SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"

Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
24.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


Современный киберландшафт претерпел значительные изменения за последнее время: развитие облачных инфраструктур, размытие периметра, переход на микросервисные архитектуры, а также существенно расширившаяся поверхность атаки и усложнившиеся кибернападения, которые стали чрезвычайно разрушительными, оказывают влияние на выбор релевантных мер защиты информации, включая сетевые СЗИ. В драфте публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape" («Руководство по созданию безопасного корпоративного сетевого ландшафта»), который по состоянию на сентябрь 2022 проходит процедуры публичного обсуждения и готовится к утверждению, приводится перечень основных традиционных сетевых классов решений с указанием присущих им ограничений и приводится список современных решений и подходов для обеспечения сетевой безопасности.


Итак, современная ИТ-среда состоит из подписок на множественные облачные сервисы (включая IaaS, PaaS, SaaS), корпоративных бизнес-приложений, распределенных по множеству офисов и дата-центров и размещенных на гетерогенных платформах, а также, зачастую, из IoT-устройств. Такая инфраструктура предполагает множество взаимосвязей между ИТ-системами и ресурсами, включая данные, облачные сервисы и пользователей, подключающихся удаленно. Соответственно, разнообразие площадок с данными и приложениями, разнородность сред, скорость разработки ПО вынуждает фокусировать внимание не на внутренних или внешних сетях, а на пользователях и устройствах: сегодня невозможно проверить подлинность сущности только на основании однократно предъявленного идентификатора или локации (сетевого сегмента). Следует непрерывно валидировать все запросы на доступ, не ограничиваясь только началом сетевой сессии или запуском веб-приложения, а также принимать решение на основании контекстно-ориентированного подхода.


В публикации NIST SP 800-215 дается описание функционала некоторых современных сетевых СЗИ:


1. CASB (Cloud Access Security Broker, брокер безопасности облачного доступа) реализует политики безопасности доступа к облачным данным и приложениям путем анализа мест хранения документов, контроля доступа к ним, выявления аномалий в поведении пользователей и сущностей, выявления недостатков конфигураций облачных инфраструктур. CASB-решения ставятся между пользователями облачных сервисов (cloud service customers, CSC) и провайдерами облачных сервисов (cloud service providers, CSP). Изначально CASB-решения применялись для выявления облачных ресурсов и SaaS-приложений (software-as-a-service, программное обеспечение как услуга), в том числе для решения вопроса «теневого ИТ», которое означает несанкционированное использование пользователями ИТ-решений и ПО, таких как файлообменники, системы ВКС, инструменты совместной работы, которые не прошли процедуру согласования. Затем CASB-решения эволюционировали в системы для обеспечения выполнения политик ИБ в облачных инфраструктурах, включая защиту корпоративных данных в решениях SaaS и IaaS (infrastructure-as-a-service, инфраструктура как услуга), анализ аномалий поведения и выявление вредоносных действий пользователей и сущностей, выявление облачных конфигураций, не соответствующих требованиям ИБ компании и лучшим практикам по кибербезопасности.


2. WAF (Web Application Firewall, межсетевой экран уровня приложения) позволяет предотвратить реализацию веб-атак путем мониторинга попыток эксплуатации веб-уязвимостей (таких как SQL-инъекции, XSS, внедрение команд уровня ОС и т.д.), а также путем реализации функций виртуального патчинга (блокирование попыток эксплуатации уязвимостей непропатченных веб-компонент).


3. Межсетевые экраны также не потеряли своей актуальности. Они прошли следующий примерный эволюционный путь расширения функционала:


- пакетная фильтрация и трансляция сетевых адресов (NAT-трансляция) для мониторинга и контроля сетевых пакетов, применения сетевых правил безопасности, сокрытия внутренних адресов от «внешнего мира»;


- сетевая инспекция с контролем состояния (stateful inspection), также известная как динамическая фильтрация пакетов, обеспечивает контроль состояния сетевых соединений и принимает решения на основании информации о текущем состоянии каждого сетевого соединения;


- выявление и реагирование на киберугрозы, такие как ВПО, эксплойты, некорректно сформированные пакеты, с передачей сообщений в SIEM-системы и корреляции с другими ИТ/ИБ-решениями в инфраструктуре;


- возможности по расширенному логированию и аудиту сетевых соединений, контроль разнообразных типов сетевых соединений и точек обмена трафиком, применение Open API для интеграции с другими сетевыми СЗИ;


- UTM-решения (Unified threat management, унифицированное управление киберугрозами), сочетающие несколько функций безопасности: межсетевое экранирование, IPS/IDS-функционал для предотвращения/выявления сетевых вторжений, VPN-шлюз, антивирус, контентную фильтрацию, балансировку нагрузки;


- NGFW (Next-generation firewall, межсетевые экраны нового поколения), обеспечивающие гранулированный контроль сетевой активности на уровне приложений (L7), внутреннюю сегментацию, интеграцию с «песочницами» для проверки подозрительных объектов, проверку зашифрованного трафика (т.н. SSL/TLS-инспекция), а также реализующие функции программно-определяемых сетей (SD-WAN, Software-defined wide area networks);


- возможности по сетевой фильтрации на уровне приложений, появившиеся в классе WAF-решений, позволяющих осуществлять анализ URL для выявления вредоносных ссылок и ресурсов, в том числе с помощью технологий машинного обучения, обеспечивающих возможность создавать разрешительный список сетевых сервисов, контролирующих соответствия веб-контента декларируемому протоколу, отфильтровывающих неразрешенные сетевые протоколы.


4. Более современными решениями для обеспечения сетевой безопасности можно назвать следующие типы продуктов:


- решения WAAP (Web Application and API Protection, защита веб-приложений и API), которые представляют собой расширение функционала WAF для защиты WebAPI интерфейсов и противодействия ботнетам и DDoS-атакам;


- решения SWG (Secure Web Gateway, защищенные шлюзы доступа в интернет), которые защищают корпоративных пользователей, подключающихся из разнообразных локаций, при работе с интернет от веб-угроз путем анализа HTTP/HTTPS-трафика.


В публикации NIST SP 800-215 также уделено внимание стратегии микросегментации сети для сдерживания распространения угроз по сети и снижения последствий атак. Концепция микросегментации подразумевает разделение ЛВС организации на множество небольших сетевых сегментов, обмен трафика между которыми логируется и контролируется, а сетевые правила позволяют открыть только явно разрешенные сетевые соединения, настроенные с помощью политик сетевой безопасности.


Для практической реализации микросегментации сначала потребуется:


1. Создать идентификаторы приложений: в современном мире идентификация лишь на основании связки «IP-адрес + порт» уже не может быть достаточной, поскольку подавляющее большинство современных веб-приложений работают на одном и том же порту TCP:443. Таким образом, для каждого сетевого приложения необходимо построить его уникальный отпечаток, который будет характеризовать только его.


2. Созданный идентификатор следует подписать цифровой подписью доверенного центра сертификации для того, чтобы злоумышленники не смогли несанкционированно изменить идентификатор приложения или создать собственный идентификатор вредоносного приложения.


3. Следует выявить все ресурсы, которые использует то или иное веб-приложение, включая сервисы, приложения и т.д., для учета данных взаимосвязей при профилировании поведения приложения.


4. Рекомендуется сгруппировать сходные и одинаковые по уровню доверия приложения для снижения нагрузки на аппаратные ресурсы и упрощения администрирования.


5. Затем потребуется сделать привязку созданных групп приложений к конкретным физическим или виртуальным инфраструктурным элементам, с учетом топологии сети.


При внедрении миросегментации можно руководствоваться следующими подходами:


1. Подход на основе сегментации: приложения и ресурсы со сходными требованиями по безопасности группируются в отдельные сегменты, а правила межсетевого экранирования применяются к данным сегментами. Сетевые шлюзы, установленные на границах сегментов, контролируют и логируют трафик между сегментами, выявляют и предотвращают распространение сетевых угроз.


2. Сегментация на основе виртуализации: гипервизор контролирует трафик, проходящий между виртуальными гостевыми машинами.


3. Хостовая микросегментация: на устройства устанавливается агент, который использует встроенные функции хостового межсетевого экрана для применения гранулированных сетевых политик, устанавливаемых централизованно.


4. Микросегментация на основе идентификаторов: все сетевые приложения обмениваются подписанными идентификаторами, взаимно аутентифицируют и авторизуют друг друга, а далее определяют, могут ли подключиться друг к другу при каждой установке соединения. При таком подходе нет привязки к IP-адресации или подсетям, поэтому соединения не зависят от конкретных подсетей, независимы от инфраструктуры, могут быть внедрены как политики в процессах CI/CD (непрерывная интеграция, CI / непрерывная доставка, CD) для ускорения разработки и обновления ПО, а также позволяют создать максимально точные и гранулированные политики сетевого взаимодействия. 

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Интернет вещей и безопасность
Интернет вещей и безопасность
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
SSDL: Dev vs Sec
SSDL: Dev vs Sec

Рекомендуем

Интернет вещей и безопасность
Интернет вещей и безопасность
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
SSDL: Dev vs Sec
SSDL: Dev vs Sec

Похожие статьи

SCA на языке безопасника
SCA на языке безопасника
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Сертификация ФСТЭК
Сертификация ФСТЭК
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Динамические плейбуки
Динамические плейбуки
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

SCA на языке безопасника
SCA на языке безопасника
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Интернет вещей и его применение
Интернет вещей и его применение
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Сертификация ФСТЭК
Сертификация ФСТЭК
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Динамические плейбуки
Динамические плейбуки
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных