Системы для анализа информационной инфраструктуры и информационных объектов предприятия

DOI:

Динамично развивающиеся цифровые технологии и, как следствие, возрастающий объем обрабатываемой информации, вынуждают современные предприятия уделять повышенное внимание управлению информационной инфраструктурой в целях обеспечения нормального функционирования выполняемых процессов и защиты данных. Процесс анализа информационной инфраструктуры подразумевает под собой реализацию комплекса мероприятий, ориентированных на оценку, совершенствование и повышение безопасности всех составных частей, включая сетевые ресурсы, программные и аппаратные средства [1].

МАТЕРИАЛЫ И МЕТОДЫ

Выявление уязвимостей и оптимизация работы задействованных приложений - один из важнейших этапов анализа информационной инфраструктуры. Информационная система включает в свой состав распределенные элементы, работоспособность которых напрямую зависит от взаимосвязанных с ними факторов (параметра скорости передачи данных в сети, уровня производительности серверов и т.п.). Но, стоит заметить, что нарушение функционирования любого из этих факторов способно вызвать цепную реакцию, приводящую к замедлению или полной остановке работы всей системы. Для обнаружения потенциальных уязвимостей и разработки мер по их устранению необходимо проводить анализ потоков данных в сети, скорости их обработки и передачи, степени использования вычислительной мощности процессоров [2]. Также это позволит наиболее эффективно использовать имеющиеся ресурсы и повысить производительность систем, что произведет положительный эффект на деятельность организации.

При проведении анализа информационной инфраструктуры на предмет наличия уязвимостей также стоит принимать во внимание широкое разнообразие киберугроз, воздействие которых негативно может отразиться на бизнес -процессах предприятия. В связи с этим можно выделить еще одно важное преимущество данной процедуры-обеспечение кибербезопасности, заключающейся в своевременном выявлении узких мест в сети и принятию мероприятий по предотвращению и снижению негативного влияния атак. Такой анализ включает в себя оценку конфигурации сетевых устройств, проверку на ошибки в настройках сервисов и наличие обновлений, обнаружение попыток несанкционированного доступа в систему. Данные мероприятия позволяют минимизировать вероятность рисков, связанных с утечкой данных и нарушением работы критически важных бизнес-процессов.

Анализ информационной инфраструктуры предприятия обеспечивает повышение его уровня соответствия установленным нормативным требованиям и стандартам в области защиты информации. Это наиболее важно для осуществления деятельности в таких сферах, как здравоохранение, наука, связь, государственные учреждения и т.п. В рамках анализа производится оценка соответствия имеющейся архитектуры и политики безопасности предприятия установленным стандартам (ISO/IEC 27001, GDPR, HIPAA, ГОСТ Р 57580.1-2017, приказы ФСТЭК и др.) [3]. Несоблюдение этих стандартов может привести к значительным штрафам, а также к потере доверия со стороны клиентов и партнеров. В связи с этим, регулярный аудит информационной инфраструктуры на соответствие нормативным требованиям позволяет не только избежать юридических последствий, но и поддерживать высокий уровень доверия к информационным системам организации со стороны внешних и внутренних заинтересованных сторон.

РЕЗУЛЬТАТЫ

Одним из ключевых результатов анализа информационной инфраструктуры является возможность более рационального использования имеющихся ресурсов. Информационные системы, как правило, включают в себя большое количество разнородного оборудования и программного обеспечения, управление которыми требует значительных временных и финансовых затрат. В ходе анализа производится оценка текущей загрузки серверов, хранения данных, использования программного обеспечения и других компонентов системы. Это позволяет выявить избыточные или недоиспользуемые ресурсы и, соответственно, оптимизировать их использование. Эффективное управление ресурсами не только снижает затраты на эксплуатацию, но и позволяет быстрее адаптировать систему к изменяющимся требованиям бизнеса.

Системы мониторинга сети (Network Monitoring Systems, NMS) представляют собой один из ключевых компонентов, необходимых для эффективного анализа и управления современной информационной инфраструктурой [4]. Эти системы выполняют важнейшую функцию по отслеживанию состояния сетевых устройств и трафика, обеспечивая непрерывный сбор и анализ данных о работе различных элементов сети. Принцип работы NMS заключается в постоянном мониторинге производительности и доступности сетевых устройств, таких как маршрутизаторы, коммутаторы, серверы и точки доступа, а также контроля параметров трафика, включая его объем, задержки и потери пакетов.

Основной задачей NMS является выявление потенциальных проблем на ранних стадиях их возникновения, что позволяет минимизировать время простоя и снизить вероятность сбоев в работе сети. Например, системы мониторинга способны обнаружить перегрузку сетевых интерфейсов, снижение пропускной способности каналов или некорректную работу определенного устройства. В таких случаях NMS автоматически уведомляет администратора системы через различные каналы связи (электронная почта,

SMS, push-уведомления), позволяя оперативно принять меры по устранению проблемы. Таким образом, NMS способствуют не только повышению надежности работы сети, но и оптимизации ее производительности за счет своевременного обнаружения и устранения проблемных зон.

Наиболее эффективным считается интеграция NMS с компонентами информационной инфраструктуры, отвечающими за управление инцидентами и реагирование на угрозы. Такой симбиоз является комплексной системой безопасности и управления сетью. Основным ее преимуществом считается повышение уровня автоматизации реагирования на потенциальные угрозы. К примеру, в случае обнаружения предпосылок к возникновению кибератаки, NMS, как звено системы безопасности, позволит не только уведомить об этом администратора, но и запустить реализацию защитных мер, направленных на ограничение доступа к подверженным атаке ресурсам. Ярким примером системы мониторинга сети является отечественное решение «ТИТАН».

Базы данных управления конфигурациями (Configuration Management Database, CMDB) – компоненты системы анализа, отвечающие за ведение учета элементов информационной инфраструктуры [5]. Иными словами, это централизованная база данных, в которой хранится информация о всех конфигурациях компонентов информационной инфраструктуры (ПО, сетевые устройства и т.п.). Основное назначение CMDB - возможность извлечения точных данных о состоянии приложений и устройств, составляющих инфраструктуру, что позволяет правильно спланировать и реализовать процесс управления ими.

В описываемой базе фиксируются сведения по каждому элементу информационной инфраструктуры на протяжении всего их жизненного цикла. В эти сведения входит: тип устройства, модель, версия ПО, местоположение, информация о взаимосвязях и взаимозависимостях с иными системами и третьими лицами и т.д. CMDB обеспечивает полную аккумуляцию данных, что во многом ускоряет процесс их получения администраторами и снижает риск использования устаревших ресурсов и приложений, простоев из-за потребности в ремонте и устранении нарушений функционирования.

CMDB фиксирует также все изменения, связанные с правами доступа, установкой новых ПО, заменой оборудования. Таким образом, в любой момент представляется возможным провести анализ состояния информационной инфраструктуры, ее степень соответствия нормативным требованиям, а также оперативно реагировать на угрозы, которые способны нарушить стабильность функционирования системы.

За счет фиксирования зависимостей между системами и приложениями CMDB в случай инцидента позволяет определить какие именно элементы могут быть подвержены негативному влиянию по цепной реакции. Благодаря этому сокращается время диагностики и устранения нарушений администратором и, соответственно, размер потерь от простоя компонентов информационной инфраструктуры.

Важной функциональной возможностью CMDB является содействие в соответствии комплекса информационной инфраструктуры нормативным требованиям (например, таким стандартам, как ISO/IEC 20000, ITIL или COBIT) [5]. За счет ведения автоматизированного учета процесс сбора свидетельств как для внутреннего, так и внешнего аудита становится в несколько раз быстрее, а также повышается степень актуальности данных.

Возможность построения комплексной системы управления информационной инфраструктурой с участием CMDB выступает для современных предприятий одним из основных решений, внедрение которого с каждым днем становится все более необходимым. Интеграции систем повышают автоматизацию процессов, улучшают координацию работы и снижают потенциальный уровень негативного влияния от атак за счет возможности оперативно реагировать на них, а также на основе полученных данных из аккумулирующих их систем проводить своевременный процесс планирования изменений, обновлений и модернизации элементов информационной инфраструктуры.

Классы решений, в чей функционал входит обнаружение и предотвращение сетевых вторжений (Intrusion Detection Systems и Intrusion Prevention Systems или IDS/IPS) являются частью подсистемы сетевой защиты, наряду с межсетевым экранированием, сетевой изоляцией и фильтрацией пакетов. Эти системы являются частью реализации функционала активного сетевого оборудования [6].

Основной принцип работы IDS/IPS основан на применении сигнатурного и аномалистического анализа. В первом случае система использует базы данных сигнатур известных атак, сравнивая поступающие пакеты данных с этими сигнатурами. Если обнаруживается совпадение с известной угрозой, система уведомляет администратора или блокирует потенциально опасный трафик. Второй подход — аномалистический анализ — заключается в выявлении отклонений от нормального поведения сети. Например, если обычный трафик сервера резко увеличивается или происходит нехарактерное обращение к критически важным ресурсам, система может рассматривать это как возможную атаку, даже если подобные действия не соответствуют известным сигнатурам.

Использование аномалистического анализа особенно важно в условиях появления новых, ранее неизвестных угроз, так называемых атак "нулевого дня" (zero-day attacks), для которых еще не были разработаны сигнатуры. В таких случаях IDS/IPS может выявить аномалии, связанные с необычным поведением системы, и предпринять действия по блокировке трафика до того, как угроза нанесет значительный ущерб. Это делает системы обнаружения и предотвращения вторжений мощным инструментом для защиты от как известных, так и новых типов атак.

Стоит отметить, что IDS/IPS не только анализируют трафик в режиме реального времени, но и могут сохранять данные для последующего анализа и выявления длительных и сложных атак. Это особенно важно для обнаружения так называемых многоходовых атак, когда злоумышленники, чтобы избежать обнаружения, действуют медленно и постепенно. Системы IDS/IPS могут собирать и анализировать журналы событий, что позволяет обнаруживать скрытые угрозы, даже если они были распределены во времени и не проявлялись явными атаками на первых стадиях.

Кроме того, современные IDS/IPS могут быть интегрированы с другими системами защиты, такими как межсетевые экраны (firewalls), системы управления событиями информационной безопасности (SIEM), и системы управления уязвимостями. Такая интеграция позволяет создать комплексную систему безопасности, в которой данные, полученные из разных источников, объединяются для более точного анализа и принятия решений. Например, если система обнаружения вторжений выявит подозрительный трафик, SIEM-система может сопоставить это событие с данными о неудачных попытках входа в систему, что позволит создать более полную картину угрозы и принять соответствующие меры.

ОБСУЖДЕНИЕ

Инструменты управления конфигурациями играют важнейшую роль в обеспечении целостности и управляемости информационной инфраструктуры, предоставляя всестороннюю информацию о ее компонентах и их изменениях. CMDB не только облегчает процессы поддержки и диагностики, но и повышает безопасность и соответствие нормативным требованиям, что делает ее неотъемлемой частью любой системы управления информационными технологиями.

Также IDS/IPS играют значительную роль в обеспечении нормативного соответствия, особенно в таких областях, как финансы, здравоохранение и государственные структуры. Многие стандарты безопасности, такие как PCI DSS, требуют от организаций использования систем обнаружения и предотвращения вторжений для защиты данных клиентов. Это подчеркивает необходимость внедрения таких систем не только для повышения уровня безопасности, но и для соблюдения требований законодательства и стандартов.

ЗАКЛЮЧЕНИЕ

Все вышеперечисленные классы решений являются не только крайне эффективными инструментами для анализа информационной инфраструктуры, но и неотъемлемой частью современной системы защиты информации. Стоит пояснить, что у некоторые средства защиты информации обладают функционалом, который может помочь в процессе анализа информационной инфраструктуры, например, системы управления информационной безопасностью (SIEM) [7-9], но главное направление SIEM-системы – контроль лог-журналов с различных источников в условиях обработки большого объёма данных.

В нынешних реалиях система контроля и анализа информационной инфраструктуры любой компании тесно связана с её защитой, поэтому IT и ИБ должны функционировать параллельно, дополняя друг друга.