SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: сетевая защита

Обзор средств информационной безопасности: сетевая защита
03.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


1.png

Рис. 1 – Средства защиты информации и взаимосвязи


В завершающей части нашего обзора мы уделим внимание средствам защиты информации, которые связаны не только с защитой конечных точек, но и с защитой сети. Инфраструктурные решения обычно самые первые, которые приобретаются для защиты компаний, но несмотря на это многие имеют свои особенности, интересные и крупным организациям, в которых уже применяются десятки решений. Также решения из четвёртого блока обзора часто знакомы и обычным пользователям сети Интернет и компьютеров в целом. 


2.png

Рис. 2 – Virtual Private Network (VPN) – виртуальная частная сеть


Технологии, позволяющие обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет. VPN-сервисы – это клиент серверные приложения: специальное приложение на мобильном устройстве, сервере ноутбуке позволяет установить прямое туннелированное соединение с сервером. Сам сервер при этом может находится внутри корпоративного периметра, за его пределами и даже в другой стране. В зависимости от назначения сервисы также можно разделить на те, что необходимы для интранет- и интернет-подключений, или для удалённого доступа к различным объектам в сети.


Поскольку трафик перенаправляется через отдельный узел, стоит обратить внимание на его безопасность, а также на средства криптографической защиты трафика для особо важных подключений. С точки зрения обычного пользователя при применении VPN-сервисов также стоит уделить внимание безопасности – если сервер VPN недоверенный, он позволяет злоумышленникам получить копию вашего трафика и те данные, которые вы передаёте.


ЗАДАЧИ:

     · Создание безопасного удалённого доступа к корпоративной сети
     · Маршрутизация трафика через специальные сервера
     · Безопасное подключение к сервисам поверх другого соединения


3.png

Рис. 3 – Web Application Firewall (WAF) – защита веб приложений


В отличие от классического брандмауэра и межсетевых экранов нового поколения (которые мы рассматривали в прошлой части обзора), данные средства фильтрации сетевого трафика, специально ориентированы на веб-приложения и их пользователей. Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика.


Обычно решения для защиты веб-приложений тесно связаны с фильтрацией (см. далее) и анализом уже прошедших эту фильтрацию запросов. WAF способен скрыть от злоумышленников реальный адрес атакуемого приложения, а при попытках получения несанкционированного доступа – закрывать уязвимости временными «заглушками», используя технологии DAST/IAST. Для анализа трафика применяются также технологии машинного обучения и базы, постоянно обновляемые аналитиками в облаке.


ЗАДАЧИ:

     · Выстраивание периметровой защиты для веб-ресурса
     · Скрытие реального IP-адреса и повышение защищённости
     · Анализ запросов и защита от проникновения


4.png

Рис. 4 – Anti - Distributed Denial of Service (a-DDoS)– фильтрация запросов к приложению


Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика на прикладном и сетевом уровнях с использованием методов поведенческого анализа. При этом сам программный продукт разворачивается не на периметре сети компании (как в примере выше), а на глобальных маршрутах трафика по всему миру.


Благодаря такой архитектуре, подобные сервисы часто используются в режиме подписки и не накладывают обременения на ресурсы компании. Фильтрация происходит на узлах магистралей, при этом подозрительные запросы и потенциальные бот-атаки эффективно отбиваются ещё до момента поступления трафика в веб-приложение.


ЗАДАЧИ:

     · Мониторинг и фильтрация запросов к веб-сервисам
     · Снижение нагрузки на сервис и повышение доступности для пользователей
     · Реализация защиты без необходимости применения дополнительного «железа»

5.png

Рис. 5 – Container Security (CS) – защита контейнеризации


Для обеспечения безопасности контейнеров применяют технологии, которые обычно состоят из трёх компонентов. Консоль управления – центральный серверный элемент управления, позволяющий встраивать решение в конвейер разработки, интегрироваться с SIEM, проверять образы в репозиториях и удобно управлять сканированием развёрнутых контейнеров. При помощи агентской части системы внутри контейнеров можно дополнительно повышать защиту, как это делают AV/EDR системы. Третий компонент, облако данных, объединяет и коррелирует актуальные данные об угрозах для разработки от провайдеров, а также собственные данные Агент сканирования контролирует активность контейнеров и хостов во время исполнения и обеспечивает их безопасность.


ЗАДАЧИ:

     · Повышение безопасности внутри контейнеров
     · Анализ репозиториев и централизованное управление
     · Решение общих задач ИБ/ИТ и задач в цикле DevSecOps


6.png

Рис. 6 – Sandbox – изолирование среды (песочница)

Песочница – это комплекс защиты от направленных атак, представляющий из себя специализированное средство обнаружения – изолированную виртуальную среду. Технологически песочница представляет из себя копию ОС (или её части) или контейнер с подготовленной средой. Для злоумышленников и вредоносных программ песочница выглядит и ведёт себя как настоящая атакуемая система, но на самом деле специальные средства мониторинга отслеживают любые активности, которые способны навредить компьютеру или серверу.


Технологии песочницы используются некоторыми производителями антивирусов и EDR систем, а сами вдохновляются технологией контейнеризации, поскольку она наиболее эффективно и быстро позволяет провести репутационную оценку, эвристический анализ и обнаружить угрозы.


ЗАДАЧИ:

     · Изоляция потенциальной вредоносной активности
     · Анализ поведения файлов и обнаружение угроз нулевого дня
     · Применение в продуктах других классов


7.png

Рис. 7 – Asset Management (AM) – управление активами


Для реализации защиты инфраструктуры часто нужно подготовиться, проведя инвентаризацию активов (рабочий станций, серверов, сетевого оборудования, пользователей и программного обеспечения). Подходы к инвентаризации всегда разные, но из-за того, что результат анализа активов может применяться в разных отраслях, появились специализированные автоматические средства ПО. Часть средств используют клиент-серверную архитектуру, собирая основные полезные данные при помощи агентов на АРМ, но существуют и средства, которые используют для этого многочисленные интеграции и безагенсткий подход: сетевое сканирование и применение скриптов. При этом в результате работы программ по управлению активами появляется полная картина ИТ-ландшафта компании.


Результаты инвентаризации и отчёты используются ИТ-специалистами для организации жизненного цикла объектов в инфраструктуре (обновление, выход из строя и т.д.), ИБ специалистами для анализа инцидентов и уязвимых прошивок, и ПО, а также специалистами по анализу рисков и аудиторами (например, в рамках категорирования объектов согласно 187-ФЗ о КИИ).


ЗАДАЧИ:

     · Цифровизация определение ИТ-ландшафта

     · Сбор данных об активах с целью повышения их безопасности

     · Реализация организационных мер для оценки рисков и соответствия требованиям регуляторов

Подкасты ИБ Управление ИБ Киберриски (Cyber Risk, CRS) Угрозы ИБ КИИ

Рекомендуем

Управление ИТ-активами
Управление ИТ-активами
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Конфиденциальная информация
Конфиденциальная информация
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности

Рекомендуем

Управление ИТ-активами
Управление ИТ-активами
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Конфиденциальная информация
Конфиденциальная информация
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности

Похожие статьи

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Обзор Баз данных угроз
Обзор Баз данных угроз
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Визуализация: лучшие практики
Визуализация: лучшие практики
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности

Похожие статьи

Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Обзор Баз данных угроз
Обзор Баз данных угроз
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Визуализация: лучшие практики
Визуализация: лучшие практики
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности