SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"

Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
11.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     



Руслан Рахметов, Security Vision


Не секрет, что в современном киберпространстве одной из причин разрушительных инцидентов являются уязвимости, которые исследуются, выявляются и затем эксплуатируются злоумышленниками. В одной из предыдущих публикаций мы рассмотрели документ NIST SP 800-40, посвященный патч-менеджменту (англ. Patch Management), т.е. управлению процессами обновления программного обеспечения для устранения уязвимостей. Однако процесс установки обновлений также является и составным элементом более общего процесса внесения изменений в конфигурацию информационных систем - так называемый Configuration Management (далее - CM), т.е. управление изменениями конфигураций систем. Также нужно уесть, что уязвимости программных или аппаратных компонент могут иметь различную природу - в частности, ошибки конфигурирования или несогласованное изменение состояния информационных систем могут привести к успешной кибератаке. Тема данной статьи - документ NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems" («Руководство по безопасному управлению конфигурацией информационных систем»), который предлагает структурированный подход к управлению конфигурацией ИТ-систем с фокусом на безопасность и мониторинг для снижения киберрисков и обеспечения требуемого уровня функциональности сервисов.


Публикация NIST SP 800-128 сфокусирована на безопасности CM-процессов и использует термин Security-focused Configuration Management (SecCM, безопасно-ориентированное управление конфигурациями), под которым понимается управление и контроль конфигурациями информационных систем для обеспечения кибербезопасности и менеджмента киберрисков. Применение методологии SecCM позволяет получить глубокий контроль над ИТ-активами, что повышает качество управления ИТ/ИБ-процессами, улучшает реагирование на киберинциденты, помогает в разработке и внедрении ПО, позволяет автоматизировать ИТ/ИБ-процессы, обеспечивает прозрачность проведения комплаенс-процедур. Классическое управление конфигурациями (Configuration Management, CM) состоит из набора действий, сфокусированных на внедрении и поддержке процесса проверки целостности и функциональности продуктов и систем путем контроля процессов инициализации, изменения и мониторинга их конфигураций. Конфигурационная единица (Configuration Item, CI) - это определенная часть системы (например, единица программного или аппаратного обеспечения, документация, микропрограмма), являющаяся целью процесса контроля конфигурации. Базовая конфигурация (Baseline Configuration) - это набор спецификаций систем или их конфигурационных единиц (CI), которые были проверены и утверждены на определенную дату; изменения в данную базовую конфигурацию могут быть внесены только через прохождение процедуры контроля внесения изменений в конфигурацию, а сама базовая конфигурация используется в качестве базы для последующих билдов, релизов и/или изменений.


В документе NIST SP 800-128 также используется понятие плана управления конфигурациями (Configuration Management Plan, CM Plan), который содержит подробное описание ролей, ответственных, политик и процедур, применяемых при управлении конфигурациями продуктов и систем. План управления конфигурациями включает в себя следующие элементы:

1. Группа по контролю за конфигурациями (Configuration Control Board, CCB) - утвержденная и наделенная полномочиями группы квалифицированных сотрудников, отвечающих за процесс контроля и согласования изменений на протяжении жизненных циклов продуктов и систем.

2. Идентификация конфигурационных единиц - методология выбора и определения конфигурационных единиц, используемых в процессе управления конфигурациями.

3. Контроль изменений конфигурации - процесс управления обновлениями базовой конфигурации для конфигурационных единиц.

4. Мониторинг конфигураций - процесс оценки или тестирования уровня соответствия конфигурационных единиц установленным базовым конфигурациям, включая использование механизмов отчетности о состоянии конфигураций.


Управление конфигурациями в соответствии с подходом SecCM включает в себя такие процессы, как:

1. Идентификация и документирование конфигураций, которые влияют на состояние кибербезопасности информационных систем и организации в целом.

2. Учет киберрисков при согласовании конфигураций.

3. Анализ последствий для кибербезопасности при внесении изменений в конфигурацию систем.

4. Документирование согласованных и произведенных изменений.


Внедрение методологии SecCM можно разбить на следующие фазы:

1. Планирование.

1.1. Планирование на организационном уровне:

1.1.1. Разработка и внедрение SecCM-программы в масштабах компании, с назначением руководителя SecCM-программы (из числа старшего менеджмента компании).

1.1.2. Разработка SecCM-политики, включающей в себя цели, границы, роли, ответственных, выполняемые действия, общеупотребимые безопасные конфигурации, требования по документированию вносимых изменений в конфигурацию систем.

1.1.3. Разработка SecCM-процедур, включающие в себя шаблоны документов (для заполнения владельцами систем), описание правил инвентаризации компонент, описание правил создания базовых конфигураций систем, описание стандартизированных безопасных конфигураций, описание процесса патч-менеджмента и его интеграцию в SecCM-процедуры, описание процедур принятия запросов на изменения от технической поддержки и пользователей, описание процедур мониторинга и отчетов о безопасности систем для выявления несогласованных изменений, описание процедур контроля изменений (включая описание запроса и согласования изменений, анализ влияния изменений на безопасность, требования по тестированию изменений перед внедрением, требования по ограничению доступа к вносимым изменениям, требования по запуску процедуры «отката» в случае проблем, требования по управлению незапланированными экстренными изменениями и т.д.).

1.1.4. Разработка стратегии мониторинга SecCM для проверки текущей эффективности SecCM-процессов для поддержки состояния защищенности организации, соответствия базовым конфигурациям, соответствия политике SecCM; проверка может выполняться по заранее согласованному расписанию и включать в себя предоставление отчетов по результатам проверки.

1.1.5. Определение типов изменений, которые не требуют контроля изменения конфигураций: предварительно согласованными изменениями могут быть установка обновлений антивирусных баз, установка официальных обновлений безопасности от вендоров, замена некоторых аппаратных комплектующих. Кроме того, некоторые типы изменений могут вообще не включаться в границы применимости SecCM-процедур, например обновление содержимого баз данных, создание учетных записей, создание пользовательских файлов.

1.1.6. Разработка обучающих тренингов по SecCM-процедурам для ответственных сотрудников.

1.1.7. Определение списка согласованных ИТ-продуктов (программного и аппаратного обеспечения), которые можно закупать и использовать без дополнительных согласований.

1.1.8. Использование инструментов автоматизации для управления конфигурациями и инвентаризации используемых компонент систем и продуктов, их конфигураций и настроек, выявления несоответствий корпоративной политике управления конфигурациями.

1.1.9. Создание тестовой среды для проверки новых продуктов и планируемых изменений.

1.2. Планирование на уровне информационных систем:

1.2.1. Создание SecCM-плана для информационных систем, включающий описание системы, список проинвентаризированных системных компонент, список конфигурационных единиц, уровень критичности при управлении изменениями в конфигурационных единицах, список ролей и ответственных, описание процедур контроля изменения конфигураций, внедренные меры контроля вносимых изменений в конфигурации, используемые SecCM-инструменты, описание общепринятых применимых безопасных конфигураций и перечень допустимых отклонений от них, критерии согласования базовых конфигураций, меры управления исключениями.

1.2.2. Создание или обновление инвентаризационного списка системных компонент, который состоит из множества дискретных идентифицируемых ИТ-активов. При использовании инструментов для инвентаризации ИТ-активов рекомендуется использовать решения, поддерживающие протокол SCAP (Security Content Automation Protocol, протокол автоматизации обмена данными о безопасности) и нотацию CPE (Common Platform Enumeration, общий метод перечисления программных компонент).

1.2.3. Определение конфигурационных единиц, из которых состоит информационная система.

1.2.4. Взаимосвязь между информационной системой и её конфигурационными единицами и программными компонентами.

1.2.5. Создание группы по контролю за конфигурациями информационной системы, в обязанности которой входит оценка и согласование конфигурационных изменений в информационной системе.


2. Определение и внедрение конфигураций.

2.1. Разработка безопасных конфигураций для информационной системы и её конфигурационных единиц. Безопасные конфигурации могут включать в себя задание безопасных значений (параметров ОС и приложений, сервисов, протоколов, мер защиты, учетных записей, параметров аудита, криптографических параметров), применение обновлений безопасности, использование согласованного надежного ПО, внедрение средств защиты информации, применение сетевых мер защиты, расположение компонента в защищенной точке сети, поддержка и обновление документации.

2.2. Внедрение безопасных конфигураций, включая такие этапы, как:

2.2.1. Приоритизация конфигураций для применения настроек безопасности в первую очередь для высокоприоритетных систем, с учетом уровня критичности системы, оценки рисков, результатов сканирования на наличие уязвимостей, уровня интеграции той или иной системы/программы в инфраструктуру организации.

2.2.2. Тестирование конфигураций в выделенной среде для выявления взаимного влияния настроек безопасности на функционирование целевой системы.

2.2.3. Разрешение выявленных проблем и документирование отклонений в результате тестирования.

2.2.4. Документирование и согласование базовой конфигурации, включающей безопасные конфигурации всех составных конфигурационных единиц, для последующего контроля всех отклонений от неё.

2.2.5. Внедрение базовой конфигурации - централизованно, по возможности с применением средств автоматизации.


3. Контроль изменений конфигураций.

3.1. Внедрение ограничения доступа на внесение изменений, с определением типов конфигурационных изменений (на уровне сети, операционных систем, приложений), созданием списка сотрудников с привилегированными правами на внесение изменений, внедрением технических мер защиты (права доступа на каталоги/файлы, ролевая модель разграничения доступа и т.д.) для предоставления доступа на внесение изменений только авторизованным сотрудникам.

3.2. Внедрение процесса контроля внесения изменений в конфигурации, включающего запрос на внесение изменений, документирование запроса, определение необходимости контроля конфигурации для внесения данного изменения, анализа предлагаемых изменений с оценкой потенциального влияния на безопасности системы, тестирование изменения, согласование изменения, внедрение изменения в конфигурацию, проверка корректности внесенных изменений, закрытие запроса на внесение изменений.

3.3. Проведение анализа влияния изменения на кибербезопасность (Security Impact Analysis) на различных этапах, включая фазу инициирования изменения, фазу разработки/приобретения и внедрения/оценки, фазу эксплуатации и поддержки после внесения изменения. Процесс анализа влияния изменения на кибербезопасность состоит из следующих шагов: анализ предлагаемых изменений, выявление уязвимостей, оценка рисков, оценка влияния на имеющиеся меры защиты, планирование защитных мер и контрмер.

3.4. Документирование внесенных изменений, обновление соответствующей документации, архивирование старых версий документов.


4. Мониторинг SecCM.

4.1. Оценка и отчетность о состоянии SecCM, включая сканирование ИТ-инфраструктуры для поиска неучтенных активов, поиск отклонений от базовых конфигураций, внедрение средств автоматизации мониторинга вносимых изменений, запрос логов и данных аудита для выявление несогласованных изменений, запуск проверок целостности для обнаружения отклонений от базовых конфигураций, аудит записей о внесенных изменениях для проверки соответствия процедурам SecCM.

4.2. Внедрение и управления инструментами для мониторинга процедур SecCM; при невозможности применения автоматизированных инструментов следует задокументировать такие системы/компоненты и разработать процесс проведения неавтоматизированной проверки.


Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Уязвимости
Уязвимости
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
False или не false?
False или не false?

Рекомендуем

Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Уязвимости
Уязвимости
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
False или не false?
False или не false?

Похожие статьи

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Похожие статьи

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре