SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
07.05.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Рассмотрев в предыдущих публикациях источники возможных угроз и используемые уязвимости, следует перейти к перечислению различных способов реализации угроз, объектов и видов вредоносного воздействия. Совокупность данных компонентов образует угрозу информационной безопасности.


В соответствии с методикой ФСТЭК России, способами (методами) реализации угроз являются:       

  • несанкционированный сбор информации - сбор и кража информации об объекте воздействия;
  • исчерпание ресурсов - намеренное злоупотребление ресурсами системы для нарушения её функционирования;

  • инъекция - установление контроля над атакуемой системой с помощью манипулирования входными данными;

  • подмена при взаимодействии - умышленное искажение представления источника угрозы как доверенного субъекта;

  • манипулирование сроками и состоянием - искажение параллельно выполняющегося потока задач путем нарушения временной синхронизации или информации о состоянии системы;

  • злоупотребление функционалом - деструктивное использование штатных функций системы;

  • вероятностные методы - использование вероятностных методов для изучения и преодоления механизмов безопасности системы;

  • нарушение аутентификации - эксплуатация уязвимостей механизмов идентификации и аутентификации;

  • нарушение авторизации - эксплуатация уязвимостей механизмов управления доступом к ресурсам и функциональным возможностям системы;

  • манипулирование структурами данных - манипулирование характеристиками структур данных для нарушения предполагаемого использования и обхода защиты этих структур;

  • анализ целевого объекта - изучение работы атакуемой системы в целях обхода средств её защиты или для подготовки и проведения других атак;

  • манипулирование ресурсами - злонамеренное использование штатных ресурсов (файлов, приложений, библиотек, инфраструктуры, конфигурации системы);

  • использование технических отказов, ошибок - эксплуатация программных и аппаратных уязвимостей;

  • получение физического доступа - деструктивное воздействие на аппаратные компоненты системы;

  • использование слабостей в организации - эксплуатация недостатков законодательства или организационных мер защиты.

 

Каждый из 14 описанных способов приводит к реализации определенных угроз безопасности информации. Например, с помощью инъекции осуществляются следующие угрозы, описанные в БДУ (Банке данных угроз) ФСТЭК России:  

  • УБИ. 001 Угроза автоматического распространения вредоносного кода в грид-системе;

  • УБИ. 006 Угроза внедрения кода или данных;

  • УБИ. 026 Угроза искажения XML-схемы;

  • УБИ. 041 Угроза межсайтового скриптинга.


Проект MITRE ATT&CK также является базой знаний о способах реализации угроз, расширяя список методов до тактик, техник и процедур (TTPs - Tactics, Techniques, Procedures), применяемых атакующими. MITRE ATT&CK связан с классификатором шаблонов атак MITRE CAPEC, о котором мы говорили в предыдущей публикации. Описанные TTPs применяются для атак на компании и мобильные платформы, а также для сбора первоначальной информации о цели. Для каждой из тактик атак приводится перечень конкретных техник, которые сопровождаются детальным техническим описанием реализации атаки, списком используемого атакующими ПО и идентификаторами конкретных киберпреступных группировок, использующих в соответствии со своим "почерком" те или иные TTPs, по которым атаку можно атрибутировать для успешного противодействия или расследования.


Список из 12 тактик атакующих, используемых при нападении на компании, выглядит следующим образом:

  • первоначальный доступ - техники первичного проникновения в защищаемую сеть;

  • исполнение - техники запуска вредоносного кода на локальной или удаленной системе;

  • закрепление - техники получения злоумышленниками постоянного несанкционированного доступа к системе;

  • повышение привилегий - техники, применяемые атакующими для повышения своих привилегий до системных/административных с целью получения более широких полномочий на скомпрометированной системе;

  • обход средств защиты - техники, с помощью которых злоумышленникам удается избежать обнаружения и противодействия со стороны механизмов защиты;

  • доступ к учетным данным - техники получения валидных учетных данных к атакуемым системам с правами легитимных пользователей и администраторов;

  • исследование - техники получения информации о свойствах атакованной системы/сети;

  • дальнейшее продвижение - техники расширения несанкционированного доступа в атакованной сети с использованием уже захваченных систем;

  • сбор данных - техники получения ценной информации в атакованных системах/сетях;

  • управление и контроль - техники, с помощью которых злоумышленники извне управляют взломанными системами/сетями;

  • вывод данных - перенос собранной ценной информации из взломанных систем/сетей в системы/сети злоумышленников;

  • воздействие - техники негативного воздействия на доступность или целостность атакованных систем, служб или сетей.


Далее, каждая тактика раскрывается в виде набора конкретных техник атакующих. Например, тактика «Дальнейшее продвижение» с идентификатором TA0008 описывает 17 техник атак, среди которых присутствует метод «Эксплуатация административных файловых ресурсов Windows» с идентификатором T1077. Данная техника связана с шаблоном атак «Административные файловые ресурсы Windows с украденными учетными данными» с идентификатором CAPEC-561 из классификатора шаблонов атак MITRE CAPEC. В свою очередь, данный шаблон атак связан с типом ошибки «Недостаточно защищенные учетные данные» с идентификатором CWE-522 из классификатора типов ошибок MITRE CWE, в котором также приведены примеры уязвимостей по классификатору CVE, возникшие из-за данного типа ошибки. Таким образом, набор MITRE-классификаторов (ATT&CK, CAPEC, CWE, CVE) позволяет полностью проанализировать потенциальную угрозу, учесть возможные тактики и техники атакующих, шаблоны атак, избежать соответствующих ошибок программирования, а также устранить связанные с данными типами ошибок уязвимости.


Объектами вредоносного воздействия при атаке могут быть люди, информация, процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты систем. Таким образом, все активы компании, как материальные, так и нематериальные, могут являться объектами атаки. При этом следует помнить, что именно люди - сотрудники, руководители, аутсорсеры - являются зачастую самым слабым звеном в системе обеспечения информационной безопасности компании. Если технические средства защиты функционируют в соответствии с заложенными в них правилами и для их эффективной работы достаточно произвести корректную настройку, то для минимизации «человеческого фактора» при кибератаках следует непрерывно вести разъяснительную работу с персоналом и проводить тренировки и обучение, учитывая психологические и социокультурные особенности поведения сотрудников.


Видами вредоносного воздействия, как правило, являются нарушение целостности, конфиденциальности, доступности информационных ресурсов, а также атаки на неотказуемость, подлинность, подотчетность информации.


Интересными примерами нарушения целостности могут являться разнообразные способы манипулирования и мошенничества с данными, такие как «Data Diddling» (скрытное внесение некорректных изменений в систему с целью сохранения искаженных сведений и получения от этого финансовой выгоды в дальнейшем - например, для манипулирования финансовой отчетностью компании и стоимостью акций), «Salami Fraud» (внесение большого количества очень малозаметных изменений на протяжении длительного времени, что в итоге приводит к значительным последствиям - например, списание 10 копеек с каждого банковского счета всех клиентов на протяжении года), «логические бомбы» (внедрение программных закладок, приводящих к искажению хранящихся/обрабатывающихся данных при наступлении определенных условий - например, несанкционированное начисление повышенных процентов по вкладу определенному сотруднику банка после его увольнения).


Нарушение конфиденциальности информации чревато не только очевидными последствиями в краткосрочной перспективе, например, при обнаружении персональных данных клиентов в отрытом доступе, но и тем, что украденная информация может неожиданно «всплыть» через несколько лет после факта компрометации - например, порочащие компанию или руководителя сведения могут быть разглашены накануне IPO или назначения на новую должность. Кража ноу-хау компании конкурентами может привести не только к потере конкурентных преимуществ и доли на рынке, но и к фактам вымогательства со стороны атаковавших конкурентов, угрожающих предать огласке «серые» способы ведения бизнеса компанией.


Атаки, в результате которых нарушается доступность информации, как правило, оказываются самыми легкими для обнаружения, одновременно являясь чрезвычайно разрушительными с точки зрения осуществления операционной деятельности и сохранения репутации. Примерами могут являться как нашумевшие международные эпидемии WannaCry или NotPetya, так и DDoS-атаки на российские платежные системы и банки. Организации и частные лица всё чаще сталкиваются с вирусами-вымогателями, которые становятся опаснее год от года: если 10 лет назад пользователи сталкивались всего лишь с баннерами на рабочем столе с требованием заплатить выкуп под надуманным предлогом (при этом убрать баннер и тем самым вернуть ПК к жизни было несложно), то тренд последних 5 лет - вирусы, требующие выкуп за восстановление доступа к зашифрованной, зачастую необратимо, информации на носителях, а также попутно крадущие пароли и майнящие криптовалюту. Легко представить негативные последствия для организации, подвергшейся атаке, в результате которой был заблокирован доступ к основным техническим средствам производства и оказания услуг, например, к платежному шлюзу или общему сетевому диску со всей рабочей документацией. Немаловажным будет и репутационный ущерб - в наш цифровой век потребители не отличаются лояльностью при наличии доступной альтернативы в лице конкурентов.


Кроме описанных выше свойств целостности, конфиденциальности и доступности, следует рассмотреть и неотказуемость, подлинность, подотчетность информации, которые также зачастую являются объектами атак, например, на критичные бизнес-транзакции.


Неотказуемость (англ. non-repudiation) - свойство информации, подразумевающее невозможность создателя этой информации отказаться от авторства. Данное свойство имеет критическое значение при совершении именных операций, например, при проведении финансовых транзакций и обмене электронными сообщениями.


Подлинность (англ. authenticity) информации позволяет утверждать, что её автор - именно тот, за кого себя выдает. Иными словами, свойство подлинности означает, что получатель данных однозначно может установить их источник. Зачастую сохранение свойства подлинности информации также сочетают с обеспечением целостности. Эти свойства достигаются, например, использованием средств электронной подписи, при использовании которой значение хэш-суммы отправляемого сообщения подписывается доверенным секретным ключом отправителя.


Под подотчетностью (англ. accountability) информации понимают возможность контролирующей сущности прозрачно проследить весь жизненный цикл конкретных данных - от создания, изменения, использования и передачи до архивирования или удаления, с сохранением релевантных мета-данных (автор, дата, метки конфиденциальности и т.д.).

Угрозы ИБ Оргмеры ИБ Управление уязвимостями Подкасты ИБ ИБ для начинающих

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют