SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 2. Основные понятия и парадигма - продолжение
24.04.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Как уже было отмечено в предыдущей части, угроза безопасности информации возникает при наличии следующих компонент: источника угрозы, уязвимости актива, способа реализации угрозы, объекта воздействия и самого вредоносного воздействия. Рассмотрим данные компоненты угроз подробнее.

Источником угрозы могут являться внешние или внутренние (по отношению к рассматриваемому объекту защиты) нарушители, третьи лица, силы природы. Методические документы ФСБ РФ и ФСТЭК России классифицируют внутренних и внешних нарушителей по признаку нахождения в пределах (внутренние) и за пределами (внешние) контролируемой зоны организации, т.е. пространства, в котором исключено бесконтрольное пребывание посторонних лиц. Такое определение, однако, не учитывает размытость или даже отсутствие информационного периметра практически любой современной компании, поэтому предлагается в данном случае рассматривать принадлежность к категориям нарушителей шире.


Внешние нарушители не являются сотрудниками компании, легитимными пользователями внутренних информационных систем, аутсорсерами, подрядчиками, поставщиками, заказчиками и прочими лицами, связанными юридическими отношениями с рассматриваемой организацией. Такие нарушители не имеют легитимного доступа к объекту защиты - информационному активу. Исключением могут быть пользователи предоставляемых информационных сервисов, которые могут иметь легитимный доступ к системе (например, к системе дистанционного банковского обслуживания, интернет-магазину, личному кабинету и т.д.), однако они должны быть тем не менее рассмотрены как внешние нарушители, в отличие от сотрудников компании, которые также могут иметь доступ к аналогичным сервисам, но с, как правило, расширенными административными или техническими полномочиями. Внешние нарушители классифицируются по квалификации, возможностям и мотивации. Нормативные документы российских государственных регуляторов классифицируют возможности злоумышленников по наличию у них физического или логического доступа к объекту защиты, по широте полномочий этого доступа (пользовательский, административный, уровень разработчика или архитектора), по уровню подготовленности и квалификации злоумышленника, а также по наличию возможностей, в том числе финансовых, осуществлять взлом, реверс-инжиниринг, целенаправленное деструктивное воздействие на объект защиты самостоятельно или с привлечением научных или государственных организаций.


Таким образом, краткий неисчерпывающий список внешних злоумышленников для, например, крупного банка, может быть следующим (от наименее опасных к наиболее опасным): 

  • случайный посетитель веб-сайта банка, открывший большое количество  «тяжелых» страниц или запустивший сложный поиск по документам на сайте;

  • зарегистрированный посетитель веб-сайта, случайно нашедший ошибку программирования или отображения контента и пытающийся купить валюту по некорректной цене или просмотреть личные кабинеты других клиентов;

  • подросток, прочитавший некоторое количество материалов про взлом информационных систем и решивший воспользоваться автоматическим сканером уязвимостей для проверки сайта банка с целью удовлетворения собственного интереса;

  • хакер-самоучка, понимающий некоторые принципы работы и защиты IT-систем и применяющий автоматизированные средства для кибератак в целях повышения собственных криминальных навыков, возможного получения несанкционированного доступа и некоторой личной материальной выгоды;

  • киберпреступники  «среднего звена», заинтересованные прежде всего материально, осуществляющие установку приобретенных на чёрном рынке скиммеров на банкоматы или POS-терминалы, применяющие методы социальной инженерии при осуществлении мошеннических звонков и рассылки сообщений клиентам банка;

  • нанятые конкурентами злоумышленники, осуществляющие деструктивное воздействие (например, DDoS-атаки) или компрометацию ресурсов (например, публикацию персональных данных клиентов в открытом доступе) в целях дискредитации банка, нанесения репутационного ущерба и провоцирования оттока клиентов;

  • высококвалифицированные хакеры, осуществляющие целевые атаки на банковский сектор, применяющие вредоносное ПО собственной или заказной разработки для атак, возможно сотрудничающие с инсайдерами в банке; такая группа нарушителей может быть заинтересована не только материально, но и может использовать взломанные информационные системы банка для атаки на другие учреждения для получения еще большей выгоды или ценных сведений;

  • международные хакерские группы, обладающие экспертными компетенциями в поиске и эксплуатации уязвимостей IT-систем, осуществляющие взломы в целях как материальной выгоды, так и нематериальной - например,  «хактивисты» могут атаковать системы для получения инсайдерских сведений о состоянии как отдельного кредитно-финансового учреждения, так и всей отрасли в целом, а также в целях нарушения функционирования и вывода информационных ресурсов из строя;

  • организованные группы киберсолдат и киберармии, спонсируемые на государственном уровне, пользующиеся знаниями и компетенциями научно-исследовательских учреждений, осуществляющие длительные и глубоко законспирированные операции по кибершпионажу и внесению деструктивных системных изменений, которые могут быть затем использованы для парализации деятельности системообразующего банка или даже отдельных сфер деятельности на государственном уровне.


Мерами противодействия внешним нарушителям является практически весь спектр  «классических» способов обеспечения информационной безопасности: разработка и внедрение внутренних регламентирующих документов, средств защиты информации, мер активного противодействия, реагирования и расследования киберинцидентов и т.д. Организациям следует проводить регулярную оценку собственной подверженности риску атаки внешних злоумышленников, при которой следует учитывать сферу деятельности, зависимость от информационных технологий, публичность, привлекательность для атакующих, широту поверхности потенциальной атаки. В целом, именно внешние нарушители являются самым непредсказуемым и бесконтрольным фактором киберриска для компаний, требующим реализации самых современных мер и способов защиты.


Внутренними нарушителями могут считаться физические лица - сотрудники и руководители компании, а также юридические лица, которые имеют договорные отношения с компанией: аутсорсеры, подрядчики, поставщики, заказчики - в общем, все лица, которые имеют внутренний доступ к защищаемому информационному активу. Как правило, внутренние нарушители отличаются хорошими знаниями о работе атакуемого актива, имеют или могут сравнительно легко получить к нему доступ, причем зачастую санкционированный и с расширенными полномочиями, а в случае работы на верхних ступенях иерархии в компании - ещё и противодействовать мерам защиты или расследования. Связанные компании могут представлять угрозу не только из-за возможного умышленного воздействия, например, выполнения  «заказа» конкурентов или правительства своей юрисдикции, но и по причине неумышленного предоставления своей инфраструктуры в качестве плацдарма для атак внешних злоумышленников - например, хакеры зачастую скрытно закрепляются в системах взломанной организации для дальнейших атак на связанные или аффилированные компании, с которыми установлены доверенные технические соединения, такие как VPN или службы федерации, или каналы поставок оборудования или услуг. Поставщики услуг, оборудования или персонала несут в себе риски информационной безопасности - известны случаи, когда причинами утечек становились поставщики IT-сервисов (атака на систему бронирования для сети отелей Marriott в 2018 году), производители вспомогательного оборудования (атака на американского ритейлера Target в 2013 году с использованием украденных учетных данных поставщика систем кондиционирования) и сотрудники компании-подрядчика (утечка данных в АНБ США, осуществленная сотрудником подрядной организации). Стоит отметить, что провайдеры облачных сервисов также попадают в категорию потенциальных внутренних нарушителей, чему может свидетельствовать большое количество утечек данных из некорректно сконфигурированных облачных хранилищ.


При рассмотрении внутренних нарушителей из числа сотрудников компании их называют инсайдерами и классифицируют по степени целенаправленности и злонамеренности действий: инсайдер может быть как всего лишь халатным рядовым сотрудником, неумышленно допустившим утечку информации, так и прекрасно осознающим последствия своих деструктивных действий топ-менеджером. В настоящее время принята следующая условная градация инсайдеров, учитывающая их психологический портрет вкупе с мотивацией:

  • Халатные - сотрудники, неумышленно допускающие нарушения в области информационной безопасности по причине низкой квалификации и неосведомленности в вопросах защиты информации: они могут потерять носитель с рабочими документами, переслать файл себе на личную почту или в публичное облачное хранилище для работы с ним из дома, а также открыть ссылку из фишингового письма или раскрыть важную информацию по телефону незнакомцу, представившемуся топ-менеджером.

  • Саботирующие - нелояльные сотрудники с низкой мотивацией, затаившие обиду на руководство или коллег, стремящиеся отомстить за  «несправедливость» в их отношении или иным образом саботировать работу компании в меру своих возможностей из-за личного неприязненного к ней отношения.

  • Увольняющиеся - планирующие увольняться работники, которые стремятся унести с собой как можно больше «собственных наработок», которые могут пригодиться им на следующем месте работы. Такие сотрудники зачастую забывают о том, что все результаты их трудовой деятельности, в том числе интеллектуальные, принадлежат работодателю, и поэтому в последний рабочий день они могут попытаться скопировать содержимое всего рабочего ПК и сетевого диска на личный носитель.

  • Целенаправленные - самая опасная группа инсайдеров, представляет собой материально заинтересованных нелояльных сотрудников, зачастую обладающих расширенными полномочиями в силу их служебного положения, которые преследуют личные корыстные интересы и продают конфиденциальные сведения заинтересованным покупателям, работают на конкурентов и осуществляют запланированные и оплаченные ими  «сливы» и диверсии или даже специально устраиваются в интересующую их настоящих  «работодателей» компанию для промышленного шпионажа.


В качестве мер противодействия внутренним нарушителям, включая инсайдеров, применяются как организационные, так и технические мероприятия. Среди последних можно отметить такие меры, как установка специализированных систем защиты от утечек данных (DLP - Data Loss Prevention), контроля учетных записей (IAM - Identity & Access Management), систем мониторинга и учета рабочего времени сотрудников с записью производимых действий. Следует также иметь ввиду, что подобные системы могут быть успешно применены для борьбы и с внешними угрозами - например, попавшее в систему шпионское ПО будет вести себя как типичный инсайдер: сканировать корпоративную ЛВС, искать ценную информацию в сети и локально, пытаться передать найденные данные наружу. Кроме того, функционал записи действий на ПК поможет контролировать деятельность подрядчиков и аутсорсеров в IT-системах организации, а также при расследовании произошедших инцидентов, в том числе и при киберкриминалистическом исследовании рабочей станции. В качестве организационных мер борьбы с внутренними угрозами можно выделить проведение проверок соискателей при приёме на работу, психофизиологические исследования с применением полиграфа, обучение и регулярное повышение осведомленности работников в области информационной безопасности и требований организации по работе с информацией, введение и поддержание режима коммерческой тайны, а также непрерывное обеспечение и контроль кадровой и психологической безопасности членов коллектива - выявление негативных тенденций, работа с негласными информаторами, взаимодействие с формальными и неформальными лидерами коллективов. Для минимизации рисков, порожденных юридическими лицами, связанными договорными отношениями - аутсорсерами, подрядчиками, поставщиками или заказчиками - применяются как описанные выше технические меры, так и административные: проводится проверка благонадежности контрагентов, анализируется история и возможности поставщиков, оцениваются возможные риски оказания тех или иных услуг определенным лицам, а также может проводиться аудит информационной безопасности поставщиков и подрядчиков, причем все указанные выше проверки следует проводить на регулярной основе. Следует отметить тенденцию последнего времени, которая подчеркивает важность подобного подхода - стандартизация методов оценки и управления риском привлечения сторонних организаций: ЦБ РФ выпустил стандарт СТО БР ИББС-1.4-2018 «Управление риском информационной безопасности при аутсорсинге», а международный стандарт ISO 27036 можно использовать для управления информационной безопасностью при взаимодействии с поставщиками услуг, в том числе и с провайдерами облачных сервисов (руководствуясь ISO 27036-4:2016).


Третьими лицами - еще одной категорией источников угрозы - можно считать органы государственной власти, которые формально не входят в число потенциальных внешних нарушителей, однако последствия от их вмешательства в работу компании могут быть соразмерны с воздействием стихийного бедствия. Не секрет, что вынесенное предписание о приостановке деятельности компании на даже относительно непродолжительный срок, например, на 30 суток, может фактически означать уход компании с рынка. Такими же последствиями может обернуться выемка оборудования (рабочих станций, серверов), опечатывание серверных, арест ключевых руководителей компании. Мерами минимизации рисков, порожденных воздействием третьих лиц, должны быть как неукоснительное выполнение всех требований действующего Законодательства, так и непрерывные внутренние compliance-проверки. Кроме того, некоторые компании дополнительно выбирают путь децентрализации используемой IT-инфраструктуры, полный переход на облачные сервисы, усложнение структуры владения и управления компанией, а также создают специальные политики реагирования в случае проведения оперативных мероприятий (Dawn Raid Policy).


Наконец, силами природы в контексте категоризации угроз являются стихийные бедствия, такие как природные и техногенные катастрофы, а также социальные катастрофы: эпидемии, военные действия, теракты, революции, забастовки, которые являются обстоятельствами непреодолимой силы (форс-мажорами). Для минимизации рисков данных происшествий зачастую требуются большие финансовые вложения, а также учет данных рисков на начальных этапах развития компании: следует тщательно выбирать месторасположение офисов с учетом местности, близости других учреждений и объектов инфраструктуры, погодных условий, состояния государства и социума, учитывать прогнозы экономического и социального развития конкретного региона присутствия. При выборе офиса следует учитывать конструкцию арендуемого или покупаемого здания, расположение внутренних критических объектов, таких как серверные и кабинеты топ-менеджеров, наличие продуманной системы охраны с помощью дверей, турникетов, шлюзов и датчиков присутствия/движения/взлома, систем освещения, видеонаблюдения, вентиляции, оповещения и пожаротушения. Кроме того, следует оценить стойкость конструкций здания к возможным внешним воздействиям при катастрофе (например, сейсмостойкость). Компании, обладающие определенными финансовыми возможностями, могут также задуматься о создании резервных площадок (т.н. Disaster Recovery Sites), которые могут представлять собой как полноценное готовое офисное здание с установленным оборудованием, так и здание/помещения лишь с подготовленными СКС и коммуникациями или даже просто взятые в долгосрочную аренду помещения на случай чрезвычайных обстоятельств. При этом, разумеется, нельзя забывать о сохранности систем и данных и о возможности оперативно развернуть их на новой площадке. Стандартной практикой подготовки к воздействию таких источников угроз являются разработка, тестирование и постоянная актуализация политик, планов и процедур обеспечения непрерывности и восстановления деятельности (Business Continuity и Disaster Recovery Policies). Все предпринятые и задокументированные меры следует регулярно тестировать как с помощью полномасштабных проверок с временным переносом работы всей компании на запасную площадку, так и с помощью куда менее затратных виртуальных учебных тревог, когда  «на бумаге» или вживую тестируется поведение сотрудников и ответственных за эвакуацию лиц.

Кроме минимизации рисков воздействия стихийных бедствий описанными выше способами, компании могут выбрать также и еще один способ обработки данных рисков - страхование. При продуманной и грамотно выбранной схеме страховых выплат можно нивелировать ущерб от воздействия непреодолимых сил на бизнес. Однако, любому руководителю и сотруднику всегда стоит помнить о том, что жизнь человека бесценна по сравнению с даже самым прибыльным бизнесом, поэтому при любых обстоятельствах спасение жизней и здоровья людей должно быть первым приоритетом.

Угрозы ИБ Нарушители ИБ Подкасты ИБ ИБ для начинающих

Рекомендуем

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Рекомендуем

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Похожие статьи

Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Метрики: их очарование и коварство
Метрики: их очарование и коварство
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"

Похожие статьи

Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Активы, уязвимости (конспект лекции)
Активы, уязвимости (конспект лекции)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Метрики: их очарование и коварство
Метрики: их очарование и коварство
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"