Системный аудит и оценка рисков информационной безопасности

2 Сканирование как основа инструментального аудита Инвентаризация сети. Определение версий устройств, операционных систем, установленного программного обеспечения, сетевых сервисов. Поиск уязвимостей. Для каждой известной уязвимости предполагает подачу некоторого тестового сетевого воздействия и анализ результата.

3 Недостатки простейших сканнеров безопасности Безагентная инвентаризация может быть неточна. Целые классы устройств и ОС могут использовать одну и ту же реализацию сетевых протоколов, поэтому различить их будет невозможно. Не все уязвимости можно определить удаленно. И, разумеется, нельзя их удаленно устранить. Активное развитие персональных брандмауэров зачастую делает невозможным несанкционированное конечным пользователем сканирование. Персональный брандмауэр классифицирует сканирование как атаку и блокирует доступ. Аналогичным образом при сканировании других сегментов сети могут реагировать межсетевые экраны и IDS. Сканирование часто приводит к сбоям оборудования и ПО. Это искажает результат, т.к. всю последовательность тестов не удается применить.

4 Требования к комплексной системе Система должна функционировать как авторизованный хост сети. Это позволит как обойти ограничения брандмауэров, так и использовать средства удаленного администрирования устройств и ОС для более глубокого тестирования. Система уровня nCircle Suite360 использует предоставленные ей параметры удаленного доступа для проверки конфигурационных файлов и реестра, а также отслеживания изменений критически важных файлов с помощью модуля File Integrity Monitor.

5 Одним из первых усложнений сканера было применение элементов экспертной системы и дискриминантного анализа. Корректно идентифицировать ОС, сервис (даже если порт нестандартный), т.е. принимать решения в условиях противоречивых входных данных. Эта функция существенно сокращает время сканирования, нагрузку на сеть, сбои оборудования.

6 Корреляция событий безопасности и сессий аудита. Корреляция возможна в двух направлениях: - В процессе сканирования в журналах безопасности сканируемой ОС фиксируются события, анализ этих журналов позволит более полно оценить защищенность. - В случае обнаружения в журналах безопасности подозрительной активности возможно направленное внеочередное сканирование данного хоста с целью поиска уязвимостей. nCircle Suite360 имеет модули интеграции для взаимодействия с внешними системами управления событиями безопасности. Имеется модуль и для объединения информации нескольких систем Suite360 Intelligence Hub.

7 Интеграция системы с решением по устранению уязвимостей. Открытый API nCircle Suite360 позволяет разрабатывать новые интеграционные модули. Кроме этого используется механизм тикетов для контроля процесса устранения.

8 Использование знаний, полученных о сети, для приоретизации сигналов IDS, защищающей данную сеть.

9 Очень важным в современном мире считается управление согласием, т.е. соответствием заданным политикам, законодательным актам и прочим требованиям регуляторов. Система инструментального аудита может проверять согласие по доступным для такого рода проверки критериям. Модуль Configuration Compliance Manager занимается такого рода анализом. Простейший вариант проверки согласия - это определение так называемого золотого эталона - хоста, полностью соответствующего требованиям регуляторов. Далее каждый хост такого типа сравнивается с этим эталоном.

10 Служба поддержки клиентов тел.: ГлобалВанБел пр.Машерова 19 Минск, , Беларусь тел.: факс: