Как организации подходят к процессу управления активами

По результатам анализа проектов тестирования на проникновение в 2023 году, доля компаний, уязвимых для внешних кибератак, составила 96%. Чаще всего причинами успешного проникновения во внутреннюю сеть были недостатки парольной политики, уязвимости в коде приложений, небезопасные настройки сервисов, находящиеся на периметре сети. Стоит отметить и уязвимости, возникшие вследствие использования устаревшего ПО. При этом инфраструктура компании постоянно меняется, а значит, нужно защищать новые сервисы, отслеживать их взаимодействие и влияние на критически важные системы, а также следить за изменениями в составе активов.

Из компаний, участвовавших в исследовании о необходимости автоматизации пентестов, 79% указали, что изменения в их ИТ-среде происходят чаще, чем раз в квартал. Каждая третья компания (30%), независимо от числа сотрудников, не уверена, что обладает точной информацией об аппаратном и программном обеспечении, которое формирует основу операционной деятельности. При этом практически любой ИТ-актив может стать входной точкой для злоумышленников, и специалисты по ИБ должны знать, что именно нужно защищать. Около 80% опрошенных компаний добавляют или отключают активы (серверы, сетевые устройства, ПО, системы управления БД, конфиденциальные данные) минимум раз в квартал, что сильно меняет инфраструктуру и может спровоцировать появление дополнительных уязвимостей и незащищенных мест, которые могут быть использованы для проведения атак.

Цель исследования — узнать, как современные компании выстраивают процесс управления цифровыми активами, какие инструменты и подходы используют, как подходят к бюджетированию средств защиты, с какими трудностями при этом сталкиваются и какие задачи ожидают решить с помощью решений класса asset management.

В опросе, проводившемся в конце 2024 года, приняли участие специалисты по ИБ и ИТ из более чем 130 организаций — представителей ключевых отраслей экономики. Заметный перевес получила сфера ИТ, так как интеграторы и дистрибьютеры, реализующие комплексные проекты цифровизации и киберзащиты традиционно более активно проявляют интерес к подобным исследованиям.

В настоящем опросе под активами понимается всё, что имеет доступ к информационной сети организации и представляет часть ее цифровой инфраструктуры: ноутбуки, серверы, виртуальные машины, базы данных, контейнеры, приложения. При ответах респонденты не были ограничены определенными видами активов.

• Около 36% респондентов ответили, что задача управления активами актуальна и для ее выполнения есть выделенные специалисты.
• Для 32% ответивших задачи управления активами являются побочными, но ими нужно заниматься.
• И только для 16% опрошенных эта задача неактуальна.

Задачи ИТ-подразделения в этом процессе редко ограничиваются только управлением жизненным циклом актива (приемкой на баланс, вводом в эксплуатацию, поддержкой, IT operations, списанием). Зачастую к ним добавляются постоянный мониторинг устройств для обеспечения их эффективной работы, оценка защищенности активов и ее повышение за счет установки средств защиты информации (СЗИ), патчей и обновления ПО, а также актуализация данных.

Для большей части респондентов оказалось важным не только управлять активами, но и защищать их, что логично, учитывая разнообразие векторов современных кибератак. Сегодня для их проведения используют не только уязвимости в сервисах, приложениях и базах данных, но и широкий ландшафт пользовательских устройств. Так, согласно исследованию актуальных киберугроз, 79% успешных атак были совершены через компрометацию компьютеров, серверов и сетевого оборудования.

Чтобы компрометация одного актива не привела к сбою ключевых систем, нужно учитывать рост интеграции устройств в бизнес-процессы компании и продумать их безопасное взаимодействие. Без актуальных знаний об активах, их территориальном расположении, владельцах и ответственных лицах, сетевых связях и доступе к ключевым системам крайне сложно принимать взвешенные решения об их защите. Нередко риски ИБ можно выявить даже на этапе составления карты активов. Речь про забытые старые серверы или неучтенные ноутбуки с правами администратора.

Менее 15% респондентов сказали, что полностью отслеживают цифровые активы и владеют актуальной информацией по ним. Большая же часть понимают, что в компании есть неучтенные активы, и пытаются решить эту проблему.

Наблюдается интересная тенденция: значительная часть респондентов эффективно управляет более чем половиной своих активов и лишь немногие компании достигают контроля над всеми устройствами. Проблема заключается в том, что большинство организаций сталкиваются с трудностями в учете и отслеживании активов, часто полагаясь только на ключевые из них и имея ограниченную видимость.

Согласно исследованию актуальных киберугроз за III квартал 2024 года, эксплуатация уязвимостей использовалась в 33% атак. Итоги пентестов, проведенных исследователями Positive Technologies, показали, что в 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, а в 59% внешних пентестов было подтверждено наличие уязвимостей высокого и критического уровня опасности из-за некорректной конфигурации используемого ПО. Такая уязвимость, например, может привести к получению максимальных привилегий в домене Active Directory.

Отсутствие процесса управления активами значительно снижает эффективность внедрения комплаенс-контроля, так как без четкого понимания состава инфраструктуры и сведений о конфигурации систем их крайне затруднительно приоритизировать, выявлять потенциальные маршруты атак и автоматизировать работы по усилению защищенности. Больше половины организаций (52%) проводят харденинг инфраструктуры без процесса asset management.

Для выявления нелегитимных действий злоумышленников необходимо обеспечить полное и стабильнее покрытие активов инфраструктуры, которые могут являться частью пути к реализации недопустимых событий: серверы, сетевое оборудование, облачные ресурсы и конечные устройства (рабочие или личные устройства сотрудников). Чем шире охват мониторинга, тем больше вероятность выявления аномалий и атак.

Участники опроса назвали наиболее важными активами информационные системы и базы данных. Конечные устройства, контейнеры и программное обеспечение находятся в среднем сегменте приоритетов, а мобильные, IoT — и OT-устройства имеют низкий приоритет.

Респондентам важно контролировать критически важные для организации информационные системы, с которыми можно связать отдельные серверы и виртуальные машины с развернутыми на них компонентами и сервисами. Специализированные решения для управления активами должны предоставлять возможность назначать и учитывать такие связи, чтобы знания о них не кочевали из одного табличного файла в другой.

Не всегда можно однозначно установить связь конечных устройств с критически важными системами, так как одни пользователи могут подключаются, например к АБС (автоматизированной банковской системе), для других — действуют ограничения доступа, у третьих есть доступ, но нет необходимости работать в этой системе. При этом важно осознавать, что даже активы, которые не считаются целевыми или ключевыми, могут стать точками проникновения хакеров в ИТ-инфраструктуру.

Большинство респондентов используют для управления активами некоторую функциональность решений на базе ИБ- и ИТ-инструментов, тогда как специализированные продукты применяются реже.

Так, например, часть информации собирается в Zabbix , часть — в SIEM-системе, часть — в ITSM-решении. По опыту общения с экспертами, единым источником знаний для служб ИТ и ИБ становится «Excel-файл». Этот подход оборачивается дополнительными операционными затратами, «зоопарк» систем трудно поддерживать, не всегда возможно интегрировать и сложно масштабировать. Тем не менее, собирать данные об активах организации необходимо для защиты и управления ими, даже если это ручная агрегация.

Около 40% респондентов ответили, что используют российские решения для управления активами. Еще столько же полагаются на опенсорсные продукты. Доля зарубежных решений ожидаемо ниже (всего 20%) в связи с трендом на импортозамещение.

Согласно наблюдениям «Монк Диджитал Лаб» в части использования российских решений по ИТ-мониторингу, около 55% объектов КИИ закупили российские решения (в рамках проектов импортозамещения), но не всегда применяют их повсеместно. Чаще всего эти системы закрывают лишь некоторые потребности, например мониторинг ограниченного набора сетевых устройств или приложений. 30-40% объектов КИИ пока применяют иностранное ПО как основную платформу мониторинга, а российские аналоги используют для галочки либо в тестовом режиме.

Доступ западных решений мониторинга к критическим компонентам ИТ-инфраструктуры представляет собой серьезную угрозу, создающую потенциальную точку входа для злоумышленников, особенно в условиях текущей геополитической нестабильности. Усугубляет ситуацию фрагментация ландшафта мониторинга: организации часто используют несколько разных решений, данные из которых не консолидируются и не синхронизируются с другими системами ИТ и ИБ.

Многие участники опроса не планируют использовать коммерческие решения для управления активами. Это объяснимо, так как существуют опенсорсные продукты, которые давно используются для ИТ-задач. К другим причинам можно отнести низкую популярность специализированных решений, отсутствие ряда функциональных возможностей и тот факт, что кто-то уже собрал решение, интегрировав несколько разных инструментов, либо выполняет ручную агрегацию знаний об активах. Однако значительная часть опрошенных рассматривает возможность включения задач управления активами в бюджет ИТ или ИБ на 2025 год.

Основные проблемы связаны с низкой вовлеченностью руководства в процесс управления активами, отсутствием единой платформы для управления ими, а также разрозненностью и неактуальностью данных.

Организации часто используют несколько разных решений, данные из которых не консолидируются и не синхронизируются с другими системами ИТ и ИБ. Это не позволяет получить целостное представление о состоянии ИТ-инфраструктуры, что приводит к образованию слепых зон, затрудняет анализ инцидентов и замедляет реагирование на угрозы. Кроме того, такая фрагментация негативно влияет на эффективность работы ИТ-отдела, заставляя администраторов взаимодействовать со множеством интерфейсов и анализировать данные из разрозненных источников. Это увеличивает трудозатраты, повышает вероятность ошибок и снижает общую операционную эффективность.

Топ-5 проблем при построении процесса управления активами:

• организационные проблемы — незаинтересованность владельцев других систем и руководства;
• отсутствие единой платформы, где можно хранить все данные об активах;
• проблема с точной идентификацией актива — сложно узнать о его существовании;
• проблема с актуальностью данных — актив может быть удален, но запись о нем сохраняется;
• проблема с классификацией — кому принадлежит и насколько важен актив, в каких процессах участвует и с какими критичными системами связан.

Также мы решили спросить, для каких сценариев наиболее важен процесс управления активами, какие практические задачи решают ИБ- и ИТ-специалисты, применяя специализированные решения.

Опираясь на актуальные данные об активах и используя подходящие инструменты, компании смогут комплексно оценивать состояние инфраструктуры, своевременно принимать защитные меры, планировать временные и финансовые затраты, то есть закрывать операционные и стратегические задачи.

Решения для управления активами важно использовать для полного покрытия инфраструктуры средствами мониторинга, составления карты активов, управления уязвимостями на них, харденинга инфраструктуры, что является актуальными задачами для проактивного усиления защиты крупных организаций. Вместе с тем они помогают в решении задач бюджетирования ИТ-проектов, планирования затрат на СЗИ и контроля расходов на дорогостоящие лицензии ПО.

Респонденты акцентируют внимание на важности управления активами для эффективного решения как операционных, так и стратегических задач. Актуальная информация об активах критически значима для обеспечения кибербезопасности и управления рисками.

Специалисты применяют широкий спектр инструментов для управления активами, включая открытые и коммерческие решения, а также специализированные средства ИБ. Часто используется комбинированный подход, позволяющий нивелировать недостатки отдельных систем.

Больше о влиянии asset management на ИБ — в статьях экспертов Positive Technologies: «Как процесс управления IT-активами связан с кибербезопасностью» и «Почему кибербезопасность не работает без управления активами».