SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"

Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
08.02.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Ряд резонансных киберинцидентов, произошедших в последнее время (такие как атаки на ИТ-гигантов SolarWinds и Kaseya), поставили мировое сообщество перед фактом: невозможно однозначно доверять даже самым проверенным и изученным информационным системам. Причина заключается в возможности проведения атак на цепочки поставок (англ. "supply chain attacks") путем несанкционированного внедрения атакующими вредоносного кода и/или недекларированных возможностей в программное и/или аппаратное обеспечение, которое поставляется третьим лицом (ИТ-вендором, производителем, сторонними разработчиками).


Не секрет, что современные приложения, информационные системы и высокотехнологичное оборудование настолько сложны и так часто обновляются, что компания-заказчик, как правило, не может самостоятельно проверить отсутствие уязвимостей, вредоносного функционала, бэкдоров (программной или аппаратной закладки) в используемом оборудовании, операционных системах, прикладном ПО и даже в средствах защиты. Вопросы обработки рисков цепочек поставок освещены в документе NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations" («Практики управления киберрисками цепочки поставок для систем и организаций»), который мы обсудим в данной публикации.


В документе NIST SP 800-161 дается определение цепочки поставок как взаимосвязанному набору ресурсов и процессов между различными уровнями предприятий (включая покупателей, поставщиков, разработчиков, системных интеграторов, сервис-провайдеров), каждый из которых является потребителем продуктов и сервисов с нижележащего уровня с дальнейшим внедрением их в жизненный цикл конечного продукта. Киберриск цепочек поставок определен как потенциальный ущерб или компрометация в результате киберриска со стороны поставщиков, их цепочек поставок и их продуктов или сервисов. Киберриски в цепочках поставок возникают по причине наличия угроз, эксплуатирующих уязвимости и недостатки в продуктах и сервисах в рамках цепочки поставок, а также в самой логике цепочки поставок. В качестве угроз цепочкам поставок могут быть рассмотрены намеренное внедрение вредоносного ПО, создание подделок, промышленный шпионаж, нарушение поставок, перебои в оказании услуг, воздействие спецслужб, а также природные катастрофы, низкокачественные продукты и сервисы, регуляторные и геополитические ограничения (санкции). В качестве уязвимостей цепочек поставок могут быть рассмотрены взаимозависимости в цепочке поставок, ограниченные возможности отдельных элементов цепочки поставок, недостаточные меры кибербезопасности, а также уязвимые системы и компоненты поставщиков, непропатченные системы, недостаточная осведомленность в вопросах обеспечения информационной безопасности.


Например, киберрисками цепочки поставок будут:

  • компрометация репозитория исходного кода проприетарного программного продукта и включение в него бэкдора;

  • выявление уязвимости в распространенном ПО и проведение дальнейших атак на пользователей данного ПО;

  • подмена аппаратных компонент (микроконтроллеров, модулей памяти, периферии) в материнских платах на аналогичные оригинальным, но содержащие программно-аппаратные закладки, с дальнейшей установкой таких материнских плат в оборудование и доставкой его заказчику - конечной цели атаки.


В документе NIST SP 800-161 признается, что повторное использование программных компонент, включая компоненты с открытым исходным кодом (англ. open source) является экономически эффективным и популярным способом разработки и улучшения ПО, при этом зачастую конечный потребитель не имеет представления о версиях программных модулей, используемых в конечном ПО, которое он использует. Аналогичные киберугрозы актуальны и для внутренней (in-house) разработки ПО, поскольку штатные разработчики могут использовать сторонние библиотеки и модули, которые могут содержать уязвимости. Приведем пример: недавняя опасная уязвимость Log4Shell, обнаруженная в популярной OpenSource-библиотеке логирования операций веб-приложений Apache Log4j, активно эксплуатируется в кибератаках именно по причине её широкого применения в коммерческих платформах по всему миру. Другой пример: при разработке программного продукта для внутренних нужд используется библиотека с открытым исходным кодом, хранящимся в GitHub-репозиторий; данный репозиторий может быть скомпрометирован атакующими (например, путем похищения учетных данных администратора), чтобы в дальнейшем "раздавать" видоизмененный код проекта, содержащий легко эксплуатируемую извне уязвимость, а за этим последуют и атаки на все компании, использовавшие данный GitHub-репозиторий. В результате, NIST SP 800-161 вводит понятие C-SCRM (Cybersecurity Supply Chain Risk Management, управление киберрисками цепочки поставок), обозначающее систематический процесс управления киберрисками цепочки поставок, являющийся частью корпоративной системы управления рисками и включающий в себя практики и меры защиты цепочек поставок для IT и OT-инфраструктур, а также для IoT-устройств. Внедрение процессов C-SCRM может помочь организациям выявить наиболее зависимые от цепочек поставок информационные системы и компоненты ИТ-инфраструктуры, уменьшить вероятность компрометации инфраструктуры за счет эффективного выявления, реагирования и восстановления после инцидентов в цепочках поставок, повысить уверенность в качестве, подлинности, надежности, киберустойчивости и безопасности приобретаемых продуктов, а также в надежности поставщиков и сервис-провайдеров.


Для эффективного и последовательного управления киберрисками цепочки поставок в документе NIST SP 800-161 приводится ряд требований к контрактным обязательствам поставщиков и управлению закупками продуктов/сервисов:

  • Соответствие применимым требованиям кибербезопасности должно быть условием заключения и оплаты контракта;

  • Требования кибербезопасности должны предъявляться также к субподрядчикам и субпоставщикам, с контролем выполнения данных требований;

  • Периодические перепроверки выполнения поставщиками требований кибербезопасности;

  • Установленные процессы и протоколы обмена информацией об уязвимостях, киберинцидентах и иных нарушениях бизнес-процессов, а также критерии категорирования инцидентов;

  • Условия и положения контрактов, оговаривающие роли, ответственность и действия поставщиков и иных третьих лиц при реагировании на выявленные киберриски или киберинциденты цепочки поставок для смягчения риска, минимизации ущерба и обеспечения действий по реагированию на инциденты;

  • Методами проверки и перепроверки выполнения условий поставщиками и подрядчиками могут быть сертификации, визиты заказчика на площадку, оценки независимых третьих лиц или проведение процедур самооценки поставщиками и подрядчиками.


При обработке данных о продуктах, сервисах или источниках поставок рекомендуется учитывать следующие их характеристики:

  • Функционал и возможности;

  • Доступ к данным и информации, включая привилегии доступа;

  • Среда установки и функционирования;

  • Безопасность, подлинность и целостность продукта и сервиса и соответствующей цепочки поставки и компиляции;

  • Возможности источника поставок предоставить ожидаемый продукт или сервис требуемого качества;

  • Контроль или влияние на источник поставок со стороны зарубежных законодательных норм или иностранных сущностей;

  • Рыночные альтернативы источнику поставок;

  • Потенциальные факторы риска, такие как геополитические, юридические, управленческие/внутренние способы контроля, финансовая стабильность, произошедшие киберинциденты, физическая и личная безопасность, а также иная информация, которая повлияет на анализ качества, подлинности, надежности, киберустойчивости и безопасности источников поставок и приобретаемых продуктов и сервисов.


Для оценки киберрисков цепочки поставок рекомендуется учитывать следующие риск-индикаторы и результаты анализа:

  • Информацию об киберугрозах, включая индикаторы компрометации, а также тактики, техники и процедуры атакующих;

  • Данные оповещений средств защиты, отчеты с данными киберразведки;

  • Последствия для безопасности инфраструктуры и/или бизнес-процессов, связанных с использованием продукта или сервиса;

  • Уязвимости информационных систем;

  • Уровень угроз и уязвимостей по результатам их оценки;

  • Потенциальное негативное влияние или ущерб, причиненный возможной компрометацией продукта или сервиса бизнес-процессам компании, а также вероятность такого негативного влияния или ущерба, с учетом возможности эксплуатации уязвимостей;

  • Возможности компании по смягчению выявленных киберрисков цепочки поставок.


В документе NIST SP 800-161 приводятся рекомендации по эффективному обеспечению кибербезопасности цепочек поставок, которые разделены на основные (foundational), дополнительные (sustaining) и развивающие (enhancing).


Основные рекомендации включают в себя следующие пункты:

  • Создание выделенного подразделения или группы для управления киберрисками цепочки поставок;

  • Внедрение процессов и иерархии риск-менеджмента в соответствии с рекомендациями NIST SP 800-39 и NIST SP 800-30;

  • Внедрение структуры корпоративного управления для интеграции требований управления киберрисками цепочки поставок в корпоративные политики и процедуры;

  • Разработка процесса определения и оценки критичности корпоративных поставщиков, продуктов и сервисов;

  • Повышение осведомленности ответственных работников в вопросах управления киберрисками цепочки поставок;

  • Разработка и внедрение требований управления киберрисками цепочки поставок в политики и процедуры закупок;

  • Внедрение логически связанного, повторяемого, задокументированного процесса определения уровней негативного воздействия при реализации киберрисков цепочки поставок;

  • Внедрение процессов оценки рисков поставщиков, включая анализ критичности, угроз и уязвимостей;

  • Внедрение программы оценки качества и надежности с методами их контроля и проверки;

  • Выделение достаточных ресурсов функциям информационной безопасности и управления киберрисками цепочки поставок;

  • Обеспечение контролируемого доступа к конфиденциальной информации по управлению киберрисками цепочки поставок;

  • Внедрение применимых защитных мер в соответствии с документом NIST SP 800-53;

  • Внедрение программы реагирования на киберинциденты, включающей возможности по выявлению первопричины киберинцидентов, в том числе произошедших из-за атак на цепочки поставок;

  • Внедрение внутренних процессов для проверки того, что поставщики и сервис-провайдеры активно ищут и оповещают об уязвимостях в своих продуктах;

  • Внедрение корпоративной функции управления и мониторинга каталога компонент программного обеспечения (англ. SBOM, Software Bill Of Materials) для выявления уязвимостей в используемом ПО.


Дополнительные рекомендации включают в себя следующие пункты:

  • Внедрение и взаимодействие в рамках программы обеспечения информационной безопасности с учетом актуальных киберугроз;

  • Использование механизмов построения доверия, включая опросники для оценки третьих лиц, визиты на площадки производителей, формальные сертификации (например, по ISO 27001) для оценки возможностей и практик критичных поставщиков;

  • Внедрение формальных процессов мониторинга и переоценки существующих поставщиков для выявления возможных изменений их риск-профилей;

  • Использование понимания корпоративного риск-профиля для определения аппетита и толерантности к риску для поддержки принятия риск-ориентированных управленческих решений в отношении управления цепочками поставок;

  • Использование согласованного процесса обмена информацией о киберрисках цепочки поставок между компаниями и государственными органами;

  • Эскалация высокоприоритетных киберрисков цепочки поставок на уровень руководства компании (при необходимости);

  • Включение тренингов по вопросам управления киберрисками цепочки поставок в корпоративный процесс внутреннего обучения;

  • Внедрение аспектов управления киберрисками цепочки поставок в жизненный цикл продуктов и систем, а также внедрение соответствующих логически связанных, повторяемых, задокументированных процессов в создание систем, практики обеспечения кибербезопасности, процедуры приобретения ИТ-продуктов и услуг;

  • Внедрение внутрикорпоративных требований по управлению киберрисками цепочки поставок в контрактные требования для поставщиков, разработчиков, системных интеграторов, сервис-провайдеров;

  • Включение критически важных поставщиков в планы и тестирования по реагированию на киберинциденты, обеспечению непрерывности и восстановлению работоспособности;

  • Взаимодействие с поставщиками, разработчиками, системными интеграторами, сервис-провайдерами для повышения их практик обеспечения кибербезопасности;

  • Определение, сбор и предоставление отчетности по метрикам управления киберрисками цепочки поставок для поддержки принятия риск-ориентированных управленческих решений, применение управленческих практик для полномасштабного внедрения системы управления киберрисками цепочки поставок, повышение эффективности и результативности процессов и практик обеспечения кибербезопасности цепочки поставок.


Развивающие рекомендации включают в себя следующие пункты:

  • Автоматизация процессов управления киберрисками цепочки поставок (где применимо и возможно) для повышения логической связности и эффективности, а также высвобождения ресурсов;

  • Применение количественных методов оценки анализа рисков для повышения точности оценки рисков цепочки поставок, повышения возможностей руководства компании для определения оптимальных способов реагирования на киберриски, а также количественного измерения эффективности реагирования на киберриски цепочки поставок;

  • Применение результатов вычисления метрик управления киберрисками цепочки поставок для прогнозирования киберугроз цепочки поставок и перехода от реактивного к проактивному методу реагирования.

ГОСТы и документы ИБ Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют