SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
02.05.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision 

Как правило, кибербезопасность для подавляющего большинства компаний и организаций является не основной целью, а поддерживающей функцией, которая обеспечивает выполнение миссии компании. Это означает, что для SOC чрезвычайно важно понимать контекст событий ИБ, которые он обрабатывает, и приоритизировать большое количество поступающей информации. Этого можно достичь только четко понимая, что именно и почему защищает SOC.


Для эффективного предоставления услуг заказчикам SOC должен понимать, поддерживать и обмениваться данными ситуационной осведомленности (далее - СО) (англ. Situational Awareness, SA). СО можно определить как восприятие состояния кибербезопасности и ландшафта киберугроз заказчика во времени и пространстве, понимание их взаимосвязи (т.е. киберриска), а также прогнозирование их статуса на ближайшее будущее. Цикл принятия ситуационно-ориентированных решений соответствует циклу OODA (англ. observe, orient, decide, act - наблюдение, ориентирование, принятие решения, выполнение). В SOC все аналитики, иногда неосознанно, выполняют действия в соответствии с OODA-циклом, который может длиться от минут до месяцев, при этом происходит непрерывное повышение СО операторов об инфраструктуре заказчика и актуальных для него киберугрозах. Достижение SOC качественной СО занимает длительное время, но это позволяет предоставлять заказчику оперативную актуальную информацию и отвечать на вопросы вида:


·  Каково состояние кибербезопасности компании в текущий момент времени?

·  Какие последствия будут у успешной кибератаки, включая последствия для предоставляемых и потребляемых услуг?

·  Какие злоумышленники являются реальной угрозой для компании?

·  Каким образом злоумышленники атакуют компанию и каковы их цели?

·  Как лучше реагировать на эти кибератаки?

· Каково состояние установки обновлений безопасности в инфраструктуре компании, установку каких патчей следует приоритизировать?

· К каким системам следует применить определенный набор мер защиты для наиболее эффективной минимизации киберрисков?

· Как изменяются киберугрозы, направленные на компанию, как меняются TTPs атакующих, что нужно компании для мониторинга и защиты от этих новых угроз?

·  Кто из сотрудников или контрагентов компании выполняет нехарактерные действия, и является ли это угрозой?



СО в контексте SOC может быть разделена на следующие 5 областей:

 

1. Понимание бизнеса и миссии заказчика.


SOC должен понимать фундаментальные цели деятельности компании-заказчика и бизнес-процессы: какие продукты и услуги предлагает компания, какие у нее есть основные потребители, географические точки присутствия, взаимоотношения с третьими лицами (поставщиками, дистрибьюторами, подрядчиками). Понимание миссии компании поможет SOC понять, какие есть основные угрозы (например, для интеллектуальной собственности, выполнения финансовых транзакций, электронной коммерции и т.д.) и какие свойства безопасности информации являются наиболее критичными для тех или иных бизнес-процессов компании (например, конфиденциальность персональных данных клиентов, целостность обрабатываемой информации на фондовой бирже, доступность веб-сервисов для покупателей).


Для эффективного выполнения своих функций SOC должен понимать основной контекст бизнес-миссии заказчика, включая:

· Основные направления ведения бизнеса (англ. lines of business), включая все обеспечивающие службы и функции, а также соответствующие показатели выручки и затрат

· Географические и физические локации осуществления бизнес-процессов

· Соответствие и взаимосвязи между направлениями ведения бизнеса и цифровыми активами, службами, данными, местами хранения информации

· Деловые взаимоотношения между компанией-заказчиком и другими компаниями, организациями, государственными учреждениями.


Для понимания бизнеса заказчика SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:

· Нанимать в SOC сотрудников, у которых есть опыт работы в бизнес-подразделениях компании-заказчика

· Взаимодействовать на постоянной основе с сотрудниками компании, компетентными в области ИБ (англ. security champions, «чемпионы по кибербезопасности»), и по возможности включать их в штатную структуру SOC

· Взаимодействовать на постоянной основе с руководителями компании и владельцами информационных систем, предоставляя информацию о мерах, принимаемых SOC для их защиты, а также получая актуальную информацию об изменениях в их бизнес-процессах

· Обеспечивать проведение регулярных технических тренировок и учений-симуляций для владельцев основных информационных систем

· Поддерживать и эффективно эксплуатировать систему учета информационных активов и сервисов

· Вовлекать и задействовать ИБ-подразделения компании для оценки киберрисков и критичности инцидентов

· Проводить регулярные брифинги в SOC по ключевым аспектам бизнес-деятельности, либо привлекая сотрудников SOC, либо приглашая представителей бизнес-подразделений

· Учитывать информацию о бизнес-процессе при принятии сервиса на мониторинг в SOC

· Поддерживать актуальную информацию о бизнес-подразделениях, например через реестр сервисов.



2. Понимание применимых юридических, регуляторных и нормативных требований.


SOC функционирует в определенном правовом поле, которое регулируется законодательными требованиями страны присутствия бизнес-подразделений, отраслевыми ограничениями, а также иными возможными нормативными требованиями. SOC должен работать совместно с юридическим департаментом компании для учета следующих возможных юридических аспектов функционирования:

· Типы применимых правовых систем

· Типы применимых законодательных требований (например, уголовное законодательство, законодательство о защите интеллектуальной собственности или персональных данных)

· Роль SOC в соответствии применимым юридическим и регуляторным требованиям

· Применимые отраслевые стандарты (например, правила уведомления о киберинцидентах, стандарты хранения персональных данных).

Для понимания применимых юридических, регуляторных и нормативных требований SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники:

· Назначение контактных лиц по юридическим вопросам (например, координаторов проведения аудитов и юрисконсультов)

· Разработка внутренних нормативных документов SOC, которые описывают ответственность SOC в разрезе выполнения требований нормативных документов

· Разработка руководства по выполнению определенных юридически значимых действий (например, по сбору компьютерной криминалистической информации)

· Составление списка внутренних контактных лиц, ответственных за поддержку проведения регулярных аудитов.

 

3. Понимание технической среды, критических систем и данных


Одним из препятствий для эффективной работы SOC может стать отсутствие видимости и недостаточное понимание элементов защищаемой информационной инфраструктуры, систем, данных, сетевого трафика. В идеальном случае SOC должен иметь информацию обо всех системах и данных заказчика, но это может быть сложной задачей, поэтому можно сосредоточиться на таких аспектах, как:


3.1. Расположение цифровых активов заказчика:

· Географическое расположение элементов IT и OT инфраструктуры

· Количество, тип, расположение, сетевая связность IT- и OT-активов, включая ПК, серверы, сетевые и мобильные устройства, IoT-устройства

· Сетевая топология, включая физическую и логическую связность, границы между сетевыми сегментами, внешние точки подключения

· Архитектура активов, сетей, приложений (включая информацию об аутентификции, контроле доступа, аудите)

· Места хранения информации (например, закрытая сеть, облако, мобильные устройства).


3.2. Уровень критичности цифровых активов заказчика:

· Самые важные типы информации и места ее обработки и хранения

· Какие системы выполняют критичные для компании функции и к каким данным предъявляются повышенные требования по конфиденциальности, целостности, доступности.


3.3. Состояние цифровых активов заказчика:

· Какое состояние считается нормальным (штатным) для активов в основных сетевых сегментах и на устройствах

· Изменения в состоянии активов, например, изменения в конфигурации, поведении устройства, используемых портов и протоколов, объеме сетевого трафика

· Уязвимости устройств и приложений, примененные контрмеры для снижения возможности эксплуатации уязвимостей.

Для понимания технической среды, инфраструктуры и данных заказчика SOC совместно с IT-, OT- и сетевыми администраторами, а также с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:

· Участвовать и поддерживать проведение комплексной инвентаризации IT и OT-активов, включая поддержку актуальности сетевых схем и диаграмм основных информационных систем, сбор и анализ отчетов о сканировании на наличие уязвимостей, сопровождение и использование списка ответственных за системы работников компании-заказчика

· Иметь доступ к основным системам заведения заявок в IT и к трекинг-системам, использующимся для управления IT-изменениями

· Собирать данные телеметрии и поддерживать доступ к источникам событий ИБ, включая приложения и базы данных для основных приложений и хранилищ информации

· Использовать сетевые сенсоры, хостовые сенсоры, анализ больших данных, системы Log Management и SIEM.


В публикации «11 стратегий SOC-центра мирового уровня» также подчеркивается важность построения и поддержания в актуальном состоянии перечня защищаемых активов и их свойств, используя все доступные разнородные источники данных, которых может быть особенно много в крупных компаниях. Инвентаризационную информацию следует получать не только с on-prem устройств, но и из облачных инфраструктур (PaaS и SaaS, облачные хранилища), а также учитывать IoT-устройства и хосты, которые могут быть изолированы от сети. Данные об ИТ-активах можно получать из таких источников, как:

· LDAP-каталоги, службы Active Directory

· Данные DHCP

· Инвентаризационные данные от различных подразделений (представленные в различных форматах, от Excel-таблиц до данных из комплексных систем инвентаризации)

· Инвентаризационные данные из облачных инфраструктур

· Данные из MDM и EDR решений, включая события обнаружения неизвестных устройств

· Данные сканеров сети

· Данные сканеров уязвимостей

· ИБ-решения, которые строят список активов на основании обработанных событий ИБ (например, таким функционалом могут обладать SIEM и UEBA системы, некоторые межсетевые экраны)

· Системы управления конфигурациями, обновлениями безопасности, распространением ПО (например, Microsoft SCCM, HCL BigFix, Ivanti Unified Endpoint Manager).


4. Понимание пользователей и их поведения, а также сервисных взаимодействий


Команда SOC должна понимать, какие типичные действия выполняются пользователями при выполнении служебных обязанностей, а также учитывать контекст бизнес-процессов заказчика. Данную аналитику, зачастую с применением алгоритмов машинного обучения, позволяют вести UEBA-платформы, которые контролируют поведение пользователей и технологий, а затем выявляют аномалии и подозрительные действия. Для эффективной работы SOC должен понимать:

· Значение действий пользователей и сущностей (субъектов доступа) в корпоративной сети и на устройствах заказчика, с учетом бизнес-контекста

· Роль, важность, профиль основных групп пользователей, включая системных администраторов, руководителей и административного персонала, субъектов доступа к чувствительной информации, внешних пользователей, прочих групп

· Описание типичного формата работы (с помощью baseline-метрик) пользователей с различными системами и данными, особенно с критичными

· Процессы авторизации и делегирования полномочий при взаимодействии пользователей и сервисов, а также между сервисами

· Зоны (контуры) доверия и взаимозависимости доверия внутри компании и внутри бизнес-направлений.


Для понимания пользователей и их действий, а также поведения сервисов и иных сущностей, SOC совместно с другими ИБ-подразделениями компании может использовать следующие практики и техники, предписывающие:

· Поддерживать в актуальном состоянии и использовать данные инвентаризации сервисов и активов

· Иметь доступ к системам авторизации пользователей и приложений

· Иметь компетенции внутри SOC по технологиям управления доступом и «нулевого доверия»

· Иметь доступ к базе знаний об архитектуре и дизайну использующихся систем управления доступом (например, к информации о AD-лесах и выстроенных отношениях доверия между доменами)

· Собирать информацию о событиях входа/выхода субъектов доступа, доступа пользователей к объектам, изменения объектов директорий

· Использовать и поддерживать UEBA-платформу на уровне, соответствующем потребностям SOC.


5. Понимание киберугроз


Понимание бизнеса компании-заказчика поможет SOC понять, какие типы внешних и внутренних злоумышленников и угроз будут актуальными и опасными. Для контекстуализации данных о киберугрозах SOC должен понимать:

5.1. Что именно в бизнесе заказчика будет представлять наибольший интерес для нарушителей? Целью атаки мгут быть, например, закрепление в инфраструктуре компании для дальнейших атак, получение выкупа после шифрования информации, кража интеллектуальной собственности и конфиденциальной информации.

5.2. Какие типы или группы атакующих с большой долей вероятности будут атаковать компанию? Атакующие могут быть случайными хакерами, инсайдерами, хактивистами, опытными киберпреступниками или членами APT-групп. Понимание возможностей актуальных нарушителей поможет корректно выстроить систему киберзащиты.

5.3. Какие киберинциденты случались у заказчика ранее? Понимание типов атакованных систем, скомпрометированных данных, влияния и последствий предыдущих киберинцидентов поможет приоритизировать усилия SOC.


В финале описания Стратегии №1 приводится ряд советов для того, чтобы постепенно повышать уровень ситуационной осведомленности SOC:

1. Следует постепенно, но непрерывно повышать уровень СО и не стремиться достичь всеобъемлющего понимания сразу

2. Следует проводить беседы и встречи с пользователями, экспертами, руководителями для получения их видения того, какие защитные меры требуется приоритизировать

3. Необходимо собирать перечень нормативных требований, которые применимы к деятельности SOC

4. Требуется проводить непрерывную оценку IT-среды, за которую отвечает SOC

5. Следует работать совместно с другими подразделениями компании для повышения СО, например, с ИТ-департаментом, руководителями, юристами

6. Нужно выявить высокоприоритетные системы и данные, затем получить информацию о них в бизнес-контексте и выстраивать модели их нормального поведения и работы с помощью baseline-метрик

7. Рекомендуется использовать средства автоматизации для хранения и контекстуализации информации

8. Вместе с руководителями компании следует непрерывно проверять понимание SOC приоритетов бизнеса

9. Следует выстраивать стандартные операционные процедуры (англ. standard operation procedures, SOPs) и TTPs для деятельности SOC, проводить учения и тренировки по сбору информации, уведомлению об инциденте, координации действий и предоставлению отчетности в рамках действий по защите приоритетных направлений бизнеса компании.

ГОСТы и документы ИБ Стандарты ИБ Управление ИБ SOC Подкасты ИБ MITRE

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют