SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
30.05.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


Технологии виртуализации нашли широкое применение в последние 15 лет, однако сам принцип виртуализации был разработан 50 лет назад компанией IBM, а принципы, заложенные еще тогда, до сих пор лежат в основе современных систем виртуализации. На сегодняшний день практически все ИТ/ИБ-специалисты активно работают с теми или иными средствами виртуализации, и причина этого понятна: виртуализация позволяет использовать аппаратные вычислительные ресурсы более рационально, размещая на одном физическом сервере сразу несколько виртуальных машин, работающих зачастую с разными типами операционных систем, а добавление нового уровня абстракции при виртуализации позволяет  «развязать» аппаратную и программную платформы, что привносит дополнительную стабильность работы и упрощение администрирования. Однако, применение дополнительных технологий зачастую сопряжено с определенными угрозами информационной безопасности, что требует актуализации организационных и технических мер защиты для минимизации соответствующих киберрисков. Документ NIST SP 800-125 "Guide to Security for Full Virtualization Technologies" («Руководство по безопасности технологий виртуализации») содержит рекомендации по повышению кибербезопасности виртуальных инфраструктур, включая обеспечение защиты всех компонентов платформы виртуализации, управление административным доступом, защиту гипервизора, планирование обеспечения безопасности всех виртуальных компонент перед развертыванием. В дополнение к данной публикации, в NIST был разработан документ NIST SP 800-125A "Security Recommendations for Server-based Hypervisor Platforms" («Рекомендации по безопасности для серверных гипервизорных платформ»), в котором описаны базовые функции безопасности гипервизоров без привязки к конкретным архитектурам и платформам, и документ NIST SP 800-125B "Secure Virtual Network Configuration for Virtual Machine (VM) Protection" («Безопасная сетевая конфигурация для защиты виртуальных машин»), в котором описаны техники сетевой сегментации, обеспечения сетевой избыточности, контроль трафика с применением межсетевых экранов, мониторинг виртуальной сети для обеспечения кибербезопасности виртуальной инфраструктуры. О них мы поговорим в текущей публикации.


Итак, в публикации NIST SP 800-125 акцент делается на защите технологии полной виртуализации, full virtualization, что отличается от виртуализации приложений, application virtualization (например, виртуализация с помощью виртуальной машины Java Virtual Machine или запуск определенных приложений в «песочнице») или виртуализации операционной системы, operating system virtualization (например, при использовании технологий контейнеризации). При полной виртуализации применяется гипервизор (или монитор виртуальных машин, virtual machine monitor), который осуществляет управление гостевыми ОС (guest OS). При этом гипервизор может быть установлен непосредственно на аппаратной платформе (так называемая bare metal virtualization, например, виртуализация через VMware ESXi) или на хостовой ОС, host OS (например, виртуализация с помощью Microsoft Hyper-V). Вариант виртуализации bare metal можно считать более предпочтительным с точки зрения ИБ, т.к. применение варианта с хостовой ОС добавляет новый промежуточный уровень и новый объект для нападения - при кибератаке на хостовую ОС злоумышленники могут воспользоваться уязвимостями более широкого спектра, т.к. хостовая ОС во многих случаях представляет собой типовую ОС с дополнительными функциями и характерными уязвимостями, а специализированные ОС для bare metal-виртуализации дают атакующим меньшую поверхность атак в силу отсутствия избыточного функционала.


Основными вызовами для кибербезопасности виртуализированных систем являются задача защиты образов гостевых ОС и данных ОЗУ гостевых ОС, изоляция гостевых систем друг от друга, безопасность сетевого трафика между виртуальными системами, а также задача защиты от атак со стороны скомпрометированного гипервизора, который дает атакующим доступ ко всем управляемым им гостевым ОС и соответствующим данным на них. Следует также отметить, что удобство при создании снимков гостевых ОС (так называемых снэпшотов, snapshot) и при распространении готовых образов виртуальных машин может быть омрачено опасностью того, что в копируемом образе или снимке гостевой ОС содержится ранее поразивший реплицируемую систему вредоносный код, который таким образом будет распространен и на другие системы.


В документе NIST SP 800-125 содержатся рекомендации по повышению кибербезопасности виртуальных сред, включая следующие рекомендации по обеспечению безопасности гипервизоров:


  1. Своевременная установка вендорских обновлений для гипервизоров;

  2. Ограничение административного доступа к управляющим интерфейсам гипервизора с защитой каналов передачи данных в выделенном сетевом сегменте с применением криптографических средств;

  3. Синхронизация времени в виртуальной инфраструктуре с доверенным источником;

  4. Отключение неиспользуемого физического оборудования от хостовых систем, включая накопители и сетевые адаптеры;

  5. Отключение сервисов буфера обмена и функции копирования файлов между гостевыми системами и хостовой ОС;

  6. Использование средств мониторинга состояния безопасности гостевых ОС на уровне гипервизора для повышения надежности получаемых данных;

  7. Использование систем мониторинга активности обмена данными между гостевыми ОС по аналогии с контролем сетевых потоков между подсетями в физической инфраструктуре;

  8. Мониторинг безопасности самого гипервизора с применением средств контроля целостности и анализа логов.


Для обеспечения безопасности гостевых ОС в документе NIST SP 800-125 предлагается выполнение следующих мер:


  1. Применение мер защиты, рекомендованных для обычных физических систем (управление доступом, аудит, контроль подключений и т.д.);

  2. Своевременная установка обновлений для гостевых ОС;

  3. Обеспечение резервного копирования виртуальных дисков в соответствии с регламентом бэкапов для физических систем;

  4. Отключение неиспользуемых виртуальных устройств от хостовых систем, включая накопители и сетевые адаптеры;

  5. Использование отдельных учетных записей для каждой гостевой ОС;

  6. Контроль соответствия виртуальных устройств гостевых ОС физическим устройствам на уровне хостовой системы.


При настройке и обеспечении кибербезопасности виртуальной инфраструктуры авторы NIST SP 800-125 рекомендуют придерживаться следующих этапов:


  1. Инициализация: определение потребности в виртуализации имеющейся инфраструктуры, описание модели будущей виртуальной среды, создание высокоуровневой стратегии для внедрения систем виртуализации, разработка политики по применению средств виртуализации, определение целевых платформ и приложений для перехода на виртуализацию, описание функциональных и бизнес-требований к решению для виртуализации.

  2. Планирование и разработка: определение технических требований и характеристик решения для виртуализации и сопутствующих компонент, включая методы аутентификации и криптографической защиты информации, а также последующая закупка решения.

  3. Внедрение: конфигурирование оборудования для соответствия операционным и ИБ-требованиям, установка и тестирование прототипа, перевод в продуктивное использование. Также на данном этапе выполняется перенастройка средств защиты информации и подключение новых ИБ-систем для контроля создаваемой виртуальной инфраструктуры.

  4. Эксплуатация и поддержка: выполнение задач кибербезопасности в виртуальной инфраструктуре, включая аудит логов, выявление кибератак, реагирование на киберинциденты.

  5. Вывод из эксплуатации: при отказе от системы виртуализации и выводе ее из эксплуатации следует озаботиться сохранением информации из системы, очисткой накопителей, корректной утилизацией оборудования и систем.


В дополнение к публикации NIST SP 800-125 был выпущен документ NIST SP 800-125A "Security Recommendations for Server-based Hypervisor Platforms" («Рекомендации по безопасности для серверных гипервизорных платформ»), в котором описаны базовые функции безопасности гипервизоров:


  1. Изоляция процессов виртуальных машин с использованием аппаратных функций гипервизоров, ограничением и контролем прямого доступа виртуальных машин к аппаратным компонентам;

  2. Управление доступом к аппаратным устройствам с применением эмуляции, паравиртуализации, проброса устройств или с помощью виртуализируемых аппаратных компонентов;

  3. Выполнение некоторых команд (называемых гипервызовами, hypercalls) от гостевых ОС непосредственно самим гипервизором (применимо только для гипервизоров с паравиртуализацией);

  4. Управление жизненным циклом виртуальных машин, включая создание и управление образами виртуальных машин, контроль состояния виртуальных машин (запуск, пауза, остановка), миграция и мониторинг виртуальных машин, управление доступом администраторов, применение политик ИБ;

  5. Управление платформой гипервизора: конфигурирование самого гипервизора и программного обеспечения виртуализации, включая установку виртуальных машин на гипервизоре, создание и поддержку кластеров гипервизоров, управление виртуальной сетью на гипервизоре.


В дополнение к публикации NIST SP 800-125, был также выпущен документ NIST SP 800-125B "Secure Virtual Network Configuration for Virtual Machine (VM) Protection" («Безопасная сетевая конфигурация для защиты виртуальных машин»), в котором описаны следующие способы обеспечения сетевой безопасности применительно к виртуальным инфраструктурам:


  1. Сетевая сегментация: изоляция виртуальных хостов, применение виртуальных коммутаторов и межсетевых экранов, использование VLAN (виртуальных сетей), применение оверлейных виртуальных сетей для повышения масштабируемости и гибкости;

  2. Обеспечение сетевой избыточности путем создания группы сетевых адаптеров на виртуализированном хосте;

  3. Контроль трафика с применением межсетевых экранов: применение физических межсетевых экранов, виртуальных файрволлов на уровне подсетей, виртуальных файрволлов на уровне ядра гипервизора;

  4. Мониторинг виртуальной сети для обеспечения кибербезопасности виртуальной инфраструктуры, с применением виртуальных сетевых адаптеров с зеркалированием траффика или виртуальных коммутаторов для отправки трафика на выделенный порт для мониторинга.

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Рекомендуем

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018

Похожие статьи

Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Похожие статьи

Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика