SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"

Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
05.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


Использование мобильных устройств (смартфонов, планшетов) в корпоративной среде стало обыденностью уже 5-10 лет назад, но с момента начала пандемии применение таких устройств стало всеобъемлющим. До этого момента лишь продвинутые в техническом плане компании давали возможность использования корпоративных или личных устройств для решения бизнес-задач и обработки конфиденциальной служебной информации. Использование смартфонов и планшетов не только повышает эффективность работы сотрудников, но и привносит специфические киберриски, уровень которых существенно возрос в последнее время (уязвимости в мобильных ОС и приложениях, в аппаратном обеспечении, в сетях и протоколах передачи данных, а также вредоносное и шпионское ПО для мобильных устройств). В данной публикации рассматривается предварительная версия (драфт) документа NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise" («Рекомендации по управлению безопасностью мобильных устройств на предприятии»), который предлагает рекомендации по обеспечению безопасности мобильных устройств с описанием возможных стратегий и технологий защиты на протяжении всего жизненного цикла их использования. В одной из предыдущих статей мы рассмотрели нюансы использования BYOD-концепции при работе с личными устройствами в рабочих целях, что дополняет рассматриваемую сегодня тему и может использоваться совместно при построении процесса безопасной эксплуатации мобильных устройств в компании.


В документе NIST SP 800-124 подчеркивается, что мобильные устройства отличаются компактностью и распространенностью среди пользователей и частым использованием за пределами корпоративной инфраструктуры, что обуславливает дополнительные специфические угрозы, такие как утеря, кража, повреждение, сбой в результате некорректного обновления, вредоносное воздействие вирусов, нарушение конфиденциальности обрабатываемой информации в результате работы приложений или пользовательских действий.


В специальной публикации NIST SP 800-124 перечислены актуальные угрозы мобильным устройствам и технологиям, включая следующие:

1. Киберугрозы использования мобильных устройств для корпоративных пользователей:

1.1. Эксплуатация уязвимостей в мобильных устройствах, количество которых увеличивается с разнообразием моделей и производителей устройств, прошивок, приложений.

1.2. Утеря или хищение устройств, что объясняется использованием смартфонов и планшетов в дороге, командировках, отелях, в различных локациях.

1.3. Доступ к информационным ресурсам компании с небезопасно настроенного устройства или с применением непроверенных приложений, установленных пользователем намеренно, случайно или в результате хакерской атаки.

1.4. Кража учетных данных в рамках фишинговой атаки (ввод логина и пароля на контролируемом злоумышленником веб-ресурсе, ссылку на который присылают через текстовое сообщение, мессенджер или через email).

1.5. Установка поддельных цифровых сертификатов в результате фишинга, физического воздействия, случайного или намеренного принятия поддельного профиля безопасности, что может привести к ложному подтверждению безопасности вредоносного веб-ресурса или приложения.

1.6. Использование недоверенных устройств, например, личных или купленных по неофициальным каналам, которые могут быть "рутированы", перепрошиты или содержать программные и аппаратные закладки, понижающие уровень безопасности устройств и позволяющие реализовать несанкционированное воздействие на корпоративные ресурсы.

1.7. Перехват данных, передающихся по беспроводным каналам между устройством и информационными системами компании (атаки вида Man-in-the-Middle, MitM).

1.8. Вредоносное мобильное ПО, которое может быть установлено пользователем намеренно, случайно или в результате хакерской атаки. Любое приложение, установленное не из корпоративного магазина приложений, должно считаться недоверенным по умолчанию.

1.9. Утечка информации из-за некорректно сконфигурированной блокировки экрана устройства (слабый пин-код или пароль разблокировки либо их отсутствие), отображение уведомлений на заблокированном экране, выполнение действий без необходимости разблокировки устройства.

1.10. Нарушение конфиденциальности персональных данных сотрудников путем сбора чувствительной информации (геолокация, поисковые запросы, доступ к микрофону и камере и т.д.) через корпоративные приложения, а также через приложения сторонних разработчиков. В случае сбора и обработки персональных данных сотрудников через корпоративные устройства, следует выполнить все требования законодательства, регламентирующие подобные действия.

1.11. Утечка данных в результате синхронизации данных корпоративного мобильного устройства со сторонним облачным сервисом (например, Apple iCloud, Google Drive, Яндекс-Диск и т.д.) или с недоверенным физическим устройством (например, личным ноутбуком).

1.12. Риски «теневого ИТ»: самостоятельное использование сотрудниками информационных систем или сервисов, предварительно не согласованных Департаментами ИТ/ИБ, как следствие невозможности согласовать использование необходимых систем или как следствие большего субъективного удобства сторонних решений.


2. Киберугрозы системам корпоративного управления мобильными устройствами (решения класса EMM - Enterprise Mobility Management):

2.1. Эксплуатация уязвимостей EMM-платформ, которые работают на стандартном программном и аппаратном обеспечении, потенциально содержащем ошибки и уязвимости.

2.2. Кража учетных данных администраторов EMM-платформ с возможностью несанкционированного доступа к сведениям об устройствах, отключением их от корпоративных ресурсов, удалением информации с них.

2.3. Несанкционированное использование EMM-платформ инсайдером с расширенными полномочиями, позволяющими получить данные об устройствах, разрешить использование несанкционированных приложений или устройств, снизить требования ИБ.

2.4. Установка вредоносных EMM-приложений (агентов) или EMM-профилей на устройства, что может привести к несанкционированному доступу к данным и функциям устройства со стороны злоумышленника.


Для повышения уровня кибербезопасности мобильных устройств в документе NIST SP 800-124 предлагается выполнение следующих шагов:


1. Проведение анализа и моделирования угроз ИБ для мобильных устройств и информационных систем, к которым они получают доступ. Моделирование угроз должно включать идентификацию активов, уязвимостей, мер защиты, количественную оценку вероятности успешных кибератак и их негативного влияния с дальнейшим анализом необходимости дополнительных мер защиты.


2. Внедрение технологий обеспечения кибербезопасности мобильных технологий, таких как Mobile Device Management (MDM), Enterprise Mobility Management (EMM), Mobile Threat Defense (MTD), Mobile Application Vetting (MAV), Data Loss Prevention (DLP). Системы MDM и EMM предназначены для управления мобильными устройствами (корпоративными и личными, использующимися для выполнения служебных задач), для настройки конфигураций безопасности таких устройств, контроля и предоставления доступа к корпоративным данным на основании сведений о состоянии безопасности устройства, мониторинга состояния ИБ устройства (вредоносная активность, необновленная ОС, «рутирование» устройства, безопасность подключенной беспроводной сети). Системы класса MTD позволяют зарегистрировать вредоносную активность на уровне ОС или приложений, выявить уязвимости софта или конфигураций устройства, сообщать о подключении к вредоносным веб-сервисам или небезопасным сетям. Решения класса MAV позволяют проводить аудит безопасности используемых в организации приложений и программных библиотек для выявления уязвимостей, небезопасных конфигураций, устаревших компонент с дальнейшим устранением выявленных недостатков (оповещение разработчиков, запрет на публикацию уязвимого приложения в корпоративном «магазине», удаленное отключение или деинсталляция приложения на устройствах). Системы DLP предназначены для защиты от утечки данных в том числе и с мобильных устройств, поэтому DLP-компоненты для Android и iOS являются важной составляющей корпоративной системы обеспечения кибербезопасности.


3. Контроль жизненного цикла развертывания и эксплуатации мобильных устройств, который состоит из принятия решения о модели владения устройством (корпоративное, корпоративное с возможностью использования в личных целях, BYOD-модель), выбора моделей устройств и EMM/MDM-решений, проведения оценки рисков, конфигурирования устройств и EMM/MDM-решений.


4. Проведение пилотирования выбранного решения по управлению безопасностью мобильных устройств в лабораторной или тестовой среде с небольшой группой пользователей. Следует оценивать удобность использования, защитный функционал, способы аутентификации, функциональность приложений и консолей управления, производительность и подробность журналов аудита, в сочетании с закрытием предъявляемых компанией требований по минимизации киберрисков использования мобильных устройств.


5. Защита всех новых мобильных устройств перед выдачей пользователю и предоставлением доступа к корпоративным данным. Перед передачей устройства сотруднику оно должно пройти процедуру «выпуска» (enrollment), во время которой на устройстве применяется профиль защиты (набор настроек безопасности), базовые настройки которого обычно предлагаются вендорами EMM/MDM-решений, но тонкие настройки, отвечающие специфическим ИБ-требованиям компании, следует выполнить самостоятельно. По результатам проведения оценки киберрисков мобильных устройств может быть принято решение об установке дополнительных защитных решений (MTD, MAV, DLP) на них.


6. Обновление мобильных ОС, прошивок и приложений на устройствах следует проводить проактивно, учитывая скорость разработки и применения эксплойтов для новых опасных уязвимостей (особенно классов 0-day и 0-click). Решения класса EMM/MDM позволяют проводить инвентаризацию ОС, прошивок и приложений для обеспечения процессов патч-менеджмента.


7. Поддержка состояния защищенности мобильных устройств путем проведения регулярных оценок состояния соответствия устройств применимым политикам, процессам и процедурам кибербезопасности. Оценку можно проводить пассивно (путем анализа журналов аудита EMM/MDM-систем и самих устройств) и активно (путем проведения сканирований на наличие уязвимостей и пен-тестов мобильной инфраструктуры компании). Операционные процессы включают в себя проверку и установку патчей и апгрейдов; синхронизацию времени на устройствах и в ИТ-инфраструктуре; получение, централизованный сбор и аудит логов с мобильных устройств; перенастройку систем контроля логического доступа при необходимости; выявление и логирование аномалий в работе устройств и EMM/MDM-инфраструктуры, включая несанкционированное изменение политик безопасности или конфигураций. Кроме того, важно вести инвентаризационный учет устройств и приложений, отзыв или удаление опасных приложений, удаление конфиденциальной информации при утере, краже, передаче устройства другому пользователю.

Подкасты ИБ NIST Стандарты ИБ DLP

Рекомендуем

Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Тестирование на проникновение
Тестирование на проникновение
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Уязвимости
Уязвимости
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2

Рекомендуем

Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Тестирование на проникновение
Тестирование на проникновение
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Уязвимости
Уязвимости
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2

Похожие статьи

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Геймификация SOC
Геймификация SOC
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Геймификация SOC
Геймификация SOC
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных