SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API

Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
20.09.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision 


В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.


Для борьбы с киберугрозами в 2015 году в Банке России было создано специальное структурное подразделение - Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). На текущий момент в информационном обмене с ФинЦЕРТ участвует более 800 организаций.


ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:

  • Организует и координирует обмен информацией в сфере кибербезопасности

  • Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы

  • Инициирует блокировку сайтов, содержащие противоправный контент

  • Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.


Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).


Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:

  • Получение информации об инциденте или угрозе от участника информационного обмена

  • Проведение анализа полученной информации

  • Подготовка информационного бюллетеня с рекомендациями

  • Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.



1122.png



С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.


REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).


У некоторых программных продуктов класса SIEM, IRP/SOAR есть настроенные коннекторы API к ЛК АСОИ ФинЦЕРТ, которые позволяют сократить время и трудозатраты на отправку и получение информации организациями-участниками. Инциденты, обнаруженные и обрабатываемые этими решениями, могут быть отправлены в ФинЦЕРТ почти сразу после небольших автоматических преобразований и в некоторых случаях дополнений со стороны пользователя. А в части полученной информации по фидам из бюллетеней через API программные решения позволяют автоматически обогатить сигнатурные базы различных инфраструктурных СЗИ организации - участника информационного обмена.


Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:

  • EXT – если атака направлена на клиента организации-участника

  • INT – если атака направлена на инфраструктуру организации-участника.


В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.


Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»


Наименование

Код

Вектор

1

Использование вредоносного программного обеспечения

malware

EXT

2

Использование методов социальной инженерии

socialEngineering

EXT

3

Эксплуатация уязвимостей информационной инфраструктуры

vulnerabilities

EXT

4

Реализация спам рассылки

spams

EXT

5

Взаимодействие с центрами бот-нет сетей

controlCenters

EXT

6

Изменения IMSI на SIM-карте, смена IMEI телефона

sim

EXT

7

Использование фишинговых ресурсов

phishingAttacks

EXT

8

Размещение запрещенного контента в сети «Интернет»

prohibitedContents

EXT

9

Размещение вредоносного ресурса в сети

«Интернет»

maliciousResources

EXT

10

Иная компьютерная атака

other

EXT

11

Изменение маршрутно-адресной информации

trafficHijackAttacks

INT

12

Использование вредоносного программного обеспечения

malware

INT

13

Реализации атаки типа «отказ в обслуживании»

ddosAttacks

INT

14

Реализации несанкционированного доступа к банкоматам и платежным терминалам

atmAttacks

INT

15

Эксплуатация уязвимостей информационной инфраструктуры

vulnerabilities

INT

16

Компрометация аутентификационных/учетных данных

bruteForces

INT

17

Реализация спам рассылки

spams

INT

18

Взаимодействие с центрами бот-нет сетей

controlCenters

INT

19

Использование фишинговых ресурсов

phishingAttacks

INT

20

Размещение запрещенного контента в сети «Интернет»

prohibitedContents

INT

21

Размещение вредоносного ресурса в сети «Интернет»

maliciousResources

INT

22

Выполнение изменения контента

changeContent

INT

23

Выполнение сканирования портов

scanPorts

INT

24

Иная компьютерная атака

other

INT



Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:

  • Создание запроса об изменении карточки участника

  • Создание запроса об уязвимости

  • Создание запроса о публикации

  • Регистрация запроса о блокировке корреспондентского счета

  • Регистрация запроса на анализ ВПО.


Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.


Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».


АС «Фид-Антифрод» реализует следующие основные функции:

  • осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)

  • осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.


Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.


Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.


Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.


123.png



Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:

  • Осуществление отправки сообщения об инциденте с операцией без согласия клиента

  • Получение запросов от ФинЦЕРТ по операциям без согласия клиента

  • Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента

  • Получение отчетов о приостановлении зачисления средств.


Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *


*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.


Подкасты ИБ Стандарты ИБ Финцерт Финансы в ИБ

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Управление ИТ-активами
Управление ИТ-активами
Интернет вещей и его применение
Интернет вещей и его применение
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Управление ИТ-активами
Управление ИТ-активами
Интернет вещей и его применение
Интернет вещей и его применение
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Похожие статьи

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Уязвимости
Уязвимости

Похожие статьи

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Уязвимости
Уязвимости