Pages - Menu

Страницы

7.2.20

Что еще могла бы сделать ФСТЭК по аналогии с CIS

Ну раз уж я последние три дня публиковал некоторые рекомендации по возможному улучшению результатов работы ФСТЭК, то закончу эту неделю еще одним набором рекомендаций. Их тоже будет три и я их "подсмотрел" у уже не раз упомянутого на неделе Center of Internet Security (CIS).

С CIS Controls и Community Attack Model вроде мы разобрались. Что еще есть у CIS? CIS Benchmarks - набор рекомендаций по настройке широкого спектра ПО (серверное, операционные системы, облачное ПО, десктопное ПО), мобильных устройств, сетевого оборудования и многофункциональных устройств. Почти 50 вендоров, около 100 версий ПО, включая самое современное и востребованное (Docker, Kubernetes, MongoDB, MS Sharepoint и т.п.). Это отличный инструмент (есть бесплатный набор руководств и расширенный, по подписке), который сразу подсказывает, как правильно настроить то или иное ПО, чтобы уменьшить площадь возможной атаки и защитить информационные активы. ФСТЭК в своем БДУ уже фокусируется на уязвимостях в ПО и "железе", которое чаще всего используется в российских госорганах. Вот если бы они еще делали рекомендации по его безопасной настройке...


Есть у CIS еще одна фишка, которая связана с рекомендациями по защищенной настройке, - защищенные образы ПО, которые уже настроены в соответствие с рекомендациями CIS, и которые можно скачать с их сайта. Но боюсь, что именно эта возможность для ФСТЭК недоступна - ждать, что регулятор будет распространять защищенный "Мой офис", 1С, Астру и т.п. не приходится (не его это функция).

Если вы не можете скачать с сайта CIS уже настроенное защищенным образом ПО, вы можете проверить правильность настройки установленного у вас софта. Для этого у CIS есть соответствующий сервис CIS CAT (и CIS CAT Pro), который представляет собой сканер конфигураций. С его помощью (а его клиентская часть ставится на Windows и Ubuntu) вы можете просканировать все свои узлы и получить отчет с оценкой соответствия от 0 до 100 (и контролем динамики изменения уровня соответствия).


CIS CAT доступен в двух версиях, позволяющих сканировать локальные и удаленные узлы (а также имеющих только CLI или GUI), и в двух редакциях - бесплатной (скачать) и коммерческой (отличия в количестве проверяемых руководств CIS Benchmarks). У ФСТЭК есть бесплатный сканер уязвимостей для Windows - ScanOVAL, но если бы у регулятора был продукт, схожий с CIS CAT, то было бы вообще прекрасно. В условиях нехватки кадров, о который так часто говорят представители ФСТЭК, автоматизация поиска уязвимых конфигураций и поддержка сканера в актуальном состоянии, такой сервис был бы очень полезен.

Еще одним инструментом, и бесплатным, который выпустил CIS, является RAM (Risk Assessment Method), который позволяет провести анализ рисков и связать актуальные риски с защитными мерами CIS Controls. Скачав CIS RAM вы получаете инструкции, примеры, шаблоны для того, чтобы провести оценку рисков на своем предприятии (хотя она ближе к моделированию угроз, на мой взгляд). Самое полезное, что есть в RAM (а методик анализа риска известно с несколько десятков), это ее взаимосвязь с ранее упомянутой моделью угроз Community Attack Model и набором защитных мер CIS Controls.

Если CIS CAT позволяет оценивать, насколько вы правильно сконфигурировали свои узлы в соответствие с CIS Benchmarks, то бесплатное web-приложение CSAT позволяет вам оценить и приоритизировать защитные меры CIS Controls.


Кто знаком с CIS Controls, тот знает, что существует Excel'вская табличка-опросник AuditScripts Critical Security Control Manual Assessment Tool (с российских IP-адресов могут не пускать), которая позволяет провести анализ своего соответствия требованиям CIS и проверить, какие из защитных мер вы реализовали, а какие вам еще только предстоит внедрить. Это примерно то, что могла бы сделать ФСТЭК, как я писал вчера. CIS CSAT базируется как раз на вопросах из этого опросника и визуализирует работу с ним, добавляя к нему различные фишки, позволяющие документировать, отслеживать, автоматизировать и внедрять защитные меры из каталога CIS Controls, в том числе и маппировать их в PCI DSS или NIST SP800-53.


Три с лишним года назад я писал про соревновательный дух при выполнении требований регуляторов. CIS CSAT позволяет визуализировать этот "дух" и сравнивать выполнение защитных мер по различным подразделениям. Данный бесплатный инструмент можно использовать прямо сейчас, но учитывая, что это облачный сервис, который размещается не в России, не уверен, что отечественные госорганы его захотят использовать. А вот такой инструмент на базе ФСТЭК был бы очень полезен и помог бы многим поднадзорным ФСТЭК организациям регулярно проводить свою оценку соответствия, не тратя бюджетных средств на привлечение внешних организаций.

Описанные выше сервисы являются бесплатными (хотя часть из них и имеет платные варианты) и доступны любой организации, в том числе и в России. Но есть у CIS и ряд сервисов, доступных только для государственных структур США (часть только за деньги). К их числу относится:

  • сервис мониторинга сетевых угроз "Альберт"
  • CIS CyberMarket - сервис коллективной закупки средств ИБ, позволяющей существенно экономить бюджетные средства
  • MS-ISAC - круглосуточный SOC, включающий мониторинг ИБ и реагирование на инциденты. 

Вот такая интересная организация CIS, которая подсказывает несколько интересных вариантов для развития и наших регуляторов (и не только ФСТЭК). При этом первые три рекомендации, данные во вторник-четверг, могут быть реализованы минимумом усилий. Приоритизация и "экселизация" так уж точно. Расширение БДУ и увязывание его с защитными мерами потребует больше аналитической работы. А вот сегодняшние рекомендации - это уже высший пилотаж и потребуют определенных финансовых вложений на реализацию схожего функционала.

1 комментарий:

  1. Тут бы можно было бы даже дальше пойти и регулятору и вендорам.
    Не просто брать бенчмарки, аналогичные CIS, а и смотреть в сторону SCAP\OVAL.
    Вполне не сложно было бы сделать xml/xccdf, описывающие тесты и настройку.
    Дальше - полное пространство для твочества: от имплементации прямо в инсталятор некоего комплаенса, до проверки и автоматизации настройки по требованиям ИБ рабочих мест и серверов как локально, так и удаленно, прямо с рабочей станции специалиста по ИБ. А регулятор мог бы (например, с привлечением органов, ИЛ и заявителей) хранить бы и вести реестр хоть бесплатных, хоть за деньги файлов OVAL.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.