SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
15.02.2021

Руслан Рахметов, Security Vision


Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»


Реагирование на инциденты ИБ

На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.

 

СЗИ для обработки инцидентов ИБ:

   - SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)
   - IRP - для автоматизации реагирования на инциденты ИБ
   - SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ
   - SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).

 

Документы для обеспечения реагирования на инциденты ИБ:

- политика реагирования - высокоуровневый документ
- регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.
- матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации
- матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).

 

Этапы атаки (по модели MITRE ATT&CK):

- первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)
- подбор инструментов для атаки
- первичный доступ (проникновение в инфраструктуру)
- запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)
- анализ атакованной инфраструктуры
- взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)
- загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)
- сокрытие активности
- закрепление
- повышение привилегий
- доступ к учетным данным
- горизонтальное продвижение по сети
- сбор данных
- вывод данных (эксфильтрация)
- нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)
- сокрытие следов.

 

Основные правила реагирования на инциденты ИБ:

- поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)
- сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)
- протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения
- атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования
- широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)
- быстрое восстановление в состояние «до инцидента»
- обмен данными (Threat Intelligence фиды)
- выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.

 

Киберпреступность. APT-группировки

APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).

APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:

  • организаторы

  • программисты

  • специалисты в области социальной инженерии

  • дропы (занимаются обналичиванием выводимых денежных средств)

  • техподдержка/администраторы.

 

Разные APT-группы «специализируются» на определенных отраслях экономики:

кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.

 

APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.

 

Тренды киберпреступлений:

  • модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)

  • продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)

  • «партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей

  • использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)

  • кража учетных данных

  • вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей

  • требование выкупа за неразглашение похищенной информации

  • работа с анонимными криптовалютами, вывод через дропов или системы обналичивания

  • тесные связи с «классическими» преступниками.

 

Бот-сети из зараженных устройств:

  • «услуги» по организации DDoS-атак

  • установка шифровальщиков

  • кибер-шпионаж (мониторинг атакованной инфраструктуры)

  • кража информации, учетных данных

  • майнинг криптовалюты

  • IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).

 

Объекты атак APT-группировок:

  • RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы

  • VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)

  • SSH-точки подключения (брутфорс, если не используются сертификаты)

  • веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)

  • пограничное сетевое оборудование

  • фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)

  • объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)

  • изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).

 

Принцип Парето «80/20»:

20% усилий дают 80% результата

 

Защита от 80% атак:

  • процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)

  • процедуры резервного копирования

  • использование мультифакторной аутентификации

  • обучение сотрудников (программы повышения осведомленности)

  • соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.

ИБ для начинающих Киберриски (Cyber Risk, CRS) Угрозы ИБ Нарушители ИБ СЗИ IRP SGRC SIEM SOAR MITRE

Рекомендуем

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Конфиденциальная информация
Конфиденциальная информация
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Рекомендуем

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Конфиденциальная информация
Конфиденциальная информация
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Похожие статьи

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Разработка без кода
Разработка без кода
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Пентесты
Пентесты
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Конфиденциальная информация
Конфиденциальная информация