SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: защита конечных точек

Обзор средств информационной безопасности: защита конечных точек
26.09.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


рси 1.png

Рис. 1 – Средства защиты информации и взаимосвязи


Мы уже рассмотрели различные классы СЗИ, связанных с пользователями и их активностью, а также с самими данными и их конфиденциальностью и доступностью. В этой части обзора речь пойдёт о средствах защиты, обеспечивающих безопасность инфраструктуры на уровне конечных точек и смежных с ними каналов (например, приложений).


рис 2.png

Рис. 2 - Mobile Device Management (MDM) – управление мобильными устройствами


Глобально существует 3 подхода к использованию мобильных устройств в рабочих целях: ограничивать пользование (мобильными телефонами), выдавать корпоративные устройства (например, планшеты и ноутбуки) и применять личные устройства сотрудников (Bring Your Own Device, BYOD). Для всех мер, кроме ограничительных, удобно осуществлять централизованное управление смартфонами, планшетами, ноутбуками и другими мобильными устройствами, которое обеспечивает MDM-система.


Само решение может быть устройством с корпоративной прошивкой, или клиент-серверным приложением (с контейнером на устройстве и серверным управляющим компонентом). При этом остаётся общая суть: создание из переносимого устройства (или его части в виде контейнера внутри) безопасной области с защищёнными каналами связи, необходимыми доступами к ресурсам компании и дополнительной проверкой безопасности (например, наличие антивируса и официальная прошивка). При помощи централизованного управления сотрудники ИБ/ИТ получают возможность выключить устройство/контейнер удалённо в случае компрометации, ограничить небезопасные каналы связи или даже очистить устройство, что удобно в случае его потери.


ЗАДАЧИ:

     · Повышение безопасности ноутбуков, планшетов и мобильных устройств
     · Централизованное управление рабочей частью аппарата
     · Обеспечение безопасного и удобного доступа к внутренним ресурсам.


рис 3.png

Рис. 3 - Unified Threat Management (UTM), Intrusion Detection/Prevention System (IDS/IPS), Firewall (FW, Брандмауэр), Next Generation Firewall (NGFW) и Web-Isolation – межсетевое экранирование и веб-изоляция


Брандмауэры обеспечивают контроль трафика на уровне приложений, URL-фильтрацию, и комбинируют другие СЗИ, например, обнаружение и блокирование вторжений (IDS/IPS). Мы объединили несколько средств защиты в один пункт, поскольку межсетевые экраны нового поколения (NGFW) сочетают в себе сразу несколько возможностей защиты, которые в отличие от экранов старых поколений обеспечивают не последовательное, а параллельное функционирование.


В состав NGFW могут входить также средства антивирусной защиты, песочницы, которые в отличие от классических средств защиты на конечных точках (см. далее) защищают дополнительные каналы. Такие решения используются также для сегментации сети, обеспечивая блокировку трафика.


Отдельно стоит выделить решения веб-изоляции, которые позволяют взаимодействовать с веб-ресурсами по подходу Zero Trust. Существует два типа изоляции: локальная (когда интернет-трафик достигает локальной инфраструктуры, где помещается в песочницу или виртуальную машину) и удалённая (которая предотвращает попадание интернет-трафика в систему пользователя и обрабатывает запросы в общедоступном или частном облаке). Некоторые системы этого класса превращают веб-страницу в картинку, позволяя видеть контент без угрозы реализации вредоносных скриптов. Но современные системы позволяют взаимодействовать по HTTPS-протоколу полноценно, не на рабочей станции сотрудника, а через удалённый доступ к изолированной виртуальной среде.


ЗАДАЧИ:

     ·  Контроль трафика и сегментирование сети, фильтрация URL-запросов
     ·  Обнаружение и предотвращение вторжений, веб-изоляция
     ·  Быстрая защита на уровне приложений, комбинирование СЗИ


рис 4.png

Рис. 4 – Antivirus (SV) и Endpoint Detection and Response (EDR) – защита конечных точек


Данный тип решений объединяет в себе функции классического антивируса (AV), такие как защита от вредоносного ПО на базе сигнатур и репутационная оценка файлов, а также дополнительные функции: машинное обучение для обнаружения вредоносной активности без сигнатур (zero-day), сдерживание распространения вредоносного ПО по сети, восстановление рабочих станций (удаление ПО, расшифровка файлов), анализ причин возникновения атаки (документирование) и обеспечение процесса реагирования.


Отдельно стоит упомянуть решения класса XDR (Extended Detection and Response), которые по своей сути напоминают IRP-платформы, но с ограничениями в виде объединения средств защиты от одного разработчика (например, Kaspersky). В решения этого класса могут входить интеграции с другими системами, которые разрабатываются тем же вендором, но подход к созданию коннекторов отличается от подхода SOAR-платформ.


ЗАДАЧИ:

     · Обнаружение вредоносных файлов и активностей
     · Удаление потенциальных угроз и сдерживание APT-атак
     · Восстановление безопасности рабочего места пользователя

рис 5.png

Рис. 5 – Distributed Deception Platform (DDP) или Honeypot – приманки для злоумышленников


Система представляет из себя развёрнутую внутри инфраструктуры сеть объектов, реальная работа на которых не осуществляется, а детектирование любой активности позволяет определить факт проникновения злоумышленников в корпоративную сеть и даже выявить вектор атаки, который используется при проникновении.


Honeypot - использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов дезинформации. Такими приманками могут служить: серверные и гостевые учётные записи пользователей, почтовые адреса, специальные ключи реестра и файлы. Например, приманкой может служить ненастоящая рабочая станция с простым паролем и «привлекательным» для злоумышленников контентом.


ЗАДАЧИ:

     · Обнаружение вторжений и логирование действий злоумышленников
     · Увеличение возможных сроков реагирования на вторжения
     · Определение вектора атаки для выбора методов защиты

рис 6.png

Рис. 6 – Vulnerability Scanner (VS) и Vulnerability Management (VM) – управление уязвимостями


Решение в общем состоит из двух составляющих. Первая и необходимая – сканер защищённости, который анализирует объекты инфраструктуры на предмет наличия в них известных уязвимостей (недостающих обновлений безопасности). Вторая часть – организация процесса устранения, взаимодействия группы обнаружения, группы реагирования и других аналитиков, вовлечённых в процесс.


Для работы сканера необходимо обеспечить сетевую доступность узлов компании и доступ к базам известных уязвимостей (например, NVD от NIST, бюллетени Microsoft и материалы НКЦКИ, публикуемые для общего доступа). В результате сканирования генерируется отчёт, который в дальнейшем обрабатывается ИБ/ИТ специалистами в компании. Сам процесс реагирования включает уже другие технологии: парсинг отчёта для выделения уязвимостей в группы, тикетинг (автоматическое создание заявок на устранение), BPM/RPA автоматизация для обогащения заявок полезными данными (например, от OpenCVE, Attackers.kb и Vulners.com) и контроля исполнения (SLA, прогресс, ретроспективное накопление экспертизы).


ЗАДАЧИ:

     · Обнаружение уязвимостей внутри инфраструктуры
     · Обогащение аналитическими данными из сторонних источников
     · Выстраивание и автоматизация процессов устранения уязвимостей.

Подкасты ИБ Управление ИБ Управление уязвимостями Угрозы ИБ СЗИ НКЦКИ

Рекомендуем

Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Модель зрелости SOAR
Модель зрелости SOAR
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"

Рекомендуем

Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Модель зрелости SOAR
Модель зрелости SOAR
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"

Похожие статьи

Импортозамещение
Импортозамещение
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Импортозамещение
Импортозамещение
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Обзор средств информационной безопасности: данные и инциденты
Обзор средств информационной безопасности: данные и инциденты
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)