SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"

Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
27.06.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

С ростом количества кибератак в середине 2010-х годов киберсообщество пришло к логичному выводу: невозможно предотвратить все киберинциденты, поскольку арсенал и возможности атакующих непрерывно совершенствуются, а защитные меры зачастую не успевают адаптироваться под постоянно меняющийся ландшафт киберугроз. За этим последовал неутешительный вывод: стратегии защиты, обнаружения и предотвращения киберугроз были к тому моменту описаны и изучены уже достаточно подробно, чего нельзя было утверждать про планы по восстановлению после киберинцидентов, которые были разрознены и фрагментарно сформулированы в различных документах и рекомендациях. Как итог, институт NIST в конце 2016 года разработал документ NIST SP 800-184 "Guide for Cybersecurity Event Recovery" («Руководство по восстановлению после киберинцидентов»), в которым были описаны рекомендации по обеспечению непрерывности бизнеса и восстановлению работоспособности после киберинцидентов, включая разработку планов, инструкций, плейбуков реагирования и восстановления, а также перечислены метрики оценки эффективности процесса восстановления после кибератаки. С этим документом мы и ознакомимся в настоящей публикации.

Итак, в фреймворке обеспечения кибербезопасности (NIST Cybersecurity Framework) перечислены пять функций для предотвращения киберинцидентов: идентификация, защита, выявление, реагирование, восстановление. Однако именно фаза восстановления после киберинцидента имеет решающее значение для обеспечения киберустойчивости компании к кибератакам, поскольку позволяет не только привести инфраструктуру в известное работоспособное состояние, предшествовавшее атаке, но и улучшить все процессы ИБ путем пост-анализа успешного вторжения и последующей оптимизации всех этапов обеспечения кибербезопасности для снижения потенциального ущерба и уменьшения вероятности наступления аналогичных инцидентов в будущем.

Фаза планирования восстановления после киберинцидента играет ключевую роль в обеспечении киберустойчивости компании. Процесс планирования восстановления должен быть включен в общую систему управления ИБ и интегрироваться с другими процессами обеспечения кибербезопасности. Так, планирование восстановления позволяет выстроить взаимосвязи активов и бизнес-процессов, определить ключевые роли сотрудников, заранее договориться об альтернативных способах связи, предоставляемых сервисах и помещениях, провести what if-анализ для моделирования киберинцидентов и создания соответствующих сценариев реагирования (playbooks). В документе NIST SP 800-184 также подчеркивается, что план восстановления после киберинцидента должен быть встроен в корпоративную программу обеспечения непрерывности деятельности и восстановления работоспособности (Business Continuity, Disaster Recovery), а взаимосвязи между системами, активами и бизнес-процессами должны быть отражены в документах анализа влияния инцидентов на бизнес (Business Impact Analysis), соглашениях об уровнях оказываемых услуг или операций (Service Level Agreements/Operational Level Agreements), картах взаимозависимостей систем. Указывается также на важность инвентаризации и категоризации активов для приоритизации действий по восстановлению, на необходимость учитывать применимые технические, операционные, юридические, законодательные требования при восстановлении, а также на важность понимания границ информационных систем, отношений доверия между ними, прав доступа субъектов в инфраструктуре.

План восстановления является частью плана реагирования на киберинциденты с фокусом на восстановление после инцидента ИБ и включает в себя такие основные положения, как:

1. Соглашения об уровне оказываемых услуг (SLA) с сервис-провайдерами, оказывающими услуги по реагированию на киберинциденты (MDR, Managed Detection and Response), или MSSP-провайдерами (Managed Security Service Provider), оказывающими услуги по аутсорсингу части функций ИБ;

2. Документ с указанием контактных данных руководителей компании, которые имеют полномочия на задействование плана восстановления;

3. Документ с указанием контактных данных ответственных работников компании, которые должны выполнять действия по плану восстановления;

4. Документ с описанием детальных процедур по восстановлению информационных систем с указанием всех технических подробностей, диаграмм связности, методов активации альтернативных (запасных) способов обеспечения работоспособности зависимых бизнес-процессов;

4. Запасные способы связи и каналы коммуникации, которые могут быть использованы членами команды при выполнении действий по восстановлению, с допущением того, что основные способы связи и каналы коммуникации контролируются или подменяются атакующими;

5. План коммуникации, включающий в себя особые уведомления или процедуры эскалации, применимые к выделенным информационным системам (например, при необходимости уведомления подрядчиков или клиентов при выходе из строя поддерживающей их системы);

6. Документ с указанием места хранения и описанием способа развёртывания резервных копий критичных данных;

7. Документ с описанием альтернативных действий при невозможности восстановить данные штатным порядком за регламентированное время;

8. Документ для оповещения сотрудников с указанием адресов резервных офисов и дата-центров при выходе из строя основных;

9. Данные об инфраструктуре, аппаратном и программном обеспечении, которые используются во время восстановления основных систем и сервисов.

В рамках описания этапа планирования восстановления после киберинцидента в документе NIST SP 800-184 приведены также следующие рекомендации:

1. Идентифицировать и задокументировать список ключевых сотрудников, которые будут отвечать за определение планов и параметров восстановления;

2. Разработать детальные планы восстановления с приоритизацией целей восстановления и использовать данные планы для разработки процессов и процедур восстановления для своевременного восстановления элементов инфраструктуры. Планы должны содержать описание технических и организационных действий с вовлечением людей, процессов, технологий. При этом рекомендуется автоматизировать как можно большее количество процедур восстановления для ускорения и снижения количества человеческих ошибок, а достичь этого можно, например, путем использования IRP/SOAR-систем;

3. Разработать, внедрить и испытать планы с описанием процессов восстановления на основе корпоративных требований для обеспечения оперативного взаимодействия и восстановления сервисов, затронутых киберинцидентом;

4. Разработать и задокументировать условия запуска плана восстановления и перечень лиц, имеющих право на запуск плана восстановления, а также способ оповещения ответственных сотрудников, которые непосредственно будут выполнять действия по восстановлению;

5. Определить контрольные точки, в которых проверяется выполнение целей восстановления и прекращаются дальнейшие действия при достижении результата;

6. Скорректировать политики по выявлению и реагированию на киберинциденты для исключения негативного воздействия процедур восстановления (например, путем случайного оповещения атакующих о выполняемых действиях или путем удаления форензик-артефактов на устройствах);

7. Разработать план коммуникации при восстановлении после киберинцидента, использовать положения данного плана в политиках и процедурах восстановления;

8. Четко описать цели и границы при коммуникации, включая правила и методы передачи информации, а также указать порядок обмена значимой информацией о кибератаке и способах восстановления в рамках процесса обмена данными киберразведки с заинтересованными сторонами.

Для непрерывного улучшения процесса восстановления после киберинцидентов в документе NIST SP 800-184 рекомендуется выполнение следующих действий:

1. Выполнять сбор обратной связи о планах и процедурах восстановления от участвующих в процессе восстановления ответственных сотрудников;

2. Регулярно выполнять тренировки и тестирование процедур восстановления, документируя результаты для улучшения процесса восстановления;

3. Проводить глубокий пост-тренировочный анализ для выявления ошибок, корректировки планов и процедур восстановления, повышения уровня подготовленности сотрудников;

4. Непрерывно корректировать и улучшать политики, планы и процедуры восстановления на основе данных пост-инцидентного анализа;

5. Выявлять недостатки и слабости защиты в технологиях, процессах и сотрудниках при анализе результатов выполненных действий по восстановлению;

6. Регулярно проверять возможности процедур восстановления на основе данных от ответственных сотрудников и по результатам тренировок и тестов;

7. Тщательно документировать все сложности при восстановлении для последующего возврата к ним.

Для измерения эффективности процессов восстановления после киберинцидентов авторы публикации NIST SP 800-184 рекомендуют использовать следующие метрики:

1. Финансовый ущерб от снижения конкурентоспособности при разглашении конфиденциальной информации;

2. Штрафные санкции, судебные издержки;

3. Затраты программного и аппаратного обеспечения и стоимость человеческих ресурсов для выполнения действий по восстановлению;

4. Финансовый ущерб из-за простоя бизнес-процессов, снижения эффективности работы, незаключённых договоров;

5. Репутационный ущерб, уменьшение клиентской базы;

6. Частота и границы тестирования и обучения процедурам восстановления;

7. Количество значимых киберинцидентов, которые не были учтены при проведении оценки киберрисков;

8. Количество неучтенных активов, связей между активами;

9. Количество недостатков, выявленных при тестировании и обучении процедурам восстановления, которые можно учитывать для улучшения процессов ИБ в компании;

10. Число фактов нарушения бизнес-процессов, произошедших из-за сбоев ИТ-инфраструктуры;

11. Процент руководителей компании, удовлетворенных соблюдением показателей SLA при восстановлении;

12. Процент ИТ-сервисов, соответствующих показателям доступности (uptime);

13. Процент успешных и своевременных фактов восстановления из резервных копий;

14. Количество фактов восстановления, достигших временных и целевых показателей восстановления.

Подкасты ИБ NIST Стандарты ИБ IRP SOAR

Рекомендуем

Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Рекомендуем

Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Похожие статьи

Практическая защита персональных данных
Практическая защита персональных данных
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ

Похожие статьи

Практическая защита персональных данных
Практическая защита персональных данных
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ