SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Активы, уязвимости (конспект лекции)

Активы, уязвимости (конспект лекции)
13.12.2020

Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision)

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью» 

Актив – это ресурс, которым владеет или который контролирует бизнес, в материальной или нематериальной форме, используемый для создания экономической выгоды.
 
Актив в контексте ИБ – это сущность, имеющая ценность для организации, использующаяся для достижения целей организации, являющаяся объектом защиты и атаки с целью нарушения свойств безопасности.

 

Активы бывают:

• материальные: программное и аппаратное обеспечение, платформа, устройство;

• нематериальные: информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация.

 

Управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов (т.е. стадии жизненного цикла ИТ-актива).

 

ФСТЭК России:

• Методический документ «Меры защиты информации в государственных информационных системах» - контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4).

• Приказ №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» - осуществление инвентаризации информационных ресурсов (мера АУД.1).

 

Системы CMDB (Configuration Management Database, база данных управления конфигурацией) предназначены для хранения, обработки, поддержания в актуальном состоянии информации об ИТ-активах и их взаимосвязях.

 

Программные (ОС, ПО, файлы) и аппаратные (серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

• бизнес-владелец (business owner) актива,

• риск-владелец (risk owner) актива,

• ответственный за актив со стороны ИТ (IT custodian),

• пользователь,

• выполняемая активом техническая или бизнес-роль/функция,

• зависимый от актива бизнес-процесс,

• местоположение (адрес, этаж, номер стойки в серверной и т.д.),

• конфигурация: FQDN-имя, версия ОС, установленное ПО, IP-адрес, MAC-адрес, объем ОЗУ и т.д.

 

Системы ITAM (IT Asset Management, управление ИТ-активами) – эволюция CMDB-систем для решения следующих задач:

• первоначальное наполнение информацией,

• автоматизированное обогащение и поддержание сведений в актуальном состоянии,

• интеграция с системами, содержащими актуальные сведения об ИТ-активах,

• интеграция с СЗИ для помощи в реагировании на инциденты ИБ.

 

Продукт Security Vision, модуль Управление активами - пример ITAM-системы. В нем используются следующие типы активов, каждый из которых обладает собственным набором атрибутов:

• бизнес-процесс;

• информационная система;

• техническое средство;

• программное обеспечение;

• информация.

 

Модуль позволяет автоматизировать процесс управления активами:

• инвентаризация активов (в ручном, автоматизированном и автоматическом режиме);

• классификация активов;

• определение взаимосвязей между активами;

• определение владельцев и ответственных за обслуживание активов;

• мониторинг сетевой доступности и состояния работоспособности.

 

Автоматический режим инвентаризации реализован при помощи коннекторов данных, применяемых для сбора информации (WMI, PowerShell, WinRM, cmd, bash) и интеграции с существующими ИТ-системами и СЗИ (Active Directory, сканеры уязвимостей, DLP, антивирусные системы, CMDB-системы и т.д.).

 

Возможности модуля:

• сбор и агрегация актуальной информации об активах в едином модуле управления,

контроль сетевой доступности, качества связи и текущего состояния активов.


Скриншот модуля «Управление активами» системы Security Vision:

 2_01.png

 

Альтернативы: сетевые сканеры nmap (Zenmap – версия nmap с графической оболочкой для Windows), ZMap, Masscan, Unicornscan и т.д. Результат – список ответивших устройств с открытыми портами.


2_02.PNG


Уязвимость
- это недостаток программно-технического средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации. Т.е. уязвимость - это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками.

 

Шкала оценок уязвимостей CVSS позволяет описать основные особенности уязвимости и количественно (с помощью формулы) оценить её опасность по значению от 0 (минимум) до 10 (максимально опасная уязвимость).

 

Для расчета характеристики уязвимости описываются в трех группах метрик:

 

1. Базовые метрики, не изменяющиеся со временем и не зависящие от среды функционирования системы, которые подразделяются на:

• метрики эксплуатации - учитываются способ получения доступа, сложность получения доступа, уровень аутентификации в уязвимой системе, степень вовлечения пользователя системы, влияние на другие компоненты той же системы;

• метрики влияния на свойства информационной безопасности актива - учитывается уровень влияния на конфиденциальность, целостность, доступность уязвимого актива.

 

2. Временные метрики, изменяющиеся со временем по факту появления дополнительной информации об уязвимости, которые учитывают:

• возможность эксплуатации (например, наличие готового эксплойта);

• уровень устранения уязвимости (например, наличие официального исправления от разработчика);

• степень достоверности отчета об уязвимости (например, подтверждение от вендора).

 

3. Контекстные метрики, учитывающие конкретную среду функционирования уязвимой системы, которые позволяют:

· модифицировать рассчитанные базовые метрики в привязке к конкретной организации или системе;

· указать требования к свойствам информационной безопасности конкретного актива (его конфиденциальность, целостность, доступность).

   

Пример расчета CVSS v3.1:


2_03.png


Калькуляторы CVSS:

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

https://www.first.org/cvss/calculator/3.1

Расчет по CVSSv2: используется меньше параметров для расчета, менее точная качественная шкала опасности.

 

Пример расчета CVSS для уязвимости Eternal Blue (CVE-2017-0144):

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2017-0144

 

Описание уязвимости на сайте производителя уязвимого ПО:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144

 

Реестры уязвимостей: БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD.

 

БДУ (Банк Данных Угроз) - в ведении ФСТЭК России и ГНИИИ ПТЗИ. Ведется с 2015 года, более 28 тыс. уязвимостей. Идентификаторы вида BDU:ГГГГ-ННННН, где ГГГГ - год обнаружения, а ННННН - порядковый номер уязвимости.

 

CVE (Common Vulnerabilities and Exposures) - в ведении организации MITRE. Ведется с 1999 года, более 141 тыс. уязвимостей. Идентификаторы вида CVE-YYYY-NNNN, где YYYY - год обнаружения, а NNNN - порядковый номер уязвимости.

 

Процесс управления уязвимостями состоит из этапов:

• инвентаризации, классификации и приоритизации ИТ-активов (т.е. процесс управления активами, см. предыдущие слайды);

• анализа текущей защищенности с непрерывным обнаружением хостов и сервисов;

• поиска уязвимостей и их обработки (устранение/минимизация/изоляция/принятие) в соответствии с их опасностью (CVSS-оценка, наличие защитных мер);

• последующей проверки и оценки эффективности пройденных шагов.

 

Документальная поддержка процесса:

• стандарты ИБ для аппаратного и программного обеспечения;

• разработка процедур и регламентов анализа защищенности, тестирования и установки обновлений;

• согласование целевых показателей защищенности систем компании;

• непрерывный контроль соответствия.

 

Инструменты для обеспечения процесса управления уязвимостями:

Сканеры уязвимостей, анализаторы защищенности, ПО для сканирования сетей с дополнительными плагинами.

 

Логика работы: считывание «баннеров» с версией ПО, эвристическое определение версии ПО, аутентифицированное сканирование (опрос ОС для построения списка установленного ПО и настроек системы).

 

Примеры: Tenable Nessus, OpenVAS, Qualys, Rapid7 Nexpose, MaxPatrol (XSpider), RedCheck, Сканер-ВС, nmap (с NSE-скриптами).

   

Пример использования:

                      MaxPatrol 8 - система контроля защищённости и соответствия стандартам


2_04.png


Управление уязвимостями в системе Security Vision:

• интеграция со сканерами уязвимостей (MaxPatrol, RedCheck, Nessus, Qualys) и любым репозиторием уязвимостей;

• определение уязвимого ПО в процессе инвентаризации за счет интеграции с БДУ ФСТЭК (ПО ScanOVAL для автоматизированных проверок наличия уязвимостей программного обеспечения);

• выстраивание процесса управления уязвимостями (все этапы процесса) через конструктор логических объектов с постановкой и контролем задач.


2_05.png

ИБ для начинающих Управление уязвимостями Угрозы ИБ Аудит информационной безопасности Управление ИТ-активами DLP Совместимость КИИ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса