скольку именно здесь определяются решения для всех уязвимостей. Первая проблема возникает, когда отчеты не покрывают все необходимые сферы и не содержат всей нужной информации о рисках, с которыми сталкивается орга- низация.Плохо написанный отчетможетпривести к слабым мерам по исправ- лению и оставить организацию по-прежнему открытой для угроз. Отсутствие программной документации также может вызвать проблемы на этом этапе. Поставщики или производители программного обеспечения часто оставля- ют документацию, которая включает в себя объяснение того, как должно вы- полняться обновление. Без этого может оказаться трудно обновить сделанное на заказ программное обеспечение. Плохая связь между поставщиками про- граммногообеспеченияиорганизациейтакжеможетвызватьпроблемы,когда необходимо выполнить исправление системы. Наконец, процесс исправления может быть поставлен под угрозу из-за отсутствия сотрудничества конечных пользователей.Исправление может привести к простоям,а это то,что пользо- вателям абсолютно не нужно.

Планирование реагирования

Планирование реагирования можно рассматривать как самый простой, но тем не менее очень важный шаг в стратегии управления уязвимостями. Он не представляет проблем, потому что вся тяжелая работа была проделана на предыдущих пяти этапах. Это важно, потому что без него организация попрежнему будет подвержена угрозам.На этом этапе важнатолько скорость ис- полнения. Крупные организации сталкиваются с серьезными препятствиями при его выполнении из-за большого количества устройств, которые требуют исправлений и обновлений.

Однажды произошел инцидент, когда компания «Microsoft» объявила о су- ществовании MS03-023 и выпустила для нее патч. Небольшие организации, укоторыхнекрупныесистемыибыстроотрабатываемыепланыреагирования, смогли обновить свои операционные системы вскоре после этого. Однако бо- лее крупные организации, у которых не было планов реагирования для своих компьютеров или они былидлинными,подвергались хакерским атакам.Хаке- ры выпустили червя MS Blaster для атаки на непатентованные операционные системы всего через 26 дней после того, как Microsoft выпустила исправление для своих пользователей. Этого было достаточно, чтобы даже крупные компа- нии полностью исправили свои системы. Однако отсутствие планов реагиро- вания или использование планов длительного реагирования привело к тому,

перебои в работе сети на зараженных компьютерах. Еще один известный ин- цидент,который произошел совсем недавно,–случай с вирусом-вымогателем WannaCry.Это крупнейшая в истории атака вымогателей,вызванная уязвимо- стью, предположительно украденной у АНБ, под названием Eternal Blue (3). Атака началась в мае,но Microsoft выпустила патч для этой уязвимости в мар- те. Тем не менее она стала выпускать исправление для более старых версий Windows,такихкакXP(3).Начинаясмартаидотогодня,когдабылаобнаруже- на первая атака, у компаний было достаточно времени для исправления сво- их систем. Однако к моменту начала атаки большинство компаний не сделало этого из-за плохого планирования. Если бы атака не была остановлена, ущерб был бы еще больше.

Это показывает,насколько важна скорость,когда речь идет о планировании реагирования. Исправления должны устанавливаться в тот момент, когда они станутдоступны.

Проблем, с которыми сталкиваются на этом этапе, много, поскольку он включает в себя фактическое участие конечных пользователей и их компью- теров. Первая задача – вовремя доставить важные сообщения нужным людям. Послевыпускаисправленийхакерыбыстропытаютсянайтиспособыскомпро- метировать организации, которые их не устанавливают. Вот почему хорошо налаженная коммуникационная цепочка важна. Еще одна проблема – это от- ветственность.Организациядолжна знать,кого привлекатьк ответственности за то, что исправления не были установлены. Иногда за отмену установки мо- гут нести ответственность пользователи. В других случаях это может быть ITкоманда,котораявовремяненачалапроцессисправления.Всегдадолжнобыть лицо, которое может быть привлечено к ответственности за неустановку ис- правлений.Последняя проблема–дублирование усилий.Обычно это происхо- дитвкрупныхорганизациях,гдеработаетмногосотрудниковIT-безопасности. Они могут использовать один и тот же план реагирования, но из-за плохой связи в конечном итоге дублируют усилия друг друга, в то же время принося мало пользы.

Инструменты управления уязвимостями

Доступно множество инструментов управления уязвимостями, и для просто- ты в этом разделе мы будем обсуждать инструменты в соответствии с фазой, вкоторойонииспользуются,иприводитьихплюсыиминусы.Стоитотметить, чтоневсеобсуждаемыесредствамогутиметьделоссамимиуязвимостями.Их вклад, однако, очень важен для всего процесса.

Инструменты инвентаризации ресурсов

Фаза инвентаризации ресурсов предназначена для регистрации ресурсов, которыми располагает организация, чтобы упростить их отслеживание при выполнении обновлений. Ниже приведены инструменты, которые можно ис- пользовать на этом этапе.

граммногообеспечения,котораябылаприобретенаHPв2005г.Онавыпустила три наиболее часто используемых инструмента для инвентаризации ресурсов. Один из них – Asset Center. Это инструмент управления ресурсами, который специально настроен для удовлетворения потребностей программных ресур- сов. Он позволяет организациям хранить информацию о лицензиях на ис- пользуемоепрограммноеобеспечение.Этоважнаяинформация,которуюпро- пускают многие другие системы инвентаризации ресурсов. Этот инструмент может только записывать информацию об устройствах и программном обе- спечении в организации. Однако иногда возникает необходимость в чем-то, что можетзаписыватьподробности о сети.Peregrine создалдругие инструмен- ты инвентаризации,специально предназначенныедля записи ресурсов в сети. Это средства обнаружения сетевых устройств и инвентаризации рабочего стола, которые обычно используются вместе. Они хранят обновленную базу данных всех компьютеров и устройств, подключенных к сети организации, а также могут предоставить подробную информацию о сети, ее физической топологии, конфигурации подключенных компьютеров и информацию о ли- цензировании.Всеэтиинструментыпредоставляютсяорганизациипододним интерфейсом. Инструменты Peregrine масштабируемые, они легко интегриру- ются и достаточно гибкие, чтобы обслуживать изменения в сети. Их недоста- ток проявляется, когда в сети существуют мошеннические desktop-клиенты, поскольку инструменты обычно их игнорируют.

LANDesk Management Suite  LANDesk Management Suite – это мощный инстру-

мент для инвентаризации ресурсов, который обычно используется для управ- лениясетью(4).Онможетобеспечитьфункцииуправленияресурсами,распро- странения программного обеспечения, мониторинга лицензий и удаленного управления устройствами, подключенными к сети организации (4). Он обла- дает автоматизированной системой обследования сети,которая идентифици- рует новые устройства, подключенные к сети. Затем он проверяет устройства, имеющиеся в его базе данных, и добавляет новые устройства, если они еще не были добавлены. LANDesk Management Suite также использует сканирование клиентов в фоновом режиме, что позволяет ему знать информацию, относя- щуюсякклиенту,напримеролицензии(4).Инструментобладаетвысокоймас- штабируемостью и предоставляет пользователям портативную базу данных. Недостатки этого инструмента в том, что его нельзя интегрировать с другими средствами, используемыми в командных центрах, и он также сталкивается с проблемой обнаружения мошеннических компьютеров.

которые предоставляют пользователям функции обнаружения сети (5). Пакет поставляетсястремяинструментами,предназначеннымидляуправленияуяз-

вимостями, а именно: Desktop VAM, Server VAM и Remote VAM. Эти три про-

дуктаработаютвавтоматическомрежиме,гдеонисканируютипредоставляют целостный отчет о сети. Время сканирования также можно установить вруч- ную в соответствии с расписанием пользователя, чтобы избежать замедления сети, которое может быть вызвано процессами сканирования. Инструменты будутдокументироватьвсехостывсетииперечислятьихконфигурации,атак- же покажутрезультатсканирования соответствующих уязвимостей на каждом хосте,потому что пакетспециально создан для оценки и управления уязвимо- стями.

Основным преимуществом StillSecure является то, что он сканирует и за- писывает хосты в сети, не требуя установки на них клиентской версии, в от- личие от ранее обсуждавшихся средств. Remote VAM можно использовать для обнаружения устройств, находящихся по периметру внутренней сети и до- ступных извне. Это является основным преимуществом по сравнению с дру- гимиинструментамиинвентаризации,которыеобсуждалисьранее.Пакетдает пользователям возможность группировать инвентарь по различным бизнесединицам или с помощью методов сортировки обычного системного адми­ нистратора. Основным недостатком этого пакета является то, что, поскольку он не устанавливает клиентов на хостах, которые ограничивает, он не может собиратьподробнуюинформациюоних.Основнаяцельинструментаинвента- ризации ресурсов заключается в том,чтобы собрать всю необходимую инфор- мацию об устройствах в организации. Этот пакет иногда может не обеспечи- ватьтакое качество данных.

Enterprise от компании Foundstone  Enterprise – это инструмент от компа-

нии Foundscan Engine, который выполняет обследование сети по IP-адресам. Обычно настраивается сетевым администратором, чтобы сканировать хосты, которым назначен определенный диапазон IP-адресов. Инструмент может быть запущен в запланированное время, которое организация считает наибо- лее подходящим. У Enterprise есть корпоративный веб-интерфейс, в котором перечислены хосты и службы, обнаруженные в сети. Говоряттакже, что он ин- теллектуальносканируетуязвимости,которыемогутбытьухостов,ипериоди- ческиотправляетотчетысетевомуадминистратору.Однакоегонельзясчитать идеальным инструментом инвентаризации ресурсов, поскольку он собирает только данные, относящиеся к сканированию уязвимостей (рис. 15.1).

цией (8). У него имеется множество преимуществ, одно из которых – инфор- мирование группы реагирования на инциденты. Symantec известен во всем мире своими подробными отчетами об угрозах в области информационной безопасности. Эти ежегодные публикации отлично подходят для изучения того, как киберпреступники эволюционируют год от года. В отчете также со- держится значимая статистика атак. Она позволяет группам реагирования на инциденты адекватно готовиться к определенным типам атак на основе на- блюдаемых тенденций. Помимо этой публикации, данный инструмент также предоставляет отчет о теневых данных, отчет Symantec Intelligence и техниче- ские документы по безопасности (8), а также информацию об угрозах для не- которыхтипов атак,которые должны предотвращать организации.Унего есть интеллектуальная система DeepSight, которая обеспечивает отчетность в ре- жиме 24/7 (8). Имеется алфавитный список рисков и угроз наряду с контрме- рами.Наконец,инструмент предоставляет пользователям ссылки на Symantec AntiVirus, который можно использовать для удаления вредоносных программ и лечения зараженных систем. Она хорошо подходит для управления инфор- мацией, поэтому очень рекомендуется.

Эти инструменты чаще всего используются в интернете. Наиболее очевид- ное их сходство – использование уведомлений по электронной почте через списки рассылки.Списки рассылки могутбытьнастроенытаким образом,что- бы респонденты сначала получали оповещения, а после проверки инциден- та можно будет проинформировать остальных пользователей в организации. Иногда политики безопасности организаций являются хорошим средством, которое дополняет эти онлайн-инструменты.

Во время атаки локальные политики безопасности могут указывать пользо- вателям, что они могутделать и с кем им следует связаться.

Инструменты оценки риска

Большинство инструментов оценки рисков разрабатывается собственными силами, поскольку не все организации сталкиваются с одинаковыми риска- ми одновременно. Существует множество вариантов управления рисками, поэтому может быть сложно использовать только один вариант программно- го обеспечения в качестве универсального инструмента для идентификации и оценки рисков,которыми пользуется организация.Собственные инструмен- ты, которые используют организации,– это контрольные списки, разработан- ныесистемнымиисетевымиадминистраторами.Контрольныйсписокдолжен состоять из вопросов о потенциальных уязвимостях и угрозах, которым под- вергается организация. Эти вопросы будут использоваться организацией для определения уровней риска уязвимостей, выявленных в ее сети. Ниже приво- дится набор вопросов, которые можно включить в контрольный список:

Каким образом выявленные уязвимости могут повлиять на организацию?Какие бизнес-ресурсы могут пострадать?

Существуетли риск удаленной эксплуатации уязвимости?