SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Роль киберполигона в обеспечении ИБ

Роль киберполигона в обеспечении ИБ
19.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision 


Важной задачей любой деятельности является поддержание необходимого уровня квалификации, которая достигается путем проведения обучения персонала и его тренировки. В части обеспечения информационной безопасности также остро встает вопрос тренировки – как её проводить, не нарушая базовые бизнес-процессы и не ослабляя текущий контроль информационной безопасности? Ответ – тренируйтесь на киберполигоне!


В последние годы термин «киберполигон» получил широкое распространение. По сути, это платформа для проведения учений специалистов по информационной безопасности. Основной принцип работы на таких платформах построен на состязательном эффекте между командами. Давно признано, что игровая форма подачи информации и отработки навыков является наиболее эффективной. Обычно в учениях выделяют две стороны – так называемые red team и blue team. Первая команда – это команда атакующих, вторая – обороняющихся. Также, при определенных условиях к учениям продуктивно подключать иных сотрудников, отвечающих за обеспечение основных бизнес-процессов.


Таким образом, киберполигон позволяет:

  • проводить отработку атак (тестирование на проникновение) на «копию» ИТ-инфраструктуры предприятия, не создавая угроз основным бизнес-процессам;

  • получать срезы навыков и знаний; определять, какие необходимо предпринять действия (в части сотрудников) для выстраивания наиболее эффективной защиты; составлять карты развития компетенций;

  • осуществлять непосредственное обучение как сотрудников, отвечающих за ИТ и ИБ, так и представителей бизнес-подразделений;

  • апробировать новые подходы и инструментарий ИБ;

  • проводить оценку рисков, влияние реализации тех или иных угроз на бизнес-процессы компании.


Хотелось бы отдельно упомянуть применение киберполигонов в образовательной сфере, в частности, в ВУЗах при подготовке специалистов для отрасли.


В отношении внутреннего устройства киберполигона специалисты обычно выделяют следующие типовые подсистемы/модули:

  • пользовательский интерфейс киберполигона – оболочку взаимодействия участников команд

  • инфраструктура, на которой выполняется оркестровка сервисов, и которая, в зависимости от потребностей, имеет 3 основных типа представления:

    • физическая эмуляция

    • виртуализация/контейнеризация

    • облачные технологии
  • прикладной уровень обеспечения работы киберполигона (модули):

    • симуляция интернет-сервисов

    • управление компетенциями

    • симуляция атак

    • сбор данных и их анализ

    • симуляция пользовательской активности

    • оценка и отчетность

    • разработка сценариев и контента

    • инструментарий тренеров


В зависимости от задач и специфики, в состав инфраструктуры киберполигона обычно входит некое прикладное ПО/сервисы, обеспечивающие основные бизнес-процессы. Это также может быть не только ПО, но и специализированные аппаратные решения. Максимальная приближенность к реальной инфраструктуре обеспечивает качество киберполигона, но увеличивает его стоимость. Компании должны сохранять баланс в данном вопросе.


Особую важность киберполигонов можно оценить, исходя из того, что ключевым элементом Федерального проекта «Информационная безопасность» (в рамках Национальной программы «Цифровая экономика Российской Федерации») является создание «киберполигона для обучения и тренировки учащихся, специалистов и экспертов разного профиля, руководителей в области информационной безопасности и ИТ современным практикам обеспечения безопасности» (данную задачу выполнил Ростелеком).


В настоящее время на рынке существует ряд компаний, предлагающих свои наработки в данной сфере, есть как международные решения, так и отечественные. В текущих реалиях, конечно, есть смысл рассматривать только отечественные решения, например, от компаний «Киберполигон», BI.ZONE, «Перспективный мониторинг», «Ростелеком» (есть ещё ряд решений, которые применяются для внутреннего использования либо в рамках проводимых мероприятий).


Наиболее популярны и востребованы так называемые финансовые киберполигоны, так как именно финансовые организации традиционно представляют наибольший интерес для хакеров и атаки на них отличаются сложностью и попытками встроиться в бизнес-процессы с целью модификации данных и получения прямой выгоды через хищения денежных средств. Как раз государственный «заказ» на киберполигон включал требования к созданию инфраструктуры, эмулирующей корпоративные сети организаций кредитно-финансовой системы Российской Федерации (так называемый «ИТ-киберполигон»), а также индустриальной инфраструктуры (автоматизированной системы управления технологическим процессом) энергетического сектора (далее – «Индустриальный киберполигон»). Отдельно требовалось создать «независимые центры по техническому тестированию программного и аппаратного обеспечения, в том числе средств обеспечения безопасности информации, позволяющих компаниям получить доступ к аналитической информации и результатам независимого тестирования предлагаемых на рынке решений». Системный подход к данному вопросу позволил реализовать необходимую техническую базу и организовать обучение и повышение квалификации кадров по информационной безопасности, причем разного уровня «зрелости» (от студентов до руководства подразделений, обеспечивающих информационную безопасность). Также не стоит на месте методологическое обеспечение – в проработку базы техник и тактик проведения атак включился отечественный регулятор ФСТЭК, взявший за основу всемирно известную методологию от некоммерческой организации MITRE.


Общая тенденция в сфере создания и развития киберполигонов – это развитие прикладных бизнес-систем, переход от захвата злоумышленниками контроля над инфраструктурой к «умному» вмешательству в работу эмулируемых организаций и оценке влияния такого вмешательства на бизнес-процессы, переход к риск-ориентированному подходу в организации противодействия атакам. Рассмотрим, к примеру, типовую инфраструктуру небольшого банка с точки зрения прикладных бизнес-систем.


Большинство перечисленных на изображении систем не представлено в существующих киберполигонах, тем более входящих в их состав специфичных аппаратных систем (например, банковских HSM и ATM). Их внедрение позволило бы точно оценивать влияние атаки на бизнес в целом, а также выстроить параллельно обучение сотрудников бизнес-подразделений, даже отработку ими планов обеспечения непрерывности, восстановления после сбоев. Подразделения информационной безопасности не должны замыкаться на свою деятельность, а атаки — это общая проблема, зачастую требующая взаимодействия всех подразделений и слаженности в действиях.


Сложность создания таких систем с «богатым» прикладным окружением обусловлена стоимостью таких решений для финансового сектора, а также сложностью поддержания их работы в режиме имитации работы. Отдельный вопрос всегда будет стоять в тестовых данных, а также в точках взаимодействия с внешним миром. Поэтому можно рассмотреть даже создание виртуального интернет-магазина, которому оказываются услуги эквайринга.


Также интересные мнения можно услышать насчет постепенного перехода учений на киберполигонах в статус полу-обязательных. Примечательно, что в 2020-2021 году Центральный банк проводил с крупнейшими банками мероприятия, названные киберучениями, по результатам которых оценивалась готовность банков к противодействию и реагированию на кибер-атаки. Данные учения в следующей итерации вполне могут быть проведены на базе государственного киберполигона, либо каким-то образом может быть рекомендовано проведение отдельного обучения сотрудников с подачей результатов в мегарегулятор. А существующие киберполигоны получат развитие в виде расширения ассортимента как средств защиты, так и прикладного программного обеспечения, эмулирующего основные бизнес-процессы, чтобы обеспечить самые разнообразные запросы заказчиков и специфику их систем и бизнес-процессов, через внедрение своеобразного конструктора киберполигона и наборов шаблонов, в том числе с предоставлением доступа к киберполигону как к облачному решению.



Подкасты ИБ Управление ИБ Угрозы ИБ Практика ИБ Киберриски (Cyber Risk, CRS) Нарушители ИБ Управление уязвимостями Образование ИБ

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10

Рекомендуем

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы