SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
02.05.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision 

Как правило, кибербезопасность для подавляющего большинства компаний и организаций является не основной целью, а поддерживающей функцией, которая обеспечивает выполнение миссии компании. Это означает, что для SOC чрезвычайно важно понимать контекст событий ИБ, которые он обрабатывает, и приоритизировать большое количество поступающей информации. Этого можно достичь только четко понимая, что именно и почему защищает SOC.


Для эффективного предоставления услуг заказчикам SOC должен понимать, поддерживать и обмениваться данными ситуационной осведомленности (далее - СО) (англ. Situational Awareness, SA). СО можно определить как восприятие состояния кибербезопасности и ландшафта киберугроз заказчика во времени и пространстве, понимание их взаимосвязи (т.е. киберриска), а также прогнозирование их статуса на ближайшее будущее. Цикл принятия ситуационно-ориентированных решений соответствует циклу OODA (англ. observe, orient, decide, act - наблюдение, ориентирование, принятие решения, выполнение). В SOC все аналитики, иногда неосознанно, выполняют действия в соответствии с OODA-циклом, который может длиться от минут до месяцев, при этом происходит непрерывное повышение СО операторов об инфраструктуре заказчика и актуальных для него киберугрозах. Достижение SOC качественной СО занимает длительное время, но это позволяет предоставлять заказчику оперативную актуальную информацию и отвечать на вопросы вида:


·  Каково состояние кибербезопасности компании в текущий момент времени?

·  Какие последствия будут у успешной кибератаки, включая последствия для предоставляемых и потребляемых услуг?

·  Какие злоумышленники являются реальной угрозой для компании?

·  Каким образом злоумышленники атакуют компанию и каковы их цели?

·  Как лучше реагировать на эти кибератаки?

· Каково состояние установки обновлений безопасности в инфраструктуре компании, установку каких патчей следует приоритизировать?

· К каким системам следует применить определенный набор мер защиты для наиболее эффективной минимизации киберрисков?

· Как изменяются киберугрозы, направленные на компанию, как меняются TTPs атакующих, что нужно компании для мониторинга и защиты от этих новых угроз?

·  Кто из сотрудников или контрагентов компании выполняет нехарактерные действия, и является ли это угрозой?



СО в контексте SOC может быть разделена на следующие 5 областей:

 

1. Понимание бизнеса и миссии заказчика.


SOC должен понимать фундаментальные цели деятельности компании-заказчика и бизнес-процессы: какие продукты и услуги предлагает компания, какие у нее есть основные потребители, географические точки присутствия, взаимоотношения с третьими лицами (поставщиками, дистрибьюторами, подрядчиками). Понимание миссии компании поможет SOC понять, какие есть основные угрозы (например, для интеллектуальной собственности, выполнения финансовых транзакций, электронной коммерции и т.д.) и какие свойства безопасности информации являются наиболее критичными для тех или иных бизнес-процессов компании (например, конфиденциальность персональных данных клиентов, целостность обрабатываемой информации на фондовой бирже, доступность веб-сервисов для покупателей).


Для эффективного выполнения своих функций SOC должен понимать основной контекст бизнес-миссии заказчика, включая:

· Основные направления ведения бизнеса (англ. lines of business), включая все обеспечивающие службы и функции, а также соответствующие показатели выручки и затрат

· Географические и физические локации осуществления бизнес-процессов

· Соответствие и взаимосвязи между направлениями ведения бизнеса и цифровыми активами, службами, данными, местами хранения информации

· Деловые взаимоотношения между компанией-заказчиком и другими компаниями, организациями, государственными учреждениями.


Для понимания бизнеса заказчика SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:

· Нанимать в SOC сотрудников, у которых есть опыт работы в бизнес-подразделениях компании-заказчика

· Взаимодействовать на постоянной основе с сотрудниками компании, компетентными в области ИБ (англ. security champions, «чемпионы по кибербезопасности»), и по возможности включать их в штатную структуру SOC

· Взаимодействовать на постоянной основе с руководителями компании и владельцами информационных систем, предоставляя информацию о мерах, принимаемых SOC для их защиты, а также получая актуальную информацию об изменениях в их бизнес-процессах

· Обеспечивать проведение регулярных технических тренировок и учений-симуляций для владельцев основных информационных систем

· Поддерживать и эффективно эксплуатировать систему учета информационных активов и сервисов

· Вовлекать и задействовать ИБ-подразделения компании для оценки киберрисков и критичности инцидентов

· Проводить регулярные брифинги в SOC по ключевым аспектам бизнес-деятельности, либо привлекая сотрудников SOC, либо приглашая представителей бизнес-подразделений

· Учитывать информацию о бизнес-процессе при принятии сервиса на мониторинг в SOC

· Поддерживать актуальную информацию о бизнес-подразделениях, например через реестр сервисов.



2. Понимание применимых юридических, регуляторных и нормативных требований.


SOC функционирует в определенном правовом поле, которое регулируется законодательными требованиями страны присутствия бизнес-подразделений, отраслевыми ограничениями, а также иными возможными нормативными требованиями. SOC должен работать совместно с юридическим департаментом компании для учета следующих возможных юридических аспектов функционирования:

· Типы применимых правовых систем

· Типы применимых законодательных требований (например, уголовное законодательство, законодательство о защите интеллектуальной собственности или персональных данных)

· Роль SOC в соответствии применимым юридическим и регуляторным требованиям

· Применимые отраслевые стандарты (например, правила уведомления о киберинцидентах, стандарты хранения персональных данных).

Для понимания применимых юридических, регуляторных и нормативных требований SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:

· Назначение контактных лиц по юридическим вопросам (например, координаторов проведения аудитов и юрисконсультов)

· Разработка внутренних нормативных документов SOC, которые описывают ответственность SOC в разрезе выполнения требований нормативных документов

· Разработка руководства по выполнению определенных юридически значимых действий (например, по сбору компьютерной криминалистической информации)

· Составление списка внутренних контактных лиц, ответственных за поддержку проведения регулярных аудитов.

 

3. Понимание технической среды, критических систем и данных


Одним из препятствий для эффективной работы SOC может стать отсутствие видимости и недостаточное понимание элементов защищаемой информационной инфраструктуры, систем, данных, сетевого трафика. В идеальном случае SOC должен иметь информацию обо всех системах и данных заказчика, но это может быть сложной задачей, поэтому можно сосредоточиться на таких аспектах, как:


3.1. Расположение цифровых активов заказчика:

· Географическое расположение элементов IT и OT инфраструктуры

· Количество, тип, расположение, сетевая связность IT- и OT-активов, включая ПК, серверы, сетевые и мобильные устройства, IoT-устройства

· Сетевая топология, включая физическую и логическую связность, границы между сетевыми сегментами, внешние точки подключения

· Архитектура активов, сетей, приложений (включая информацию об аутентификции, контроле доступа, аудите)

· Места хранения информации (например, закрытая сеть, облако, мобильные устройства).


3.2. Уровень критичности цифровых активов заказчика:

· Самые важные типы информации и места ее обработки и хранения

· Какие системы выполняют критичные для компании функции и к каким данным предъявляются повышенные требования по конфиденциальности, целостности, доступности.


3.3. Состояние цифровых активов заказчика:

· Какое состояние считается нормальным (штатным) для активов в основных сетевых сегментах и на устройствах

· Изменения в состоянии активов, например, изменения в конфигурации, поведении устройства, используемых портов и протоколов, объеме сетевого трафика

· Уязвимости устройств и приложений, примененные контрмеры для снижения возможности эксплуатации уязвимостей.

Для понимания технической среды, инфраструктуры и данных заказчика SOC совместно с IT-, OT- и сетевыми администраторами, а также с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:

· Участвовать и поддерживать проведение комплексной инвентаризации IT и OT-активов, включая поддержку актуальности сетевых схем и диаграмм основных информационных систем, сбор и анализ отчетов о сканировании на наличие уязвимостей, сопровождение и использование списка ответственных за системы работников компании-заказчика

· Иметь доступ к основным системам заведения заявок в IT и к трекинг-системам, использующимся для управления IT-изменениями

· Собирать данные телеметрии и поддерживать доступ к источникам событий ИБ, включая приложения и базы данных для основных приложений и хранилищ информации

· Использовать сетевые сенсоры, хостовые сенсоры, анализ больших данных, системы Log Management и SIEM.


В публикации «11 стратегий SOC-центра мирового уровня» также подчеркивается важность построения и поддержания в актуальном состоянии перечня защищаемых активов и их свойств, используя все доступные разнородные источники данных, которых может быть особенно много в крупных компаниях. Инвентаризационную информацию следует получать не только с on-prem устройств, но и из облачных инфраструктур (PaaS и SaaS, облачные хранилища), а также учитывать IoT-устройства и хосты, которые могут быть изолированы от сети. Данные об ИТ-активах можно получать из таких источников, как:

· LDAP-каталоги, службы Active Directory

· Данные DHCP

· Инвентаризационные данные от различных подразделений (представленные в различных форматах, от Excel-таблиц до данных из комплексных систем инвентаризации)

· Инвентаризационные данные из облачных инфраструктур

· Данные из MDM и EDR решений, включая события обнаружения неизвестных устройств

· Данные сканеров сети

· Данные сканеров уязвимостей

· ИБ-решения, которые строят список активов на основании обработанных событий ИБ (например, таким функционалом могут обладать SIEM и UEBA системы, некоторые межсетевые экраны)

· Системы управления конфигурациями, обновлениями безопасности, распространением ПО (например, Microsoft SCCM, HCL BigFix, Ivanti Unified Endpoint Manager).


4. Понимание пользователей и их поведения, а также сервисных взаимодействий


Команда SOC должна понимать, какие типичные действия выполняются пользователями при выполнении служебных обязанностей, а также учитывать контекст бизнес-процессов заказчика. Данную аналитику, зачастую с применением алгоритмов машинного обучения, позволяют вести UEBA-платформы, которые контролируют поведение пользователей и технологий, а затем выявляют аномалии и подозрительные действия. Для эффективной работы SOC должен понимать:

· Значение действий пользователей и сущностей (субъектов доступа) в корпоративной сети и на устройствах заказчика, с учетом бизнес-контекста

· Роль, важность, профиль основных групп пользователей, включая системных администраторов, руководителей и административного персонала, субъектов доступа к чувствительной информации, внешних пользователей, прочих групп

· Описание типичного формата работы (с помощью baseline-метрик) пользователей с различными системами и данными, особенно с критичными

· Процессы авторизации и делегирования полномочий при взаимодействии пользователей и сервисов, а также между сервисами

· Зоны (контуры) доверия и взаимозависимости доверия внутри компании и внутри бизнес-направлений.


Для понимания пользователей и их действий, а также поведения сервисов и иных сущностей, SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:

· Поддерживать в актуальном состоянии и использовать данные инвентаризации сервисов и активов

· Иметь доступ к системам авторизации пользователей и приложений

· Иметь компетенции внутри SOC по технологиям управления доступом и «нулевого доверия»

· Иметь доступ к базе знаний об архитектуре и дизайну использующихся систем управления доступом (например, к информации о AD-лесах и выстроенных отношениях доверия между доменами)

· Собирать информацию о событиях входа/выхода субъектов доступа, доступа пользователей к объектам, изменения объектов директорий

· Использовать и поддерживать UEBA-платформу на уровне, соответствующем потребностям SOC.


5. Понимание киберугроз


Понимание бизнеса компании-заказчика поможет SOC понять, какие типы внешних и внутренних злоумышленников и угроз будут актуальными и опасными. Для контекстуализации данных о киберугрозах SOC должен понимать:

5.1. Что именно в бизнесе заказчика будет представлять наибольший интерес для нарушителей? Целью атаки мгут быть, например, закрепление в инфраструктуре компании для дальнейших атак, получение выкупа после шифрования информации, кража интеллектуальной собственности и конфиденциальной информации.

5.2. Какие типы или группы атакующих с большой долей вероятности будут атаковать компанию? Атакующие могут быть случайными хакерами, инсайдерами, хактивистами, опытными киберпреступниками или членами APT-групп. Понимание возможностей актуальных нарушителей поможет корректно выстроить систему киберзащиты.

5.3. Какие киберинциденты случались у заказчика ранее? Понимание типов атакованных систем, скомпрометированных данных, влияния и последствий предыдущих киберинцидентов поможет приоритизировать усилия SOC.


В финале описания Стратегии №1 приводится ряд советов для того, чтобы постепенно повышать уровень ситуационной осведомленности SOC:

1. Следует постепенно, но непрерывно повышать уровень СО и не стремиться достичь всеобъемлющего понимания сразу

2. Следует проводить беседы и встречи с пользователями, экспертами, руководителями для получения их видения того, какие защитные меры требуется приоритизировать

3. Необходимо собирать перечень нормативных требований, которые применимы к деятельности SOC

4. Требуется проводить непрерывную оценку IT-среды, за которую отвечает SOC

5. Следует работать совместно с другими подразделениями компании для повышения СО, например, с ИТ-департаментом, руководителями, юристами

6. Нужно выявить высокоприоритетные системы и данные, затем получить информацию о них в бизнес-контексте и выстраивать модели их нормального поведения и работы с помощью baseline-метрик

7. Рекомендуется использовать средства автоматизации для хранения и контекстуализации информации

8. Вместе с руководителями компании следует непрерывно проверять понимание SOC приоритетов бизнеса

9. Следует выстраивать стандартные операционные процедуры (англ. standard operation procedures, SOPs) и TTPs для деятельности SOC, проводить учения и тренировки по сбору информации, уведомлению об инциденте, координации действий и предоставлению отчетности в рамках действий по защите приоритетных направлений бизнеса компании.

ГОСТы и документы ИБ Стандарты ИБ Управление ИБ SOC Подкасты ИБ MITRE

Рекомендуем

MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций

Рекомендуем

MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций

Похожие статьи

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Динамический анализ исходного кода
Динамический анализ исходного кода
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Конфиденциальная информация
Конфиденциальная информация
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019

Похожие статьи

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Динамический анализ исходного кода
Динамический анализ исходного кода
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Конфиденциальная информация
Конфиденциальная информация
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019