Прежде чем внедрять СЗИ, критически важно определить объект защиты. Без единого понимания, что является цифровым активом, и без выстроенного процесса управления активами невозможно построить эффективную и измеримую систему защиты.

Что такое цифровой актив?

Цифровой актив — это не только ПК и серверы. Это любое устройство, которое передает, обрабатывает или хранит информацию.

Задача ИБ — обеспечить охват требованиями и контролями любой такой актив, поскольку вектор атаки может быть любым.

Стратегия, а не просто покупка сканера

Управление активами не сводится к приобретению сканера. Типовая ошибка — купить инструмент и сразу запустить сканирование без подготовки. В первую очередь нужна стратегия и платформа для консолидации данных — единый контур учёта активов (CMDB/ITAM-репозиторий, на базе Open Source или коммерческого решения). Без единого «озера данных», куда будет стекаться информация из всех источников, инвентаризация превращается в бесконечный поток разрозненных находок и не даёт управляемого результата.

Как собирать данные? Три уровня.

*️⃣ Активное сканирование (Nmap и т.п.) — даёт базовую картину, но ограничено сегментацией сети и в крупной инфраструктуре работает медленно/неполно (часто видит «IP/порт», но не владельца и не роль актива).

*️⃣ Агентский сбор — агенты на узлах сами передают сведения (ОС, ПО, версии, серийники, пользователи, процессы). Это быстрее, точнее и проще масштабируется, критично заранее определить перечень собираемых атрибутов и частоту отправки.

*️⃣ Self-made / обогащение — повышение качества данных за счёт корреляции, парсинг OUI/MAC для определения типа устройства (принтер/камера/IoT), сверка с источниками EDR/антивируса, DLP, DHCP/DNS, AD/IdP, виртуализацией и сетевым оборудованием. Такой слой превращает «находки» в управляемые активы (тип, владелец, критичность, контур, статус).

Сопоставляя данные из разных источников, вы повышаете уровень доверия к активу. Если информация подтверждена 3 – 5-ю источниками — ей можно верить.

Нельзя просто накопить данные. Нужна ротация, устаревшие записи должны уходить, новые — появляться. Иначе в системе окажутся десятки тысяч «мертвых» узлов.

Категоризация и приоритизация

Разделите активы на группы — внешний периметр, критичные серверы с ПДн, АСУ ТП и проч.
Это позволяет:

*️⃣ Вырабатывать конкретные требования для каждой группы.
*️⃣ Расставлять приоритеты — сначала закрываем дыры на серверах, торчащих наружу, а потом уже занимаемся камерами.

Автоматизированный контроль и глубина

Контроль — финальный этап, замыкающий цикл. Недостаточно один раз настроить безопасность. Нужен инструментарий, который автоматически проверяет соответствие текущих настроек эталонным (например, не изменил ли администратор версию TLS с 1.3 на 1.1).

Глубина контроля подразумевает максимальный сбор метрик. Например, проверка работы антивируса — мало знать, что он установлен. Нужно контролировать, когда он последний раз соединялся с сервером управления, обновлены ли сигнатурные базы, включен ли он в данный момент.

Алертинг как результат

Выстроив все этапы, мы переходим к алертингу. Офицер безопасности больше не должен вручную инвентаризировать или проверять статусы. Система сама сигнализирует об отклонениях — «антивирус отключен на узле». Это позволяет реагировать на инциденты (будь то сбой или действие злоумышленника), а не тонуть в ворохе данных.

Презентация и запись выступления доступны по ссылкам ниже — рекомендуем посмотреть для более детального погружения в тему цифровых активов.

Спикер: