SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Роль киберполигона в обеспечении ИБ

Роль киберполигона в обеспечении ИБ
19.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision 


Важной задачей любой деятельности является поддержание необходимого уровня квалификации, которая достигается путем проведения обучения персонала и его тренировки. В части обеспечения информационной безопасности также остро встает вопрос тренировки – как её проводить, не нарушая базовые бизнес-процессы и не ослабляя текущий контроль информационной безопасности? Ответ – тренируйтесь на киберполигоне!


В последние годы термин «киберполигон» получил широкое распространение. По сути, это платформа для проведения учений специалистов по информационной безопасности. Основной принцип работы на таких платформах построен на состязательном эффекте между командами. Давно признано, что игровая форма подачи информации и отработки навыков является наиболее эффективной. Обычно в учениях выделяют две стороны – так называемые red team и blue team. Первая команда – это команда атакующих, вторая – обороняющихся. Также, при определенных условиях к учениям продуктивно подключать иных сотрудников, отвечающих за обеспечение основных бизнес-процессов.


Таким образом, киберполигон позволяет:

  • проводить отработку атак (тестирование на проникновение) на «копию» ИТ-инфраструктуры предприятия, не создавая угроз основным бизнес-процессам;

  • получать срезы навыков и знаний; определять, какие необходимо предпринять действия (в части сотрудников) для выстраивания наиболее эффективной защиты; составлять карты развития компетенций;

  • осуществлять непосредственное обучение как сотрудников, отвечающих за ИТ и ИБ, так и представителей бизнес-подразделений;

  • апробировать новые подходы и инструментарий ИБ;

  • проводить оценку рисков, влияние реализации тех или иных угроз на бизнес-процессы компании.


Хотелось бы отдельно упомянуть применение киберполигонов в образовательной сфере, в частности, в ВУЗах при подготовке специалистов для отрасли.


В отношении внутреннего устройства киберполигона специалисты обычно выделяют следующие типовые подсистемы/модули:

  • пользовательский интерфейс киберполигона – оболочку взаимодействия участников команд

  • инфраструктура, на которой выполняется оркестровка сервисов, и которая, в зависимости от потребностей, имеет 3 основных типа представления:

    • физическая эмуляция

    • виртуализация/контейнеризация

    • облачные технологии
  • прикладной уровень обеспечения работы киберполигона (модули):

    • симуляция интернет-сервисов

    • управление компетенциями

    • симуляция атак

    • сбор данных и их анализ

    • симуляция пользовательской активности

    • оценка и отчетность

    • разработка сценариев и контента

    • инструментарий тренеров


В зависимости от задач и специфики, в состав инфраструктуры киберполигона обычно входит некое прикладное ПО/сервисы, обеспечивающие основные бизнес-процессы. Это также может быть не только ПО, но и специализированные аппаратные решения. Максимальная приближенность к реальной инфраструктуре обеспечивает качество киберполигона, но увеличивает его стоимость. Компании должны сохранять баланс в данном вопросе.


Особую важность киберполигонов можно оценить, исходя из того, что ключевым элементом Федерального проекта «Информационная безопасность» (в рамках Национальной программы «Цифровая экономика Российской Федерации») является создание «киберполигона для обучения и тренировки учащихся, специалистов и экспертов разного профиля, руководителей в области информационной безопасности и ИТ современным практикам обеспечения безопасности» (данную задачу выполнил Ростелеком).


В настоящее время на рынке существует ряд компаний, предлагающих свои наработки в данной сфере, есть как международные решения, так и отечественные. В текущих реалиях, конечно, есть смысл рассматривать только отечественные решения, например, от компаний «Киберполигон», BI.ZONE, «Перспективный мониторинг», «Ростелеком» (есть ещё ряд решений, которые применяются для внутреннего использования либо в рамках проводимых мероприятий).


Наиболее популярны и востребованы так называемые финансовые киберполигоны, так как именно финансовые организации традиционно представляют наибольший интерес для хакеров и атаки на них отличаются сложностью и попытками встроиться в бизнес-процессы с целью модификации данных и получения прямой выгоды через хищения денежных средств. Как раз государственный «заказ» на киберполигон включал требования к созданию инфраструктуры, эмулирующей корпоративные сети организаций кредитно-финансовой системы Российской Федерации (так называемый «ИТ-киберполигон»), а также индустриальной инфраструктуры (автоматизированной системы управления технологическим процессом) энергетического сектора (далее – «Индустриальный киберполигон»). Отдельно требовалось создать «независимые центры по техническому тестированию программного и аппаратного обеспечения, в том числе средств обеспечения безопасности информации, позволяющих компаниям получить доступ к аналитической информации и результатам независимого тестирования предлагаемых на рынке решений». Системный подход к данному вопросу позволил реализовать необходимую техническую базу и организовать обучение и повышение квалификации кадров по информационной безопасности, причем разного уровня «зрелости» (от студентов до руководства подразделений, обеспечивающих информационную безопасность). Также не стоит на месте методологическое обеспечение – в проработку базы техник и тактик проведения атак включился отечественный регулятор ФСТЭК, взявший за основу всемирно известную методологию от некоммерческой организации MITRE.


Общая тенденция в сфере создания и развития киберполигонов – это развитие прикладных бизнес-систем, переход от захвата злоумышленниками контроля над инфраструктурой к «умному» вмешательству в работу эмулируемых организаций и оценке влияния такого вмешательства на бизнес-процессы, переход к риск-ориентированному подходу в организации противодействия атакам. Рассмотрим, к примеру, типовую инфраструктуру небольшого банка с точки зрения прикладных бизнес-систем.


Большинство перечисленных на изображении систем не представлено в существующих киберполигонах, тем более входящих в их состав специфичных аппаратных систем (например, банковских HSM и ATM). Их внедрение позволило бы точно оценивать влияние атаки на бизнес в целом, а также выстроить параллельно обучение сотрудников бизнес-подразделений, даже отработку ими планов обеспечения непрерывности, восстановления после сбоев. Подразделения информационной безопасности не должны замыкаться на свою деятельность, а атаки — это общая проблема, зачастую требующая взаимодействия всех подразделений и слаженности в действиях.


Сложность создания таких систем с «богатым» прикладным окружением обусловлена стоимостью таких решений для финансового сектора, а также сложностью поддержания их работы в режиме имитации работы. Отдельный вопрос всегда будет стоять в тестовых данных, а также в точках взаимодействия с внешним миром. Поэтому можно рассмотреть даже создание виртуального интернет-магазина, которому оказываются услуги эквайринга.


Также интересные мнения можно услышать насчет постепенного перехода учений на киберполигонах в статус полу-обязательных. Примечательно, что в 2020-2021 году Центральный банк проводил с крупнейшими банками мероприятия, названные киберучениями, по результатам которых оценивалась готовность банков к противодействию и реагированию на кибер-атаки. Данные учения в следующей итерации вполне могут быть проведены на базе государственного киберполигона, либо каким-то образом может быть рекомендовано проведение отдельного обучения сотрудников с подачей результатов в мегарегулятор. А существующие киберполигоны получат развитие в виде расширения ассортимента как средств защиты, так и прикладного программного обеспечения, эмулирующего основные бизнес-процессы, чтобы обеспечить самые разнообразные запросы заказчиков и специфику их систем и бизнес-процессов, через внедрение своеобразного конструктора киберполигона и наборов шаблонов, в том числе с предоставлением доступа к киберполигону как к облачному решению.



Подкасты ИБ Управление ИБ Угрозы ИБ Практика ИБ Киберриски (Cyber Risk, CRS) Нарушители ИБ Управление уязвимостями

Рекомендуем

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
SOAR-системы
SOAR-системы
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Рекомендуем

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
SOAR-системы
SOAR-системы
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1