19-09-2018 13:18

SAM и безопасность

Как правило, основная задача SAM-проектов – оптимизация управления программными активами. Но сегодня я хотел бы поговорить на тему, которая на первый взгляд слабо связана с SAM, – о безопасности. Точнее, о том, как с помощью процессов SAM повысить уровень информационной безопасности в компании. Многие скажут, что единственная польза, которую приносит SAM в части обеспечения безопасности, – снижение рисков изъятия оборудования контролирующими органами. Но это далеко не все!

Первое, с чего начинается SAM-проект,– это инвентаризация программного обеспечения. Современные инструменты, такие как Microsoft System Center Configurations Manger или Ivanti IT Asset Management Suite, позволяют с высокой точностью и очень быстро получить всю необходимую информацию об используемом в компании ПО и оборудовании, а именно:

Закон о ККТ 54-ФЗ: шаг из аналогового прошлого в цифровое будущееВам будет интересно:Закон о ККТ 54-ФЗ: шаг из аналогового прошлого в цифровое будущее

· Какое ПО и где установлено. Это позволит найти запрещенное ПО, например портативные версии. Пару раз таким банальным способом находились вирусы, установленные в системе.

· Версии установленного ПО и наличие/отсутствие патчей на него: актуально оно или нет. Напомню, большинство заражений происходит из-за отсутствия патчей на ОС и прикладное ПО.

· Права пользователей на своих рабочих станциях. Можно всегда проверить состав локальной группы «Администраторы» и при необходимости принять меры по исправлению.

· Какие компоненты ОС Windows включены. Например, от пресловутого WannaCry можно защититься, отключив один из компонентов ОС, отвечающий за SMBv1 в Windows 8.1 и выше.

· Наличие антивируса и актуальность антивирусных баз.

· Перечень подключенных USB-устройств. В свое время в ходе пилотного внедрения одного из средств инвентаризации было обнаружено порядка 20 USB-модемов, подключенных к ПК рядовых пользователей. Как они там оказались, мне, к сожалению, не рассказали, добавлю только, что это был военный завод!

· Полный перечень «железа» вплоть до положения модуля памяти в материнской карте. Это позволяет обнаруживать факты хищения или несанкционированного перемещения «железа».

· Перечень видимых Wi-Fi-точек доступа на ПК, где установлен агент. Таким образом служба безопасности одного заказчика выявляла нелегитимные точки и методами триангуляции обнаруживала их положение.

· Серьезным подспорьем для внедрения таких технологий, как AppLocker или Software Restriction Policy, будет перечень всего используемого ПО с указанием его издателей. Эти сведения крайне полезны для составления «белого» списка (разрешенного для запуска программного обеспечения).

Таким образом, уже на первом этапе (этапе инвентаризации) вклад SAM-проектов в повышение уровня информационной безопасности компании сложно переоценить.

Следует отметить, что отсутствие автоматизированных средств инвентаризации может создать необъективную картину состояния ИТ-инфраструктуры. В моей практике был случай, когда на бумаге в организации все выглядело превосходно: были документы о назначении лицензий, специальными приказами оговаривалась ответственность за установку стороннего ПО. Но, к сожалению, фактическое состояние дел отличалось от бумажного. Пользователи устанавливали программное обеспечение из сомнительных источников, доступ к флеш-накопителям никак не ограничивался, антивирусы, как правило, были выключены, так как затормаживали работу ПК. Само собой, обновления тоже не устанавливались.

Приведу еще один пример из реального проекта. В некий вуз пришла новая команда ИТ-специалистов, которые пригласили нас разобраться с лицензиями. Предварительная вводная: 10 лет стихийного развития ИТ, AD – нет, покрытие антивирусом – порядка 60%, все пользователи имеют права локальных администраторов, четыре учебных корпуса.

В ходе проекта удалось выяснить следующее:

· Нашлась подсеть «белых» адресов, неизвестно для чего использовавшаяся.

· На одном из серверов большое количество веб-сайтов, CMS на которых никто не обновляет, назначение большинства из них никому не известно.

· Один из веб-сайтов ранее был взломан, с него шло распространение фишинговых страниц.

· Второй сайт выгружал бэкап-базы в каталог на том же сайте, настройки Apache позволяли просматривать этот каталог любому пользователю из сети Интернет. В БД были персональные данные высокой категории.

· На одном сервере старые администраторы хостили чужие сайты.

· Установку обновлений никто не производил, нашли несколько компьютеров с Windows XP SP 2 и ниже.

· Широко использовались пароли по умолчанию на «железе».

По итогам проекта совместно с заказчиком для выполнения процедур SAM и снижения рисков информационной безопасности сделали следующее:

· Разработали планы по развитию ИТ-инфраструктуры.

· Внедрили Active Directory Domain Services.

· Достигли 100%-ного покрытия антивирусом.

· Устранили выявленные проблемы на внешнем периметре сети.

В итоге заказчик, решая свои проблемы с лицензиями, получил четкую картину текущего состояния ИТ-инфраструктуры и повысил уровень информационной безопасности.

Таким образом, SAM дополняет и укрепляет инструменты и процессы безопасности, значительно повышая способность компании защищать свои данные и системы.

Журнал IT-Expert № 06/2017 [ PDF ] [ Подписка на журнал ]

Об авторах

Андрей Лебедев

Старший специалист сектора программных решений и защиты информации ООО «НТЦ Галэкс»