Как CMDB улучшает корпоративную кибербезопасность

07/01/2025

Риски и угрозы для безопасности предприятий растут, поскольку компании активно добавляют устройства и расширяют сети от ядра до периферии для поддержки цифровизации, работы искусственного интеллекта (ИИ) и внедрения инноваций. 
 

Чаще всего, к тематике CMDB мы обращаемся, когда речь идёт об управлении ИТ-инфраструктурой, мониторинге и решении инцидентов, но есть и другие важные сценарии использования – например, CMDB используется командами разработки инфраструктурных приложений и, конечно, командами информационной безопасности. 


Эта статья дает обзор того, как ИТ- и команды информационной безопасности (ИБ) могут использовать базы данных управления конфигурациями (CMDB) для улучшения ключевых процессов и повышения уровня безопасности, таких как:

  • Улучшение видимости активов и инвентаризации: Современные CMDB предоставляют возможности обнаружения активов в реальном времени с использованием безагентских и агентских методов, а также картируют зависимости и потоки данных. Это обеспечивает ценную информацию, которую команды могут использовать для планирования инициатив по устранению угроз, а также для быстрого решения проблем безопасности.
  • Улучшение управления уязвимостями: Отчеты CMDB помогают ИТ- и командам безопасности обнаруживать распространенные уязвимости, такие как теневые ИТ, устаревшее программное и аппаратное обеспечение с известными проблемами и многое другое. Эта информация позволяет ИТ-командам эффективно устранять уязвимости, исправлять ошибки или выводить устройства из эксплуатации.
  • Повышение эффективности реагирования на инциденты: Данные CMDB могут автоматически передаваться и интегрироваться с другими платформами безопасности, а также с платформами управления ИТ-услугами, что упрощает выявление взаимосвязей, оперативное расследование и устранение инцидентов.
  • Усиление контроля доступа и управления привилегированными учетными записями: Благодаря строгим правилам и журналам аудита, ИТ-команды могут управлять действиями пользователей с устройствами и внедрять наилучшим образом планировать стратегии предоставления минимально необходимых привилегий.
  • Обеспечение соответствия требованиям и готовности к аудитам: Правильно настроенные CMDB уникальны тем, что содержат всю релевантную ИТ-информацию в одном месте. Это позволяет ИТ- и командам по соответствию быстро генерировать отчеты, чтобы удовлетворять нормативным требованиям и поддерживать непрерывное соответствие 24/7.

Использование интеграции и автоматизации: CMDB интегрируются с распространенными платформами безопасности и автоматизируют создание отчетов, что позволяет командам быстро и последовательно обнаруживать различные проблемы.
Использование CMDB помогает предприятиям не только укрепить свою киберзащиту, но и упростить процессы управления безопасностью в условиях постоянно меняющейся цифровой среды.
 

Использование CMDB для обнаружения активов и управления инвентаризацией


Атаки с использованием искусственного интеллекта (ИИ) увеличились на 51% за этот год, причем злоумышленники все чаще применяют фишинг, вредоносное ПО, программы-вымогатели и атаки на пароли. В ответ предприятия активизируют свои усилия по выявлению и снижению рисков и угроз. Одним из самых мощных инструментов в арсенале ИТ-команд является система, которая, вероятно, используется ежедневно — база данных управления конфигурацией (CMDB).


С ростом сложности и масштабов сетей их мониторинг и управление становятся все более сложной задачей. В такой ситуации система дискаверинга и наполнения CMDB автоматически обнаруживает активы, отслеживает изменения их конфигураций во времени. Это позволяет департаменту управления ИТ-инфраструктурой проактивно выявлять и устранять риски, такие как новые уязвимости, обнародованные поставщиками, а также своевременно применять патчи и другие исправления.


CMDB помогает ИТ-командам отслеживать активы практически в режиме реального времени. Система дискаверинга использует безагентские и агентские методы для обнаружения всего оборудования, программного обеспечения, виртуальных и облачных активов, обновляя данные по расписанию или в непрерывном режиме. Такой сбор данных об инфраструктуре помогает командам визуализировать все существующие активы, отслеживать их зависимости и взаимодействия, а также планировать и оценивать конфигурации и изменения. Благодаря этой информации ИТ-отделы могут выявлять риски, такие как:

  • Теневое ИТ: По мере внедрения новых приложений и технологий риски теневых ИТ возрастают. По прогнозам Gartner, к 2027 году 75% сотрудников будут приобретать, изменять или создавать технологии вне контроля ИТ-отдела (в сравнении с 41% в 2022 году).
    Теневые ИТ включают неутвержденные SaaS-приложения, неправильно настроенные или заброшенные хранилища данных в облачных сервисах, таких как Amazon S3, Google Cloud Storage и Azure Blob Storage; брошенные виртуальные машины и неиспользуемые базы данных, например Amazon RDS, Google Cloud SQL или Azure SQL Database. CMDB помогает выявить эти активы, чтобы ИТ-отделы могли принять решение об их управлении, защите или выводе из эксплуатации.
  • Устаревшее программное обеспечение и патчи: CMDB отслеживает версии программного обеспечения и уровни обновлений в сравнении с известными уязвимостями и патчами, быстро выявляя пробелы. Это позволяет ИТ-командам приоритизировать обновления по уровню риска, снижая уязвимости.
  • Аппаратное и программное обеспечение с истекающим сроком службы: Информация в CMDB включает статус жизненного цикла всех активов, позволяя ИТ-командам заранее выявлять оборудование, приближающееся к окончанию срока службы или поддержки. Эти данные помогают обосновать запросы на поддержку и бюджет для новых систем, а также вовремя выводить из эксплуатации устаревшие технологии.
  • Несанкционированные изменения: CMDB хранит актуальные записи обо всех утвержденных конфигурациях устройств. Это позволяет ИТ-командам выявлять несанкционированные изменения в конфигурациях активов, сравнивая текущие настройки с базовыми, и быстро устранять их.
  • Отклонение конфигурации: Устройства постоянно перенастраиваются, что может приводить к отклонениям от утвержденных базовых конфигураций. CMDB помогает обнаруживать такие отклонения, активируя оповещения или автоматические действия по восстановлению конфигураций до базового состояния.
     

Используя эту информацию, ИТ-операционные команды могут сотрудничать с коллегами из отдела кибербезопасности для устранения известных рисков, повышая уровень безопасности и производительность сети.

Улучшение кибербезопасности за счет более эффективного управления уязвимостями


Недавний опрос, проведенный среди компаний из списка Fortune 500, показал, что 98% из них имеют критически уязвимые активы, в среднем 476 на одну организацию. Почти две трети (62%) также имеют рискованные соединения. Кроме того, 95% компаний используют истекшие сертификаты, а 8% имеют открытые страницы входа, доступные через HTTP.


Эти проблемы усугубляются по мере того, как руководители предприятий отдают приоритет экспериментам с данными и ИИ, а также быстрому внедрению новых приложений. В прошлом году количество выявленных уязвимостей в ИТ-системах достигло рекордного уровня — более 29 000 по всему миру.


CMDB помогает ИБ-омандам планировать, приоритизировать и исполнять инициативы по управлению уязвимостями, сосредотачиваясь на устранении наиболее рискованных и важных проблем. Использование CMDB также позволяет применять подход непрерывного улучшения, что помогает сократить потенциальные точки атак благодаря проактивному управлению уязвимостями.

 

Повышение эффективности реагирования на инциденты с помощью данных CMDB


Команды управления ИТ-услугами (ITSM) могут интегрировать инструменты CMDB с популярными приложениями ITSM, такими как Freshservice, ServiceNow, Jira Software, BMC Helix ITSM и другими. (Например, Device42, популярное решение CMDB и ITAM, поддерживающее такие интеграции, недавно было приобретено компанией Freshworks, материнской организацией Freshservice.)


Имея доступ к комплексной, актуальной информации об активах, включая их расположение, тип устройств, владельцев, зависимости, потоки данных, недавние изменения и конфигурации, ITSM-команды могут сэкономить время, которое обычно уходит на сбор данных об инцидентах. Вместо этого они могут использовать автоматизированные процессы, управляемые CMDB, для расследования инцидентов и их устранения, а также для отслеживания их прогресса и разрешения.


Кроме того, доступ к данным CMDB позволяет проводить анализ первопричин, что помогает предотвращать повторение инцидентов. Это сокращает время реагирования, улучшает качество устранения проблем и укрепляет общую безопасность корпоративных ИТ-систем.



Управление доступом и привилегированными учетными записями (PAM)


Знание того, кто имеет доступ и права на изменения для каждого типа устройств, играет ключевую роль в повышении безопасности сети. Используя данные CMDB, команды могут пересматривать политики контроля доступа и ограничивать использование привилегированных учетных записей только теми, кто действительно в них нуждается. Многие команды сегментируют доступ по регионам, бизнес-подразделениям, типам устройств и уровням привилегий. Например, сотрудник отдела управления ИТ-инфраструктурой может получить права на настройку сетевых устройств только в регионе EMEA.


Кроме того, ИТ-команды могут внедрять принципы минимально необходимых привилегий на основе данных CMDB. Например, некоторые заинтересованные стороны могут нуждаться только в правах просмотра и создания отчетов, что помогает минимизировать риски, связанные с чрезмерным доступом.



Обеспечение соответствия требованиям и готовности к аудитам с помощью CMDB


Предприятия обязаны соблюдать отраслевые и региональные нормы, а также требования клиентов, что влияет на то, как они хранят, используют и передают данные. В США такие нормы включают Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Стандарт безопасности данных индустрии платежных карт (PCI-DSS). В Европейском союзе Общий регламент о защите данных (GDPR) устанавливает строгие требования по защите данных резидентов Европейской экономической зоны.


Команды управления ИТ-инфрастурктурой могут использовать CMDB для мониторинга и управления физическими устройствами, программным обеспечением, виртуальными и облачными активами, а также для отслеживания их зависимостей и потоков данных. Это, например, позволяет гарантировать, что данные соответствуют региональным требованиям к хранению.


Благодаря видимости в реальном времени, включая устройства и их взаимосвязи, ИТ-команды могут обеспечить соответствие нормативным требованиям, подготовиться к аудитам и предоставить ключевым заинтересованным сторонам документацию о том, как устройства соответствуют требованиям. В случае вопросов, отчетность CMDB может предоставить детализированную информацию о том, какие изменения и конфигурации были сделаны с ключевыми устройствами, когда и кем.


Это повышает уровень доверия, упрощает подготовку к проверкам и способствует соблюдению стандартов безопасности и конфиденциальности данных.
 

Использование интеграции и автоматизации для усиления кибербезопасности


CMDB способствует улучшению кибербезопасности благодаря множеству возможностей. Как и инструменты ITSM, данные CMDB интегрируются с платформами управления инцидентами и событиями безопасности (SIEM), что позволяет объединять данные аудита и выявлять аномалии в производительности, которые могут указывать на вторжения.


Например, ИТ команды могут автоматически создавать индивидуальные отчеты, такие как:

  • Программное обеспечение по типу устройства
  • Устройства, к которым есть доступ с внешних IP-адресов
  • Устройства, содержащие потенциально идентифицируемую персональную информацию (PII), имеющие публичные IP-адреса
  • Устройства, использующие часто эксплуатируемые порты
  • Устройства с несоответствиями между рабочими и тестовыми средами
  • Устройства без операционных систем
  • Устройства с операционными системами, но без установленного программного обеспечения
  • Устройства с запрещенным программным обеспечением
  • Сетевые данные для IP-адресов без подключенных устройств


Эта информация предоставляет командам безопасности более широкий обзор теневых ИТ, потенциальных уязвимостей PII и других рисков, которые требуют расследования и устранения. Дополнительно можно настроить автоматические уведомления для немедленного реагирования, например, при обнаружении запрещенного программного обеспечения.


Оптимизация управления безопасностью с помощью Device42


По мере роста сетей команды безопасности сталкиваются с необходимостью управления все большим количеством устройств. Для эффективного выявления и устранения рисков и пробелов командам необходимо сотрудничать с другими заинтересованными сторонами, такими как ИТ-операционные группы.


Современные CMDB, такие как Device42, предлагают автоматическое обнаружение активов и построение карты зависимостей, что значительно улучшает работу кросс-функциональных команд. Эти возможности позволяют быстрее устранять проблемы, повышая уровень безопасности компании.


Автоматизация и интеграция, реализованные с помощью CMDB, не только ускоряют реагирование на угрозы, но и обеспечивают более высокий уровень управления кибербезопасностью в условиях сложных и растущих ИТ-инфраструктур.