SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
07.05.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Рассмотрев в предыдущих публикациях источники возможных угроз и используемые уязвимости, следует перейти к перечислению различных способов реализации угроз, объектов и видов вредоносного воздействия. Совокупность данных компонентов образует угрозу информационной безопасности.


В соответствии с методикой ФСТЭК России, способами (методами) реализации угроз являются:       

  • несанкционированный сбор информации - сбор и кража информации об объекте воздействия;
  • исчерпание ресурсов - намеренное злоупотребление ресурсами системы для нарушения её функционирования;

  • инъекция - установление контроля над атакуемой системой с помощью манипулирования входными данными;

  • подмена при взаимодействии - умышленное искажение представления источника угрозы как доверенного субъекта;

  • манипулирование сроками и состоянием - искажение параллельно выполняющегося потока задач путем нарушения временной синхронизации или информации о состоянии системы;

  • злоупотребление функционалом - деструктивное использование штатных функций системы;

  • вероятностные методы - использование вероятностных методов для изучения и преодоления механизмов безопасности системы;

  • нарушение аутентификации - эксплуатация уязвимостей механизмов идентификации и аутентификации;

  • нарушение авторизации - эксплуатация уязвимостей механизмов управления доступом к ресурсам и функциональным возможностям системы;

  • манипулирование структурами данных - манипулирование характеристиками структур данных для нарушения предполагаемого использования и обхода защиты этих структур;

  • анализ целевого объекта - изучение работы атакуемой системы в целях обхода средств её защиты или для подготовки и проведения других атак;

  • манипулирование ресурсами - злонамеренное использование штатных ресурсов (файлов, приложений, библиотек, инфраструктуры, конфигурации системы);

  • использование технических отказов, ошибок - эксплуатация программных и аппаратных уязвимостей;

  • получение физического доступа - деструктивное воздействие на аппаратные компоненты системы;

  • использование слабостей в организации - эксплуатация недостатков законодательства или организационных мер защиты.

 

Каждый из 14 описанных способов приводит к реализации определенных угроз безопасности информации. Например, с помощью инъекции осуществляются следующие угрозы, описанные в БДУ (Банке данных угроз) ФСТЭК России:  

  • УБИ. 001 Угроза автоматического распространения вредоносного кода в грид-системе;

  • УБИ. 006 Угроза внедрения кода или данных;

  • УБИ. 026 Угроза искажения XML-схемы;

  • УБИ. 041 Угроза межсайтового скриптинга.


Проект MITRE ATT&CK также является базой знаний о способах реализации угроз, расширяя список методов до тактик, техник и процедур (TTPs - Tactics, Techniques, Procedures), применяемых атакующими. MITRE ATT&CK связан с классификатором шаблонов атак MITRE CAPEC, о котором мы говорили в предыдущей публикации. Описанные TTPs применяются для атак на компании и мобильные платформы, а также для сбора первоначальной информации о цели. Для каждой из тактик атак приводится перечень конкретных техник, которые сопровождаются детальным техническим описанием реализации атаки, списком используемого атакующими ПО и идентификаторами конкретных киберпреступных группировок, использующих в соответствии со своим "почерком" те или иные TTPs, по которым атаку можно атрибутировать для успешного противодействия или расследования.


Список из 12 тактик атакующих, используемых при нападении на компании, выглядит следующим образом:

  • первоначальный доступ - техники первичного проникновения в защищаемую сеть;

  • исполнение - техники запуска вредоносного кода на локальной или удаленной системе;

  • закрепление - техники получения злоумышленниками постоянного несанкционированного доступа к системе;

  • повышение привилегий - техники, применяемые атакующими для повышения своих привилегий до системных/административных с целью получения более широких полномочий на скомпрометированной системе;

  • обход средств защиты - техники, с помощью которых злоумышленникам удается избежать обнаружения и противодействия со стороны механизмов защиты;

  • доступ к учетным данным - техники получения валидных учетных данных к атакуемым системам с правами легитимных пользователей и администраторов;

  • исследование - техники получения информации о свойствах атакованной системы/сети;

  • дальнейшее продвижение - техники расширения несанкционированного доступа в атакованной сети с использованием уже захваченных систем;

  • сбор данных - техники получения ценной информации в атакованных системах/сетях;

  • управление и контроль - техники, с помощью которых злоумышленники извне управляют взломанными системами/сетями;

  • вывод данных - перенос собранной ценной информации из взломанных систем/сетей в системы/сети злоумышленников;

  • воздействие - техники негативного воздействия на доступность или целостность атакованных систем, служб или сетей.


Далее, каждая тактика раскрывается в виде набора конкретных техник атакующих. Например, тактика «Дальнейшее продвижение» с идентификатором TA0008 описывает 17 техник атак, среди которых присутствует метод «Эксплуатация административных файловых ресурсов Windows» с идентификатором T1077. Данная техника связана с шаблоном атак «Административные файловые ресурсы Windows с украденными учетными данными» с идентификатором CAPEC-561 из классификатора шаблонов атак MITRE CAPEC. В свою очередь, данный шаблон атак связан с типом ошибки «Недостаточно защищенные учетные данные» с идентификатором CWE-522 из классификатора типов ошибок MITRE CWE, в котором также приведены примеры уязвимостей по классификатору CVE, возникшие из-за данного типа ошибки. Таким образом, набор MITRE-классификаторов (ATT&CK, CAPEC, CWE, CVE) позволяет полностью проанализировать потенциальную угрозу, учесть возможные тактики и техники атакующих, шаблоны атак, избежать соответствующих ошибок программирования, а также устранить связанные с данными типами ошибок уязвимости.


Объектами вредоносного воздействия при атаке могут быть люди, информация, процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты систем. Таким образом, все активы компании, как материальные, так и нематериальные, могут являться объектами атаки. При этом следует помнить, что именно люди - сотрудники, руководители, аутсорсеры - являются зачастую самым слабым звеном в системе обеспечения информационной безопасности компании. Если технические средства защиты функционируют в соответствии с заложенными в них правилами и для их эффективной работы достаточно произвести корректную настройку, то для минимизации «человеческого фактора» при кибератаках следует непрерывно вести разъяснительную работу с персоналом и проводить тренировки и обучение, учитывая психологические и социокультурные особенности поведения сотрудников.


Видами вредоносного воздействия, как правило, являются нарушение целостности, конфиденциальности, доступности информационных ресурсов, а также атаки на неотказуемость, подлинность, подотчетность информации.


Интересными примерами нарушения целостности могут являться разнообразные способы манипулирования и мошенничества с данными, такие как «Data Diddling» (скрытное внесение некорректных изменений в систему с целью сохранения искаженных сведений и получения от этого финансовой выгоды в дальнейшем - например, для манипулирования финансовой отчетностью компании и стоимостью акций), «Salami Fraud» (внесение большого количества очень малозаметных изменений на протяжении длительного времени, что в итоге приводит к значительным последствиям - например, списание 10 копеек с каждого банковского счета всех клиентов на протяжении года), «логические бомбы» (внедрение программных закладок, приводящих к искажению хранящихся/обрабатывающихся данных при наступлении определенных условий - например, несанкционированное начисление повышенных процентов по вкладу определенному сотруднику банка после его увольнения).


Нарушение конфиденциальности информации чревато не только очевидными последствиями в краткосрочной перспективе, например, при обнаружении персональных данных клиентов в отрытом доступе, но и тем, что украденная информация может неожиданно «всплыть» через несколько лет после факта компрометации - например, порочащие компанию или руководителя сведения могут быть разглашены накануне IPO или назначения на новую должность. Кража ноу-хау компании конкурентами может привести не только к потере конкурентных преимуществ и доли на рынке, но и к фактам вымогательства со стороны атаковавших конкурентов, угрожающих предать огласке «серые» способы ведения бизнеса компанией.


Атаки, в результате которых нарушается доступность информации, как правило, оказываются самыми легкими для обнаружения, одновременно являясь чрезвычайно разрушительными с точки зрения осуществления операционной деятельности и сохранения репутации. Примерами могут являться как нашумевшие международные эпидемии WannaCry или NotPetya, так и DDoS-атаки на российские платежные системы и банки. Организации и частные лица всё чаще сталкиваются с вирусами-вымогателями, которые становятся опаснее год от года: если 10 лет назад пользователи сталкивались всего лишь с баннерами на рабочем столе с требованием заплатить выкуп под надуманным предлогом (при этом убрать баннер и тем самым вернуть ПК к жизни было несложно), то тренд последних 5 лет - вирусы, требующие выкуп за восстановление доступа к зашифрованной, зачастую необратимо, информации на носителях, а также попутно крадущие пароли и майнящие криптовалюту. Легко представить негативные последствия для организации, подвергшейся атаке, в результате которой был заблокирован доступ к основным техническим средствам производства и оказания услуг, например, к платежному шлюзу или общему сетевому диску со всей рабочей документацией. Немаловажным будет и репутационный ущерб - в наш цифровой век потребители не отличаются лояльностью при наличии доступной альтернативы в лице конкурентов.


Кроме описанных выше свойств целостности, конфиденциальности и доступности, следует рассмотреть и неотказуемость, подлинность, подотчетность информации, которые также зачастую являются объектами атак, например, на критичные бизнес-транзакции.


Неотказуемость (англ. non-repudiation) - свойство информации, подразумевающее невозможность создателя этой информации отказаться от авторства. Данное свойство имеет критическое значение при совершении именных операций, например, при проведении финансовых транзакций и обмене электронными сообщениями.


Подлинность (англ. authenticity) информации позволяет утверждать, что её автор - именно тот, за кого себя выдает. Иными словами, свойство подлинности означает, что получатель данных однозначно может установить их источник. Зачастую сохранение свойства подлинности информации также сочетают с обеспечением целостности. Эти свойства достигаются, например, использованием средств электронной подписи, при использовании которой значение хэш-суммы отправляемого сообщения подписывается доверенным секретным ключом отправителя.


Под подотчетностью (англ. accountability) информации понимают возможность контролирующей сущности прозрачно проследить весь жизненный цикл конкретных данных - от создания, изменения, использования и передачи до архивирования или удаления, с сохранением релевантных мета-данных (автор, дата, метки конфиденциальности и т.д.).

Угрозы ИБ Оргмеры ИБ Управление уязвимостями Подкасты ИБ ИБ для начинающих

Рекомендуем

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1

Рекомендуем

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Обзор Баз данных угроз
Обзор Баз данных угроз
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1

Похожие статьи

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Разработка без кода
Разработка без кода
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Обзор Баз данных угроз
Обзор Баз данных угроз
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности

Похожие статьи

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Разработка без кода
Разработка без кода
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Возможности новой версии продукта Security Vision UEBA
Возможности новой версии продукта Security Vision UEBA
Обзор Баз данных угроз
Обзор Баз данных угроз
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности