SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Роль киберполигона в обеспечении ИБ

Роль киберполигона в обеспечении ИБ
19.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision 


Важной задачей любой деятельности является поддержание необходимого уровня квалификации, которая достигается путем проведения обучения персонала и его тренировки. В части обеспечения информационной безопасности также остро встает вопрос тренировки – как её проводить, не нарушая базовые бизнес-процессы и не ослабляя текущий контроль информационной безопасности? Ответ – тренируйтесь на киберполигоне!


В последние годы термин «киберполигон» получил широкое распространение. По сути, это платформа для проведения учений специалистов по информационной безопасности. Основной принцип работы на таких платформах построен на состязательном эффекте между командами. Давно признано, что игровая форма подачи информации и отработки навыков является наиболее эффективной. Обычно в учениях выделяют две стороны – так называемые red team и blue team. Первая команда – это команда атакующих, вторая – обороняющихся. Также, при определенных условиях к учениям продуктивно подключать иных сотрудников, отвечающих за обеспечение основных бизнес-процессов.


Таким образом, киберполигон позволяет:

  • проводить отработку атак (тестирование на проникновение) на «копию» ИТ-инфраструктуры предприятия, не создавая угроз основным бизнес-процессам;

  • получать срезы навыков и знаний; определять, какие необходимо предпринять действия (в части сотрудников) для выстраивания наиболее эффективной защиты; составлять карты развития компетенций;

  • осуществлять непосредственное обучение как сотрудников, отвечающих за ИТ и ИБ, так и представителей бизнес-подразделений;

  • апробировать новые подходы и инструментарий ИБ;

  • проводить оценку рисков, влияние реализации тех или иных угроз на бизнес-процессы компании.


Хотелось бы отдельно упомянуть применение киберполигонов в образовательной сфере, в частности, в ВУЗах при подготовке специалистов для отрасли.


В отношении внутреннего устройства киберполигона специалисты обычно выделяют следующие типовые подсистемы/модули:

  • пользовательский интерфейс киберполигона – оболочку взаимодействия участников команд

  • инфраструктура, на которой выполняется оркестровка сервисов, и которая, в зависимости от потребностей, имеет 3 основных типа представления:

    • физическая эмуляция

    • виртуализация/контейнеризация

    • облачные технологии
  • прикладной уровень обеспечения работы киберполигона (модули):

    • симуляция интернет-сервисов

    • управление компетенциями

    • симуляция атак

    • сбор данных и их анализ

    • симуляция пользовательской активности

    • оценка и отчетность

    • разработка сценариев и контента

    • инструментарий тренеров


В зависимости от задач и специфики, в состав инфраструктуры киберполигона обычно входит некое прикладное ПО/сервисы, обеспечивающие основные бизнес-процессы. Это также может быть не только ПО, но и специализированные аппаратные решения. Максимальная приближенность к реальной инфраструктуре обеспечивает качество киберполигона, но увеличивает его стоимость. Компании должны сохранять баланс в данном вопросе.


Особую важность киберполигонов можно оценить, исходя из того, что ключевым элементом Федерального проекта «Информационная безопасность» (в рамках Национальной программы «Цифровая экономика Российской Федерации») является создание «киберполигона для обучения и тренировки учащихся, специалистов и экспертов разного профиля, руководителей в области информационной безопасности и ИТ современным практикам обеспечения безопасности» (данную задачу выполнил Ростелеком).


В настоящее время на рынке существует ряд компаний, предлагающих свои наработки в данной сфере, есть как международные решения, так и отечественные. В текущих реалиях, конечно, есть смысл рассматривать только отечественные решения, например, от компаний «Киберполигон», BI.ZONE, «Перспективный мониторинг», «Ростелеком» (есть ещё ряд решений, которые применяются для внутреннего использования либо в рамках проводимых мероприятий).


Наиболее популярны и востребованы так называемые финансовые киберполигоны, так как именно финансовые организации традиционно представляют наибольший интерес для хакеров и атаки на них отличаются сложностью и попытками встроиться в бизнес-процессы с целью модификации данных и получения прямой выгоды через хищения денежных средств. Как раз государственный «заказ» на киберполигон включал требования к созданию инфраструктуры, эмулирующей корпоративные сети организаций кредитно-финансовой системы Российской Федерации (так называемый «ИТ-киберполигон»), а также индустриальной инфраструктуры (автоматизированной системы управления технологическим процессом) энергетического сектора (далее – «Индустриальный киберполигон»). Отдельно требовалось создать «независимые центры по техническому тестированию программного и аппаратного обеспечения, в том числе средств обеспечения безопасности информации, позволяющих компаниям получить доступ к аналитической информации и результатам независимого тестирования предлагаемых на рынке решений». Системный подход к данному вопросу позволил реализовать необходимую техническую базу и организовать обучение и повышение квалификации кадров по информационной безопасности, причем разного уровня «зрелости» (от студентов до руководства подразделений, обеспечивающих информационную безопасность). Также не стоит на месте методологическое обеспечение – в проработку базы техник и тактик проведения атак включился отечественный регулятор ФСТЭК, взявший за основу всемирно известную методологию от некоммерческой организации MITRE.


Общая тенденция в сфере создания и развития киберполигонов – это развитие прикладных бизнес-систем, переход от захвата злоумышленниками контроля над инфраструктурой к «умному» вмешательству в работу эмулируемых организаций и оценке влияния такого вмешательства на бизнес-процессы, переход к риск-ориентированному подходу в организации противодействия атакам. Рассмотрим, к примеру, типовую инфраструктуру небольшого банка с точки зрения прикладных бизнес-систем.


Большинство перечисленных на изображении систем не представлено в существующих киберполигонах, тем более входящих в их состав специфичных аппаратных систем (например, банковских HSM и ATM). Их внедрение позволило бы точно оценивать влияние атаки на бизнес в целом, а также выстроить параллельно обучение сотрудников бизнес-подразделений, даже отработку ими планов обеспечения непрерывности, восстановления после сбоев. Подразделения информационной безопасности не должны замыкаться на свою деятельность, а атаки — это общая проблема, зачастую требующая взаимодействия всех подразделений и слаженности в действиях.


Сложность создания таких систем с «богатым» прикладным окружением обусловлена стоимостью таких решений для финансового сектора, а также сложностью поддержания их работы в режиме имитации работы. Отдельный вопрос всегда будет стоять в тестовых данных, а также в точках взаимодействия с внешним миром. Поэтому можно рассмотреть даже создание виртуального интернет-магазина, которому оказываются услуги эквайринга.


Также интересные мнения можно услышать насчет постепенного перехода учений на киберполигонах в статус полу-обязательных. Примечательно, что в 2020-2021 году Центральный банк проводил с крупнейшими банками мероприятия, названные киберучениями, по результатам которых оценивалась готовность банков к противодействию и реагированию на кибер-атаки. Данные учения в следующей итерации вполне могут быть проведены на базе государственного киберполигона, либо каким-то образом может быть рекомендовано проведение отдельного обучения сотрудников с подачей результатов в мегарегулятор. А существующие киберполигоны получат развитие в виде расширения ассортимента как средств защиты, так и прикладного программного обеспечения, эмулирующего основные бизнес-процессы, чтобы обеспечить самые разнообразные запросы заказчиков и специфику их систем и бизнес-процессов, через внедрение своеобразного конструктора киберполигона и наборов шаблонов, в том числе с предоставлением доступа к киберполигону как к облачному решению.



Подкасты ИБ Управление ИБ Угрозы ИБ Практика ИБ Киберриски (Cyber Risk, CRS) Нарушители ИБ Управление уязвимостями Образование ИБ

Рекомендуем

False или не false?
False или не false?
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек

Рекомендуем

False или не false?
False или не false?
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек

Похожие статьи

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает

Похожие статьи

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает