SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"

Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
05.07.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     



Руслан Рахметов, Security Vision


Экстенсивная цифровизация бизнес-процессов, выход множества сервисов в онлайн, непрерывно усложняющийся и эволюционирующий киберландшафт приводят и к сопутствующему росту киберугроз и повышению мотивации атакующих. Если еще 15-20 лет назад большинство хакеров осуществляло взломы ради удовлетворения собственного любопытства или тщеславия, а о материальной выгоде от атаки задумывались единицы, то в наше время подавляющее большинство атакующих являются финансово мотивированными. Продвинутые киберпреступники объединяются в преступные синдикаты со строгой иерархией, четким разделением обязанностей и инвестициями в поиск новых эксплойтов, методов атаки и в обеспечение собственной анонимности и безопасности, а киберармии отдельных государств представляют реальную угрозу целым секторам экономики различных государств. В сложившейся ситуации принципиально важным является взаимодействие защищающихся сторон - государств, компаний, ИБ-вендоров, научных и исследовательских сообществ. Взаимодействие подразумевает не только синхронизацию нормативно-правовой базы для эффективного юридического преследования киберпреступников, но и обмен информацией о способах проведения кибератак и «почерке» хакерских кибергруппировок для повышения эффективности выявления признаков компрометации инфраструктуры, выполнения релевантных оперативных действий по реагированию на киберинциденты, обеспечения корректного пост-инцидентного анализа. Документ NIST SP 800-150 "Guide to Cyber Threat Information Sharing" («Руководство по обмену данными о киберугрозах») предоставляет рекомендации по обмену данными об индикаторах компрометации, о тактиках, техниках и процедурах атакующих и о результатах анализа обработанных киберинцидентов, что помогает определить надежные источники получения таких данных, согласовать правила обмена информацией, эффективно использовать данные киберразведки для повышения уровня кибербезопасности.


Итак, данные о киберугрозах - это любая информация, которая может помочь организации выявить, оценить, отследить и отреагировать на киберугрозы. Примерами данных о киберугрозах будут индикаторы компрометации (IP-адрес, URL, хэш-сумма, адрес отправителя фишингового email), индикаторы атак (последовательность событий ИБ, которые могут свидетельствовать о кибератаке), индикаторы поведения атакующих (сканирование портов, подбор паролей, попытки эксплуатации уязвимостей), артефакты (признаки произошедшей компрометации в виде специфических файлов, метаданных, сетевой активности), тактики, техники и процедуры атакующих, оповещения об угрозах (например, данные об уязвимостях и эксплойтах), отчеты киберкриминалистов и исследователей киберугроз, а также рекомендуемые настройки средств защиты для эффективного сбора, обмена, обработки и анализа данных о киберугрозах. Указанные сведения как правило уже собираются и обрабатываются внутри организаций, но публикация NIST SP 800-150 сфокусирована на внешнем обмене такими данными, что позволяет повысить общий уровень защищенности компаний путем обмена сведениями о совершающихся или недавно произошедших киберинцидентах, особенно если обмен ведется данными, специфичными для определенного сектора экономики. Такой подход даст возможность работать во взаимовыгодной парадигме «то, что выявила одна организация в результате произошедшего инцидента, может использовать другая организация для недопущения аналогичного инцидента», что дает возможность обогащать данные о киберугрозах информацией от всех участников обмена, повышать ситуационную осведомленность и знания об актуальном ландшафте киберугроз, применять релевантные меры и способы защиты для минимизации киберрисков. При этом не следует забывать и о рекомендациях и лучших практиках при обмене информацией, а также о возможных негативных последствиях и мерах предосторожности при информационном обмене: необходимо установить доверительные отношения с участниками обмена, автоматизировать передачу данных и применять стандартизованные решения, обеспечить защиту конфиденциальной информации и минимизировать риск ее  разглашения при информационном обмене данными о киберугрозах, обеспечить ресурсную поддержку при обмене информацией (инфраструктура, инструменты, сотрудники), а также оценить качество входящей информации и обеспечить ее конвертацию в применяемый внутри компании формат, соответствие применимым законодательным нормам, сокрытие конфиденциальных подробностей при отправке данных о кибератаке за пределы компании.


При внедрении процесса обмена данными о киберугрозах можно руководствоваться следующими этапами, приведенными в публикации NIST SP 800-150:

1. Определить цели и задачи процесса обмена данными о киберугрозах, приоритизировать действия и шаги.

2. Определить внутренние источники данных о киберугрозах: выявить сенсоры, инструменты и источники данных о киберугрозах внутри компании; определить информацию о киберугрозах, которая уже собирается и анализируется; выявить информацию о киберугрозах, которая собирается и хранится, но не анализируется; определить категорию информации, которой можно поделиться с внешними участниками информационного обмена.

3. Определить объем и границы информационного обмена: согласовать типы доступной для обмена информации, условия обмена информацией, получателей информации. Также следует приоритизировать типы требующейся информации в зависимости от целей и задач процесса обмена, а также, основываясь на ресурсных возможностях организации, отдавать предпочтение автоматизированным способам обработки информации о киберугрозах.

4. Установить правила обмена информацией и утвердить их в виде политики: определить перечень типов информации, которой можно делиться, определить условия и обстоятельства, при которых обмен возможен, согласовать перечень получателей информации, установить правила санитизации или редактирования информации для удаления конфиденциальных сведений, определить требования к получателям информации по обеспечению защиты полученной информации. Также следует озаботиться соблюдением ограничений на передачу конфиденциальной информации (персональные данные, коммерческая тайна, банковская тайна и т.д.) и разработкой правил санитизации этих сведений в рамках информационного обмена. В документе NIST SP 800-150 приводится пример использования TLP-нотации (Traffic Light Protocol, «светофорный индикатор конфиденциальности»), который можно применять при обмене чувствительной информацией для маркирования её соответствующим образом в зависимости от степени конфиденциальности.

5. Присоединиться к сообществу обмена информацией о киберугрозах: при оценке сообществ обмена информацией и поставщиков данных киберразведки следует оценить потенциальную пользу от предоставляемых ими сведений, оценить полноту закрытия их данными пробелов в ситуационной осведомленности компании. Рекомендуется поддерживать членство в нескольких сообществах по обмену информацией и отдавать предпочтение наиболее релевантным (т.е. тем, которые объединяют компании одного сектора, одного региона, со сходными инфраструктурами и риск-профилями).

6. Запланировать непрерывную дальнейшую поддержку настроенных процессов обмена информацией о киберугрозах: определить сотрудников, финансирование, инфраструктуру и процессы для сбора и анализа информации о киберугрозах из внутренних и внешних источников, настройки защитных мер на основании полученной информации и развертывания инфраструктуры для мониторинга и выявления угроз.


Участие в обмене информацией о киберугрозах, по мнению авторов публикации NIST SP 800-150, должно включать в себя следующие процессы:

1. Участие в непрерывном взаимодействии, которое, помимо технического получения данных в машиночитаемом формате, также включает личное общение экспертов, обмен отчетами и материалами, выступление на конференциях и участие в семинарах и киберполигонах.

2. Получение и реагирование на оповещения об угрозах, которые могут включать в себя данные об уязвимостях, эксплойтах, активных кибератаках, с указанием затронутых систем/платформ, оценку негативного влияния, уровень опасности, возможности по смягчению последствий, ссылки для получения дополнительной информации.

3. Получение и использование индикаторов: проверка целостности поступившей информации, распаковка и приведение к единому формату, парсинг индикаторов, приоритизация в зависимости от важности данных и надежности источника, категорирование полученной информации для определения правил ее хранения и обработки. Показателями качественных индикаторов являются их своевременность, релевантность, точность и полнота описания, специфичность и применимость для выявления и реагирования на киберугрозу. Также можно использовать назначение меток (тэгирование) индикаторов для обозначения качества и точности предоставленных данных.

4. Организация хранения информации о киберугрозах, включая данные об источнике индикатора, использующие данный индикатор правила на СЗИ, дату и время получения данных, срок жизни индикатора, релевантные идентификаторы CVE/CPE/CWE/CCE, ассоциированные с индикатором киберпреступные группы и их техники, тактики, процедуры и атакуемые системы и компании. Не следует забывать и о защите информации о киберугрозах, которая сама может являться одной из целью атакующих для сокрытия кибератаки и увеличения времени обнаружения вторжения.

5. Создание и публикация индикаторов, включая обогащение индикаторов собственными данными, использование стандартных структурированных форматов данных, защиту конфиденциальных сведений.

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и безопасность
Интернет вещей и безопасность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Уязвимости
Уязвимости
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Что за зверь Security Champion?
Что за зверь Security Champion?
False или не false?
False или не false?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Рекомендуем

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и безопасность
Интернет вещей и безопасность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Уязвимости
Уязвимости
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Что за зверь Security Champion?
Что за зверь Security Champion?
False или не false?
False или не false?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Похожие статьи

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и безопасность
Интернет вещей и безопасность
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
SSDL: Dev vs Sec
SSDL: Dev vs Sec

Похожие статьи

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и безопасность
Интернет вещей и безопасность
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
SSDL: Dev vs Sec
SSDL: Dev vs Sec