SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: данные и инциденты

Обзор средств информационной безопасности: данные и инциденты
19.09.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision



рис 1.png

Рис. 1 – Средства защиты информации и взаимосвязи


В первой части обзора средств защиты информации мы в основном рассматривали системы, нацеленные на пользователей и организацию их безопасной и эффективной работы. В этой статье мы разберем системы, которые фокусируются на самих данных и защите от случайных или умышленных действий с ними.


рис 22.jpg

Рис. 2 - Data Leakage Prevention или Data Loss Protection (DLP) – защита от утечек конфиденциальных данных


Системы DLP находятся ближе всех остальных к самим данным, поскольку анализируют их содержимое на предмет наличия конфиденциальных данных. Чтобы организовать максимальный функционал, они включают компоненты на сетевом уровне (почтовый шлюз, сервер печати документов, proxy-сервер) и агентскую часть на ПК сотрудников (которая контролирует внешние устройства, клавиатурный ввод, отправку файлов в облачные сервисы и мессенджеры и другие каналы передачи данных).


Конечно, существуют чисто агентские или чисто сетевые DLP, например, в корпоративных облачных сервисах Google, но для максимальной защиты чаще всего используются именно on-premise решения, инсталлируемые в инфраструктуру или внутрь частного облака, если используется инфраструктура внешнего ЦОД.


Стоит отметить, что такие сложные средства защиты данных нуждаются в настройке: нужно определить перечень защищаемых данных и «научить» систему их распознавать, поэтому внедрение часто связано с результатами аудита ИБ и результатами работы консалтинга.


ЗАДАЧИ:   

    · Защита конфиденциальных данных от утечек
    · Контроль трафика внутри организации и передача за пределы защищаемого периметра
    · Логирование действий пользователей и проведение расследований ИБ и ЭБ.


рис 33.jpg

Рис. 3 - Information Leakage Detection (ILD) – определение утечек и их источников


Системы подобного класса позволяют проводить расследований по уже произошедшим утечкам, от которых не могут защитить DLP-системы. Сами расследования проводят аналитики путём сравнения материалов об утечке с теми данными, к которым имели доступ сотрудники компании. Для организации сравнения каждому сотруднику предоставляется доступ к уникальной копии данных, которая путём добавления водяных знаков или афинных преобразований с высокой точностью позволяет определить того пользователя, который участвовал в инциденте.


Современные ILD-системы работают незаметно для пользователей и уже не используют водяные знаки. Афинные преобразования сдвигают части текста, буквы и строки, но делают это визуально незаметным для пользователей. Такие сложные системы также необходимо сначала настроить: определить данные и доступы к ним, файлы и директории (например, в СЭД или веб-сервисах наподобие CRM-систем), после чего исходные данные «подменяются» копией, которая маркирована без использования водяных знаков.


ЗАДАЧИ:   

     · Маркировка конфиденциальных данных
     · Организация централизованного доступа к документам и сервисам
     · Проведение расследований по произошедшим утечкам КИ путём визуального (автоматического) сравнения.


рис 44.jpg

Рис. 4 - Static/Dynamic Application Security Testing (SAST/DAST) и IAST (Interactive Application Security Testing) – анализ исходного кода приложений и тестирование


Полезные данные могут содержаться не только в базах данных и документах, зачастую критичная информация находится в исходном коде разрабатываемых приложений. Также внутри кода могут быть размещены «закладки» и уязвимости, которые с внешней стороны периметра смогут эксплуатировать злоумышленники. Для анализа исходного кода приложений используется ряд технологий: статический и динамический анализ, а также их комбинирование и интерактивное взаимодействие.


При статическом анализе исходный код в виде текста загружается в анализатор, который читает его и сравнивает с базами известных уязвимостей, закладок и других «проблемных» элементов (например, наличие в коде напрямую прописанных логинов и паролей к информационным системам). Для динамического анализа используется другой подход, похожий на процесс пентеста (penetration testing): анализатор «простукивает» приложение безопасными атаками (например, GET-запросами с пустыми заголовками). Таким образом становится возможным обнаружение уязвимостей, которые пока не описаны в базах. При динамическом анализе используется уже скомпилированное приложение и нет привязки к языку, на котором написан его код.


Дальнейшая эволюция и комбинирование этих двух подходов позволили создать системы для интерактивного взаимодействия и выпуска патчей «на лету», которые позволяют закрывать уязвимости временными заглушками и повышают безопасность приложения до нового цикла обновления в рамках DevSecOps.


ЗАДАЧИ:

     · Повышение безопасности разрабатываемых приложений
     · Создание патчей и хотфиксов для решения проблем разработки
     · Автоматизация тестирования в рамках DevSecOps.

 

рис 55.jpg

Рис. 5 - Security Information and Event Management (SIEM) – мониторинг и корреляция событий ИБ


В процессе эксплуатации различных информационных систем генерируются события, из которых необходимо вычленить инциденты для реагирования. Это можно сделать несколькими способами: первый - группировка и дедупликация событий как механизм работы SOAR-систем и второй - корреляция событий между собой, как математический инструмент SIEM-систем. В первом случае нужно анализировать поступающие логи и события и создавать правила самостоятельно, а при использовании SIEM-систем можно воспользоваться пакетами экспертизы, которые разрабатываются вендором и используются как готовые инструменты «из коробки».


В качестве примера можно рассмотреть неуспешные попытки авторизации в приложениях. С одной стороны, пользователь может забыть свой пароль и несколько раз пытаться его подобрать, но бывают случаи, когда хакер за периметром пытается автоматически перебирать пароли и в конечном итоге успешно авторизоваться в системе путём брутфорса, повысив свои привилегии. SIEM-система в таком случае собирает из журналов события ввода пароля и коррелирует их между собой, подсвечивая для сотрудника ИБ/ИТ соответствующие риски и сформировав из потока событий один инцидент с описанием возможных последствий.


ЗАДАЧИ:

     · Снижение числа ложноположительных срабатываний
     · Уменьшение количества инцидентов и их группировка для реагирования
     · Определение корреляции между отдельными событиями и анализ цепочки действий.


рис 66.jpg

Рис. 6 - Threat Intelligence Platform (TIP) – сбор данных киберразведки и поиск индикаторов компрометации


В работе специалистов SOC сотрудникам часто приходится сталкиваться с новыми видами инцидентов. При этом все инциденты внутри компании могут быть скоррелированы при помощи SIEM-систем (см. выше), но дополнительно повысить эффективность позволяют фиды от сторонних поставщиков. TI-платформа позволяет агрегировать фиды как новостную рассылку и использовать опыт экспертов по всему миру, которые уже сталкивались с похожими инцидентами.


Сама работа TIP-систем складывается из нескольких этапов: сбор сведений (фидов) и индикаторов компрометации (IoC), дополнение тикетов обнаруженных инцидентов полезными данными от экспертов вне организации, создание новых сущностей для дальнейшего анализа SIEM и реагирования в SOAR-платформах. Таким способом для реагирования на инциденты и киберугрозы создается своего рода Wikipedia с полезной информацией, только обогащение осуществляется автоматически, а для успешной защиты компании можно выйти за рамки существующей в ней экспертизы.


ЗАДАЧИ:

     ·  Поиск индикаторов компрометации в известных базах (фидах)
     ·  Использование мировой экспертизы и снижение требований к специалистам ИБ
     ·  Автоматическое обогащение инцидентов полезными данными и способами реагирования.

Подкасты ИБ SIEM TIP СЗИ DLP

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют