SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"

Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
05.07.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     



Руслан Рахметов, Security Vision


Экстенсивная цифровизация бизнес-процессов, выход множества сервисов в онлайн, непрерывно усложняющийся и эволюционирующий киберландшафт приводят и к сопутствующему росту киберугроз и повышению мотивации атакующих. Если еще 15-20 лет назад большинство хакеров осуществляло взломы ради удовлетворения собственного любопытства или тщеславия, а о материальной выгоде от атаки задумывались единицы, то в наше время подавляющее большинство атакующих являются финансово мотивированными. Продвинутые киберпреступники объединяются в преступные синдикаты со строгой иерархией, четким разделением обязанностей и инвестициями в поиск новых эксплойтов, методов атаки и в обеспечение собственной анонимности и безопасности, а киберармии отдельных государств представляют реальную угрозу целым секторам экономики различных государств. В сложившейся ситуации принципиально важным является взаимодействие защищающихся сторон - государств, компаний, ИБ-вендоров, научных и исследовательских сообществ. Взаимодействие подразумевает не только синхронизацию нормативно-правовой базы для эффективного юридического преследования киберпреступников, но и обмен информацией о способах проведения кибератак и «почерке» хакерских кибергруппировок для повышения эффективности выявления признаков компрометации инфраструктуры, выполнения релевантных оперативных действий по реагированию на киберинциденты, обеспечения корректного пост-инцидентного анализа. Документ NIST SP 800-150 "Guide to Cyber Threat Information Sharing" («Руководство по обмену данными о киберугрозах») предоставляет рекомендации по обмену данными об индикаторах компрометации, о тактиках, техниках и процедурах атакующих и о результатах анализа обработанных киберинцидентов, что помогает определить надежные источники получения таких данных, согласовать правила обмена информацией, эффективно использовать данные киберразведки для повышения уровня кибербезопасности.


Итак, данные о киберугрозах - это любая информация, которая может помочь организации выявить, оценить, отследить и отреагировать на киберугрозы. Примерами данных о киберугрозах будут индикаторы компрометации (IP-адрес, URL, хэш-сумма, адрес отправителя фишингового email), индикаторы атак (последовательность событий ИБ, которые могут свидетельствовать о кибератаке), индикаторы поведения атакующих (сканирование портов, подбор паролей, попытки эксплуатации уязвимостей), артефакты (признаки произошедшей компрометации в виде специфических файлов, метаданных, сетевой активности), тактики, техники и процедуры атакующих, оповещения об угрозах (например, данные об уязвимостях и эксплойтах), отчеты киберкриминалистов и исследователей киберугроз, а также рекомендуемые настройки средств защиты для эффективного сбора, обмена, обработки и анализа данных о киберугрозах. Указанные сведения как правило уже собираются и обрабатываются внутри организаций, но публикация NIST SP 800-150 сфокусирована на внешнем обмене такими данными, что позволяет повысить общий уровень защищенности компаний путем обмена сведениями о совершающихся или недавно произошедших киберинцидентах, особенно если обмен ведется данными, специфичными для определенного сектора экономики. Такой подход даст возможность работать во взаимовыгодной парадигме «то, что выявила одна организация в результате произошедшего инцидента, может использовать другая организация для недопущения аналогичного инцидента», что дает возможность обогащать данные о киберугрозах информацией от всех участников обмена, повышать ситуационную осведомленность и знания об актуальном ландшафте киберугроз, применять релевантные меры и способы защиты для минимизации киберрисков. При этом не следует забывать и о рекомендациях и лучших практиках при обмене информацией, а также о возможных негативных последствиях и мерах предосторожности при информационном обмене: необходимо установить доверительные отношения с участниками обмена, автоматизировать передачу данных и применять стандартизованные решения, обеспечить защиту конфиденциальной информации и минимизировать риск ее  разглашения при информационном обмене данными о киберугрозах, обеспечить ресурсную поддержку при обмене информацией (инфраструктура, инструменты, сотрудники), а также оценить качество входящей информации и обеспечить ее конвертацию в применяемый внутри компании формат, соответствие применимым законодательным нормам, сокрытие конфиденциальных подробностей при отправке данных о кибератаке за пределы компании.


При внедрении процесса обмена данными о киберугрозах можно руководствоваться следующими этапами, приведенными в публикации NIST SP 800-150:

1. Определить цели и задачи процесса обмена данными о киберугрозах, приоритизировать действия и шаги.

2. Определить внутренние источники данных о киберугрозах: выявить сенсоры, инструменты и источники данных о киберугрозах внутри компании; определить информацию о киберугрозах, которая уже собирается и анализируется; выявить информацию о киберугрозах, которая собирается и хранится, но не анализируется; определить категорию информации, которой можно поделиться с внешними участниками информационного обмена.

3. Определить объем и границы информационного обмена: согласовать типы доступной для обмена информации, условия обмена информацией, получателей информации. Также следует приоритизировать типы требующейся информации в зависимости от целей и задач процесса обмена, а также, основываясь на ресурсных возможностях организации, отдавать предпочтение автоматизированным способам обработки информации о киберугрозах.

4. Установить правила обмена информацией и утвердить их в виде политики: определить перечень типов информации, которой можно делиться, определить условия и обстоятельства, при которых обмен возможен, согласовать перечень получателей информации, установить правила санитизации или редактирования информации для удаления конфиденциальных сведений, определить требования к получателям информации по обеспечению защиты полученной информации. Также следует озаботиться соблюдением ограничений на передачу конфиденциальной информации (персональные данные, коммерческая тайна, банковская тайна и т.д.) и разработкой правил санитизации этих сведений в рамках информационного обмена. В документе NIST SP 800-150 приводится пример использования TLP-нотации (Traffic Light Protocol, «светофорный индикатор конфиденциальности»), который можно применять при обмене чувствительной информацией для маркирования её соответствующим образом в зависимости от степени конфиденциальности.

5. Присоединиться к сообществу обмена информацией о киберугрозах: при оценке сообществ обмена информацией и поставщиков данных киберразведки следует оценить потенциальную пользу от предоставляемых ими сведений, оценить полноту закрытия их данными пробелов в ситуационной осведомленности компании. Рекомендуется поддерживать членство в нескольких сообществах по обмену информацией и отдавать предпочтение наиболее релевантным (т.е. тем, которые объединяют компании одного сектора, одного региона, со сходными инфраструктурами и риск-профилями).

6. Запланировать непрерывную дальнейшую поддержку настроенных процессов обмена информацией о киберугрозах: определить сотрудников, финансирование, инфраструктуру и процессы для сбора и анализа информации о киберугрозах из внутренних и внешних источников, настройки защитных мер на основании полученной информации и развертывания инфраструктуры для мониторинга и выявления угроз.


Участие в обмене информацией о киберугрозах, по мнению авторов публикации NIST SP 800-150, должно включать в себя следующие процессы:

1. Участие в непрерывном взаимодействии, которое, помимо технического получения данных в машиночитаемом формате, также включает личное общение экспертов, обмен отчетами и материалами, выступление на конференциях и участие в семинарах и киберполигонах.

2. Получение и реагирование на оповещения об угрозах, которые могут включать в себя данные об уязвимостях, эксплойтах, активных кибератаках, с указанием затронутых систем/платформ, оценку негативного влияния, уровень опасности, возможности по смягчению последствий, ссылки для получения дополнительной информации.

3. Получение и использование индикаторов: проверка целостности поступившей информации, распаковка и приведение к единому формату, парсинг индикаторов, приоритизация в зависимости от важности данных и надежности источника, категорирование полученной информации для определения правил ее хранения и обработки. Показателями качественных индикаторов являются их своевременность, релевантность, точность и полнота описания, специфичность и применимость для выявления и реагирования на киберугрозу. Также можно использовать назначение меток (тэгирование) индикаторов для обозначения качества и точности предоставленных данных.

4. Организация хранения информации о киберугрозах, включая данные об источнике индикатора, использующие данный индикатор правила на СЗИ, дату и время получения данных, срок жизни индикатора, релевантные идентификаторы CVE/CPE/CWE/CCE, ассоциированные с индикатором киберпреступные группы и их техники, тактики, процедуры и атакуемые системы и компании. Не следует забывать и о защите информации о киберугрозах, которая сама может являться одной из целью атакующих для сокрытия кибератаки и увеличения времени обнаружения вторжения.

5. Создание и публикация индикаторов, включая обогащение индикаторов собственными данными, использование стандартных структурированных форматов данных, защиту конфиденциальных сведений.

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют