SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
22.03.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


В современном цифровом мире киберугрозы эволюционируют настолько быстро и приобретают такие масштабы, что специалисты и методологи информационной безопасности вынуждены регулярно пересматривать концепции и парадигмы защиты информации. Периодически, раз в 2-3 года, на рынке средств защиты информации появляется новый класс продуктов, обещающий защиту от новейших киберугроз: так было с Next Generation Firewall (межсетевые экраны нового поколения), с системами DLP (решения для предотвращения утечек данных), с SIEM-системами и далее с решениями по защите облачных платформ, системами выявления аномалий, платформами для работы с данными киберразведки.


В нашей текущей публикации речь пойдет об относительно новой концепции "Zero Trust Architecture" («Архитектура нулевого доверия»), подразумевающей доскональную непрерывную проверку всех субъектов доступа (пользователи, сущности, устройства) вне зависимости от их местоположения (корпоративная сеть, интернет, удаленная работа через VPN). Данный подход описан в документе NIST SP 800-207 "Zero Trust Architecture" («Архитектура нулевого доверия»), который содержит описание концепции создания сетевой архитектуры по принципу нулевого доверия и примеры её использования для повышения информационной безопасности предприятия.


Итак, концепция непрерывной проверки и аутентификации всех субъектов сетевого доступа родилась уже достаточно давно - компания Cisco говорила и правильности такого подхода еще в начале 2000-х годов. Со временем многие СЗИ реализовали свои варианты данного подхода, например, в виде «условного доступа» (англ. conditional access), когда для аутентификации и получения доступа к корпоративным ресурсам сотруднику недостаточно ввести корректные логин и пароль: устройство пользователя должно отвечать определенным критериями (версия ОС, установленные обновления безопасности, работающий антивирус), подключаться из определенного географического региона (например, из стран, в которых у компании есть офисы), а также не иметь незакрытых инцидентов информационной безопасности (на данном устройстве или у данного пользователя). Кроме того, может учитываться время подключения (рабочее или неурочное время), история устройства (как давно оно успешно подключалось к корпоративной сети), наличие корректного второго фактора аутентификации (например, цифрового сертификата устройства), данные из систем киберразведки (анализ внешнего IP-адреса и хэшей запущенных исполняемых файлов подключающегося устройства).


В документе NIST SP 800-207 указано, что в архитектуре нулевого доверия (сокращенно ZTA, Zero Trust Architecture) аутентификация и авторизация субъектов доступа выполняется до установления сетевого соединения с корпоративными ресурсами, а применять ZTA можно для эффективного обеспечения кибербезопасности ИТ-активов (данных, сервисов, учетных записей, бизнес-процессов) при удаленной работе, использовании BYOD-концепции и при работе с облачными платформами. Концепция соответствует трендам современного состояния киберпространства, в котором больше нет сетевых периметров, а пользователи получают доступ к рабочим ресурсам с разных устройств и из разных географических точек. При этом субъектам доступа должны быть предоставлены гранулированные, минимально необходимые права доступа, а вся корпоративная сеть может считаться изначально недоверенной, т.е. вероятно ранее скомпрометированной - это допущение помогает выстроить логическую модель угроз в ZTA-концепции. Иначе говоря, для каждого субъекта доступа (пользователи, сущности, устройства) непрерывно выполняются проверки их аутентичности и прав доступа, только после этого устанавливается контролируемое сетевое соединение по определенному порту, протоколу и к определенному IP-адресу назначения внутри корпоративной сети.


В соответствии с публикацией NIST SP 800-207, принципы архитектуры нулевого доверия заключаются в следующем:

1. Все источники данных и вычислительные сервисы считаются ИТ-ресурсами (объектами доступа), включая личные устройства сотрудников, которые подключаются к корпоративной сети.

2. Защите подлежат все коммуникации вне зависимости от их сетевого расположения: нельзя автоматически доверять устройству только потому, что оно находится в пределах корпоративного сетевого периметра. При этом все сетевые взаимодействия должны быть защищены с сохранением конфиденциальности, целостности, аутентичности источника сетевого подключения.

3. Доступ к определенным корпоративным ресурсам предоставляется только в рамках одной сетевой сессии: запрашивающее доступ устройство должно быть проверено перед предоставлением доступа, а сам доступ - предоставлен с минимально необходимыми для выполнения бизнес-задачи правами. Аутентификация и авторизация на одном ресурсе не должна автоматически давать доступ к другому ресурсу.

4. Доступ к ресурсу контролируется динамической политикой, включающей проверку состояния идентификации клиента (субъекта доступа), состояние приложения или сервиса, состояние запрашиваемого ресурса, а также иные поведенческие атрибуты и метаданные. Данные о состоянии субъекта доступа (устройства, подключающегося к ресурсу) могут включать в себя данные о ПО, сетевое расположение устройства, дата и время запроса на доступ к ресурсу, поведенческие характеристики устройства, учетные данные устройства, также могут анализироваться данные об отклонении в поведении устройства от заранее установленного порогового уровня.

5. Производится контроль и мониторинг состояния кибербезопасности всех ИТ-активов, отсутствует доверие «по умолчанию».

6. Все процедуры аутентификации и авторизации субъектов доступа являются обязательными и динамическими, выполняющимися непрерывно на протяжении всего периода доступа.

7. Организация собирает максимум информации об актуальном состоянии активов, сетевой инфраструктуре, сетевом взаимодействии и использует эти данные для повышения уровня киберзащищенности.


В документе NIST SP 800-207 также озвучены и новые киберриски, появляющиеся при внедрении ZTA-концепции, такие как:

1. Подделка процедуры аутентификации и принятия решения о доступе к сети: кибератака или злонамеренные действия инсайдера могут привести к несанкционированному сетевому доступу со стороны вредоносного устройства или сущности.

2. Отказ в обслуживании или сетевой сбой: механизмы аутентификации и принятия решения о доступе к сети могут стать единой точкой отказа в сетевой связности компании.

3. Кража учетных данных может привести к несанкционированному сетевому доступу со стороны вредоносного устройства или сущности; для минимизации данного киберриска можно использовать мультифакторную аутентификацию и поведенческий анализ.

4. Видимость сети: при передаче шифрованного трафика компания не сможет адекватно анализировать передающиеся данные и предотвращать киберугрозы; для повышения качества анализа такого трафика можно применять методы машинного обучения или механизмы SSL/TLS-инспекции.

5. Хранение сетевой и системной информации: компоненты ZTA-архитектуры содержат в себе множество ценной информации, которая может стать целью хакеров.

6. Зависимость от конкретных вендоров и решений: при выходе из строя оборудования для ZTA или при смене вендора компания может столкнуться с серьезными сетевыми сбоями и простоями.

7. Использование служебных (машинных) сущностей при администрировании ZTA приводит к угрозе несанкционированного использования аутентификационных данных (например, API-токенов) таких служебных сущностей.


Для внедрения ZTA-архитектуры документ NIST SP 800-207 рекомендует выполнить следующие действия:

1. Определить всех субъектов доступа (пользователи, сущности, устройства), которым надо будет предоставлять доступ к ИТ-активам с помощью модели ZTA.

2. Определить ИТ-активы компании (провести инвентаризацию).

3. Определить ключевые бизнес-процессы и оценить их киберриски для поэтапного внедрения ZTA от менее критичных процессов к более критичным.

4. Выработать политики аутентификации и принятия решения о доступе к сети для выбранных бизнес-процессов.

5. Выбрать подходящее техническое решение для реализации ZTA-подхода.

6. Провести пилотное внедрение и осуществлять мониторинг работы ZTA-решения для выбранных бизнес-процессов; возможно, провести пилотирование в режиме аудита (без блокировок).

7. Расширить границы проекта внедрения ZTA на другие бизнес-процессы.

Практика ИБ Подкасты ИБ NIST Стандарты ИБ DLP

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
SCA на языке безопасника
SCA на языке безопасника
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и его применение
Интернет вещей и его применение
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Конфиденциальная информация
Конфиденциальная информация

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
SCA на языке безопасника
SCA на языке безопасника
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и его применение
Интернет вещей и его применение
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение

Похожие статьи

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение