SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)

Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
15.02.2021

Руслан Рахметов, Security Vision


Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»


Реагирование на инциденты ИБ

На этапе подготовки к киберинциденту разрабатываются документы и настраиваются необходимые СЗИ.

 

СЗИ для обработки инцидентов ИБ:

   - SIEM - для сбора, хранения, корреляции, обогащения событий ИБ, включая модули поведенческого анализа (UEBA)
   - IRP - для автоматизации реагирования на инциденты ИБ
   - SOAR - для централизованного управления СЗИ при обработке инцидентов ИБ
   - SGRC - для автоматизации системы управления ИБ (управление активами, управление уязвимостями, управление конфигурациями, документация, проверка соответствия настроек СЗИ требованиям ИБ).

 

Документы для обеспечения реагирования на инциденты ИБ:

- политика реагирования - высокоуровневый документ
- регламенты реагирования для каждого из актуальных типов инцидентов - практические шаги и инструкции при выявлении инцидентов, например, DDoS, фишинг, вредоносная активность, несанкционированный доступ и т.д.
- матрица эскалации - условия, при которых сотрудник на L1 может эскалировать инцидент на сотрудника L2, сотрудник L2 - еще выше: киберкриминалисту (форензик-эксперту), реверс-инженеру, в специализированные организации
- матрица коммуникации при инциденте - с кем и как взаимодействовать при инциденте (ответственный за актив, владелец актива, руководство, ИТ, ИБ, СБ, юристы, PR, GR).

 

Этапы атаки (по модели MITRE ATT&CK):

- первичная разведка (OSINT – Open Source INTelligence, разведка на основе данных из открытых источников)
- подбор инструментов для атаки
- первичный доступ (проникновение в инфраструктуру)
- запуск (пользовательское действие и/или эксплойт) первичного модуля (например, дроппера для сбора информации о системе и подкачки дополнительных модулей)
- анализ атакованной инфраструктуры
- взаимодействие с командным сервером ВПО (C2 / C&C Server - Command and Control, сервер управления и контроля)
- загрузка и запуск дополнительных вредоносных компонент (в т.ч. только в ОЗУ у бестелесных вирусов, не оставляющих следов на жестком диске)
- сокрытие активности
- закрепление
- повышение привилегий
- доступ к учетным данным
- горизонтальное продвижение по сети
- сбор данных
- вывод данных (эксфильтрация)
- нанесение прямого ущерба (например, шифрование, уничтожение всей инфраструктуры)
- сокрытие следов.

 

Основные правила реагирования на инциденты ИБ:

- поиск индикаторов компрометации по всем хостам в ЛВС (поиск в ОЗУ и на жестких дисках подозрительных объектов, например, с помощью YARA-правил или ПО для поиска подозрительных файлов)
- сохранение всех относящихся к инциденту данных (в т.ч. находящихся в ОЗУ)
- протоколирование для сбора доказательной базы - логи, дампы ОЗУ и образы жестких дисков, сами устройства, логи интернет/телеком-провайдеров, СКУД, записи систем видеонаблюдения
- атрибуция - понимание того, кто атаковал (специализация, опасность и квалификация атакующих) для адекватных мер реагирования
- широкое использование средств автоматизации (уменьшение времени реагирования => снижение ущерба)
- быстрое восстановление в состояние «до инцидента»
- обмен данными (Threat Intelligence фиды)
- выводы из инцидента: перенастройка СЗИ, изменение регламентов реагирования, обучение.

 

Киберпреступность. APT-группировки

APT (Advanced Persistent Threat, усложненная устойчивая угроза или, коротко, целевая кибератака).

APT-группировка - устойчивое киберпреступное сообщество, в котором роли и обязанности атакующих четко распределены:

  • организаторы

  • программисты

  • специалисты в области социальной инженерии

  • дропы (занимаются обналичиванием выводимых денежных средств)

  • техподдержка/администраторы.

 

Разные APT-группы «специализируются» на определенных отраслях экономики:

кто-то атакует в основном банки и финансовые учреждения, кто-то - телеком, кто-то - научные и государственные организации и т.д.

 

APT-группировки могут размещать в Даркнете «заказы» на поиск информации об организации для более эффективной последующей атаки, вербовать сотрудников атакуемой компании, приобретать или разрабатывать специализированные инструменты для взлома целевой инфраструктуры.

 

Тренды киберпреступлений:

  • модели Cybercrime-as-a-Service, Ransomware-as-a-Serice (предоставление «услуг по подписке»)

  • продажа «доступов» - похищенных учетных данных к элементам атакованной инфраструктуры, в которой удалось надежно закрепиться (бэкдор с правами root / администратора домена)

  • «партнерки» - даркнет/дипвеб-площадки для обмена хакерским опытом, сотрудничества злоумышленников, перепродажи похищенной информации, учетных записей

  • использование вирусов-шифровальщиков для простой монетизации успешных атак - требование выкупа за предоставление ключа расшифрования (даже если такого ключа у хакеров нет)

  • кража учетных данных

  • вывод (эксфильтрация) ценной информации (коммерческая тайна, персональные данные и т.д.) с последующим анализом, продажей

  • требование выкупа за неразглашение похищенной информации

  • работа с анонимными криптовалютами, вывод через дропов или системы обналичивания

  • тесные связи с «классическими» преступниками.

 

Бот-сети из зараженных устройств:

  • «услуги» по организации DDoS-атак

  • установка шифровальщиков

  • кибер-шпионаж (мониторинг атакованной инфраструктуры)

  • кража информации, учетных данных

  • майнинг криптовалюты

  • IoT-ботнеты (IoT - Internet-of-Things, «Интернет вещей» - подключенные к Интернет ботовые устройства).

 

Объекты атак APT-группировок:

  • RDP-точки подключения (брутфорс - перебор паролей), особенно в период всеобщей удаленной работы

  • VPN-точки подключения (непропатченные сетевые устройства, к которым подключаются VPN-клиенты)

  • SSH-точки подключения (брутфорс, если не используются сертификаты)

  • веб-порталы (уязвимости в CMS, веб-серверах, открытых интерфейсах, JavaScript-снифферы для перехвата вводимых пользователями данных)

  • пограничное сетевое оборудование

  • фишинг (email), вишинг (голосовые звонки), смишинг (SMS-сообщения, сообщения в мессенджерах)

  • объекты КИИ: взломанные / выведенные из строя АСУТП, OT-сети (Operations Technology), SCADA-системы могут нанести ущерб здоровью и жизням людей (медицинское оборудование, системы энергообеспечения, транспорт, системы водоочистки, АЭС и т.д.)

  • изолированные ЛВС (air-gapped networks) - через зараженные устройства (USB, вирусы в микропрограммах комплектующих), атаки на цепочки поставок (закладки в установленном оборудовании).

 

Принцип Парето «80/20»:

20% усилий дают 80% результата

 

Защита от 80% атак:

  • процедуры управления уязвимостями (обновление ОС, ПО, СЗИ)

  • процедуры резервного копирования

  • использование мультифакторной аутентификации

  • обучение сотрудников (программы повышения осведомленности)

  • соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ.

ИБ для начинающих Киберриски (Cyber Risk, CRS) Угрозы ИБ Нарушители ИБ СЗИ IRP SGRC SIEM SOAR MITRE

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Как устроены вредоносные программы
Как устроены вредоносные программы
SCA на языке безопасника
SCA на языке безопасника
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и его применение
Интернет вещей и его применение
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Сертификация ФСТЭК
Сертификация ФСТЭК
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Как устроены вредоносные программы
Как устроены вредоносные программы
SCA на языке безопасника
SCA на языке безопасника
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и его применение
Интернет вещей и его применение
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Сертификация ФСТЭК
Сертификация ФСТЭК
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Динамические плейбуки
Динамические плейбуки