SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
02.12.2020


Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020


Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»


Дорогие друзья! Как вы, возможно, знаете, ведущие специалисты ГК «Интеллектуальная безопасность» проводят обучение студентов МГТУ им. Н.Э. Баумана по дисциплине «Автоматизация процессов управления информационной безопасностью».


Мы в Security Vision стремимся вносить посильный вклад в развитие ИТ-отрасли. Поэтому решили расширить сферу своей образовательной деятельности, сделав конспекты лекций наших экспертов доступными всем желающим. Уверены, что они будут полезны не только начинающим ИБ-специалистам - их более опытные коллеги тоже найдут в этих материалах немало интересного.


Так что теперь в нашем блоге мы будем регулярно выкладывать конспекты лекций в рамках цикла Конспекты лекций по дисциплине «Автоматизация процессов управления информационной безопасностью». Мы распространяем их в соответствии с CC BY 4.0 - свободной лицензией, которая позволяет распространять материалы, если указана ссылка на автора / правообладателя (подробнее на https://creativecommons.org/licenses/by/4.0/deed.ru).


Защита информации – это обеспечение

1) целостности,

2) конфиденциальности,

3) доступности информационных ресурсов (информация и средства её обработки).

 

Дополнительными свойствами информации в состоянии защищенности являются:

4) неотказуемость,

5) подлинность,

6) подотчетность.

 

Угроза безопасности информации – это потенциальная причина возникновения нежелательного инцидента информационной безопасности, который может нанести ущерб активам и нарушить состояние защищенности информации (одного из 6 свойств выше). Инциденту может предшествовать несанкционированное изменение состояния актива, называющееся событием информационной безопасности.

 

Моделирование угроз — это идентификация всех угроз, которые могут нанести ущерб активам, и векторов атак, которые могут быть использованы источниками угроз для нанесения ущерба.

 

Ущерб:

прямой – непосредственные очевидные и легко прогнозируемые потери компании;

непрямой – потери качественные (снижение эффективности деятельности, потеря клиентов) или косвенные (недополученная прибыль, потеря деловой репутации).

 

Угроза безопасности информации возникает при наличии следующих взаимосвязанных компонентов:

1) источник угрозы,

2) уязвимость актива,

3) способ реализации угрозы,

4) объект воздействия,

5) вредоносное воздействие и его последствия.

 

1. Источники угрозы:

внешние или внутренние (по отношению к рассматриваемому объекту защиты) нарушители, третьи лица, силы природы.

 

Внешние нарушители не имеют легитимного доступа к объекту защиты, т.е. не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными юридическими отношениями с рассматриваемой организацией.


Меры противодействия: весь спектр способов обеспечения информационной безопасности; проведение оценки подверженности компании риску атаки со стороны внешних злоумышленников.

 

Внутренние нарушители - сотрудники и руководители компании, а также юридические лица, которые имеют договорные отношения с компанией; отличаются хорошими знаниями о работе атакуемого актива, имеют или могут получить к нему доступ, зачастую санкционированный и с расширенными полномочиями.

Условная градация инсайдеров:

  • халатные,

  • саботирующие,

  • увольняющиеся,

  • целенаправленные.


Меры противодействия: технические (DLP, IAM, в т.ч. для борьбы с попавшими в ЛВС внешними атакующими), физические (СКУД, CCTV), организационные. Оценка подверженности риску. Управление аутсорсерами, в т.ч. провайдерами услуг, которые могут использоваться как плацдарм для дальнейшей атаки («атаки на цепочки поставок»).

 

Третьи лица, силы природы – еще одна категория нарушителей.

Меры противодействия: соблюдение законодательства, процедуры обеспечения непрерывности деятельности и восстановления работоспособности, учебные тревоги, страхование.

 

МН по ФСБ РФ («Методические рекомендации по разработке НПА для угроз безопасности ПДн», 2015 г.):

Нарушители:

  1. Возможность проводить атаки за пределами КЗ.

  2. Возможность проводить атаки в пределах КЗ без физического доступа к СВТ.

  3. Возможность проводить атаки в пределах КЗ с физическим доступом к СВТ.

  4. Возможность привлекать специалистов для анализа ПЭМИН.

  5. Возможность привлекать специалистов для использования НДВ в прикладном ПО.

  6. Возможность привлекать специалистов для использования НДВ в ПО/АО.

 

Дальнейшее применение МН:

Построение модели угроз (МУ), выбор классов СЗИ, СКЗИ.

 

В целом:

Проводится оценка наличия способов, мотивов, возможностей злоумышленников.

 

Пример списка нарушителей для финансового учреждения:

 

Внешние нарушители:

  • Посетитель веб-сайта (случайный / зарегистрированный клиент);

  • Хакеры-самоучки низкой квалификации;

  • Киберпреступники «среднего звена»;

  • Нанятые конкурентами злоумышленники;

  • Высококвалифицированные хакеры, международные хакерские группы;

  • Организованные группы киберсолдат и киберармии.

 

Внутренние:

  • Инсайдеры разного уровня доступа (пользователи, администраторы, архитекторы) и разной степени лояльности;

  • Нанятые конкурентами/хакерами инсайдеры.

 

Третьи лица:

Государственные контролирующие органы.

 

Силы природы:

Стихийные бедствия (природные и техногенные катастрофы: потопы, пожары, землетрясения); социальные катастрофы (эпидемии, теракты, вооруженные конфликты).

 

2. Уязвимости

 

ГОСТ Р 56546-2015:

Уязвимость - это недостаток программно-технического средства или информационной системы в целом, который может быть использован для реализации угроз безопасности информации.

 

ISO/IEC 27000:2018:

Уязвимость – это слабое место актива или средства контроля и управления, которое может быть использовано злоумышленниками.

 

Возможные типы уязвимостей (по ГОСТ Р 56546-2015):

  • уязвимость кода - уязвимость, появившаяся в процессе разработки программного обеспечения;

  • уязвимость конфигурации - уязвимость, появившаяся в процессе настройки программного обеспечения и технических средств;

  • уязвимость архитектуры - уязвимость, появившаяся в процессе проектирования информационной системы;

  • организационная уязвимость - уязвимость, связанная с недостатками организационных мер, такими как несоблюдение сотрудниками правил эксплуатации системы или требований нормативных документов;

  • многофакторная уязвимость - уязвимость, появившаяся в результате комбинации нескольких уязвимостей перечисленных типов.

 

Потенциальные места возникновения уязвимостей (по ГОСТ Р 56546-2015):

  • уязвимости в общесистемном ПО - в операционных системах, СУБД, файловых системах, драйверах;

  • уязвимости в прикладном ПО - во всех тех программах, которые может установить и запускать пользователь;

  • уязвимости в специальном ПО - в программах, разработанных для решения специфических задач данной системой;

  • уязвимости в технических средствах - в прошивках, BIOS, микроконтроллерах;

  • уязвимости в портативных технических средствах - в мобильных устройствах и приложениях для них, а также в аппаратном обеспечении данных устройств;

  • уязвимости в сетевом оборудовании - в маршрутизаторах, коммутаторах, модемах и т.д.;

  • уязвимости в средствах защиты информации.

 

Уязвимость характеризуется степенью своей опасности, которая стандартом ГОСТ Р 56546-2015 определяется как сравнительная величина, характеризующая подверженность информационной системы уязвимости и ее влияние на нарушение свойств безопасности информации (конфиденциальность, целостность, доступность).

 

Шкала оценок уязвимостей CVSS (v2, v3), реестры уязвимостей (БДУ ФСТЭК, MITRE CVE, NIST NVD, CERT/CC NVD).

 

3. Способы (методы) реализации угроз (по методике ФСТЭК России)

  • несанкционированный сбор информации - сбор и кража информации об объекте воздействия;

  • исчерпание ресурсов - намеренное злоупотребление ресурсами системы для нарушения её функционирования;

  • инъекция - установление контроля над атакуемой системой с помощью манипулирования входными данными;

  • подмена при взаимодействии - умышленное искажение представления источника угрозы как доверенного субъекта; 

  • манипулирование сроками и состоянием - искажение параллельно выполняющегося потока задач путем нарушения временной синхронизации или информации о состоянии системы;

  • злоупотребление функционалом - деструктивное использование штатных функций системы;

  • вероятностные методы - использование вероятностных методов для изучения и преодоления механизмов безопасности системы;

  • нарушение аутентификации - эксплуатация уязвимостей механизмов идентификации и аутентификации;

  • нарушение авторизации - эксплуатация уязвимостей механизмов управления доступом к ресурсам и функциональным возможностям системы;

  • манипулирование структурами данных - манипулирование характеристиками структур данных для нарушения предполагаемого использования и обхода защиты этих структур.

  • анализ целевого объекта - изучение работы атакуемой системы в целях обхода средств её защиты или для подготовки и проведения других атак;

  • манипулирование ресурсами - злонамеренное использование штатных ресурсов (файлов, приложений, библиотек, инфраструктуры, конфигурации системы);

  • использование технических отказов, ошибок - эксплуатация программных и аппаратных уязвимостей;

  • получение физического доступа - деструктивное воздействие на аппаратные компоненты системы;

  • использование слабостей в организации - эксплуатация недостатков законодательства или организационных мер защиты.

 

Тактики атакующих (по MITRE ATT&CK, подход Cyber Kill Chain):

  • сбор информации о цели, подготовка вредоносного ПО, фишинговой кампании;

  • первоначальный доступ - техники первичного проникновения в защищаемую сеть;

  • исполнение - техники запуска вредоносного кода на локальной или удаленной системе;

  • закрепление - техники получения злоумышленниками постоянного несанкционированного доступа к системе;

  • повышение привилегий - техники, применяемые атакующими для повышения своих привилегий до системных/административных с целью получения более широких полномочий на скомпрометированной системе;

  • обход средств защиты - техники, с помощью которых злоумышленникам удается избежать обнаружения и противодействия со стороны механизмов защиты;

  • доступ к учетным данным - техники получения валидных учетных данных к атакуемым системам с правами легитимных пользователей и администраторов;

  • исследование - техники получения информации о свойствах атакованной системы/сети;

  • дальнейшее продвижение - техники расширения несанкционированного доступа в атакованной сети с использованием уже захваченных систем;

  • сбор данных - техники получения ценной информации в атакованных системах/сетях;

  • управление и контроль - техники, с помощью которых злоумышленники извне управляют взломанными системами/сетями;

  • вывод данных - перенос собранной ценной информации из взломанных систем/сетей в системы/сети злоумышленников;

  • воздействие - техники негативного воздействия на доступность или целостность атакованных систем, служб или сетей.

 

Далее каждая тактика раскрывается в виде набора конкретных техник атакующих с определенным условным идентификатором.

 

4. Объекты воздействия

Люди, информация, процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты систем. 

Люди – самое слабое звено (социальная инженерия, фишинг) => важность программ повышения осведомленности сотрудников в вопросах защиты информации.

 

5. Вредоносное воздействие и его последствия

Нарушение целостности, конфиденциальности, доступности информационных ресурсов, атаки на неотказуемость, подлинность, подотчетность информации.

 

Защитные меры

Подразделяются на

  • организационные,

  • технические,

  • физические.


Применяются к

  • сотрудникам,

  • процессам,

  • технологиям.


По целям применяемых мер существует разделение на меры:

  • предупредительные,

  • директивные,

  • превентивные,

  • сдерживающие,

  • корректирующие,

  • восстановительные,

  • расследовательные,

  • компенсирующие.

 

l1_1.png 


Моделирование угроз

 

Моделирование угроз по Проекту документа ФСТЭК России «Методика моделирования угроз безопасности информации» (2020 г.).

 

Процесс моделирования угроз ИБ состоит из следующих этапов:

1) определение возможных негативных последствий от реализации угроз по результатам оценки рисков нарушения бизнес-процессов и/или нарушения защищенности информации, что может привести к таким негативным последствиям, как экономический или репутационный ущерб;

2) определение условий для реализации угроз безопасности информации, т.е. выявление возможных путей доступа к ИТ-системам, которые могут быть использованы злоумышленниками;

3) определение источников угроз и оценка возможностей нарушителей (внешних и внутренних);

4) определение сценариев реализации угроз с помощью перечня тактик и техник атакующих;

5) оценка уровня опасности угроз безопасности информации путем анализа типа доступа, необходимого для реализации атаки, сложности сценария атаки и уровня важности атакуемых активов.

  

Риск информационной безопасности – это потенциальная возможность использования уязвимостей активов конкретной угрозой для причинения ущерба организации.

ВеличинаРиска=ВероятностьСобытия*РазмерУщерба, где
ВероятностьСобытия=ВероятностьУгрозы*ВеличинаУязвимости

 

Способы обработки киберриска:

  • игнорировать,

  • принять,

  • избежать,

  • передать,

  • минимизировать.

 

Стоимость контрмер < Стоимость актива > Стоимость атаки (где «<» и «>» – это операторы количественного сравнения).

 

Цели анализа рисков ИБ:

  • Идентифицировать активы и оценить их ценность.

  • Идентифицировать угрозы активам и уязвимости в системе защиты.

  • Просчитать вероятность реализации угроз и их влияние на бизнес.

  • Соблюсти баланс между стоимостью возможных негативных последствий и стоимостью мер защиты, дать рекомендации руководству компании по обработке выявленных рисков.

 

Процессы, проекты, функции

 

Проект – однократное выполнение некоторой новой задачи для достижения определенной цели. Характеристики проекта: стоимость, качество (масштаб, граница), время на реализацию. Цели проекта должны быть конкретными, измеримыми, достижимыми, релевантными, ограниченными по времени (S.M.A.R.T.-целеполагание).

 

Функция – выполнение некоторой задачи по алгоритму вне зависимости от потребностей конечного получателя.

 

Процесс – непрерывное выполнение задач с применением гибких, настраиваемых технологий, в целях удовлетворения потребностей конечного получателя.

 

Процессы ИБ – использование мер и средств защиты (организационных, технических, физических) для минимизации рисков ИБ в целях удовлетворения потребностей бизнес-заказчиков (стейкхолдеров компании).

 

Цикл Деминга для управления процессами:

Plan – Do – Check – Act (P.D.C.A.-цикл)

Планирование – Выполнение – Оценка – Корректировка

 

 l1_2.png

 

Модель зрелости процессов (ИБ)


Модель CMMI (Capability Maturity Model Integration) можно использовать для оценки зрелости процессов ИБ. Конечная цель: выстроенные, адекватные процессы ИБ, решающие поставленную задачу.


Уровни зрелости процессов:

1 уровень (initial): первичный уровень, хаотичность, реактивность.

2 уровень (repeatable): процессы не задокументированы, но повторяются, реактивность присутствует в меньшем объеме.

3 уровень (defined): процессы задокументированы, все действия проактивны.

4 уровень (managed): процессы контролируются и могут быть оценены количественно.

5 уровень (optimizing): все процессы непрерывно улучшаются, оптимизируются.

 

 

ИБ для начинающих Управление ИБ Практика ИБ Образование ИБ

Рекомендуем

Configuration-as-Code
Configuration-as-Code
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI

Рекомендуем

Configuration-as-Code
Configuration-as-Code
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Управление ИТ-активами
Управление ИТ-активами
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Управление ИТ-активами
Управление ИТ-активами
Геймификация и управление персоналом
Геймификация и управление персоналом
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Сертификация ФСТЭК
Сертификация ФСТЭК
Динамические плейбуки
Динамические плейбуки
Модель зрелости SOAR
Модель зрелости SOAR
The Hive. Разбор open source решения
The Hive. Разбор open source решения

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Управление ИТ-активами
Управление ИТ-активами
Геймификация и управление персоналом
Геймификация и управление персоналом
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Возможности новых версий продуктов UEBA и Anomaly Detection на платформе Security Vision 5
Сертификация ФСТЭК
Сертификация ФСТЭК
Динамические плейбуки
Динамические плейбуки
Модель зрелости SOAR
Модель зрелости SOAR
The Hive. Разбор open source решения
The Hive. Разбор open source решения