SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"

Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
27.06.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

С ростом количества кибератак в середине 2010-х годов киберсообщество пришло к логичному выводу: невозможно предотвратить все киберинциденты, поскольку арсенал и возможности атакующих непрерывно совершенствуются, а защитные меры зачастую не успевают адаптироваться под постоянно меняющийся ландшафт киберугроз. За этим последовал неутешительный вывод: стратегии защиты, обнаружения и предотвращения киберугроз были к тому моменту описаны и изучены уже достаточно подробно, чего нельзя было утверждать про планы по восстановлению после киберинцидентов, которые были разрознены и фрагментарно сформулированы в различных документах и рекомендациях. Как итог, институт NIST в конце 2016 года разработал документ NIST SP 800-184 "Guide for Cybersecurity Event Recovery" («Руководство по восстановлению после киберинцидентов»), в которым были описаны рекомендации по обеспечению непрерывности бизнеса и восстановлению работоспособности после киберинцидентов, включая разработку планов, инструкций, плейбуков реагирования и восстановления, а также перечислены метрики оценки эффективности процесса восстановления после кибератаки. С этим документом мы и ознакомимся в настоящей публикации.

Итак, в фреймворке обеспечения кибербезопасности (NIST Cybersecurity Framework) перечислены пять функций для предотвращения киберинцидентов: идентификация, защита, выявление, реагирование, восстановление. Однако именно фаза восстановления после киберинцидента имеет решающее значение для обеспечения киберустойчивости компании к кибератакам, поскольку позволяет не только привести инфраструктуру в известное работоспособное состояние, предшествовавшее атаке, но и улучшить все процессы ИБ путем пост-анализа успешного вторжения и последующей оптимизации всех этапов обеспечения кибербезопасности для снижения потенциального ущерба и уменьшения вероятности наступления аналогичных инцидентов в будущем.

Фаза планирования восстановления после киберинцидента играет ключевую роль в обеспечении киберустойчивости компании. Процесс планирования восстановления должен быть включен в общую систему управления ИБ и интегрироваться с другими процессами обеспечения кибербезопасности. Так, планирование восстановления позволяет выстроить взаимосвязи активов и бизнес-процессов, определить ключевые роли сотрудников, заранее договориться об альтернативных способах связи, предоставляемых сервисах и помещениях, провести what if-анализ для моделирования киберинцидентов и создания соответствующих сценариев реагирования (playbooks). В документе NIST SP 800-184 также подчеркивается, что план восстановления после киберинцидента должен быть встроен в корпоративную программу обеспечения непрерывности деятельности и восстановления работоспособности (Business Continuity, Disaster Recovery), а взаимосвязи между системами, активами и бизнес-процессами должны быть отражены в документах анализа влияния инцидентов на бизнес (Business Impact Analysis), соглашениях об уровнях оказываемых услуг или операций (Service Level Agreements/Operational Level Agreements), картах взаимозависимостей систем. Указывается также на важность инвентаризации и категоризации активов для приоритизации действий по восстановлению, на необходимость учитывать применимые технические, операционные, юридические, законодательные требования при восстановлении, а также на важность понимания границ информационных систем, отношений доверия между ними, прав доступа субъектов в инфраструктуре.

План восстановления является частью плана реагирования на киберинциденты с фокусом на восстановление после инцидента ИБ и включает в себя такие основные положения, как:

1. Соглашения об уровне оказываемых услуг (SLA) с сервис-провайдерами, оказывающими услуги по реагированию на киберинциденты (MDR, Managed Detection and Response), или MSSP-провайдерами (Managed Security Service Provider), оказывающими услуги по аутсорсингу части функций ИБ;

2. Документ с указанием контактных данных руководителей компании, которые имеют полномочия на задействование плана восстановления;

3. Документ с указанием контактных данных ответственных работников компании, которые должны выполнять действия по плану восстановления;

4. Документ с описанием детальных процедур по восстановлению информационных систем с указанием всех технических подробностей, диаграмм связности, методов активации альтернативных (запасных) способов обеспечения работоспособности зависимых бизнес-процессов;

4. Запасные способы связи и каналы коммуникации, которые могут быть использованы членами команды при выполнении действий по восстановлению, с допущением того, что основные способы связи и каналы коммуникации контролируются или подменяются атакующими;

5. План коммуникации, включающий в себя особые уведомления или процедуры эскалации, применимые к выделенным информационным системам (например, при необходимости уведомления подрядчиков или клиентов при выходе из строя поддерживающей их системы);

6. Документ с указанием места хранения и описанием способа развёртывания резервных копий критичных данных;

7. Документ с описанием альтернативных действий при невозможности восстановить данные штатным порядком за регламентированное время;

8. Документ для оповещения сотрудников с указанием адресов резервных офисов и дата-центров при выходе из строя основных;

9. Данные об инфраструктуре, аппаратном и программном обеспечении, которые используются во время восстановления основных систем и сервисов.

В рамках описания этапа планирования восстановления после киберинцидента в документе NIST SP 800-184 приведены также следующие рекомендации:

1. Идентифицировать и задокументировать список ключевых сотрудников, которые будут отвечать за определение планов и параметров восстановления;

2. Разработать детальные планы восстановления с приоритизацией целей восстановления и использовать данные планы для разработки процессов и процедур восстановления для своевременного восстановления элементов инфраструктуры. Планы должны содержать описание технических и организационных действий с вовлечением людей, процессов, технологий. При этом рекомендуется автоматизировать как можно большее количество процедур восстановления для ускорения и снижения количества человеческих ошибок, а достичь этого можно, например, путем использования IRP/SOAR-систем;

3. Разработать, внедрить и испытать планы с описанием процессов восстановления на основе корпоративных требований для обеспечения оперативного взаимодействия и восстановления сервисов, затронутых киберинцидентом;

4. Разработать и задокументировать условия запуска плана восстановления и перечень лиц, имеющих право на запуск плана восстановления, а также способ оповещения ответственных сотрудников, которые непосредственно будут выполнять действия по восстановлению;

5. Определить контрольные точки, в которых проверяется выполнение целей восстановления и прекращаются дальнейшие действия при достижении результата;

6. Скорректировать политики по выявлению и реагированию на киберинциденты для исключения негативного воздействия процедур восстановления (например, путем случайного оповещения атакующих о выполняемых действиях или путем удаления форензик-артефактов на устройствах);

7. Разработать план коммуникации при восстановлении после киберинцидента, использовать положения данного плана в политиках и процедурах восстановления;

8. Четко описать цели и границы при коммуникации, включая правила и методы передачи информации, а также указать порядок обмена значимой информацией о кибератаке и способах восстановления в рамках процесса обмена данными киберразведки с заинтересованными сторонами.

Для непрерывного улучшения процесса восстановления после киберинцидентов в документе NIST SP 800-184 рекомендуется выполнение следующих действий:

1. Выполнять сбор обратной связи о планах и процедурах восстановления от участвующих в процессе восстановления ответственных сотрудников;

2. Регулярно выполнять тренировки и тестирование процедур восстановления, документируя результаты для улучшения процесса восстановления;

3. Проводить глубокий пост-тренировочный анализ для выявления ошибок, корректировки планов и процедур восстановления, повышения уровня подготовленности сотрудников;

4. Непрерывно корректировать и улучшать политики, планы и процедуры восстановления на основе данных пост-инцидентного анализа;

5. Выявлять недостатки и слабости защиты в технологиях, процессах и сотрудниках при анализе результатов выполненных действий по восстановлению;

6. Регулярно проверять возможности процедур восстановления на основе данных от ответственных сотрудников и по результатам тренировок и тестов;

7. Тщательно документировать все сложности при восстановлении для последующего возврата к ним.

Для измерения эффективности процессов восстановления после киберинцидентов авторы публикации NIST SP 800-184 рекомендуют использовать следующие метрики:

1. Финансовый ущерб от снижения конкурентоспособности при разглашении конфиденциальной информации;

2. Штрафные санкции, судебные издержки;

3. Затраты программного и аппаратного обеспечения и стоимость человеческих ресурсов для выполнения действий по восстановлению;

4. Финансовый ущерб из-за простоя бизнес-процессов, снижения эффективности работы, незаключённых договоров;

5. Репутационный ущерб, уменьшение клиентской базы;

6. Частота и границы тестирования и обучения процедурам восстановления;

7. Количество значимых киберинцидентов, которые не были учтены при проведении оценки киберрисков;

8. Количество неучтенных активов, связей между активами;

9. Количество недостатков, выявленных при тестировании и обучении процедурам восстановления, которые можно учитывать для улучшения процессов ИБ в компании;

10. Число фактов нарушения бизнес-процессов, произошедших из-за сбоев ИТ-инфраструктуры;

11. Процент руководителей компании, удовлетворенных соблюдением показателей SLA при восстановлении;

12. Процент ИТ-сервисов, соответствующих показателям доступности (uptime);

13. Процент успешных и своевременных фактов восстановления из резервных копий;

14. Количество фактов восстановления, достигших временных и целевых показателей восстановления.

Подкасты ИБ NIST Стандарты ИБ IRP SOAR

Рекомендуем

Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
SOAR-системы
SOAR-системы
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн

Рекомендуем

Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
SOAR-системы
SOAR-системы
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн

Похожие статьи

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Похожие статьи

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»