Одно из моих любимых онлайн изданий по ИТ безопасности SC Magazine в прошлом году опубликовало результаты тестирования девяти очень интересных программных продуктов, предназначенных для автоматизации процессов управления рисками информационной безопасности, ни один из которых мне никогда раньше не встречался.
Современные программные продукты реализуют очень разные подходы к оценке и обработке рисков и не ограничиваются только этим. Многие из них также включают в себя средства оценки и контроля соответствия, средства управления инцидентами, документами, осведомленностью, уязвимостями и т.п. Разработчики этих продуктов приходят к управлению рисками с разных сторон: одни — со стороны менеджмента и бизнес процессов (подход «сверху вниз»), другие — со стороны ИТ уязвимостей и оценки их влияния на бизнес процессы (подход «снизу вверх»), третьи со стороны управления соотвествием стандартам и законодательству приходят к оценке и обработке рисков несоответствия и т.п. Если запихнуть все это многообразие в отдельный рыночный сегмент, то это обычно называется GRC (Governance, Risk, Compliance).
GRC — уже устоявшееся обозначение, поэтому несколько слов о его содержании. Из трех ключевых понятий, только Compliance является простым и несомненным. Понятие Risk слишком перегружено разными смыслами и затаскано маркетологами, которые относят к управлению рисками любые средства и методы, позволяющие минимизировать риски теми или иными способами, начиная с сетевых сканеров и заканчивая средствами корреляции событий. Поэтому, чтобы не запутывать самих себя, следует относить к управлению рисками только аналитическую работу по оценке и обработке рисков, выполняемую на этапе подготовке управленческих решений в области ИБ. Все же процессы, вытекающие из принятых решений и направленные на реализацию этих решений, уже имеют собственные названия, такие как управление соответствием, инцидентами, осведомленностью, коммуникация, уязвимостями, политиками, документами, событиями и т.п. Что касается понятия Governance, то его следует переводить как Стратегическое управление, в отличии от понятия Management, которое переводится как Оперативное управление.
Таким образом, GRC-продукты — это средства автоматизации управленческих процессов оценки и обработки рисков, стратегического планирования и обеспечения соответствия требованиям по защите информации. С этой стороны мы их и будем рассматривать.
Достаточно зрелый продукт с развитыми средствами визуализации, анализа и построения отчетов. Включает в себя набор программных модулей Threat Manager, Enterprise Risk Manager, Vendor Manager и Compliance Manager. Данный продукт может собирать данные из других продуктов, таких как сканеры и SIEM-продукты, при помощи коннекторов, которые представлены для следующих продуктов: IBM SiteProtector, NetIQ, Solarwinds, Symantec Altiris, DISA Gold Disk Scan, eEye Retina, HP WebInspect, IBM Rational AppScan, McAfee Vulnerability Manager, nCircle Suite 360, QualysGuard, Skybox, Nessus, Rapid 7, BMC Remedy, HP Service Manager, ArcSight, BMC Atrium, HP Service Manager, Microsoft Active Directory, National Vulnerability Database, VeriSign iDefense, DB Protect and AppDetective Pro. Кроме этого, имеется несколько коннекторов общего назначения, включая коннекторы для баз данных, веб сервисов и плоских файлов. Поддерживается система тикетов и процедуры отслеживания выполнения задач по каждой проблеме (уязвимости, несоответствию, риску).
Процесс установки и первоначальной настройки продукта достаточно трудоемкий. Он включает в себя создание определений для рисков и инцидентов. Внедрение продукта обычно занимает не менее 90 дней.
Системные требования для установки продукта: Microsoft Windows Server 2003, MySQL 5.1.34, web browser (IE 6.0, 7.0 or Firefox 3.0), Adobe Flash v10.
Стоимость: от $25,000 в год.
Данный продукт предназначен для высокоуровневого управления бизнес рисками в области ИБ. Он позволяет измерять степень соответствия требованиям законодательства, нормативной базы, стандартов и внутренних политик организации. Содержит встроенные наборы требований для: ISO27001, PCI-DSS, ISF, ITIL SoGP, COBIT, SOX и Basel II и позволяет добавлять собственные. Позволяет анализировать взаимосвязи между рисками и соответствующими им требованиями внутренних политик организации. Сбор данных по активам, угрозам и уязвимостям осуществляется через веб формы. Продукт позволяет нарисовать карту рисков, связывающую между собой пять факторов риска: слабости контролей, особые обстоятельства, воздействие на бизнес, уровень угрозы и критичность актива. План обработки рисков для каждого риска или несоответствия определяет контрмеры, которые могут быть назначены конкретным исполнителям, забюджетированы и, в дальнейшем, отслеживаться.
Продукт предлагается в двух вариантах: в традиционном и как SaaS подписка. Он построен на двухуровневой архитектуре: SQL server backend и IIS/.Net front end.
Стоимость от $3,750
Lightwave Security SecureAware v3.7.2
Продукт включает в себя 4 модуля: политика и осведомленность, соответствие, управление риском и управление непрерывностью бизнеса. Он содержит наборы требований для оценки соответствия стандартам: ISO 2700x, PCI DSS и CoBIT 4.1. Методика оценки и обработки риска совместима с ISO 27001/27002. Три фактора риска: воздействие на бизнес, уязвимости и угрозы, оцениваются при помощи специальных опросников. Имеется модуль управления документами (политикой безопасности), позволяющий контролировать осведомленность пользователей.
Продукт может функционировать как на Windows, так и на Linux платформе. Движок интегрирован с LDAP (AD).
Стоимость: $15,970
McAfee Total Protection for Compliance v6.8
Продукт включает в себя интегрированные средства для управления риском, уязвимостями, политиками и соответствием. Он позволяет осуществлять сканирование сети как на базе агентов, так и без них, а затем связывать информацию об имеющихся уязвимостях с угрозами и контрмерами. Продукт специально разработан для интеграции с прочими продуктами McAfee (продукты других вендроров пока не поддерживаются).
Системные требования: серверная часть: Windows server, MS SQL Server, клиентская часть: веб браузер.
Стоимость: от $16.38 до $103.54 за один хост
MetricStream IT GRC Solution v6.0
Поддерживает большое количество наборов требований для оценки соответствия различным стандартам и нормативным актам, включая: PCI, NERC, HIPAA, SOX, privacy laws, FISMA, GLBA, CoBit, FFIEC, ISO 27002 и NIST-SP800. Данные об уязвимостях могут быть импортированы из популярных сетевых сканеров: Nessus, CIS и MBSA. Используется библиотека контролей и стандартов из Network Frontiers’ Unified Compliance Framework (UCF) — первой унифицированной базы контролей, устанавливающей соответствие между многочисленными требованиями и рекомендациями различных стандартов и нормативных документов. Использование UCF позволяет значительно оптимизировать процесс управления соответствием.
Продукт интегрируется со средствами мониторинга и управления проблемами BigFix и eEye. Имеются также мощные средства для управления инцидентами.
Системные требования: Oracle, IIS или Apache с Java application server и веб браузер на стороне клиента.
Стоимость: $50K — $500K в зависимости от количества пользователей сети
RedSeal Systems Network Advisor v4.1 & Vulnerability Advisor v4.1
Продукт реализует подход к управлению рисками «снизу вверх». Он анализирует защищенность сетевых устройств: МЭ, маршрутизаторов, балансировщиков нагрузки и хостов при помощи сетевых сканеров уязвимостей, приоритезирует обнаруженные уязвимости по уровню риска и формирует план обработки рисков (устранения уязвимостей). Ценность данного продукта заключается в том, что он позволяет получить достаточно полную и точную картину уровня защищенности корпоративной сети и связать имеющиеся уязвимости с рисками и механизмами контроля.
Продукт распространяется как в традиционной форме, так и в виде интегрированного эпплайенса.
Стоимость: $30,000
Данный продукт представляет собой мощную систему для управления рисками, соответствием и инцидентами, ориентированную на крупные организации. Жизненный цикл процесса управления риском, начиная с проведения аудита и заканчивая обработкой рисков и контролем реализации механизмов контроля, тестированием контролей и оценкой соответствия требованиям, реализован полностью. Имеются встроенные наборы требований для ISO, NIST, COBIT FFIEC, HIPAA, PCI, BITS, GLBA и SOX. Можно также добавлять свои наборы требований. Данные об уязвимостях можно импортировать из сетевых сканеров.
Продукт доступен как SaaS сервис или как обычное ПО. Серверная часть функционирует на базе MS Windows и SQL.
Стоимость: $55,000
Secure Bytes Secure Win Auditor v2.0
Как следует из названия, данный продукт фактически является средством анализа защищенности Windows-систем. До уровня GRC-систем он явно не дотягивает. Найденные уязвимости ранжируются по уровню риска и сопровождаются пошаговыми инструкциями по их устранению. В состав продукта входит несколько сканеров для проведения тестов на проникновение, а также средства расследования инцидентов. Поддерживается оценка соответствия PCI DSS и SOX.
Серверная часть продукта функционирует на базе MS Windows, .Net и SQL.
Стоимость: $200 за 10 IP-адресов
Skybox Security Skybox 4000 v1.0
Один из лучших продуктов для управления операционными рисками или, другими словами, рисками, связанными с техническими уязвимостями сетевой инфраструктуры. Он собирает данные из различных средств анализа защищенности, приводит их к общему виду и предоставляет средства для анализа риска по каждой уязвимости и каждому активу (системе) и выбор опций по уменьшению риска. Существует большое количество коллекторов данных для различных продуктов и платформ. Имеются мощные графические средства моделирования сценариев обработки рисков (применения контролей).
Продукт может функционировать как на Windows, так и на Linux платформе. Используется Java-клиент.
Стоимость: от $9,000
Адрес первоисточника:
http://www.scmagazineus.com/risk-management/grouptest/216/
Выводы:
Для высокоуровневого управления риском и соответствием и для стратегического планирования в области ИБ можно рекомендовать следующие GRC-системы:
- Citicus ONE vR3.2 — для небольших организаций
- Lightwave Security SecureAware v3.7.2 — для средних организаций и для более требовательных организаций
- Rsam v7.0 — для крупных и наиболее требовательных организаций
Для оперативного управления рисками, связанными с техническими уязвимостями сетевой инфраструктуры, можно рекомендовать следующие продукты, реализующие подход «снизу вверх»:
- Skybox Security Skybox 4000 v1.0 — лучший продукт по соотношению цена/возможности
- RedSeal Systems Network Advisor v4.1 & Vulnerability Advisor v4.1 — более дорогой, но очень удобный продукт, особенно в форме эпплайенса
По поводу остальных продуктов:
- Secure Bytes Secure Win Auditor v2.0 — недорогое средство анализа защищенности и оценки соответствия для небольших Windows-сетей
- MetricStream IT GRC Solution v6.0 и Agiliance RiskVision v5.0 — мощные и дорогие средства для оперативного управления уязвимостями, рисками и соответствием для крупных организаций
- McAfee Total Protection for Compliance v6.8 — можно рекомендовать только тем, кто строит всю систему защиты корпоративной сети на продуктах McAfee.