SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Польза ИT-систем в работе ИБ-аналитика

Польза ИT-систем в работе ИБ-аналитика
26.02.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Ева Беляева

Руководитель Отдела развития Производственного департамента Security Vision

 

Это вторая статья из цикла «Взаимодействие ИТ и ИБ». Первую статью можно прочитать здесь:  https://www.securityvision.ru/blog/vzaimodeystvie-it-i-ib-sredstva-zashchity/



Зачем ИБ-шникам ИТ-системы?


Нередко при работе с инцидентами аналитику приходится сталкиваться с таким страшным зверем, как обогащение и поиск дополнительной информации. Любые улики, зацепки и мелочи могут помочь как в продвижении расследования, так и в принятии решения касательно действий - выполнять или нет, стоит ли результат риска и так далее.


Часто выходит так, что ИТ и ИБ-подразделения пользуются схожим инструментарием в части ИТ-систем. А иногда и не просто схожим, одинаковым. В результате чего могут возникать непримиримые противоречия и неутихающие споры, нередко заканчивающиеся чем-то вроде холодной войны между департаментами.


Почему нельзя просто взять и поделиться


Был такой случай в работе, когда заказчик пришел с запросом на большую систему мониторинга активов. С представителями ИБ-подразделения очень долго обговаривались все подробности, дашборды и настройки интеграций - когда, как и для кого это дело будет обновляться, в какие процессы встроится и так далее. В конечном итоге была проделана огромная аналитическая работа, удовлетворявшая нашу команду вплоть до одного интересного момента: прямо за стеной ИБ-департамента иронично висела на стене видеопанель с точно такой же системой, почти идентичными ТЗ настройками, только... только принадлежала она ИТ-департаменту, и ходить туда и смотреть было ни в коем случае нельзя.


Разграничение доступа обычно вводится не по прихоти и не от плохого настроения: задачи у подразделений могут быть действительно разными, а камнем преткновения по классике становится консистентность данных - мало ли какой департамент решит поменять модель данных, добавить новые контексты или вовсе избавиться от привычных ИТ полей.


После первого случая следующие уже не удивляли - так, другой заказчик, выбирая все ту же CMDB, заранее предупреждал нас о том, что от ИТ будет идти другой запрос и другая система, т.к. данные в ИТ-департаменте нужны эталонные, без лишних связей и вовлеченности в инциденты, и процесс управления активами не то чтобы слабо связан с процессом управления инцидентами - эти процессы идут параллельно, не пересекаясь в рабочей жизни.


То же самое можно сказать и про мониторинг как самих средств защиты, так и инфраструктуры - нередко это вотчина только ИТ, кроме совсем уж ярких случаев контроля за машинами самой SOC-командой.


Но самая большая часть споров велась и будет вестись в области компетенций и прав по проактивным действиям в ходе реагирования на инциденты. Тут уже привычные нам четыре пути и их сочетания:

- система автоматизации сама управляет СЗИ и рабочими станциями;

- только аналитик и сотрудник ИБ может выполнять действия на конечных устройствах;

- решение о действии принимает аналитик, но выполнением занимается ИТ-отдел через систему заявок;

- аналитик уполномочен лишь создавать заявки, принимает и выполняет действие только ИТ.


Из которых на практике чаще всего встречаются вторые два. Получается, что в целом полномочия разделены таким образом, что иногда кому-то можно что-то подглядеть, и на этом все? Не совсем.


Вопреки противоречиям


На самом деле, в реальной ситуации все не настолько полярно. Когда команды начинают по-настоящему работать друг с другом и думать о том, как процессы улучшить, а не затормозить, могут происходить позитивные метаморфозы.


Начиная от систем виртуализации, защиту которых может обеспечить ИБ в обмен на возможность администрирования этих самых систем с целью получения необходимой статистики и проработки рекомендаций, - к примеру, для веб-сервера компании. И заканчивая отдельными админ-правами, пусть и на чтение, для системы автоматизации или аналитика ИБ в процессе получения слепков хостов, сохранения данных об их состояниях и производительности.


В конце концов, удобные и безопасные хранилища и решения по защите БД не вышло бы реализовать на том же уровне, если бы ИБ-подразделение ничего не знало об инфраструктуре.


И наконец, если что-то касается КИИ - то без совместного использования системы управления активами и общего контекста никак не обойтись.


Обмен информацией о процессах скорее несет пользу, чем вред, и ценность этой помощи куда выше предполагаемых проблем.

 

SOC Дашборды ИБ СЗИ Подкасты ИБ

Рекомендуем

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Уязвимости
Уязвимости
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"

Рекомендуем

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 14. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Уязвимости
Уязвимости
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"

Похожие статьи

Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37

Похожие статьи

Автоматизация безопасности с разнообразием матриц MITRE
Автоматизация безопасности с разнообразием матриц MITRE
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37