SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API

Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
20.09.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision 


В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.


Для борьбы с киберугрозами в 2015 году в Банке России было создано специальное структурное подразделение - Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). На текущий момент в информационном обмене с ФинЦЕРТ участвует более 800 организаций.


ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:

  • Организует и координирует обмен информацией в сфере кибербезопасности

  • Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы

  • Инициирует блокировку сайтов, содержащие противоправный контент

  • Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.


Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).


Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:

  • Получение информации об инциденте или угрозе от участника информационного обмена

  • Проведение анализа полученной информации

  • Подготовка информационного бюллетеня с рекомендациями

  • Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.



1122.png



С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.


REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).


У некоторых программных продуктов класса SIEM, IRP/SOAR есть настроенные коннекторы API к ЛК АСОИ ФинЦЕРТ, которые позволяют сократить время и трудозатраты на отправку и получение информации организациями-участниками. Инциденты, обнаруженные и обрабатываемые этими решениями, могут быть отправлены в ФинЦЕРТ почти сразу после небольших автоматических преобразований и в некоторых случаях дополнений со стороны пользователя. А в части полученной информации по фидам из бюллетеней через API программные решения позволяют автоматически обогатить сигнатурные базы различных инфраструктурных СЗИ организации - участника информационного обмена.


Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:

  • EXT – если атака направлена на клиента организации-участника

  • INT – если атака направлена на инфраструктуру организации-участника.


В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.


Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»


Наименование

Код

Вектор

1

Использование вредоносного программного обеспечения

malware

EXT

2

Использование методов социальной инженерии

socialEngineering

EXT

3

Эксплуатация уязвимостей информационной инфраструктуры

vulnerabilities

EXT

4

Реализация спам рассылки

spams

EXT

5

Взаимодействие с центрами бот-нет сетей

controlCenters

EXT

6

Изменения IMSI на SIM-карте, смена IMEI телефона

sim

EXT

7

Использование фишинговых ресурсов

phishingAttacks

EXT

8

Размещение запрещенного контента в сети «Интернет»

prohibitedContents

EXT

9

Размещение вредоносного ресурса в сети

«Интернет»

maliciousResources

EXT

10

Иная компьютерная атака

other

EXT

11

Изменение маршрутно-адресной информации

trafficHijackAttacks

INT

12

Использование вредоносного программного обеспечения

malware

INT

13

Реализации атаки типа «отказ в обслуживании»

ddosAttacks

INT

14

Реализации несанкционированного доступа к банкоматам и платежным терминалам

atmAttacks

INT

15

Эксплуатация уязвимостей информационной инфраструктуры

vulnerabilities

INT

16

Компрометация аутентификационных/учетных данных

bruteForces

INT

17

Реализация спам рассылки

spams

INT

18

Взаимодействие с центрами бот-нет сетей

controlCenters

INT

19

Использование фишинговых ресурсов

phishingAttacks

INT

20

Размещение запрещенного контента в сети «Интернет»

prohibitedContents

INT

21

Размещение вредоносного ресурса в сети «Интернет»

maliciousResources

INT

22

Выполнение изменения контента

changeContent

INT

23

Выполнение сканирования портов

scanPorts

INT

24

Иная компьютерная атака

other

INT



Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:

  • Создание запроса об изменении карточки участника

  • Создание запроса об уязвимости

  • Создание запроса о публикации

  • Регистрация запроса о блокировке корреспондентского счета

  • Регистрация запроса на анализ ВПО.


Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.


Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».


АС «Фид-Антифрод» реализует следующие основные функции:

  • осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)

  • осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.


Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.


Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.


Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.


123.png



Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:

  • Осуществление отправки сообщения об инциденте с операцией без согласия клиента

  • Получение запросов от ФинЦЕРТ по операциям без согласия клиента

  • Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента

  • Получение отчетов о приостановлении зачисления средств.


Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *


*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.


Подкасты ИБ Стандарты ИБ Финцерт Финансы в ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют