SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: данные и инциденты

Обзор средств информационной безопасности: данные и инциденты
19.09.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision



рис 1.png

Рис. 1 – Средства защиты информации и взаимосвязи


В первой части обзора средств защиты информации мы в основном рассматривали системы, нацеленные на пользователей и организацию их безопасной и эффективной работы. В этой статье мы разберем системы, которые фокусируются на самих данных и защите от случайных или умышленных действий с ними.


рис 22.jpg

Рис. 2 - Data Leakage Prevention или Data Loss Protection (DLP) – защита от утечек конфиденциальных данных


Системы DLP находятся ближе всех остальных к самим данным, поскольку анализируют их содержимое на предмет наличия конфиденциальных данных. Чтобы организовать максимальный функционал, они включают компоненты на сетевом уровне (почтовый шлюз, сервер печати документов, proxy-сервер) и агентскую часть на ПК сотрудников (которая контролирует внешние устройства, клавиатурный ввод, отправку файлов в облачные сервисы и мессенджеры и другие каналы передачи данных).


Конечно, существуют чисто агентские или чисто сетевые DLP, например, в корпоративных облачных сервисах Google, но для максимальной защиты чаще всего используются именно on-premise решения, инсталлируемые в инфраструктуру или внутрь частного облака, если используется инфраструктура внешнего ЦОД.


Стоит отметить, что такие сложные средства защиты данных нуждаются в настройке: нужно определить перечень защищаемых данных и «научить» систему их распознавать, поэтому внедрение часто связано с результатами аудита ИБ и результатами работы консалтинга.


ЗАДАЧИ:   

    · Защита конфиденциальных данных от утечек
    · Контроль трафика внутри организации и передача за пределы защищаемого периметра
    · Логирование действий пользователей и проведение расследований ИБ и ЭБ.


рис 33.jpg

Рис. 3 - Information Leakage Detection (ILD) – определение утечек и их источников


Системы подобного класса позволяют проводить расследований по уже произошедшим утечкам, от которых не могут защитить DLP-системы. Сами расследования проводят аналитики путём сравнения материалов об утечке с теми данными, к которым имели доступ сотрудники компании. Для организации сравнения каждому сотруднику предоставляется доступ к уникальной копии данных, которая путём добавления водяных знаков или афинных преобразований с высокой точностью позволяет определить того пользователя, который участвовал в инциденте.


Современные ILD-системы работают незаметно для пользователей и уже не используют водяные знаки. Афинные преобразования сдвигают части текста, буквы и строки, но делают это визуально незаметным для пользователей. Такие сложные системы также необходимо сначала настроить: определить данные и доступы к ним, файлы и директории (например, в СЭД или веб-сервисах наподобие CRM-систем), после чего исходные данные «подменяются» копией, которая маркирована без использования водяных знаков.


ЗАДАЧИ:   

     · Маркировка конфиденциальных данных
     · Организация централизованного доступа к документам и сервисам
     · Проведение расследований по произошедшим утечкам КИ путём визуального (автоматического) сравнения.


рис 44.jpg

Рис. 4 - Static/Dynamic Application Security Testing (SAST/DAST) и IAST (Interactive Application Security Testing) – анализ исходного кода приложений и тестирование


Полезные данные могут содержаться не только в базах данных и документах, зачастую критичная информация находится в исходном коде разрабатываемых приложений. Также внутри кода могут быть размещены «закладки» и уязвимости, которые с внешней стороны периметра смогут эксплуатировать злоумышленники. Для анализа исходного кода приложений используется ряд технологий: статический и динамический анализ, а также их комбинирование и интерактивное взаимодействие.


При статическом анализе исходный код в виде текста загружается в анализатор, который читает его и сравнивает с базами известных уязвимостей, закладок и других «проблемных» элементов (например, наличие в коде напрямую прописанных логинов и паролей к информационным системам). Для динамического анализа используется другой подход, похожий на процесс пентеста (penetration testing): анализатор «простукивает» приложение безопасными атаками (например, GET-запросами с пустыми заголовками). Таким образом становится возможным обнаружение уязвимостей, которые пока не описаны в базах. При динамическом анализе используется уже скомпилированное приложение и нет привязки к языку, на котором написан его код.


Дальнейшая эволюция и комбинирование этих двух подходов позволили создать системы для интерактивного взаимодействия и выпуска патчей «на лету», которые позволяют закрывать уязвимости временными заглушками и повышают безопасность приложения до нового цикла обновления в рамках DevSecOps.


ЗАДАЧИ:

     · Повышение безопасности разрабатываемых приложений
     · Создание патчей и хотфиксов для решения проблем разработки
     · Автоматизация тестирования в рамках DevSecOps.

 

рис 55.jpg

Рис. 5 - Security Information and Event Management (SIEM) – мониторинг и корреляция событий ИБ


В процессе эксплуатации различных информационных систем генерируются события, из которых необходимо вычленить инциденты для реагирования. Это можно сделать несколькими способами: первый - группировка и дедупликация событий как механизм работы SOAR-систем и второй - корреляция событий между собой, как математический инструмент SIEM-систем. В первом случае нужно анализировать поступающие логи и события и создавать правила самостоятельно, а при использовании SIEM-систем можно воспользоваться пакетами экспертизы, которые разрабатываются вендором и используются как готовые инструменты «из коробки».


В качестве примера можно рассмотреть неуспешные попытки авторизации в приложениях. С одной стороны, пользователь может забыть свой пароль и несколько раз пытаться его подобрать, но бывают случаи, когда хакер за периметром пытается автоматически перебирать пароли и в конечном итоге успешно авторизоваться в системе путём брутфорса, повысив свои привилегии. SIEM-система в таком случае собирает из журналов события ввода пароля и коррелирует их между собой, подсвечивая для сотрудника ИБ/ИТ соответствующие риски и сформировав из потока событий один инцидент с описанием возможных последствий.


ЗАДАЧИ:

     · Снижение числа ложноположительных срабатываний
     · Уменьшение количества инцидентов и их группировка для реагирования
     · Определение корреляции между отдельными событиями и анализ цепочки действий.


рис 66.jpg

Рис. 6 - Threat Intelligence Platform (TIP) – сбор данных киберразведки и поиск индикаторов компрометации


В работе специалистов SOC сотрудникам часто приходится сталкиваться с новыми видами инцидентов. При этом все инциденты внутри компании могут быть скоррелированы при помощи SIEM-систем (см. выше), но дополнительно повысить эффективность позволяют фиды от сторонних поставщиков. TI-платформа позволяет агрегировать фиды как новостную рассылку и использовать опыт экспертов по всему миру, которые уже сталкивались с похожими инцидентами.


Сама работа TIP-систем складывается из нескольких этапов: сбор сведений (фидов) и индикаторов компрометации (IoC), дополнение тикетов обнаруженных инцидентов полезными данными от экспертов вне организации, создание новых сущностей для дальнейшего анализа SIEM и реагирования в SOAR-платформах. Таким способом для реагирования на инциденты и киберугрозы создается своего рода Wikipedia с полезной информацией, только обогащение осуществляется автоматически, а для успешной защиты компании можно выйти за рамки существующей в ней экспертизы.


ЗАДАЧИ:

     ·  Поиск индикаторов компрометации в известных базах (фидах)
     ·  Использование мировой экспертизы и снижение требований к специалистам ИБ
     ·  Автоматическое обогащение инцидентов полезными данными и способами реагирования.

Подкасты ИБ SIEM TIP СЗИ DLP

Рекомендуем

Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Модель зрелости SOAR
Модель зрелости SOAR
False или не false?
False или не false?

Рекомендуем

Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Модель зрелости SOAR
Модель зрелости SOAR
False или не false?
False или не false?

Похожие статьи

Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Интернет вещей и безопасность
Интернет вещей и безопасность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Модель зрелости SOAR
Модель зрелости SOAR
Что за зверь Security Champion?
Что за зверь Security Champion?
False или не false?
False или не false?

Похожие статьи

Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Интернет вещей и безопасность
Интернет вещей и безопасность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Модель зрелости SOAR
Модель зрелости SOAR
Что за зверь Security Champion?
Что за зверь Security Champion?
False или не false?
False или не false?