SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: пользователи и данные

Обзор средств информационной безопасности: пользователи и данные
12.09.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


Существует много различных классификаций средств защиты информации (СЗИ). Часть из них морально устарели из-за трендов к интеграции и созданию общей экосистемы, когда функционал различных систем начинает пересекаться.



Рис. 1 – Средства защиты информации и взаимосвязи


Крупные вендоры также создают из своих отдельных продуктов собственные интегрируемые проекты. Однако пока не существует столь масштабной экосистемы СЗИ от одного разработчика, которая закрывала бы все задачи практической информационной безопасности.


Поэтому свой обзор видов средств защиты информации мы разделим на четыре крупные группы: в первой и второй рассмотрим те средства, которые нацелены на пользователей и сами данные, а в двух остальных – на инфраструктуру.



Рис. 2 - User Activity Monitoring (UAM) или Employee Monitoring (EM) – мониторинг пользовательской активности


Обычно клиент-серверные приложения, которые при помощи агентов на рабочих станциях позволяют мониторинг ПК сотрудников, логировать их действия и уже на уровне серверной части ПО производить аналитику, подсвечивать риски и отклонения для руководителей, HR и службы ИБ. Клиентская часть ПО устанавливается на компьютеры пользователей, что позволяет видеть то, что недоступно чисто для сетевого мониторинга: работу в приложениях, использование клавиатуры и мыши, подключение внешних отчуждаемых устройств и операции с файлами.


UAM-системы часто позволяют не только осуществлять мониторинг, но и ограничивать ряд действий или организовать удалённый доступ к ПК для службы ИТ, включая в себя одновременно самый базовый функционал DLP- и PAM-систем.


ЗАДАЧИ:
- Контроль производительности сотрудников и подрядчиков
- Оценка эффективности коммуникации и обучения сотрудников
- Аналитика действий пользователей в приложениях и сети Интернет



Рис. 3 - Privileged User/Access Management (PUM/PAM), Privileged Identity Management (PIM), Privileged Password Management (PPM) или Privileged Account Security (PAS) – управление работой привилегированных пользователей


Аналогично, PAM – это клиент-серверные приложения, которые расширяют функционал UAM/EM-систем дополнительными возможностями для контроля привилегированных пользователей. Такие системы управляют административным доступом к ИТ-системам компании и обычно включают в себя единый шлюз для организации безопасного подключения администраторов компании и её подрядчиков.


Многие системы управления привилегированными пользователями используют единое хранилище токенов для авторизации (паролей в качестве первого фактора), а некоторые включают в себя и хранилище секретов (зашифрованных данных для авторизации с системы и базы данных, которые часто используются при разработке приложений и интегрировании различных систем), что полезно как для сотрудников ИТ, так и при проведении расследований про произошедшим инцидентам.


ЗАДАЧИ:
- Контроль действий привилегированных сотрудников и подрядчиков
- Оценка операций и вводимых команд
- Запись действий на экране и в конкретных приложениях



Рис. 4 - Second/Multi Factor Autentification (2FA/MFA) – многофакторная аутентификация и проверка подлинности


Поскольку действия сотрудников часто связаны с доступом к конкретным данным, пользователей необходимо идентифицировать и аутентифицировать. Для этого сервисы многофакторной аутентификации добавляют к первому фактору (паролю) один или несколько других: код из СМС, токен-флешка, одноразовый пароль из специального приложения и т.д.


Таким образом, при помощи других устройств, адресов электронной почты или номеров телефона удаётся уточнить у пользователя, что это именно он пытается получить доступ к приложению, документу или другому сервису даже в том случае если исходный пароль был скомпрометирован.


ЗАДАЧИ:
- Проверка подлинности пользователя, аутентификация
- Независимость от компрометации первого фактора (пароля)
- Повышение защиты доступа пользователей к данным


Рис. 5 - Mobile Application Shielding (MAS) – защита мобильных приложений


Система встраивается в код мобильного приложения и анализирует пользовательскую активность с целью определения аномалий. По выполняемым задачам эта система похожа на сервисы двухфакторной аутентификации, но по архитектуре и принципам больше похожа на UBA-системы, поскольку для аутентификации пользователя используются данные его активности.


Модуль собирает данные статистики о том, в какой время пользователь обычно использует приложения, какой путь через интерфейс проходит, как сильно и быстро нажимает кнопки, под каким углом держит смартфон и т.д. Отклонения от нормы позволяют заподозрить получение доступа к приложению другим пользователем (возможно, злоумышленником) и запустить дополнительные средства защиты (например, MFA, который описан выше).


ЗАДАЧИ:
- Обеспечение безопасности мобильных устройств, защита от мошенничества через интерфейс приложений
- Поиск аномалий в пользовательских операциях
- Повышение защищённости личных данных и программ лояльности


Рис. 6 - User Behavior Analytics (UBA) и User and Entity Behavior Analytics (UEBA) – поведенческий анализ и поиск аномалий


UBA – это система анализа пользовательской активности для поиска аномалий и фиксации потенциальных инцидентов. UEBA в дополнение к сбору статистики действий пользователей собирает и логи приложений/устройств, что чем-то похоже на средства MAS, только применимые к компьютерам и серверам внутри компании.


UEBA-системы часто основаны на технологиях машинного обучения без учителя (без заранее созданных профилей сотрудников), хотя иногда бывают и исключения, в которые профили заложены в режиме «черного ящика». Поэтому для эффективной работы системе требуется сбор статистики от 3-9 месяцев, чтобы отклонения меньше включали в себя ложноположительные срабатывания, а профили сотрудников включали в себя больше видов деятельности.


ЗАДАЧИ:
- Сбор статистики по пользователям, группам, профилям
- Поиск аномалий, которые могут свидетельствовать об инциденте
- Анализ превышения пороговых значений по разным параметрам

рис 7.jpeg

Рис. 7 - Incident Response Platform (IRP) – организация процесса реагирования на инциденты


Платформа для реагирования на инциденты попала в первую часть нашего обзора, поскольку она напрямую связана с пользователями, только в этот раз не с потенциальными нарушителями, а самим сотрудниками ИБ/ЭБ/ИТ. Система применяется, если есть потребность в выстраивании общих процессов и автоматизации действий. Современные IRP-системы эволюционно стали частью SOAR-платформ, но поскольку термин на рынке уже устоялся, разберем его подробнее.


В основном подобные системы состоят из двух блоков: тикетинг (учёт заявок, определение исполнителей, SLA и т.д. как в ITSM-системах) и процессинг (конфигуратор бизнес-процессов, схожий по задачам с системами классов BPM и RPA). Вместе они организуют для группы реагирования общие процессы и единый интерфейс для устранения последствий инцидентов.


ЗАДАЧИ:
- Выстраивание процессов и совместная работа
- Управление группой реагирования, SLA и нагрузкой на персонал
- Автоматизация рутины и устранение человеческого фактора.


Подкасты ИБ IRP SOAR СЗИ UEBA DLP

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют