SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: сетевая защита

Обзор средств информационной безопасности: сетевая защита
03.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


1.png

Рис. 1 – Средства защиты информации и взаимосвязи


В завершающей части нашего обзора мы уделим внимание средствам защиты информации, которые связаны не только с защитой конечных точек, но и с защитой сети. Инфраструктурные решения обычно самые первые, которые приобретаются для защиты компаний, но несмотря на это многие имеют свои особенности, интересные и крупным организациям, в которых уже применяются десятки решений. Также решения из четвёртого блока обзора часто знакомы и обычным пользователям сети Интернет и компьютеров в целом. 


2.png

Рис. 2 – Virtual Private Network (VPN) – виртуальная частная сеть


Технологии, позволяющие обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет. VPN-сервисы – это клиент серверные приложения: специальное приложение на мобильном устройстве, сервере ноутбуке позволяет установить прямое туннелированное соединение с сервером. Сам сервер при этом может находится внутри корпоративного периметра, за его пределами и даже в другой стране. В зависимости от назначения сервисы также можно разделить на те, что необходимы для интранет- и интернет-подключений, или для удалённого доступа к различным объектам в сети.


Поскольку трафик перенаправляется через отдельный узел, стоит обратить внимание на его безопасность, а также на средства криптографической защиты трафика для особо важных подключений. С точки зрения обычного пользователя при применении VPN-сервисов также стоит уделить внимание безопасности – если сервер VPN недоверенный, он позволяет злоумышленникам получить копию вашего трафика и те данные, которые вы передаёте.


ЗАДАЧИ:

     · Создание безопасного удалённого доступа к корпоративной сети
     · Маршрутизация трафика через специальные сервера
     · Безопасное подключение к сервисам поверх другого соединения


3.png

Рис. 3 – Web Application Firewall (WAF) – защита веб приложений


В отличие от классического брандмауэра и межсетевых экранов нового поколения (которые мы рассматривали в прошлой части обзора), данные средства фильтрации сетевого трафика, специально ориентированы на веб-приложения и их пользователей. Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика.


Обычно решения для защиты веб-приложений тесно связаны с фильтрацией (см. далее) и анализом уже прошедших эту фильтрацию запросов. WAF способен скрыть от злоумышленников реальный адрес атакуемого приложения, а при попытках получения несанкционированного доступа – закрывать уязвимости временными «заглушками», используя технологии DAST/IAST. Для анализа трафика применяются также технологии машинного обучения и базы, постоянно обновляемые аналитиками в облаке.


ЗАДАЧИ:

     · Выстраивание периметровой защиты для веб-ресурса
     · Скрытие реального IP-адреса и повышение защищённости
     · Анализ запросов и защита от проникновения


4.png

Рис. 4 – Anti - Distributed Denial of Service (a-DDoS)– фильтрация запросов к приложению


Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика на прикладном и сетевом уровнях с использованием методов поведенческого анализа. При этом сам программный продукт разворачивается не на периметре сети компании (как в примере выше), а на глобальных маршрутах трафика по всему миру.


Благодаря такой архитектуре, подобные сервисы часто используются в режиме подписки и не накладывают обременения на ресурсы компании. Фильтрация происходит на узлах магистралей, при этом подозрительные запросы и потенциальные бот-атаки эффективно отбиваются ещё до момента поступления трафика в веб-приложение.


ЗАДАЧИ:

     · Мониторинг и фильтрация запросов к веб-сервисам
     · Снижение нагрузки на сервис и повышение доступности для пользователей
     · Реализация защиты без необходимости применения дополнительного «железа»

5.png

Рис. 5 – Container Security (CS) – защита контейнеризации


Для обеспечения безопасности контейнеров применяют технологии, которые обычно состоят из трёх компонентов. Консоль управления – центральный серверный элемент управления, позволяющий встраивать решение в конвейер разработки, интегрироваться с SIEM, проверять образы в репозиториях и удобно управлять сканированием развёрнутых контейнеров. При помощи агентской части системы внутри контейнеров можно дополнительно повышать защиту, как это делают AV/EDR системы. Третий компонент, облако данных, объединяет и коррелирует актуальные данные об угрозах для разработки от провайдеров, а также собственные данные Агент сканирования контролирует активность контейнеров и хостов во время исполнения и обеспечивает их безопасность.


ЗАДАЧИ:

     · Повышение безопасности внутри контейнеров
     · Анализ репозиториев и централизованное управление
     · Решение общих задач ИБ/ИТ и задач в цикле DevSecOps


6.png

Рис. 6 – Sandbox – изолирование среды (песочница)

Песочница – это комплекс защиты от направленных атак, представляющий из себя специализированное средство обнаружения – изолированную виртуальную среду. Технологически песочница представляет из себя копию ОС (или её части) или контейнер с подготовленной средой. Для злоумышленников и вредоносных программ песочница выглядит и ведёт себя как настоящая атакуемая система, но на самом деле специальные средства мониторинга отслеживают любые активности, которые способны навредить компьютеру или серверу.


Технологии песочницы используются некоторыми производителями антивирусов и EDR систем, а сами вдохновляются технологией контейнеризации, поскольку она наиболее эффективно и быстро позволяет провести репутационную оценку, эвристический анализ и обнаружить угрозы.


ЗАДАЧИ:

     · Изоляция потенциальной вредоносной активности
     · Анализ поведения файлов и обнаружение угроз нулевого дня
     · Применение в продуктах других классов


7.png

Рис. 7 – Asset Management (AM) – управление активами


Для реализации защиты инфраструктуры часто нужно подготовиться, проведя инвентаризацию активов (рабочий станций, серверов, сетевого оборудования, пользователей и программного обеспечения). Подходы к инвентаризации всегда разные, но из-за того, что результат анализа активов может применяться в разных отраслях, появились специализированные автоматические средства ПО. Часть средств используют клиент-серверную архитектуру, собирая основные полезные данные при помощи агентов на АРМ, но существуют и средства, которые используют для этого многочисленные интеграции и безагенсткий подход: сетевое сканирование и применение скриптов. При этом в результате работы программ по управлению активами появляется полная картина ИТ-ландшафта компании.


Результаты инвентаризации и отчёты используются ИТ-специалистами для организации жизненного цикла объектов в инфраструктуре (обновление, выход из строя и т.д.), ИБ специалистами для анализа инцидентов и уязвимых прошивок, и ПО, а также специалистами по анализу рисков и аудиторами (например, в рамках категорирования объектов согласно 187-ФЗ о КИИ).


ЗАДАЧИ:

     · Цифровизация определение ИТ-ландшафта

     · Сбор данных об активах с целью повышения их безопасности

     · Реализация организационных мер для оценки рисков и соответствия требованиям регуляторов

Подкасты ИБ Управление ИБ Киберриски (Cyber Risk, CRS) Угрозы ИБ КИИ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса