SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"

Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
24.01.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Экстенсивное развитие микроэлектронной промышленности и сетей передачи данных, а также разработка и внедрение новых специализированных и энергоэффективных сетевых технологий и протоколов, таких как 5G, Bluetooth Low Energy, LoRa, Zigbee и Z-Wave, в течение последних 10 лет привели к формированию целого класса недорогих и высокопроизводительных устройств - так называемых устройств «Интернета Вещей» (англ. IoT, Internet of Things).


Применение IoT-концепции и сопутствующих технологий «Промышленный Интернет Вещей» (англ. IIoT, Industrial Internet of Things) и «Интернет Всего» (англ. IoE, Internet of Everything), в том числе и в промышленности, в медицине, на транспорте, в инфраструктурах крупных компаний от ритейла и логистики до шеринговых сервисов и коммунальных услуг, предоставляет фантастические бизнес-возможности и создает новые вызовы, в том числе в области рисков информационной безопасности. Кибербезопасности IoT-устройств посвящены публикации NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Разработка требований по кибербезопасности IoT-устройств») и NIST SP 800-213A "IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Каталог требований по кибербезопасности IoT-устройств»), анализу которых и будет посвящена настоящая статья.


Итак, в публикации NIST SP 800-213 поддерживается логическая связь с фреймворком управления киберрисками NIST (NIST RMF, т.е. Risk Management Framework), и прежде всего с публикациями NIST SP 800-39, 800-37, 800-30. При этом публикация NIST SP 800-213A содержит каталог требований ИБ к возможностям защиты информации IoT-устройств и их производителей, логически связанный с положениями стандарта NIST SP 800-53, описывающего требования к мерам обеспечения безопасности и конфиденциальности. В соответствии с фреймворком RMF, IoT-устройства являются элементами информационных систем, которые могут быть частью как IT-, так и OT-сетей (англ. Operations Technology). В OT-сетях применяются разнообразные устройства: датчики, преобразователи, актюаторы (исполнительные устройства), которые посредством IoT-устройств связаны с IT-инфраструктурой для обработки поступающей информации. Примером IoT-устройства может быть LPWAN-модем, который передает информацию с датчика давления из труднодоступного участка газопровода в диспетчерский пункт, где на основании данной телеметрии ведется аналитика эффективности прокачки газа и выполнения контрактных обязательств.


Одной из особенностей IoT-устройств является их внедрение в зачастую уже функционирующую IT/OT-инфраструктуру, из которой потребовалось получать больше телеметрии, представляющей бизнес-ценность (аналитика, прогнозирование, контроль). Можно привести банальный пример: руководитель службы безопасности принимает решение об установке «умных» камер видеонаблюдения на территории компании, с подключением их к Интернет для возможности удаленного контроля; при этом уже после закупки выясняется, что в устройствах отсутствует функционал ограничения сетевых подключений и защиты от брутфорс-атак, а производитель данного оборудования не предоставляет инструкцию по настройке прав доступа пользователей и обновленную версию прошивки. Для подобных ситуаций публикация NIST SP 800-213 предлагает подход, заключающийся в предъявлении требований к функциональным возможностям IoT-устройств с точки зрения кибербезопасности с одновременным анализом способности вендора/поставщика решить организационные и технические ИБ-вопросы, что в свою очередь должно помочь сохранить уровень киберрисков на заранее оговоренном приемлемом уровне после внедрения IoT-устройств.


Выявление и предъявление требований информационной безопасности к IoT-устройствам в соответствии с NIST SP 800-213 состоит из 3 этапов:


1. Выявление сценариев использования IoT-устройств и характеристики свойств защиты информации в них:


1.1. Сценарии использования (use cases) и преимущества, которые дают бизнесу IoT-устройства, с применением cost-benefit анализа и с учетом того, что IoT-устройства могут стать брешью в защите компании и послужить входной точкой в ИТ-инфраструктуру для атакующих.


1.2. Воздействие IoT-устройств при сборе, хранении, передаче защищаемой информации (например, персональные данные, коммерческая тайна, данные о состоянии объекта критической информационной инфраструктуры, служебная информация о среде функционирования устройства и т.д.) с учетом особенностей обработки данных: использование облачных инфраструктур, сетей вендора или его подрядчиков, взаимодействие с веб-приложениями, передача данных в другие юрисдикции.


1.3. Взаимодействие с другими компонентами информационных систем в компании, с учетом влияния IoT-устройств на физическую среду функционирования и на другие IT/OT-элементы: например, могут ли повлиять IoT-устройства на конфиденциальность персональных данных сотрудников при использовании систем видеонаблюдения или на безопасность самих сотрудников, если речь идет о датчиках дыма или носимой электронике. Кроме того, нужно учитывать архитектурные особенности работы IoT-устройств, такие как приоритет надежности функционирования над кибербезопасностью, невозможность переопределить свойства микропрограммы устройства, использование проприетарных протоколов и форматов данных. Следует также учитывать наличие уязвимостей, которые нужно либо пропатчить (изменением настроек или перепрошивкой), либо применить компенсирующие меры для смягчения данного риска.


1.4. Методы обеспечения ИБ со стороны производителей IoT-устройств: руководствуется ли вендор фреймворком безопасной разработки ПО (SSDF, Secure Software Development Framework), следует ли рекомендациям по управлению рисками цепочек поставок (в соответствии с NIST SP 800-161), каким образом вендор устраняет уязвимости и раскрывает информацию о них, каким образом производитель предоставляет обновления прошивок для устранения уязвимостей в своих IoT-устройствах.


2. Выявление влияния IoT-устройств на оценку уровня киберрисков компании:


2.1. Влияние IoT-устройств как источников новых киберугроз и причину новых инцидентов ИБ.


2.2. Влияние уязвимостей IoT-устройств на состояние защищенности компании и её инфраструктуры (например, установленный по умолчанию и неизменяемый пароль суперпользователя может стать точкой входа атакующих в компанию или, как минимум, сделать IoT-устройство частью бот-сети для осуществления DDoS-атак по команде хакера).


2.3. Влияние вероятности реализации угроз ИБ устройствами IoT: например, наличие в IoT-устройстве постоянного интернет-подключения к сотовой сети может означать повышение вероятности эксплуатации атакующим сетевых уязвимостей устройства. При этом следует учитывать специфику работы IoT-устройств и их взаимодействие с защищаемыми активами: например, IoT-устройства (за исключением обработки по модели Edge Computing), как правило, не хранят у себя данные, что снимает необходимость обеспечивать защиту "data at rest", однако при передаче ими информации следует применять меры защиты "data in transit".


2.4. Оценка ущерба/влияния при реализации угроз ИБ устройствами IoT: например, сбой критически важного инфраструктурного IoT-устройства или медицинского IoT-оборудования может привести к значительному увеличению потенциального ущерба для компании.


3. Выявление требуемых характеристик ИБ, предъявляемых к IoT-устройствам:


3.1. Выбор применимых требований ИБ и свойств защиты информации устройств IoT для сохранения приемлемого уровня киберрисков.


3.2. Выбор применимых мер обеспечения ИБ из авторитетных источников (каталог защитных мер их публикации NIST SP 800-213A, контроли ИБ из NIST SP 800-53, применимые нормы NIST Cybersecurity Framework).


В документе указано, что требования к кибербезопасности IoT-устройств могут быть ключевыми и иными. Ключевые требования (англ. key device cybersecurity requirement) - это те характеристики ИБ, которые должно иметь IoT-устройство или которые должен предоставлять производитель устройств; без выполнения данных требований IoT-устройство не может быть интегрировано в информационные системы компании. Неключевые (иные) требования могут быть закрыты компенсирующими мерами и наложенными средствами защиты информации. В документе также подчеркивается, что сведения о функциях и характеристиках ИБ IoT-устройства следует получить до его приобретения и эксплуатации, что в свою очередь означает необходимость плотного взаимодействия с производителем/поставщиком устройства перед принятием решения о закупке. Кроме того, подчеркивается, что зачастую производители IoT-устройств в целях экономической эффективности и сохранения ценовой конкурентоспособности пренебрегают внедрением функций информационной безопасности и устранением уязвимостей.


Далее вкратце опишем публикацию NIST SP 800-213A "IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog" ( «Руководство по кибербезопасности IoT-устройств для федерального правительства: Каталог требований по кибербезопасности IoT-устройств»). Данный документ содержит перечень требований информационной безопасности, которые можно предъявлять к IoT-устройствам как с технической точки зрения (функционал программной и аппаратной части устройства), так и с организационной (документация, работа вендора с уязвимостями, обучение потребителей представителями вендора или поставщика).


Технические требования представлены следующими группами:


1. Идентификация устройства: наличие уникальных идентификаторов устройств и возможность устройства аутентифицироваться с их помощью.


2. Конфигурирование устройств: логическое разграничение доступа к настройкам устройства, настройка интерфейсов и отображаемой на экране устройства информации.


3. Защита данных: криптографические методы защиты обрабатываемой информации для обеспечения конфиденциальности и целостности, включая выполнение криптографических операций, управление ключами шифрования, шифрование данных на устройстве, обеспечение зашифрованного канала передачи данных.


4. Логический доступ к интерфейсам: поддержка механизмов аутентификации и авторизации, поддержка ролевой модели разграничения доступа, управление учетными записями пользователей на устройстве, обеспечение безопасного подключения к внешним сервисам, управление удаленным доступом к устройству.


5. Обновление программного обеспечения: управление установкой обновлений только из надежных источников, возможность отката установленных обновлений, установка обновлений из удаленных и локальных источников.


6. Предоставление информации о состоянии информационной безопасности устройства: ведение журналов безопасности требуемой детальности с необходимой глубиной хранения, установка временных меток событий, реагирование устройства на события ИБ, защита журналов безопасности.


7. Безопасность устройства: защита исполняемого кода, защита взаимодействия с другим устройствами, безопасное использование системных ресурсов, обеспечение целостности программного и аппаратного обеспечения устройства, безопасное подключение к сетям, физическая защита устройства.


Организационные (нетехнические) требования представлены следующими группами:


1. Документирование: описание работы устройства в различных сценариях и средах, соответствие законодательным и иным нормам, описание функций информационной безопасности устройства, описание процесса технической поддержки и обслуживания устройства, описание процесса проверки подлинности устройства покупателем.


2. Получение обратной связи и вопросов от покупателей: обмен информацией о найденных уязвимостях и способах их устранения, ответы на вопросы покупателей в части функций ИБ устройства.


3. Распространение производителем информации о кибербезопасности IoT-устсройства.


4. Обучение покупателей по вопросам кибербезопасности IoT-устройства.


Наконец, в приложении "B" приведена таблица соответствия требований публикации NIST SP 800-213A с требованиями публикации NIST SP 800-53 Rev. 5 "Security and Privacy Controls for Information Systems and Organizations" («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»).

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций

Рекомендуем

Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций

Похожие статьи

IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Импортозамещение
Импортозамещение
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2

Похожие статьи

IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Импортозамещение
Импортозамещение
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2