Как эффективно использовать инструменты автоматизации безопасности для защиты инфраструктуры
Авторы: Котиков Никита, Мицик Татьяна, эксперты по кибербезопасности
Непрерывный рост и развитие технологической инфраструктуры необратимо влекут за собой совершенствование систем информационной безопасности – расширение штата специалистов и применяемых инструментов для администрирования и контроля состояния цифровых активов. Со временем объем процессов и трудоемкость отдельных задач достигают критической точки, что приводит компании в тупик: необходим найм высококвалифицированных сотрудников для выполнения рутинных операций.
Единственный объективно правильный вариант решения сложившейся ситуации – конечно же, автоматизация процессов и операций, позволяющая существенно сократить трудозатраты и повысить эффективность выполняемых задач, оставляя за специалистом возможность принятия ключевых решений.
Одного взгляда на рынок средств защиты достаточно, чтобы убедиться в том, что данный подход активно реализуется в решениях разных классов (начиная от АВЗ и заканчивая оркестрацией в виде SOAR) – коллеги действительно постарались и показали высокую эффективность своих продуктов.
Но все мы прекрасно знаем, что важно не только грамотно реализовать процессы безопасности внутри корпоративного контура, но и озаботиться безопасностью периметра в целом. А в вопросах обеспечения безопасности внешнего периметра стоит обратить внимание на неотъемлемую часть любой эффективной системы защиты – непрерывный анализ защищенности инфраструктуры с точки зрения потенциального злоумышленника. Проактивный подход позволяет оперативно выявлять «слабые» места инфраструктуры, а также способствует централизации системы управления безопасностью и предотвращения потенциальных угроз.
Начинать стоит, конечно же, с разведки – именно с этого стартует исследование любой инфраструктуры нарушителем. В первую очередь необходимо сформировать перечень всех цифровых активов, принадлежащих организации. По данным Forrester, зачастую компании не имеют представления о трети собственной инфраструктуры. Речь идет о так называемых «теневых» активах: приложениях и сервисах, о существовании которых не знали или забыли штатные специалисты, но которые так интересуют злоумышленников. Именно поэтому так важно научиться управлять поверхностью атаки – совокупностью цифровых активов, расположенных на внешнем периметре.
Для формирования перечня потребуется провести разведку в отношении собственной инфраструктуры так, как это делал бы нарушитель: расширенный поиск Google (dorks), сбор доменных имен второго уровня (принадлежащих компании) и поддоменов из различных источников (shodan, dnsdumpster, crt и др.), а также перемутации и подбор существующих записей с последующим разрешением доменных имен в IP-адреса. Существенно оптимизировать и собрать индивидуальный пайплайн автоматизации поможет богатое многообразие ресурсов и утилит с открытым исходным кодом: recon-ng, amass, sudomy, fierce, dnsrecon, shodan, censys, crt.sh и многие других. Результатом этапа будет актуальная поверхность атаки. После задайте себе вопрос: «А сколько узлов в списке мне не знакомы?». Итоговое количество и будет ответом, зачем вообще это нужно.
На этом история не заканчивается – зачем-то ведь мы проводили разведку? Правильно, следующий этап (как и у злоумышленников) – сетевое сканирование для идентификации открытых портов, используемых сервисов и их версий. Согласитесь, не очень приятно, если окажется, что на каком-то далеком ресурсе веб-сервер не обновлялся со времен кризиса 2008 года. И в этом непростом деле нам, конечно же, помогут уже широко известные утилиты: masscan для оперативного выявления открытых портов на «живых» узлах в сети и nmap для таргетированного сканирования с целью собрать как можно больше информации о них. Любопытный факт – использование nmap в связке с различными NSE-скриптами порой существенно расширит вывод полезной информации. Ну а теперь можно обратиться к результатам и проверить, сколько из проинспектированных узлов так или иначе не соответствуют корпоративным политикам безопасности (например, доступные из сети Интернет 3389/rdp, 5900/vnc, 445/smb и др.).
Ну и, наконец, самое главное – сканирование на наличие актуальных уязвимостей и генерация отчетности. Довольно тривиальная процедура, которая наверняка хорошо знакома большинству экспертов. В отношении собранного перечня активов запускается сканирование на уязвимости, по результатам которого проводится валидация и устранения обнаруженных недостатков. В противном случае, несвоевременное устранение типовых уязвимостей гарантированно приводит к инцидентам и бизнес-рискам для организации в целом. На данном этапе всегда можно обратиться к использованию решений с открытым исходным кодом – OpenVas, OWASP Zap, nmap + NSE скрипты, nikto.
Регулярное использование описанных выше алгоритмов позволит существенно сократить трудозатраты, повысить эффективность процессов безопасности, а главное – обеспечить актуальность инфраструктуры и сервисов. В случае ограниченных ресурсов и времени всегда можно обратиться к представленным на рынке решениям, позволяющим обеспечить этот процесс в непрерывном исполнении – CICADA8 ETM, Bi.Zone CPT, ASM FACCT и др.
