SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Configuration-as-Code

Configuration-as-Code
28.11.2024

Алексей Пешик, Security Vision


За последнее десятилетие мы убедились, что выполнение вручную процессов расследования и реагирования ограничивает нас по скорости, что сильно сказывается на возможности обрабатывать прирастающий с каждым днем поток инцидентов и угроз. Для того, чтобы помочь в решении складывающейся ситуации специалисты ИБ начинают применять в своей практике новые подходы, такие как Everything as Code (EaC), который зародился на базе практик разработки ПО.


Одна из основных проблематик обнаружения инцидентов, процедур Threat hunting и обнаружения угроз (TI) — высокая гранулярность скриптов и функций, необходимость контроля версий и учета изменений. Поэтому инженеры по информационной безопасности, стремясь повысить эффективность детекта и улучшить качество работы переняли лучшие практики из IT-разработки и назвали этот метод Configuration-as-Code. Давайте разберемся, что он из себя представляет.


Что такое обнаружение как код?


Configuration-as-Code (или CI/CD в информационной безопасности) – это разбиение процессов и процедур на максимально атомарные функции, работа с которыми ведется по образу и подобию кода: они отдельно хранятся, редактируются, версионируются, тестируются, анализируются на качество и в последующем используются при необходимости в совершенно разных процессах.


Например, процедура аудита учетной записи:

  • во-первых, разбивается на множество реализаций и версий в зависимости от используемых инструментов;

  • во-вторых, используется одна и та же процедура в разных процессах: в инцидент-менеджменте, в ассет-менеджементе и в любых других по необходимости.


Если разным специалистам надо ее скорректировать, редактироваться будет один и тот же код и все будут видеть правки друг друга.

 

рис 1 2.png


Аналогично концепции Everything as Code (IaC) в Configuration-as-Code (CaC) применяется машиночитаемый формат файлов и описываются масштабируемые модели данных, которые позволяют построить любые инфраструктуры, не ограниченные по объемам, типам и структурам данных.


Здесь можно провести аналогию с DevOps направлением, которое использует практики, помогающие из кирпичиков выстраивать большие сложные pipeline. Так вот, процессы security management также можно декомпозировать, разделить на атомарные функции, многократно переиспользуя четко работающие винтики в большом слаженном механизме.


Подобно рабочему процессу CI/CD, процесс разработки и внедрения функций ИБ должен включать следующие обязательные этапы:

     1. Идентификация логики подозрительного или вредоносного поведения;

     2. Воспроизведение (моделирование) этого поведения в коде. Например, если процесс запущен из нестандартного родителя – сработка;

     3. Написание различных тест кейсов для проверки работоспособности функции;

     4. Включение функции в систему контроля версий;

     5. Сборка, раскатка в прод, сборка билда;

     6. Постоянная поддержка, обновление (процесс поддержки функции ИБ работает в PDCA цикле постоянного обновления и поддержки, для совершенно разных случаев отклонений, нарушений корректности работы).


Эти шаги показывают, что рабочий процесс Configuration-as-Code должен учитывать процедуру улучшения существующего репозитория функций ИБ. При необходимости по каждой функции можно вернуться на первый шаг и обкатать сложные операции вновь через процедуру тестирования и раскатки.


Концепция Detection-as-Code возникла из потребности в автоматизированных, систематически повторяемых и фиксируемых подходах к безопасности, что и является ее ценностью. Ранее обнаружение угроз не было полностью развито как систематическая регулярная дисциплина с эффективной автоматизацией и фиксацией результатов.


Метод обнаружения угроз, адаптированный к конкретным средам и системам, оказывает более мощный эффект. Использование хорошо написанного кода для обнаружения, который можно протестировать и проверить в системе контроля версий, позволяет инженерам создавать более качественные алерты и уменьшать количество ложных срабатываний, снижая выгорание и устраняя лишнюю активность.


Каковы преимущества Configuration-as-Code?

 

рис 2 2.png


Преимущества Configuration-as-Code включают:

     1. Создание собственных гибких средств обнаружения с помощью языка программирования;

     2 Применение подхода разработки через тестирование (TDD);

     3. Интеграция с системами контроля версий;

     4. Автоматизация рабочих процессов;

     5. Повторное использование кода.


Написание обнаружений на распространённом, гибком и удобном языке, таком как Python, имеет множество преимуществ.


Удобство и простота


Вместо использования предметно-ориентированных языков с некоторым набором ограничений, вы можете создавать более индивидуализированные и сложные методы обнаружения, соответствующие конкретным потребностям вашей инфраструктуры. Эти языковые правила также часто более читабельны и просты для понимания, что может иметь решающее значение по мере увеличения сложности.


За вас уже многое разработано


Дополнительное преимущество использования распространённого языка заключается в доступе к богатому набору встроенных или сторонних библиотек, разработанных другими специалистами по безопасности. Например, библиотеки для взаимодействия с API значительно повышают эффективность обнаружения и автоматизации.


TDD


Обеспечение качества кода обнаружения помогает выявить «слепые зоны», проверить ложные срабатывания и повысить эффективность обнаружения. Подход TDD позволяет командам безопасности предугадывать действия злоумышленников, документировать полученные знания и создавать библиотеку аналитических данных о стратегии злоумышленников и их маршрутах.


Кроме того, подход TDD улучшает качество кода обнаружения, делая его более модульным, расширяемым и гибким. Инженеры могут легко вносить изменения в свой код, не опасаясь нарушить работу алертов или ослабить безопасность инфраструктуры.


Системы контроля версий


При написании или изменении обнаружений в виде кода, контроль версий позволяет специалистам быстро вернуться к предыдущим состояниям в случае ошибок. Также контроль версий может предоставить необходимую информацию для конкретных обнаружений, которые вызывают алерты, или помогает идентифицировать изменения в обнаружениях.


Методы обнаружения должны эволюционировать по мере поступления новых данных. Контроль изменений — это важный процесс, помогающий командам корректировать обнаружения по мере необходимости. Эффективный процесс контроля изменений улучшает качество документирования и проверку всех изменений.


Автоматизация процессов безопасности


Инженеры по информационной безопасности, ожидавшие сдвиг в автоматизации, получат преимущества от интеграции конвейера CI/CD. Внедрение этого метода на ранних этапах процесса доставки помогает достичь двух целей:

  • Устранение разрозненности между командами, которые работают на общей платформе и проверяют код друг друга;

  • Обеспечение автоматизированных систем тестирования и доставки для обнаружения нарушений безопасности. Команды безопасности сохраняют гибкость, уделяя особое внимание созданию точных систем обнаружения.


Переиспользование своей работы


Наконец, Detection-as-Code способствует повторному использованию кода для широкого спектра обнаружений. По мере того, как инженеры по информационной безопасности пишут код для обнаружения, они начинают выявлять неочевидные закономерности и неоднократные повторения процедур. Эта декомпозиция дает возможность оптимизировать процесс и повторно переиспользовать код в аналогичных кейсах в других детектах.


Заключение


Каждая инфраструктура уникальна и требует индивидуального подхода к методам обнаружения. Концепция Detection-as-Code (DaC) позволяет инженерам ИБ создавать индивидуальные правила, регулярно проводя улучшения за счет тестирования кода, управляя версиями с помощью различных программных средств. Гибкость и надежность языков программирования позволяет выявлять как простые, так и сложные действия злоумышленников, обеспечивая при этом необходимое обогащение контекста. В рамках этого подхода специалисты даже структурируют и нормализовывают журналы в строгую схему для выполнения SQL-запросов, что помогает в исследовании отказоустойчивости при обработке больших объемов данных о событиях безопасности.


Обнаружение как код (DaC) занимает свое заслуженное место рядом с инфраструктурой как код (IaC) в рамках быстро развивающейся концепции "Everything as Code" (EaC), где каждый уровень стека выражается посредством кода.

 

TIP Управление ИБ Практика ИБ

Рекомендуем

Сканер уязвимостей
Сканер уязвимостей
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Геймификация и управление персоналом
Геймификация и управление персоналом
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Рекомендуем

Сканер уязвимостей
Сканер уязвимостей
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Геймификация и управление персоналом
Геймификация и управление персоналом
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре