SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 1800-5 "IT Asset Management"

Обзор публикации NIST SP 1800-5 "IT Asset Management"
25.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


С развитием цифровых технологий и проникновением ИТ во все сферы бизнеса также увеличивается соответствующее количество информационных ресурсов и вычислительных устройств, а руководство и киберспециалисты неминуемо сталкиваются со сложностями при управлении и обслуживании большого разрозненного парка ИТ-систем. Сложности и пробелы при управлении ИТ-системами являются также ощутимым киберриском: логически связанную систему киберзащиты невозможно выстроить без четкого видения и понимания, какие именно элементы ИТ-инфраструктуры предстоит защищать, а разнообразие операционных систем, бизнес-приложений, типов данных и систем защиты лишь усугубляет остроту вопроса обеспечения киберустойчивости. Для оценки и приоритизации уязвимостей, оперативного выявления актуальных киберугроз, для своевременного и качественного реагирования на киберинциденты необходимо выстроить целостную систему управления информационными активами. Данной задаче посвящена специальная публикация NIST SP 1800-5 "IT Asset Management" («Управление ИТ-активами»), которая приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management), а также перечисляет киберриски при отсутствующем или неполном процессе инвентаризации активов.


Итак, для решения задачи централизованного управления активами, авторы документа NIST SP 1800-5 предлагают ряд практических шагов и инструментов для построения системы управления ИТ-активами, а также приводится результат оценки киберрисков некорректного процесса инвентаризации информационных активов и отсутствующий или неполной централизованной системы управления ИТ-активами.


Стратегическими киберрисками некорректно выстроенного процесса управления ИТ-активами являются:

1. Негативное влияние на предоставление услуг ввиду возможного отсутствия доступа сотрудников к ИТ-активам;

2. Стоимость внедрения системы централизованного управления ИТ-активами, стремление к использованию единой системы во всей компании и всех системах для снижения накладных расходов;

3. Расходование бюджета применительно к инвестициям в технологии кибербезопасности;

4. Прогнозируемое сокращение затрат и операционная эффективность как результат новых инвестиций в кибербезопасность;

5. Соответствие законодательным нормам в части тщательного и оперативного контроля ИТ-активов;

6. Репутационные и имиджевые риски;

7. Риски бездействия или неверных шагов.


Тактическими киберрисками некорректно выстроенного процесса управления ИТ-активами являются:

1. Отсутствие конвергентного (объединенного) видения ИТ-активов и централизованной отчетности по ним;

2. Недостаток знаний о местоположении ИТ-активов;

3. Недостаток конфигурационных контролей для ИТ-активов;

4. Неэффективный патч-менеджмент;

5. Отсутствие управления программными уязвимостями;

6. Отсутствие общей картины работы корпоративных активов;

7. Отсутствие конвергентного репозитория ИТ-активов.


Для централизованного управления информационными активами в документе NIST SP 1800-5 рекомендуют применять системы класса ITAM (IT Asset Management, управление ИТ-активами), которые представляют собой эволюцию CMDB-систем (Configuration Management Database, база данных управления конфигурацией) для решения следующих задач:

1. Первоначальное наполнение репозитория информацией об ИТ-активах;

2. Автоматизированное обогащение и поддержание сведений об ИТ-активах в актуальном состоянии;

3. Интеграция с системами, содержащими актуальные сведения об ИТ-активах;

4. Интеграция с СЗИ для помощи в реагировании на инциденты ИБ.


Данные действия выполняются в течение всего жизненного цикла ИТ-актива, который состоит из следующих этапов:

1. Разработка стратегии жизненного цикла ИТ-актива;

2. Планирование использования ИТ-актива;

3. Разработка архитектуры и модели использования;

4. Закупка, внедрение;

5. Эксплуатация;

6. Поддержка;

7. Внесение изменений;

8. Вывод из эксплуатации.


Напомним также, что системы CMDB предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

 
- бизнес-владелец (business owner) актива;
- риск-владелец (risk owner) актива;
- ответственный за актив со стороны ИТ (IT custodian);
- ответственный за актив со стороны ИБ (IT Security custodian);
- пользователь актива;
- выполняемая активом бизнес-роль/функция;
- выполняемая активом техническая роль/функция;
- зависимый от актива бизнес-процесс;
- критичность, стоимость, ценность актива;
- требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;
- местоположение (адрес, помещение, номер стойки и т.д.);
- конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).


Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция).


С точки зрения кибербезопасности, применение ITAM-систем приносит следующие преимущества:

1. Корректный выбор и применение базовых мер защиты;

2. Непрерывный мониторинг и ведение отчетности о состоянии ИТ-актива с сохранением в едином хранилище;

3. Применение механизмов выявления аномалий (например, отклонение в сетевом трафике или от установленных параметров базовой конфигурации);

4. Снабжение контекстом и обогащение данными для выявления аномалий и событий ИБ с помощью механизмов аналитики и отчетности.


В документе NIST SP 1800-5 приводятся три функциональных уровня типовой ITAM-системы, от низшего третьего уровня (Tier 3) до высшего первого уровня (Tier 1):

1. Уровень Tier 3 включает в себя все контролируемые корпоративные активы (ПК, серверы, портативные устройства, сетевое оборудование).

2. Уровень Tier 2 содержит данные об местоположении активов, установленном на них программном и аппаратном обеспечении. На данном уровне выполняется задача сбора данных - выявление и документирование ПО и конфигураций систем каждого ИТ-актива и передача данной информации на следующий уровень для хранения.

3. Уровень Tier 1 содержит обработанные и обогащенные данные об ИТ-активах для решения задач по долгосрочному хранению этой информации, анализу собранных данных, визуализации и отчетности результатов анализа для предоставления сотрудникам и руководителям. На этом уровне также устанавливаются правила, регламентирующие использование устройств (список разрешенного/запрещенного ПО, доступные сетевые протоколы, разрешающие/запрещающие сетевые правила), которые в дальнейшем применяются на уровне Tier 2 в виде установки обновлений, удаления ПО, изменения сетевой конфигурации.


В публикации NIST SP 1800-5 приводятся характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):

 
- дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;
- API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);
- предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;
- автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;
- предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;
- применение политик ограниченного использования ПО;
- аудит и мониторинг изменений состояния активов;
- интеграция с системами хранения и анализа журналов аудита;
- запись и отслеживание атрибутов ИТ-активов.


Наконец, в документе NIST SP 1800-5 приведено детальное описание по настройке лабораторного стенда для реализации ITAM-системы, в котором на Tier 1 работает Splunk; на Tier 2 задействованы IDS (Bro, Snort), сканер OpenVAS, WSUS-сервер, CMDB-системы AssetCentral и BelManage, система контроля конфигураций Puppet Enterprise; на Tier 3 функционируют серверы Active Directory и Email, VPN-сервер, PKI-центр сертификации.

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса