SAM и безопасность
Как правило, основная задача SAM-проектов – оптимизация управления программными активами. Но сегодня я хотел бы поговорить на тему, которая на первый взгляд слабо связана с SAM, – о безопасности. Точнее, о том, как с помощью процессов SAM повысить уровень информационной безопасности в компании. Многие скажут, что единственная польза, которую приносит SAM в части обеспечения безопасности, – снижение рисков изъятия оборудования контролирующими органами. Но это далеко не все!
Первое, с чего начинается SAM-проект,– это инвентаризация программного обеспечения. Современные инструменты, такие как Microsoft System Center Configurations Manger или Ivanti IT Asset Management Suite, позволяют с высокой точностью и очень быстро получить всю необходимую информацию об используемом в компании ПО и оборудовании, а именно:
· Какое ПО и где установлено. Это позволит найти запрещенное ПО, например портативные версии. Пару раз таким банальным способом находились вирусы, установленные в системе.
· Версии установленного ПО и наличие/отсутствие патчей на него: актуально оно или нет. Напомню, большинство заражений происходит из-за отсутствия патчей на ОС и прикладное ПО.
· Права пользователей на своих рабочих станциях. Можно всегда проверить состав локальной группы «Администраторы» и при необходимости принять меры по исправлению.
· Какие компоненты ОС Windows включены. Например, от пресловутого WannaCry можно защититься, отключив один из компонентов ОС, отвечающий за SMBv1 в Windows 8.1 и выше.
· Наличие антивируса и актуальность антивирусных баз.
· Перечень подключенных USB-устройств. В свое время в ходе пилотного внедрения одного из средств инвентаризации было обнаружено порядка 20 USB-модемов, подключенных к ПК рядовых пользователей. Как они там оказались, мне, к сожалению, не рассказали, добавлю только, что это был военный завод!
· Полный перечень «железа» вплоть до положения модуля памяти в материнской карте. Это позволяет обнаруживать факты хищения или несанкционированного перемещения «железа».
· Перечень видимых Wi-Fi-точек доступа на ПК, где установлен агент. Таким образом служба безопасности одного заказчика выявляла нелегитимные точки и методами триангуляции обнаруживала их положение.
· Серьезным подспорьем для внедрения таких технологий, как AppLocker или Software Restriction Policy, будет перечень всего используемого ПО с указанием его издателей. Эти сведения крайне полезны для составления «белого» списка (разрешенного для запуска программного обеспечения).
Таким образом, уже на первом этапе (этапе инвентаризации) вклад SAM-проектов в повышение уровня информационной безопасности компании сложно переоценить.
Следует отметить, что отсутствие автоматизированных средств инвентаризации может создать необъективную картину состояния ИТ-инфраструктуры. В моей практике был случай, когда на бумаге в организации все выглядело превосходно: были документы о назначении лицензий, специальными приказами оговаривалась ответственность за установку стороннего ПО. Но, к сожалению, фактическое состояние дел отличалось от бумажного. Пользователи устанавливали программное обеспечение из сомнительных источников, доступ к флеш-накопителям никак не ограничивался, антивирусы, как правило, были выключены, так как затормаживали работу ПК. Само собой, обновления тоже не устанавливались.
Приведу еще один пример из реального проекта. В некий вуз пришла новая команда ИТ-специалистов, которые пригласили нас разобраться с лицензиями. Предварительная вводная: 10 лет стихийного развития ИТ, AD – нет, покрытие антивирусом – порядка 60%, все пользователи имеют права локальных администраторов, четыре учебных корпуса.
В ходе проекта удалось выяснить следующее:
· Нашлась подсеть «белых» адресов, неизвестно для чего использовавшаяся.
· На одном из серверов большое количество веб-сайтов, CMS на которых никто не обновляет, назначение большинства из них никому не известно.
· Один из веб-сайтов ранее был взломан, с него шло распространение фишинговых страниц.
· Второй сайт выгружал бэкап-базы в каталог на том же сайте, настройки Apache позволяли просматривать этот каталог любому пользователю из сети Интернет. В БД были персональные данные высокой категории.
· На одном сервере старые администраторы хостили чужие сайты.
· Установку обновлений никто не производил, нашли несколько компьютеров с Windows XP SP 2 и ниже.
· Широко использовались пароли по умолчанию на «железе».
По итогам проекта совместно с заказчиком для выполнения процедур SAM и снижения рисков информационной безопасности сделали следующее:
· Разработали планы по развитию ИТ-инфраструктуры.
· Внедрили Active Directory Domain Services.
· Достигли 100%-ного покрытия антивирусом.
· Устранили выявленные проблемы на внешнем периметре сети.
В итоге заказчик, решая свои проблемы с лицензиями, получил четкую картину текущего состояния ИТ-инфраструктуры и повысил уровень информационной безопасности.
Таким образом, SAM дополняет и укрепляет инструменты и процессы безопасности, значительно повышая способность компании защищать свои данные и системы.
Опубликовано 06.07.2017