SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"

Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
24.01.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


Экстенсивное развитие микроэлектронной промышленности и сетей передачи данных, а также разработка и внедрение новых специализированных и энергоэффективных сетевых технологий и протоколов, таких как 5G, Bluetooth Low Energy, LoRa, Zigbee и Z-Wave, в течение последних 10 лет привели к формированию целого класса недорогих и высокопроизводительных устройств - так называемых устройств «Интернета Вещей» (англ. IoT, Internet of Things).


Применение IoT-концепции и сопутствующих технологий «Промышленный Интернет Вещей» (англ. IIoT, Industrial Internet of Things) и «Интернет Всего» (англ. IoE, Internet of Everything), в том числе и в промышленности, в медицине, на транспорте, в инфраструктурах крупных компаний от ритейла и логистики до шеринговых сервисов и коммунальных услуг, предоставляет фантастические бизнес-возможности и создает новые вызовы, в том числе в области рисков информационной безопасности. Кибербезопасности IoT-устройств посвящены публикации NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Разработка требований по кибербезопасности IoT-устройств») и NIST SP 800-213A "IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Каталог требований по кибербезопасности IoT-устройств»), анализу которых и будет посвящена настоящая статья.


Итак, в публикации NIST SP 800-213 поддерживается логическая связь с фреймворком управления киберрисками NIST (NIST RMF, т.е. Risk Management Framework), и прежде всего с публикациями NIST SP 800-39, 800-37, 800-30. При этом публикация NIST SP 800-213A содержит каталог требований ИБ к возможностям защиты информации IoT-устройств и их производителей, логически связанный с положениями стандарта NIST SP 800-53, описывающего требования к мерам обеспечения безопасности и конфиденциальности. В соответствии с фреймворком RMF, IoT-устройства являются элементами информационных систем, которые могут быть частью как IT-, так и OT-сетей (англ. Operations Technology). В OT-сетях применяются разнообразные устройства: датчики, преобразователи, актюаторы (исполнительные устройства), которые посредством IoT-устройств связаны с IT-инфраструктурой для обработки поступающей информации. Примером IoT-устройства может быть LPWAN-модем, который передает информацию с датчика давления из труднодоступного участка газопровода в диспетчерский пункт, где на основании данной телеметрии ведется аналитика эффективности прокачки газа и выполнения контрактных обязательств.


Одной из особенностей IoT-устройств является их внедрение в зачастую уже функционирующую IT/OT-инфраструктуру, из которой потребовалось получать больше телеметрии, представляющей бизнес-ценность (аналитика, прогнозирование, контроль). Можно привести банальный пример: руководитель службы безопасности принимает решение об установке «умных» камер видеонаблюдения на территории компании, с подключением их к Интернет для возможности удаленного контроля; при этом уже после закупки выясняется, что в устройствах отсутствует функционал ограничения сетевых подключений и защиты от брутфорс-атак, а производитель данного оборудования не предоставляет инструкцию по настройке прав доступа пользователей и обновленную версию прошивки. Для подобных ситуаций публикация NIST SP 800-213 предлагает подход, заключающийся в предъявлении требований к функциональным возможностям IoT-устройств с точки зрения кибербезопасности с одновременным анализом способности вендора/поставщика решить организационные и технические ИБ-вопросы, что в свою очередь должно помочь сохранить уровень киберрисков на заранее оговоренном приемлемом уровне после внедрения IoT-устройств.


Выявление и предъявление требований информационной безопасности к IoT-устройствам в соответствии с NIST SP 800-213 состоит из 3 этапов:


1. Выявление сценариев использования IoT-устройств и характеристики свойств защиты информации в них:


1.1. Сценарии использования (use cases) и преимущества, которые дают бизнесу IoT-устройства, с применением cost-benefit анализа и с учетом того, что IoT-устройства могут стать брешью в защите компании и послужить входной точкой в ИТ-инфраструктуру для атакующих.


1.2. Воздействие IoT-устройств при сборе, хранении, передаче защищаемой информации (например, персональные данные, коммерческая тайна, данные о состоянии объекта критической информационной инфраструктуры, служебная информация о среде функционирования устройства и т.д.) с учетом особенностей обработки данных: использование облачных инфраструктур, сетей вендора или его подрядчиков, взаимодействие с веб-приложениями, передача данных в другие юрисдикции.


1.3. Взаимодействие с другими компонентами информационных систем в компании, с учетом влияния IoT-устройств на физическую среду функционирования и на другие IT/OT-элементы: например, могут ли повлиять IoT-устройства на конфиденциальность персональных данных сотрудников при использовании систем видеонаблюдения или на безопасность самих сотрудников, если речь идет о датчиках дыма или носимой электронике. Кроме того, нужно учитывать архитектурные особенности работы IoT-устройств, такие как приоритет надежности функционирования над кибербезопасностью, невозможность переопределить свойства микропрограммы устройства, использование проприетарных протоколов и форматов данных. Следует также учитывать наличие уязвимостей, которые нужно либо пропатчить (изменением настроек или перепрошивкой), либо применить компенсирующие меры для смягчения данного риска.


1.4. Методы обеспечения ИБ со стороны производителей IoT-устройств: руководствуется ли вендор фреймворком безопасной разработки ПО (SSDF, Secure Software Development Framework), следует ли рекомендациям по управлению рисками цепочек поставок (в соответствии с NIST SP 800-161), каким образом вендор устраняет уязвимости и раскрывает информацию о них, каким образом производитель предоставляет обновления прошивок для устранения уязвимостей в своих IoT-устройствах.


2. Выявление влияния IoT-устройств на оценку уровня киберрисков компании:


2.1. Влияние IoT-устройств как источников новых киберугроз и причину новых инцидентов ИБ.


2.2. Влияние уязвимостей IoT-устройств на состояние защищенности компании и её инфраструктуры (например, установленный по умолчанию и неизменяемый пароль суперпользователя может стать точкой входа атакующих в компанию или, как минимум, сделать IoT-устройство частью бот-сети для осуществления DDoS-атак по команде хакера).


2.3. Влияние вероятности реализации угроз ИБ устройствами IoT: например, наличие в IoT-устройстве постоянного интернет-подключения к сотовой сети может означать повышение вероятности эксплуатации атакующим сетевых уязвимостей устройства. При этом следует учитывать специфику работы IoT-устройств и их взаимодействие с защищаемыми активами: например, IoT-устройства (за исключением обработки по модели Edge Computing), как правило, не хранят у себя данные, что снимает необходимость обеспечивать защиту "data at rest", однако при передаче ими информации следует применять меры защиты "data in transit".


2.4. Оценка ущерба/влияния при реализации угроз ИБ устройствами IoT: например, сбой критически важного инфраструктурного IoT-устройства или медицинского IoT-оборудования может привести к значительному увеличению потенциального ущерба для компании.


3. Выявление требуемых характеристик ИБ, предъявляемых к IoT-устройствам:


3.1. Выбор применимых требований ИБ и свойств защиты информации устройств IoT для сохранения приемлемого уровня киберрисков.


3.2. Выбор применимых мер обеспечения ИБ из авторитетных источников (каталог защитных мер их публикации NIST SP 800-213A, контроли ИБ из NIST SP 800-53, применимые нормы NIST Cybersecurity Framework).


В документе указано, что требования к кибербезопасности IoT-устройств могут быть ключевыми и иными. Ключевые требования (англ. key device cybersecurity requirement) - это те характеристики ИБ, которые должно иметь IoT-устройство или которые должен предоставлять производитель устройств; без выполнения данных требований IoT-устройство не может быть интегрировано в информационные системы компании. Неключевые (иные) требования могут быть закрыты компенсирующими мерами и наложенными средствами защиты информации. В документе также подчеркивается, что сведения о функциях и характеристиках ИБ IoT-устройства следует получить до его приобретения и эксплуатации, что в свою очередь означает необходимость плотного взаимодействия с производителем/поставщиком устройства перед принятием решения о закупке. Кроме того, подчеркивается, что зачастую производители IoT-устройств в целях экономической эффективности и сохранения ценовой конкурентоспособности пренебрегают внедрением функций информационной безопасности и устранением уязвимостей.


Далее вкратце опишем публикацию NIST SP 800-213A "IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog" ( «Руководство по кибербезопасности IoT-устройств для федерального правительства: Каталог требований по кибербезопасности IoT-устройств»). Данный документ содержит перечень требований информационной безопасности, которые можно предъявлять к IoT-устройствам как с технической точки зрения (функционал программной и аппаратной части устройства), так и с организационной (документация, работа вендора с уязвимостями, обучение потребителей представителями вендора или поставщика).


Технические требования представлены следующими группами:


1. Идентификация устройства: наличие уникальных идентификаторов устройств и возможность устройства аутентифицироваться с их помощью.


2. Конфигурирование устройств: логическое разграничение доступа к настройкам устройства, настройка интерфейсов и отображаемой на экране устройства информации.


3. Защита данных: криптографические методы защиты обрабатываемой информации для обеспечения конфиденциальности и целостности, включая выполнение криптографических операций, управление ключами шифрования, шифрование данных на устройстве, обеспечение зашифрованного канала передачи данных.


4. Логический доступ к интерфейсам: поддержка механизмов аутентификации и авторизации, поддержка ролевой модели разграничения доступа, управление учетными записями пользователей на устройстве, обеспечение безопасного подключения к внешним сервисам, управление удаленным доступом к устройству.


5. Обновление программного обеспечения: управление установкой обновлений только из надежных источников, возможность отката установленных обновлений, установка обновлений из удаленных и локальных источников.


6. Предоставление информации о состоянии информационной безопасности устройства: ведение журналов безопасности требуемой детальности с необходимой глубиной хранения, установка временных меток событий, реагирование устройства на события ИБ, защита журналов безопасности.


7. Безопасность устройства: защита исполняемого кода, защита взаимодействия с другим устройствами, безопасное использование системных ресурсов, обеспечение целостности программного и аппаратного обеспечения устройства, безопасное подключение к сетям, физическая защита устройства.


Организационные (нетехнические) требования представлены следующими группами:


1. Документирование: описание работы устройства в различных сценариях и средах, соответствие законодательным и иным нормам, описание функций информационной безопасности устройства, описание процесса технической поддержки и обслуживания устройства, описание процесса проверки подлинности устройства покупателем.


2. Получение обратной связи и вопросов от покупателей: обмен информацией о найденных уязвимостях и способах их устранения, ответы на вопросы покупателей в части функций ИБ устройства.


3. Распространение производителем информации о кибербезопасности IoT-устсройства.


4. Обучение покупателей по вопросам кибербезопасности IoT-устройства.


Наконец, в приложении "B" приведена таблица соответствия требований публикации NIST SP 800-213A с требованиями публикации NIST SP 800-53 Rev. 5 "Security and Privacy Controls for Information Systems and Organizations" («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»).

Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности

Рекомендуем

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Геймификация и управление персоналом
Геймификация и управление персоналом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности

Похожие статьи

Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Возможности новой версии продукта Управление уязвимостями (VM) на платформе Security Vision 5
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности