SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор публикации NIST SP 1800-5 "IT Asset Management"

Обзор публикации NIST SP 1800-5 "IT Asset Management"
25.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   

Руслан Рахметов, Security Vision

С развитием цифровых технологий и проникновением ИТ во все сферы бизнеса также увеличивается соответствующее количество информационных ресурсов и вычислительных устройств, а руководство и киберспециалисты неминуемо сталкиваются со сложностями при управлении и обслуживании большого разрозненного парка ИТ-систем. Сложности и пробелы при управлении ИТ-системами являются также ощутимым киберриском: логически связанную систему киберзащиты невозможно выстроить без четкого видения и понимания, какие именно элементы ИТ-инфраструктуры предстоит защищать, а разнообразие операционных систем, бизнес-приложений, типов данных и систем защиты лишь усугубляет остроту вопроса обеспечения киберустойчивости. Для оценки и приоритизации уязвимостей, оперативного выявления актуальных киберугроз, для своевременного и качественного реагирования на киберинциденты необходимо выстроить целостную систему управления информационными активами. Данной задаче посвящена специальная публикация NIST SP 1800-5 "IT Asset Management" («Управление ИТ-активами»), которая приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management), а также перечисляет киберриски при отсутствующем или неполном процессе инвентаризации активов.

Итак, для решения задачи централизованного управления активами, авторы документа NIST SP 1800-5 предлагают ряд практических шагов и инструментов для построения системы управления ИТ-активами, а также приводится результат оценки киберрисков некорректного процесса инвентаризации информационных активов и отсутствующий или неполной централизованной системы управления ИТ-активами.

Стратегическими киберрисками некорректно выстроенного процесса управления ИТ-активами являются:

1. Негативное влияние на предоставление услуг ввиду возможного отсутствия доступа сотрудников к ИТ-активам;

2. Стоимость внедрения системы централизованного управления ИТ-активами, стремление к использованию единой системы во всей компании и всех системах для снижения накладных расходов;

3. Расходование бюджета применительно к инвестициям в технологии кибербезопасности;

4. Прогнозируемое сокращение затрат и операционная эффективность как результат новых инвестиций в кибербезопасность;

5. Соответствие законодательным нормам в части тщательного и оперативного контроля ИТ-активов;

6. Репутационные и имиджевые риски;

7. Риски бездействия или неверных шагов.

Тактическими киберрисками некорректно выстроенного процесса управления ИТ-активами являются:

1. Отсутствие конвергентного (объединенного) видения ИТ-активов и централизованной отчетности по ним;

2. Недостаток знаний о местоположении ИТ-активов;

3. Недостаток конфигурационных контролей для ИТ-активов;

4. Неэффективный патч-менеджмент;

5. Отсутствие управления программными уязвимостями;

6. Отсутствие общей картины работы корпоративных активов;

7. Отсутствие конвергентного репозитория ИТ-активов.

Для централизованного управления информационными активами в документе NIST SP 1800-5 рекомендуют применять системы класса ITAM (IT Asset Management, управление ИТ-активами), которые представляют собой эволюцию CMDB-систем (Configuration Management Database, база данных управления конфигурацией) для решения следующих задач:

1. Первоначальное наполнение репозитория информацией об ИТ-активах;

2. Автоматизированное обогащение и поддержание сведений об ИТ-активах в актуальном состоянии;

3. Интеграция с системами, содержащими актуальные сведения об ИТ-активах;

4. Интеграция с СЗИ для помощи в реагировании на инциденты ИБ.

Данные действия выполняются в течение всего жизненного цикла ИТ-актива, который состоит из следующих этапов:

1. Разработка стратегии жизненного цикла ИТ-актива;

2. Планирование использования ИТ-актива;

3. Разработка архитектуры и модели использования;

4. Закупка, внедрение;

5. Эксплуатация;

6. Поддержка;

7. Внесение изменений;

8. Вывод из эксплуатации.

Напомним также, что системы CMDB предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

  • бизнес-владелец (business owner) актива;

  • риск-владелец (risk owner) актива;

  • ответственный за актив со стороны ИТ (IT custodian);

  • ответственный за актив со стороны ИБ (IT Security custodian);

  • пользователь актива;

  • выполняемая активом бизнес-роль/функция;

  • выполняемая активом техническая роль/функция;

  • зависимый от актива бизнес-процесс;

  • критичность, стоимость, ценность актива;

  • требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;

  • местоположение (адрес, помещение, номер стойки и т.д.);

  • конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).

Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция).

С точки зрения кибербезопасности, применение ITAM-систем приносит следующие преимущества:

1. Корректный выбор и применение базовых мер защиты;

2. Непрерывный мониторинг и ведение отчетности о состоянии ИТ-актива с сохранением в едином хранилище;

3. Применение механизмов выявления аномалий (например, отклонение в сетевом трафике или от установленных параметров базовой конфигурации);

4. Снабжение контекстом и обогащение данными для выявления аномалий и событий ИБ с помощью механизмов аналитики и отчетности.

В документе NIST SP 1800-5 приводятся три функциональных уровня типовой ITAM-системы, от низшего третьего уровня (Tier 3) до высшего первого уровня (Tier 1):

1. Уровень Tier 3 включает в себя все контролируемые корпоративные активы (ПК, серверы, портативные устройства, сетевое оборудование).

2. Уровень Tier 2 содержит данные об местоположении активов, установленном на них программном и аппаратном обеспечении. На данном уровне выполняется задача сбора данных - выявление и документирование ПО и конфигураций систем каждого ИТ-актива и передача данной информации на следующий уровень для хранения.

3. Уровень Tier 1 содержит обработанные и обогащенные данные об ИТ-активах для решения задач по долгосрочному хранению этой информации, анализу собранных данных, визуализации и отчетности результатов анализа для предоставления сотрудникам и руководителям. На этом уровне также устанавливаются правила, регламентирующие использование устройств (список разрешенного/запрещенного ПО, доступные сетевые протоколы, разрешающие/запрещающие сетевые правила), которые в дальнейшем применяются на уровне Tier 2 в виде установки обновлений, удаления ПО, изменения сетевой конфигурации.

В публикации NIST SP 1800-5 приводятся характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):

  • дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;

  • API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);

  • предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;

  • автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;

  • предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;

  • применение политик ограниченного использования ПО;

  • аудит и мониторинг изменений состояния активов;

  • интеграция с системами хранения и анализа журналов аудита;

  • запись и отслеживание атрибутов ИТ-активов.

Наконец, в документе NIST SP 1800-5 приведено детальное описание по настройке лабораторного стенда для реализации ITAM-системы, в котором на Tier 1 работает Splunk; на Tier 2 задействованы IDS (Bro, Snort), сканер OpenVAS, WSUS-сервер, CMDB-системы AssetCentral и BelManage, система контроля конфигураций Puppet Enterprise; на Tier 3 функционируют серверы Active Directory и Email, VPN-сервер, PKI-центр сертификации.

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Геймификация SOC
Геймификация SOC
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Практическая защита персональных данных
Практическая защита персональных данных
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»

Рекомендуем

Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Геймификация SOC
Геймификация SOC
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Практическая защита персональных данных
Практическая защита персональных данных
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»

Похожие статьи

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
SOAR-системы
SOAR-системы
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее

Похожие статьи

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
SOAR-системы
SOAR-системы
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее