Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках

Конфигурации ИТ-систем становятся все сложнее, а цена ошибки в настройках — все выше. Именно просчёты в управлении изменениями нередко приводят к сбоям, инцидентам и финансовым потерям. Эксперты рассказали, как выстроить эффективный процесс управления конфигурациями и снизить риски.

 

 

 

 

 

 

1. 1. Введение
2. 2. Что такое конфигурация и почему она важна
3. 3. Кто главный: ИТ против ИБ в управлении конфигурациями
4. 4. Как выбрать систему управления конфигурациями
5. 5. Процесс и метрики: как измерить эффективность
6. 6. Тренды: ИИ, GitOps и автоматизация будущего
7. 7. Выводы

Введение

Контроль и управление конфигурациями — это область, которая находится на самой границе между ИТ-эксплуатацией и информационной безопасностью. Ошибка администратора, забывшего вернуть настройки после релиза, или некорректно заданная галочка в политике безопасности могут обойтись компании в миллионы рублей простоя и скомпрометированные данные.

По статистике, до 60 % всех программных инцидентов связаны именно с ошибками в конфигурации, а не с багами в коде или стандартными уязвимостями. В эфире AM Live ведущие эксперты рынка обсудили, почему традиционные инструменты не работают, кто должен быть владельцем процесса и какие тренды будут определять развитие этой области в ближайшие годы.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Александр Суховей, владелец продукта «Мониторинг и управление», Clearway Integration.
• Павел Попов, руководитель группы инфраструктуры безопасности, Positive Technologies.
• Сергей Уздемир, заместитель генерального директора по ИТ, RedCheck.
• Данила Луцив, руководитель продуктов направления Vulnerability Management (VS, SPC, ASOC), Security Vision.
• Кирилл Евтушенко, генеральный директор, «Кауч».
• Светозар Яхонтов, генеральный директор, Safen Soft.

Ведущий и модератор эфира — Михаил Марченко, руководитель центра компетенций DevOps, Билайн.

 

 

Что такое конфигурация и почему она важна

Сергей Уздемир считает, что конфигурация — это не только традиционный список настроек, но и совокупность слоёв системы. Он выделил три уровня: операционные системы (списки доступа), сетевые устройства (правила файрволов) и прикладное программное обеспечение. По его мнению, конфигурация — это именно совокупность этих слоёв и её состояние в определённый момент времени.

Светозар Яхонтов добавил практическую точку зрения, назвав самое короткое и ёмкое определение: конфигурация — это и есть ИТ-инфраструктура. Он пояснил, что это набор параметров, позволяющих воспроизвести на инфраструктуре ожидаемую функциональность автоматизированных систем, которые эксплуатируются.

Кирилл Евтушенко предложил упростить подход, особенно для тех, кто только начинает заниматься этим процессом. Он посоветовал свести конфигурацию к конкретным настройкам, свойствам и параметрам, которые влияют на поведение системы.

 

Кирилл Евтушенко, генеральный директор, «Кауч»

 

Александр Суховей предостерёг от излишнего упрощения. Он согласился с коллегами, что на верхнем уровне говорить о конфигурациях можно, но при этом есть риск потерять смыслы.

«Нужно понимать, что мы конкретно подразумеваем: это строка в текстовом файле, строка в базе данных, файл сертификата или список установленного ПО? За каждым из этих слов стоят отдельные функции — Patch Management, управление установкой ПО и так далее», — пояснил он.

Данила Луцив сместил акцент на слово «управление». Он подчеркнул, что управление конфигурациями — это процесс достижения желаемого состояния, которое включает безопасность, бизнес-требования и доступность. При этом он обратил внимание на сайд-эффекты:

«Разошлась какая-нибудь динамическая маршрутизация — и всё поехало. Управление этим, процесс отката, валидации, согласования — всё это и создаёт комплекс мер, который мы называем управлением конфигурациями».

Павел Попов сместил фокус в сторону безопасности. Он напомнил, что в профессиональном сообществе под словом «уязвимость» обычно подразумевают вендорские уязвимости с CVE. При этом он привёл статистику: если CVE-уязвимости составляют около трети случаев взлома через периметр, то внутри инфраструктуры в основном используются именно небезопасные настройки, недостаточная сегментация сети и учётные записи с избыточными правами.

Михаил Марченко зачитал мнение ИИ: «Самая частая проблема управления конфигурациями — не отсутствие инструмента, а отсутствие дисциплины изменений. Инструмент может показать отклонение, но он не заменит правила: кто имеет право менять конфигурацию, как фиксируется изменение, кто его согласует, как проверяется эффект и как можно быстро откатиться назад».

 

Михаил Марченко, руководитель центра компетенций DevOps, Билайн

 

В первом опросе зрители ответили, что для них является главной целью управления конфигурациями (мультивыбор):

• Обеспечение безопасности — 78 %.
• Централизованное управление — 57 %.
• Стандартизация и контроль изменений — 43 %.
• Обеспечение целостности систем — 36 %.
• Оптимизация производительности — 34 %.
• Соответствие требованиям регуляторов — 34 %.
• Минимизация простоев системы — 29 %.

 

Рисунок 2. Что является для вас главной целью управления конфигурациями?

 

Кто главный: ИТ против ИБ в управлении конфигурациями

Светозар Яхонтов заявил, что управление конфигурациями (возможность изменять конфигурацию на проде) должно быть в руках ИТ-отдела, потому что они отвечают за доступность систем. При этом он подчеркнул, что ИБ обязательно должна видеть состояние конфигураций, подсвечивать риски и помогать ИТ безопасно эксплуатировать системы, но только при условии, что у обоих блоков будут одинаковые факты в наблюдениях, чтобы они могли договориться о целях и методах в кооперации, а не в конфронтации.

Сергей Уздемир предложил разделить ответственность: применение конфигураций — сугубо прерогатива ИТ, а формирование безопасных конфигураций и базы — это роль безопасника, которому права делегирует владелец ресурса.

«Средства конфигурирования представлены большим количеством продуктов: Infrastructure as Code — это прерогатива ИТ, Compliance Management — ИБ, а Configuration Management стоит на стыке», — пояснил он, добавив, что процесс — это именно сочетание взаимодействия разных подразделений и программных средств.

 

Сергей Уздемир, заместитель генерального директора по ИТ, RedCheck

 

Данила Луцив встал на защиту бизнес-владельцев систем, подчеркнув, что конечная ответственность всегда лежит на них. Задача ИБ — выявить небезопасные конфигурации и донести риски и последствия до владельца. А применение, процесс отката, согласования, мониторинга — всё это лежит только на владельце системы.

Кирилл Евтушенко предложил компромиссный подход, основанный на реальной практике. Он отметил, что задача защищённости ставится перед подразделением ИБ, поэтому владельцем процесса безопасной настройки является ИБ. Но непосредственно конфигурированием занимается ИТ-блок. Это одна из самых объёмных и конфликтных задач на стыке, потому что владельцы и исполнители — люди с разными интересами.

Распределение ролей также зависит от размера компании. В крупных банках харденингом могут заниматься пять человек в ИБ, а в небольших компаниях это стоит передать ИТ.

Александр Суховей предложил технологическое решение этого конфликта. Он рассказал, что в их продуктах реализована мультитенантная модель — единая точка управления эндпойнтом с единым агентом, но с изолированными тенантами для ИТ и ИБ. Система поддерживает ролевую модель, которая позволяет изолировать вопросы управления и иметь различные модели ролевого доступа в отдельных тенантах. Это позволяет избежать конфликтов и дать каждой стороне нужные полномочия.

Во втором опросе зрители поделились мнением, кто получит больше пользы от внедрения процесса управления конфигурациями в их компании:

• Руководство/бизнес — 43 %.
• ИБ — 29 %.
• ИТ — 24 %.
• Никто — 4 %.

 

Рисунок 3. Кто выиграет от внедрения процесса управления конфигурациями в вашей компании?

 

Как выбрать систему управления конфигурациями

Светозар Яхонтов посоветовал выбирать инструмент исходя из конкретной задачи. Если для решения достаточно безагентного сканера на сетевом оборудовании, следует использовать его. Если требования к системе более сложные, например, необходим сбор данных на уровне ядра или глубокий доступ к системным вызовам, то потребуется решение с агентом или модулем ядра.

Он также предостерёг от подхода, при котором сначала выбирается инструмент, а затем под него подстраиваются процессы и задачи. Такой подход часто приводит к тому, что сотрудники не принимают систему, поскольку не участвовали в её выборе, и в итоге оказывают сопротивление внедрению.

 

Светозар Яхонтов, генеральный директор, Safen Soft

 

Кирилл Евтушенко рекомендовал выбирать специализированные решения, для которых безопасная настройка является основной, а не второстепенной функцией. Крупные платформы, где управление конфигурациями находится на 10–15-м месте по приоритету, не дают нужной гибкости.

Данила Луцив: «Выбирайте платформы, которые дадут консолидированную картину безопасности. Configuration Management без управления уязвимостями и экспозицией вырван из контекста — непонятно, важна эта конфигурация или нет».

Сергей Уздемир рекомендовал перед выбором коммерческого решения попробовать open source-инструменты, с помощью которых можно решить большинство простых задач конфигурирования. Среди проприетарного софта стоит выбирать решение, в котором есть наибольшая гибкость по модификации конфигураций. Также нужно смотреть, насколько у вендора реализованы процессы изменения конфигураций под ваши конкретные цели.

Павел Попов: «Выбирайте систему, которая подойдёт под ваши задачи. У всех цель одна, но процессы разные, поэтому и инструменты могут подходить разные. Если вы изначально закладываете процесс, это снимает половину проблем».

Александр Суховей добавил, что многие продукты развивались из узкоспециализированных решений — удалённый помощник, DLP, управление доступом к съёмным устройствам — и постепенно расширялись до экосистем. Если есть конкретная задача, стоит выбрать компанию, которая изначально фокусировалась на ней и имеет более развитый в этом направлении продукт.

 

Александр Суховей, владелец продукта «Мониторинг и управление», Clearway Integration

 

Процесс и метрики: как измерить эффективность

Павел Попов, несмотря на обилие теоретических подходов к оценке эффективности управления конфигурациями, на практике редко встречает их полноценное внедрение. Чаще всего компании ограничиваются двумя ключевыми показателями: для ИТ-отдела — это время простоя, которое не должно превышать установленный порог, для ИБ-службы — количество выполненных требований.

 

Павел Попов, руководитель группы инфраструктуры безопасности, Positive Technologies

 

Александр Суховей расширил список метрик до бизнес-показателей. Он предложил считать:

• Комплаенс-метрики: количество устройств, прошедших проверку на соответствие требованиям, время на приведение устройств в порядок.
• Операционные: время выдачи новой рабочей станции сотруднику (влияет на то, когда он начнёт приносить пользу).
• DX (Digital Experience, цифровой опыт пользователя): кумулятивный индекс производительности рабочей станции (количество синих экранов, скорость работы ПО).
• Финансовые: количество эндпоинтов на одного сотрудника ИТ или ИБ.

Кирилл Евтушенко в качестве наиболее показательной метрики предложил использовать данные разбора инцидентов. По его мнению, анализ того, послужила ли некорректная конфигурация причиной инцидента, наиболее достоверно отражает эффективность всей системы управления конфигурациями.

Светозар Яхонтов предупредил, что метрики нужно выбирать с осторожностью. Если внедрение процесса только началось, затраты уже есть, а результат ещё не проявился, формальные показатели эффективности могут показать ухудшение, что вызовет сопротивление со стороны руководства. Он посоветовал ориентироваться на метрики, которые ставит бизнес.

Данила Луцив предложил конкретные метрики, заимствованные из Vulnerability Management. Главная — Mean Time to Response (MTTR, среднее время устранения выявленных мисконфигураций). «Смотрите не только чёткий срез, но и тренды. Как мы улучшаем взаимодействие с командой? Как это влияет на даунтаймы?».

«Второй блок — технические метрики: процент покрытия систем конфигурацией. Выберите 2–5 ключевых метрик — дрифт, покрытие, процессные (MTTR) — и смотрите на них на первом этапе внедрения», — рекомендовал он.

 

Данила Луцив, руководитель продуктов направления Vulnerability Management (VS, SPC, ASOC), Security Vision

 

В третьем опросе выяснился главный критерий при выборе отечественной системы управления конфигурациями:

• Интеграция с существующей инфраструктурой — 36 %.
• Функциональность — 27 %.
• Соответствие требованиям регуляторов — 13 %.
• Стоимость — 13 %.
• Масштабирование и производительность — 4 %.
• Расширенная техническая поддержка — 4 %.
• Другое — 3 %.

 

Рисунок 4. Главный критерий при выборе отечественной системы управления конфигурациями?

 

Тренды: ИИ, GitOps и автоматизация будущего

Кирилл Евтушенко: «В ближайшем будущем искусственный интеллект — это только ассистенты. ИТ-сфера довольно консервативна, особенно когда речь идёт о критических изменениях. ИИ поможет понять, что происходит, написать проверку или настройку, но автоматическое исправление дрейфа конфигураций — это перспектива не ближайшего времени».

Павел Попов: «Искусственный интеллект уже пришёл в Offensive Security и начинает не только помогать в поиске уязвимостей, но и участвовать в написании стандартов и требований.

Сейчас его можно использовать как элементарный поиск по документации: формулируешь запрос естественным языком, а ИИ находит нужную информацию и помогает сформулировать требования.

Следующий этап — применение ИИ для непосредственной настройки конфигураций. Отдельно стоит отметить, что требования безопасности к самим ML-моделям — это быстрорастущая область, которая требует внимания».

Сергей Уздемир: «Характер атак меняется. Яркий пример — недавняя эксплуатация уязвимости в устройствах FortiGate, где сочетаются ошибка конфигурации и уязвимость продукта. Системы конфигурирования должны идти от реальных атак, эксплуатируемых злоумышленниками. Они будут всё больше мигрировать в сторону ИБ-решений и предвосхищать подобные сценарии атак».

Данила Луцив: «ИБ неизбежно придётся подхватывать CI/CD и GitOps, которые приходят из ИТ. Kubernetes, Terraform, Argo CD — их поверхность атаки станет зоной ответственности безопасников. В единое окно классического Configuration Management добавятся Open Policy Agent, политики для Kubernetes. Всё это превратится в единую экспозицию, где безопасник будет видеть полную картину».

Светозар Яхонтов: «В одном проекте клиент автоматизировал возврат конфигураций к эталону. Но теперь на каждый скрипт автоматизации нужно писать тест-кейсы и обновлять их при новых релизах. То есть они создали автоматизацию для автоматизации, и теперь это надо поддерживать. Сложность растёт, и здесь ИИ может помочь с тестированием и поддержкой, чтобы система не стала неподъёмной для людей».

Александр Суховей: «Можно выделить два ключевых тренда в области управления эндпоинтами. Во-первых, интеграция средств автоматизации, версионирования и автоматического тестирования в рамках DevOps-подхода. Во-вторых, конвергенция продуктов управления ИТ-конфигурацией с продуктами в области ИБ — IDR, DLP и другими. Продукты UEM (Unified Endpoint Management) начинают конвергенцию с системами безопасности, и этот тренд будет усиливаться».

Финальный опрос показал, планируют ли зрители развивать контроль и управление конфигурациями ПО и оборудования после эфира:

• Планируют запуск новых проектов — 34 %.
• Будут развивать текущие решения — 27 %.
• Возможно, но пока это не приоритет — 18 %.
• Пока не понимают, с чего начать — 12 %.
• Текущий уровень контроля устраивает — 7 %.
• Ничего не поняли, о чём говорили эксперты — 2 %.

 

Рисунок 5. Планируете ли вы развивать контроль и управление конфигурациями ПО после эфира?

 

Выводы

Управление конфигурациями — это про дисциплину изменений и взаимодействие между ИТ и ИБ. Как показала дискуссия, главная проблема лежит не в технической плоскости, а в организационной: отсутствие чёткого процесса, размытые зоны ответственности и попытка решить всё одной системой обрекают проект на провал.

Ключевой вывод эфира — управление конфигурациями невозможно без диалога между ИТ и ИБ. ИТ отвечает за стабильность и применение изменений, ИБ — за формирование безопасных эталонов и контроль рисков. Инструменты с мультитенантной моделью и чёткой ролевой моделью помогают разделить эти зоны, не создавая конфликтов.

Бизнес, в свою очередь, ждёт от управления конфигурациями не абстрактной безопасности, а конкретных результатов: ускорения выхода продуктов на рынок, сокращения простоев и снижения стоимости ошибок изменений. Именно эти метрики, а не количество закрытых проверок, должны стать ориентиром для руководства.

Управление конфигурациями — это не разовая инициатива, а непрерывный процесс. Те, кто выстраивает системную работу с самого начала, получают не только безопасную, но и предсказуемую инфраструктуру, способную быстро адаптироваться к изменениям бизнеса.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!