SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Метрики качества динамических плейбуков

Метрики качества динамических плейбуков
11.07.2024

Security Vision

 

При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности.


Критерии формулируются на основе основных параметров инцидента, которые должны быть учтены в работе над его расследованием, реагированием и постинцидентной активности. При этом важно учитывать тот факт, что работа над инцидентом – гораздо шире, чем стандартный анализ и реакт на скоррелированные события ИБ. Работа над инцидентом – это:


 1.  то, что происходит до: подготовка инфраструктуры (определение, настройка логов безопасности), поиск слабостей (уязвимостей и несоответствия требованиям безопасности или compliance);

 2.  в процессе расследования и реагирования на инцидент;

 3.  активность постинцидента в виде работы над ошибками, усиление инфраструктуры, актуализация правил корреляции.


Исходя из определенной выше области управления инцидентами, мы можем выделить следующие базовые метрики качества планов реагирования.


Покрытие по объектам


Эта метрика предполагает, что по всем объектам, которые были задействованы или поражены в инциденте, проведена аналитика, результатом которой определяется репутация объекта по шкале: вредоносный, подозрительный, безопасный. Также эта метрика предполагает, что по окончании анализа для всех объектов, классифицированных как подозрительный или вредоносный, проведены сдерживающие или компенсационные меры, чтобы не допустить дальнейшего распространения вредоносной активности.


При этом, в зависимости от вредоносности репутации, для объекта определяются более строгие или менее строгие меры реагирования по так называемой тепловой карте: чем опаснее репутация, тем строже действия, включаемые в план расследования инцидента с этим объектом.

 

Покрытие по этапам расследования


Данная метрика проверяет наличие и прохождение всех этапов работы над инцидентом после динамической генерации плейбука. Все планы реагирования должны включать в себя стандартные этапы:


Обогащение. На данном этапе выполняются обогащение и аналитика, помогающие выполнить обнаружение всех задействованных объектов, идентификацию атакующего объекта, а так же формирование для каждого объекта репутации: вредоносный, подозрительный, безопасный.


Сдерживание. Данный этап предполагает выполнение экстренных действий для наиболее опасных объектов (репутация = вредоносный), таких как завершение вредоносных процессов для недопущения дальнейшего распространения атаки с участием доступных средств СЗИ инфраструктуры организации.


Расследование. Этап включает в себя дополнительную аналитику, сбор цифровых свидетельств и артефактов для подтверждения гипотез по объектам с репутацией = подозрительный, а также формирование дополнительных выводов (возможно, с расширением поверхности атаки или изменением ее типа), которые могли быть неочевидны на первых этапах работы над инцидентом. В задачи данного этапа входит: определение полного покрытия инцидента, проверка на сторонних аналитических сервисах репутации объектов (например, проверить, что хэш файла – это безопасный дистрибутив браузера, который не стоит блокировать; или обнаружить сработку sigma-правила, что будет говорить о вредоносной репутации сработавшего процесса).


Устранение. Данный этап включает в себя противодействие атакующему и выполнение действий по реагированию, релевантных данному объекту и ограниченных идентифицированной техникой атаки. Это означает, что над каждым объектом можно совершить множество действий, но в рамках отдельно взятой техники атаки эффективным и не избыточным будет только ограниченный набор операций. Например, в случае внешнего сканирования и техники Active Scanning, T1595 (фреймворка MITRE ATT&CK®), хост-источник необходимо поместить в черный список на межсетевом экране; в случае же внутреннего сканирования и техники Network Service Discovery, T1046 хост-источник может быть вполне легитимным устройством системных администраторов, которые выполняют инвентаризацию в рамках заданных окон сканирования, поэтому в этом случае реагирование может прервать процесс сканирования при отсутствии актуальных задач на инвентаризацию в ITSM системе.


Восстановление. Предполагает набор действий над объектами инцидента, нацеленных на восстановление их работоспособности, в случае если она была нарушена в процессе атаки или на этапе сдерживания, когда из соображений безопасности принимаются строгие меры, такие как изоляция устройства, блокировка УЗ и другие.


Постинцидент. Данный этап важен для выполнения работы над ошибками с точки зрения недопущения подобных инцидентов информационной безопасности в будущем. Действия, выполняемые на этом этапе, также подбираются из множества действий типа =постинцидент для множества объектов, которые были идентифицированы как покрытие инцидента. Другими словами, если в объектах инцидента присутствует уязвимость, создается задача с повышенной критичностью на устранение уязвимости в случае, когда присутствует факт подтверждения ее эксплуатации.

 

Успешность выполнения действий


Данная метрика отслеживает успех/неуспех выполнения действия из собранного динамического плана реагирования непосредственно на конечном СЗИ или устройстве, исходя из субъекта/объекта операции.

 

Использование системы ранжирования действий


Система ранжирования предполагает использование метода статистического моделирования в построении динамических плейбуков: действия выбираются из репозитория действий над объектом, исходя из плотности вероятности. Другими словами, выбираются действия, которые наиболее часто использовались пользователями на данном этапе расследования инцидента для данной техники атаки. Так система может сформировать набор экспертизы, релевантный конкретному департаменту ИБ в конкретной организации. Даже если команда поменяется или понизится уровень компетенции сотрудников, качество расследования просядет не столь значительно: система будет помнить и предлагать экспертизу действий по лучшим практикам, применявшимся ранее в компании, которые система запомнила на этапе обучения.


При этом подкреплением обучения могут служить:

  ·  отсутствие отмены действий после выполнения в пределах одного инцидента;

  ·  успешно закрытий инцидент, провалидированный руководителем группы).


Принципы выбора действий для построения динамических плейбуков с использованием статистического моделирования:

  ·  ранжирование по частоте применения действия в конкретном типе инцидента на конкретном этапе расследования;

  ·  сортировка по времени поможет решить задачу внедрения новых практик: стали применять более часто новые подходы к расследованию и реагированию;

  ·  анализ частоты выполнения: какие-то действия применяются всегда при выполнении аналитики;

  ·  анализ цепочек: некоторые действия всегда следуют друг за другом, и имеет смысл их предлагать в виде объединенной цепочки;

  ·  чем более редко встречающаяся техника атаки у инцидента, тем большее количество действий необходимо включать в динамический плейбук в силу недостаточного количества информации по данному случаю;

  ·  анализ уникальных действий для конкретных типов атак и конкретных объектов.


Все эти метрики позволяют нам добиться необходимого уровня качества автоматически генерируемого контента системы и проверки системой самой себя на предмет эффективного функционирования без избыточных процедур и действий.

MITRE Управление инцидентами Практика ИБ СЗИ Управление уязвимостями

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Управление ИТ-активами
Управление ИТ-активами
Интернет вещей и безопасность
Интернет вещей и безопасность
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Уязвимости
Уязвимости

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Управление ИТ-активами
Управление ИТ-активами
Интернет вещей и безопасность
Интернет вещей и безопасность
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Уязвимости
Уязвимости