Зачем нужно инвентаризировать IT-активы?

Далее мы подробнее расскажем, почему важно изучать и инвентаризировать IT-активы, какие для этого есть способы — и как это поможет вашему бизнесу быть в безопасности и масштабироваться.

Почему компании не знают, что у них есть

Современные компании хорошо осознают, что жертвой хакерской атаки может стать не только крупный бизнес, но и небольшие проекты. Однако многие продолжают придерживаться позиции «Да кому мы нужны?» в вопросах кибербезопасности, что часто приводит к плачевным последствиям.

Если ваша инфраструктура росла стихийно, за нее отвечали несколько людей, при том, что кто-то из них уже уволился, вы обращались к подрядчикам и использовали тестовые окружения, никогда и никто не проводил учета и проверок ваших активов, то с уверенностью можно сказать — все это богатство живет своей жизнью и ждет, пока туда кто-то да заглянет (довольно часто это может быть кто-то посторонний и со злым умыслом). Поэтому лучше ситуацию обернуть в свою пользу и поручить дело специалистам.

Что значит «не знать свою инфраструктуру»

Это не только про «не помним, что стоит в серверной», но и про то, что: 

• Где-то крутится старый сайт (эх, а был многообещающим проектом) на забытом поддомене;    
  Может быть взломан и использован как точка входа в основную инфраструктуру. 
• Осталась бэкаповая база данных, доступная по внешнему IP;    
  Это подарок для любого сканера. Даже если там старая информация — персональные данные, логи или служебные токены — все это может утечь в публичную сеть.
• Админ когда-то открыл RDP (протокол удаленного рабочего стола) на сервер для бухгалтера на аутсорсе — и забыл закрыть;    
  Брутфорс, эксплойт, доступ к серверу. А потом — шифровальщик, и «мы все потеряли».
• Внутри микросервиса осталась устаревшая библиотека с уязвимостью.    
  Уязвимость — это не баг. Это дверь, которую кто-то однажды откроет.

Знакомая ситуация? Что ж, 0% осуждения, сейчас главное, что к вам пришло 100% понимание, что нужно менять это дело — планомерно и эффективно.

Главный вывод: даже если устройство стоит в офисе, подключено к интернету и «вроде работает» — это не значит, что вы его учитываете. Важно понимать не только физическое присутствие, но и сетевое.

Чем опасны неучтенные IT-активы

Если кратко, то каждый неучтенный актив — это яркая вывеска с лампочками «добро пожаловать» для атакующего. В терминологии кибербезопасности это называется «поверхностью атаки». Чем она шире — тем выше риск. Причем именно «теневые» IT-активы — самое любимое место злоумышленников для атак:

• о них никто не знает;
• их никто не анализирует;
• никто не ждет, что они станут точкой входа хакера.  
   

Смоделируем ситуацию, которая с вероятностью 99% может произойти в какой-то из известных вам компаний: все забыли про тестовый сервер, на котором остался веб-интерфейс со слабым паролем. Его нашли за пару минут с помощью обычного сканера и через него же взломали всю сеть. А дальше как по сценарию: утечки данных, компрометация внутренних систем, простой бизнес-процессов, штрафы от государства. Кстати, о штрафах важно рассказать подробнее.

Способы проведения инвентаризации: ручная, гибридная и автоматическая

Когда вы инвентаризируете все свои IT-активы, то по сути вы создаете карту всего, что у вас есть. Собирать данные можно как вручную, так и автоматически — у каждого подхода есть свои плюсы и минусы. Оба способа можно комбинировать, чтобы получить гибридное решение. Далее рассмотрим и сравним все способы.

Ручная инвентаризация

Сотрудники компании самостоятельно опрашивают коллег, обходят помещения, чтобы описать серверы, устройства, сетевые компоненты и вручную составляют список: что где установлено, что работает, какие версии и конфигурации. Вся информация собирается и хранится во внутренних документах. 

Плюсы:

• Можно учесть особенности, которые автоматический метод не увидит (например, специфические правила, внутренние договоренности).
• Полный контроль: человек сам смотрит и сам записывает.

Минусы:

• Трудоемко и долго.
• Все зависит от компетентности сотрудников — человеческий фактор никто не отменял.
• Сложности с регулярными обновлениями — чаще всего процедура проводится всего один раз.

Ручная инвентаризация может быть неплохим решением в небольших и достаточно простых инфраструктурах, а также если автоматизация по каким-то причинам невозможна. Но в большинстве случаев этот подход без автоматических сканеров неэффективен.

Автоматическая инвентаризация 

В отличие ручной, автоматическая инвентаризация избавляет от рутины и человеческих ошибок. Она не требует технических навыков, показывает всю инфраструктуру «как есть» и позволяет повторять процедуру сколько угодно раз — хоть каждый день. Если ваша цель — не просто «поставить галочку», а реально понимать, что происходит в IT-среде, автоматизация — самый разумный путь.

Плюсы:

• Сканирует всю инфраструктуру.
• Самостоятельно фиксирует, что и где «крутится».
• Показывает, какие устройства, сервисы, версии, порты и протоколы найдены.
• Находит и подсвечивает потенциальные уязвимости.

Минусы:

• Высокие затраты (по сравнению с ручным подходом) на первых этапах внедрения, если в инвентаризацию входит услуга пентеста. Однако есть бюджетное решение, которое не заменяет весь процесс исследования информационной системы, но помогает найти основные уязвимости — автоматический сервис мониторинга IT-активов.

Итогом работы станет структурированный отчет, который будет понятен руководству и специалистам без технических знаний, а также послужит обоснованием при возникновении претензий со стороны регуляторов.

Гибридная инвентаризация

Сочетание ручных действий и автоматических средств. Например, вы запускаете сканер, чтобы собрать базовую информацию, а потом дополняете ее вручную: уточняете роли систем, связываете сервисы с владельцами, добавляете описание.

Плюсы:

• Быстрее и точнее, чем ручная.
• Можно учесть специфические детали, которые автоматическая проверка может упустить.
• Подходит, если нужна не только техническая карта, но и управленческое представление.

Минусы:

• Все еще требует ручной работы.
• Есть риск потерять актуальность, если процесс не повторяется регулярно.
• Не каждый сотрудник сможет правильно интерпретировать технические данные от сканера.

Гибридный подход — компромисс. Лучше, чем вручную, но сложнее, чем полностью автоматический.

Как понять, что у вас может «завтра» случиться инцидент 

Если завтра произойдет происшествие — у вас есть актуальный список всего, что может быть скомпрометировано? Задайте себе несколько честных вопросов:

• Вы знаете сколько у вас сайтов, сервисов и устройств, подключенных к интернету?
• Кто сейчас отвечает за их безопасность (и отвечает ли вообще)?
• Используют ли ваши сотрудники надежные пароли — или хранят их в Google Docs «для всех»?
• Все ли домены, поддомены, API, базы данных вы действительно контролируете или что-то уже «забыто, но доступно»?
• Ваши разработчики используют только безопасные практики и проверенные библиотеки? (даже популярные библиотеки на git могу быть вредоносными)
• Есть ли в команде понимание, что такое XSS, SQL-инъекция и как их не допускать?
• Проводился ли у вас когда-нибудь аудит безопасности веб-приложений?
• Сканировали ли вы свои сайты и API на критичные уязвимости хоть раз?

Если хоть один вопрос вызывает сомнения — вам пора делать инвентаризацию. 

Практическая ценность инвентаризации 

Если вы уже задали себе вопросы и поняли, что инвентаризация вам нужна, но до сих пор по каким-то причинам не решаетесь приступить к этой задаче, то вот вам несколько аргументов в пользу практической ценности этого мероприятия.

1. Соответствие требованиям регуляторов

Корректно проведенная инвентаризация помогает выполнять обязательства перед контролирующими органами и поддерживать соответствие внутренним стандартам:

• обеспечивает точность бухгалтерской документации;
• облегчает подготовку к внешним проверкам и аудитам;
• подтверждает соблюдение норм по эксплуатации оборудования.

2. Управление инфраструктурой на основе актуальных данных

Своевременное обновление сведений об ИТ-активах позволяет:

• выявлять неиспользуемое, устаревшее или отсутствующее оборудование;
• оценивать производительность текущих систем и планировать их замену или модернизацию;
• избегать незапланированных простоев, вызванных поломками, путем предсказуемого обслуживания и замены критически
• важных компонентов.

3. Финансовая прозрачность и снижение расходов

Наличие точной информации о состоянии техники и сроках ее эксплуатации способствует:

• снижению издержек за счет отказа от ненужных закупок;
• корректному расчету совокупной стоимости владения активами;
• обоснованию вложений в развитие ИТ-среды при составлении бюджета.

4. Укрепление ИБ-контроля

Полный и точный перечень ИТ-активов критически важен для защиты корпоративной среды. Инвентаризация поможет:

• своевременно обнаруживать неавторизованные устройства в сети;
• отслеживать установку критически важных обновлений;
• контролировать доступ к конфиденциальным ресурсам.

Требования регуляторов: как обстоят дела у нас и за рубежом 

Если ваша организация работает с государственными или персональными данными, вы точно попадаете под требования регуляторов. Например, под приказ ФСТЭК №17, который обязывает:

• регулярно проверять IT-системы на уязвимости;
• устранять найденные проблемы;
• документировать процесс защиты.

Согласно приказу, следует использовать инструменты автоматического сканирования и создавать отчеты о найденных уязвимостях и способах их устранения. Такой документ — это не просто бумажка, в которой написано «я сделал то и это», нет, — это фактическое доказательство того, что вы добросовестно контролируете свою инфраструктуру.

Ключевые положения нормативных требований:

Инвентаризация IT-активов — это не занудная формальность, а элементарная забота о безопасности вашего бизнеса. Невозможно защитить то, о чем вы даже не знаете. И сегодня, когда автоматические инструменты делают эту задачу простой и понятной, ею точно не стоит пренебрегать.