SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: сетевая защита

Обзор средств информационной безопасности: сетевая защита
03.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


1.png

Рис. 1 – Средства защиты информации и взаимосвязи

В завершающей части нашего обзора мы уделим внимание средствам защиты информации, которые связаны не только с защитой конечных точек, но и с защитой сети. Инфраструктурные решения обычно самые первые, которые приобретаются для защиты компаний, но несмотря на это многие имеют свои особенности, интересные и крупным организациям, в которых уже применяются десятки решений. Также решения из четвёртого блока обзора часто знакомы и обычным пользователям сети Интернет и компьютеров в целом. 


2.png

Рис. 2 – Virtual Private Network (VPN) – виртуальная частная сеть

Технологии, позволяющие обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет. VPN-сервисы – это клиент серверные приложения: специальное приложение на мобильном устройстве, сервере ноутбуке позволяет установить прямое туннелированное соединение с сервером. Сам сервер при этом может находится внутри корпоративного периметра, за его пределами и даже в другой стране. В зависимости от назначения сервисы также можно разделить на те, что необходимы для интранет- и интернет-подключений, или для удалённого доступа к различным объектам в сети.

Поскольку трафик перенаправляется через отдельный узел, стоит обратить внимание на его безопасность, а также на средства криптографической защиты трафика для особо важных подключений. С точки зрения обычного пользователя при применении VPN-сервисов также стоит уделить внимание безопасности – если сервер VPN недоверенный, он позволяет злоумышленникам получить копию вашего трафика и те данные, которые вы передаёте.

ЗАДАЧИ:

     · Создание безопасного удалённого доступа к корпоративной сети
     · Маршрутизация трафика через специальные сервера
     · Безопасное подключение к сервисам поверх другого соединения


3.png

Рис. 3 – Web Application Firewall (WAF) – защита веб приложений

В отличие от классического брандмауэра и межсетевых экранов нового поколения (которые мы рассматривали в прошлой части обзора), данные средства фильтрации сетевого трафика, специально ориентированы на веб-приложения и их пользователей. Решение обычно разворачивается на границе периметра, между защищаемым сервисом и его пользователями снаружи. Это позволяет повысить защиту именно на уровне приложений, а также обеспечить инспекцию SSL/TLS трафика.

Обычно решения для защиты веб-приложений тесно связаны с фильтрацией (см. далее) и анализом уже прошедших эту фильтрацию запросов. WAF способен скрыть от злоумышленников реальный адрес атакуемого приложения, а при попытках получения несанкционированного доступа – закрывать уязвимости временными «заглушками», используя технологии DAST/IAST. Для анализа трафика применяются также технологии машинного обучения и базы, постоянно обновляемые аналитиками в облаке.

ЗАДАЧИ:

     · Выстраивание периметровой защиты для веб-ресурса
     · Скрытие реального IP-адреса и повышение защищённости
     · Анализ запросов и защита от проникновения


4.png

Рис. 4 – Anti - Distributed Denial of Service (a-DDoS)– фильтрация запросов к приложению

Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика на прикладном и сетевом уровнях с использованием методов поведенческого анализа. При этом сам программный продукт разворачивается не на периметре сети компании (как в примере выше), а на глобальных маршрутах трафика по всему миру.

Благодаря такой архитектуре, подобные сервисы часто используются в режиме подписки и не накладывают обременения на ресурсы компании. Фильтрация происходит на узлах магистралей, при этом подозрительные запросы и потенциальные бот-атаки эффективно отбиваются ещё до момента поступления трафика в веб-приложение.

ЗАДАЧИ:

     · Мониторинг и фильтрация запросов к веб-сервисам
     · Снижение нагрузки на сервис и повышение доступности для пользователей
     · Реализация защиты без необходимости применения дополнительного «железа»

5.png

Рис. 5 – Container Security (CS) – защита контейнеризации

Для обеспечения безопасности контейнеров применяют технологии, которые обычно состоят из трёх компонентов. Консоль управления – центральный серверный элемент управления, позволяющий встраивать решение в конвейер разработки, интегрироваться с SIEM, проверять образы в репозиториях и удобно управлять сканированием развёрнутых контейнеров. При помощи агентской части системы внутри контейнеров можно дополнительно повышать защиту, как это делают AV/EDR системы. Третий компонент, облако данных, объединяет и коррелирует актуальные данные об угрозах для разработки от провайдеров, а также собственные данные Агент сканирования контролирует активность контейнеров и хостов во время исполнения и обеспечивает их безопасность.

ЗАДАЧИ:

     · Повышение безопасности внутри контейнеров
     · Анализ репозиториев и централизованное управление
     · Решение общих задач ИБ/ИТ и задач в цикле DevSecOps


6.png

Рис. 6 – Sandbox – изолирование среды (песочница)

Песочница – это комплекс защиты от направленных атак, представляющий из себя специализированное средство обнаружения – изолированную виртуальную среду. Технологически песочница представляет из себя копию ОС (или её части) или контейнер с подготовленной средой. Для злоумышленников и вредоносных программ песочница выглядит и ведёт себя как настоящая атакуемая система, но на самом деле специальные средства мониторинга отслеживают любые активности, которые способны навредить компьютеру или серверу.

Технологии песочницы используются некоторыми производителями антивирусов и EDR систем, а сами вдохновляются технологией контейнеризации, поскольку она наиболее эффективно и быстро позволяет провести репутационную оценку, эвристический анализ и обнаружить угрозы.

ЗАДАЧИ:

     · Изоляция потенциальной вредоносной активности
     · Анализ поведения файлов и обнаружение угроз нулевого дня
     · Применение в продуктах других классов


7.png

Рис. 7 – Asset Management (AM) – управление активами

Для реализации защиты инфраструктуры часто нужно подготовиться, проведя инвентаризацию активов (рабочий станций, серверов, сетевого оборудования, пользователей и программного обеспечения). Подходы к инвентаризации всегда разные, но из-за того, что результат анализа активов может применяться в разных отраслях, появились специализированные автоматические средства ПО. Часть средств используют клиент-серверную архитектуру, собирая основные полезные данные при помощи агентов на АРМ, но существуют и средства, которые используют для этого многочисленные интеграции и безагенсткий подход: сетевое сканирование и применение скриптов. При этом в результате работы программ по управлению активами появляется полная картина ИТ-ландшафта компании.

Результаты инвентаризации и отчёты используются ИТ-специалистами для организации жизненного цикла объектов в инфраструктуре (обновление, выход из строя и т.д.), ИБ специалистами для анализа инцидентов и уязвимых прошивок, и ПО, а также специалистами по анализу рисков и аудиторами (например, в рамках категорирования объектов согласно 187-ФЗ о КИИ).

ЗАДАЧИ:

     · Цифровизация определение ИТ-ландшафта      · Сбор данных об активах с целью повышения их безопасности      · Реализация организационных мер для оценки рисков и соответствия требованиям регуляторов

Подкасты ИБ Управление ИБ Киберриски (Cyber Risk, CRS) Угрозы ИБ КИИ

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр

Похожие статьи

MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности

Похожие статьи

MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
DLP системы (Data Loss Prevention, ДЛП) - что это такое
DLP системы (Data Loss Prevention, ДЛП) - что это такое
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности