SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обзор средств информационной безопасности: защита конечных точек

Обзор средств информационной безопасности: защита конечных точек
26.09.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    



Руслан Рахметов, Security Vision


рси 1.png

Рис. 1 – Средства защиты информации и взаимосвязи


Мы уже рассмотрели различные классы СЗИ, связанных с пользователями и их активностью, а также с самими данными и их конфиденциальностью и доступностью. В этой части обзора речь пойдёт о средствах защиты, обеспечивающих безопасность инфраструктуры на уровне конечных точек и смежных с ними каналов (например, приложений).


рис 2.png

Рис. 2 - Mobile Device Management (MDM) – управление мобильными устройствами


Глобально существует 3 подхода к использованию мобильных устройств в рабочих целях: ограничивать пользование (мобильными телефонами), выдавать корпоративные устройства (например, планшеты и ноутбуки) и применять личные устройства сотрудников (Bring Your Own Device, BYOD). Для всех мер, кроме ограничительных, удобно осуществлять централизованное управление смартфонами, планшетами, ноутбуками и другими мобильными устройствами, которое обеспечивает MDM-система.


Само решение может быть устройством с корпоративной прошивкой, или клиент-серверным приложением (с контейнером на устройстве и серверным управляющим компонентом). При этом остаётся общая суть: создание из переносимого устройства (или его части в виде контейнера внутри) безопасной области с защищёнными каналами связи, необходимыми доступами к ресурсам компании и дополнительной проверкой безопасности (например, наличие антивируса и официальная прошивка). При помощи централизованного управления сотрудники ИБ/ИТ получают возможность выключить устройство/контейнер удалённо в случае компрометации, ограничить небезопасные каналы связи или даже очистить устройство, что удобно в случае его потери.


ЗАДАЧИ:

     · Повышение безопасности ноутбуков, планшетов и мобильных устройств

     · Централизованное управление рабочей частью аппарата

     · Обеспечение безопасного и удобного доступа к внутренним ресурсам.



рис 3.png

Рис. 3 - Unified Threat Management (UTM), Intrusion Detection/Prevention System (IDS/IPS), Firewall (FW, Брандмауэр), Next Generation Firewall (NGFW) и Web-Isolation – межсетевое экранирование и веб-изоляция


Брандмауэры обеспечивают контроль трафика на уровне приложений, URL-фильтрацию, и комбинируют другие СЗИ, например, обнаружение и блокирование вторжений (IDS/IPS). Мы объединили несколько средств защиты в один пункт, поскольку межсетевые экраны нового поколения (NGFW) сочетают в себе сразу несколько возможностей защиты, которые в отличие от экранов старых поколений обеспечивают не последовательное, а параллельное функционирование.


В состав NGFW могут входить также средства антивирусной защиты, песочницы, которые в отличие от классических средств защиты на конечных точках (см. далее) защищают дополнительные каналы. Такие решения используются также для сегментации сети, обеспечивая блокировку трафика.


Отдельно стоит выделить решения веб-изоляции, которые позволяют взаимодействовать с веб-ресурсами по подходу Zero Trust. Существует два типа изоляции: локальная (когда интернет-трафик достигает локальной инфраструктуры, где помещается в песочницу или виртуальную машину) и удалённая (которая предотвращает попадание интернет-трафика в систему пользователя и обрабатывает запросы в общедоступном или частном облаке). Некоторые системы этого класса превращают веб-страницу в картинку, позволяя видеть контент без угрозы реализации вредоносных скриптов. Но современные системы позволяют взаимодействовать по HTTPS-протоколу полноценно, не на рабочей станции сотрудника, а через удалённый доступ к изолированной виртуальной среде.


ЗАДАЧИ:

     ·  Контроль трафика и сегментирование сети, фильтрация URL-запросов

     ·  Обнаружение и предотвращение вторжений, веб-изоляция

     ·  Быстрая защита на уровне приложений, комбинирование СЗИ


рис 4.png

Рис. 4 – Antivirus (SV) и Endpoint Detection and Response (EDR) – защита конечных точек


Данный тип решений объединяет в себе функции классического антивируса (AV), такие как защита от вредоносного ПО на базе сигнатур и репутационная оценка файлов, а также дополнительные функции: машинное обучение для обнаружения вредоносной активности без сигнатур (zero-day), сдерживание распространения вредоносного ПО по сети, восстановление рабочих станций (удаление ПО, расшифровка файлов), анализ причин возникновения атаки (документирование) и обеспечение процесса реагирования.


Отдельно стоит упомянуть решения класса XDR (Extended Detection and Response), которые по своей сути напоминают IRP-платформы, но с ограничениями в виде объединения средств защиты от одного разработчика (например, Kaspersky). В решения этого класса могут входить интеграции с другими системами, которые разрабатываются тем же вендором, но подход к созданию коннекторов отличается от подхода SOAR-платформ.


ЗАДАЧИ:

     · Обнаружение вредоносных файлов и активностей

     · Удаление потенциальных угроз и сдерживание APT-атак

     · Восстановление безопасности рабочего места пользователя


рис 5.png

Рис. 5 – Distributed Deception Platform (DDP) или Honeypot – приманки для злоумышленников


Система представляет из себя развёрнутую внутри инфраструктуры сеть объектов, реальная работа на которых не осуществляется, а детектирование любой активности позволяет определить факт проникновения злоумышленников в корпоративную сеть и даже выявить вектор атаки, который используется при проникновении.


Honeypot - использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов дезинформации. Такими приманками могут служить: серверные и гостевые учётные записи пользователей, почтовые адреса, специальные ключи реестра и файлы. Например, приманкой может служить ненастоящая рабочая станция с простым паролем и «привлекательным» для злоумышленников контентом.


ЗАДАЧИ:

     · Обнаружение вторжений и логирование действий злоумышленников

     · Увеличение возможных сроков реагирования на вторжения

     · Определение вектора атаки для выбора методов защиты


рис 6.png

Рис. 6 – Vulnerability Scanner (VS) и Vulnerability Management (VM) – управление уязвимостями


Решение в общем состоит из двух составляющих. Первая и необходимая – сканер защищённости, который анализирует объекты инфраструктуры на предмет наличия в них известных уязвимостей (недостающих обновлений безопасности). Вторая часть – организация процесса устранения, взаимодействия группы обнаружения, группы реагирования и других аналитиков, вовлечённых в процесс.


Для работы сканера необходимо обеспечить сетевую доступность узлов компании и доступ к базам известных уязвимостей (например, NVD от NIST, бюллетени Microsoft и материалы НКЦКИ, публикуемые для общего доступа). В результате сканирования генерируется отчёт, который в дальнейшем обрабатывается ИБ/ИТ специалистами в компании. Сам процесс реагирования включает уже другие технологии: парсинг отчёта для выделения уязвимостей в группы, тикетинг (автоматическое создание заявок на устранение), BPM/RPA автоматизация для обогащения заявок полезными данными (например, от OpenCVE, Attackers.kb и Vulners.com) и контроля исполнения (SLA, прогресс, ретроспективное накопление экспертизы).


ЗАДАЧИ:

     · Обнаружение уязвимостей внутри инфраструктуры

     · Обогащение аналитическими данными из сторонних источников

     · Выстраивание и автоматизация процессов устранения уязвимостей.


Подкасты ИБ Управление ИБ Управление уязвимостями Угрозы ИБ СЗИ НКЦКИ

Рекомендуем

Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Геймификация SOC
Геймификация SOC
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Рекомендуем

Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Геймификация SOC
Геймификация SOC
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Похожие статьи

Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Практическая защита персональных данных
Практическая защита персональных данных
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"

Похожие статьи

Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
Практическая защита персональных данных
Практическая защита персональных данных
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"