SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
22.03.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Руслан Рахметов, Security Vision


В современном цифровом мире киберугрозы эволюционируют настолько быстро и приобретают такие масштабы, что специалисты и методологи информационной безопасности вынуждены регулярно пересматривать концепции и парадигмы защиты информации. Периодически, раз в 2-3 года, на рынке средств защиты информации появляется новый класс продуктов, обещающий защиту от новейших киберугроз: так было с Next Generation Firewall (межсетевые экраны нового поколения), с системами DLP (решения для предотвращения утечек данных), с SIEM-системами и далее с решениями по защите облачных платформ, системами выявления аномалий, платформами для работы с данными киберразведки.


В нашей текущей публикации речь пойдет об относительно новой концепции "Zero Trust Architecture" («Архитектура нулевого доверия»), подразумевающей доскональную непрерывную проверку всех субъектов доступа (пользователи, сущности, устройства) вне зависимости от их местоположения (корпоративная сеть, интернет, удаленная работа через VPN). Данный подход описан в документе NIST SP 800-207 "Zero Trust Architecture" («Архитектура нулевого доверия»), который содержит описание концепции создания сетевой архитектуры по принципу нулевого доверия и примеры её использования для повышения информационной безопасности предприятия.


Итак, концепция непрерывной проверки и аутентификации всех субъектов сетевого доступа родилась уже достаточно давно - компания Cisco говорила и правильности такого подхода еще в начале 2000-х годов. Со временем многие СЗИ реализовали свои варианты данного подхода, например, в виде «условного доступа» (англ. conditional access), когда для аутентификации и получения доступа к корпоративным ресурсам сотруднику недостаточно ввести корректные логин и пароль: устройство пользователя должно отвечать определенным критериями (версия ОС, установленные обновления безопасности, работающий антивирус), подключаться из определенного географического региона (например, из стран, в которых у компании есть офисы), а также не иметь незакрытых инцидентов информационной безопасности (на данном устройстве или у данного пользователя). Кроме того, может учитываться время подключения (рабочее или неурочное время), история устройства (как давно оно успешно подключалось к корпоративной сети), наличие корректного второго фактора аутентификации (например, цифрового сертификата устройства), данные из систем киберразведки (анализ внешнего IP-адреса и хэшей запущенных исполняемых файлов подключающегося устройства).


В документе NIST SP 800-207 указано, что в архитектуре нулевого доверия (сокращенно ZTA, Zero Trust Architecture) аутентификация и авторизация субъектов доступа выполняется до установления сетевого соединения с корпоративными ресурсами, а применять ZTA можно для эффективного обеспечения кибербезопасности ИТ-активов (данных, сервисов, учетных записей, бизнес-процессов) при удаленной работе, использовании BYOD-концепции и при работе с облачными платформами. Концепция соответствует трендам современного состояния киберпространства, в котором больше нет сетевых периметров, а пользователи получают доступ к рабочим ресурсам с разных устройств и из разных географических точек. При этом субъектам доступа должны быть предоставлены гранулированные, минимально необходимые права доступа, а вся корпоративная сеть может считаться изначально недоверенной, т.е. вероятно ранее скомпрометированной - это допущение помогает выстроить логическую модель угроз в ZTA-концепции. Иначе говоря, для каждого субъекта доступа (пользователи, сущности, устройства) непрерывно выполняются проверки их аутентичности и прав доступа, только после этого устанавливается контролируемое сетевое соединение по определенному порту, протоколу и к определенному IP-адресу назначения внутри корпоративной сети.


В соответствии с публикацией NIST SP 800-207, принципы архитектуры нулевого доверия заключаются в следующем:

1. Все источники данных и вычислительные сервисы считаются ИТ-ресурсами (объектами доступа), включая личные устройства сотрудников, которые подключаются к корпоративной сети.

2. Защите подлежат все коммуникации вне зависимости от их сетевого расположения: нельзя автоматически доверять устройству только потому, что оно находится в пределах корпоративного сетевого периметра. При этом все сетевые взаимодействия должны быть защищены с сохранением конфиденциальности, целостности, аутентичности источника сетевого подключения.

3. Доступ к определенным корпоративным ресурсам предоставляется только в рамках одной сетевой сессии: запрашивающее доступ устройство должно быть проверено перед предоставлением доступа, а сам доступ - предоставлен с минимально необходимыми для выполнения бизнес-задачи правами. Аутентификация и авторизация на одном ресурсе не должна автоматически давать доступ к другому ресурсу.

4. Доступ к ресурсу контролируется динамической политикой, включающей проверку состояния идентификации клиента (субъекта доступа), состояние приложения или сервиса, состояние запрашиваемого ресурса, а также иные поведенческие атрибуты и метаданные. Данные о состоянии субъекта доступа (устройства, подключающегося к ресурсу) могут включать в себя данные о ПО, сетевое расположение устройства, дата и время запроса на доступ к ресурсу, поведенческие характеристики устройства, учетные данные устройства, также могут анализироваться данные об отклонении в поведении устройства от заранее установленного порогового уровня.

5. Производится контроль и мониторинг состояния кибербезопасности всех ИТ-активов, отсутствует доверие «по умолчанию».

6. Все процедуры аутентификации и авторизации субъектов доступа являются обязательными и динамическими, выполняющимися непрерывно на протяжении всего периода доступа.

7. Организация собирает максимум информации об актуальном состоянии активов, сетевой инфраструктуре, сетевом взаимодействии и использует эти данные для повышения уровня киберзащищенности.


В документе NIST SP 800-207 также озвучены и новые киберриски, появляющиеся при внедрении ZTA-концепции, такие как:

1. Подделка процедуры аутентификации и принятия решения о доступе к сети: кибератака или злонамеренные действия инсайдера могут привести к несанкционированному сетевому доступу со стороны вредоносного устройства или сущности.

2. Отказ в обслуживании или сетевой сбой: механизмы аутентификации и принятия решения о доступе к сети могут стать единой точкой отказа в сетевой связности компании.

3. Кража учетных данных может привести к несанкционированному сетевому доступу со стороны вредоносного устройства или сущности; для минимизации данного киберриска можно использовать мультифакторную аутентификацию и поведенческий анализ.

4. Видимость сети: при передаче шифрованного трафика компания не сможет адекватно анализировать передающиеся данные и предотвращать киберугрозы; для повышения качества анализа такого трафика можно применять методы машинного обучения или механизмы SSL/TLS-инспекции.

5. Хранение сетевой и системной информации: компоненты ZTA-архитектуры содержат в себе множество ценной информации, которая может стать целью хакеров.

6. Зависимость от конкретных вендоров и решений: при выходе из строя оборудования для ZTA или при смене вендора компания может столкнуться с серьезными сетевыми сбоями и простоями.

7. Использование служебных (машинных) сущностей при администрировании ZTA приводит к угрозе несанкционированного использования аутентификационных данных (например, API-токенов) таких служебных сущностей.


Для внедрения ZTA-архитектуры документ NIST SP 800-207 рекомендует выполнить следующие действия:

1. Определить всех субъектов доступа (пользователи, сущности, устройства), которым надо будет предоставлять доступ к ИТ-активам с помощью модели ZTA.

2. Определить ИТ-активы компании (провести инвентаризацию).

3. Определить ключевые бизнес-процессы и оценить их киберриски для поэтапного внедрения ZTA от менее критичных процессов к более критичным.

4. Выработать политики аутентификации и принятия решения о доступе к сети для выбранных бизнес-процессов.

5. Выбрать подходящее техническое решение для реализации ZTA-подхода.

6. Провести пилотное внедрение и осуществлять мониторинг работы ZTA-решения для выбранных бизнес-процессов; возможно, провести пилотирование в режиме аудита (без блокировок).

7. Расширить границы проекта внедрения ZTA на другие бизнес-процессы.

Практика ИБ Подкасты ИБ NIST Стандарты ИБ DLP

Рекомендуем

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Рекомендуем

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Похожие статьи

Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
False или не false?
False или не false?
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Визуализация: лучшие практики
Визуализация: лучшие практики
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API

Похожие статьи

Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
False или не false?
False или не false?
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Визуализация: лучшие практики
Визуализация: лучшие практики
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API