Руслан Рахметов, Security Vision
В предыдущей статье мы обсудили основы управления рисками ИБ, разобрав ключевые способы управления киберрисками и методологии риск-менеджмента, а в настоящей публикации рассмотрим киберриски в качестве связующего звена всей системы управления ИБ и автоматизации процессов ИБ.
В основе системы управления ИБ (СУИБ) лежит управление киберрисками – этот ключевой процесс связывает все остальные процессы воедино для выбора и реализации эффективных и экономически обоснованных защитных мер (организационных, технических, физических). Все процессы, включая риск-менеджмент, реализуются в соответствии с PDCA-циклом Деминга (Планирование – Выполнение – Оценка – Корректировка) и могут быть построены в соответствии с рекомендациями стандарта ISO/IEC 27001:2022 «Системы менеджмента информационной безопасности. Требования». СУИБ состоит из набора взаимосвязанных процессов ИБ, таких как:
1) Управление активами: актив – это сущность, имеющая ценность для организации, использующаяся для достижения целей организации, являющаяся объектом защиты и атаки с целью нарушения свойств безопасности. Примерами активов являются информационные системы, технические средства, ПО, учетные записи, бизнес-процессы, поставщики, оборудование и помещения, а также информация, торговая марка, интеллектуальная собственность, репутация и т.д. Процесс управления активами включает в себя инвентаризацию, учет, назначение ответственных, определение бизнес-роли / технической функции, определение зависимостей, классификацию, оценку приоритета (ценности) актива. Управление активами в экосистеме Security Vision выполняется в продукте Asset Management (AM), который получает данные из инфраструктуры (за счет активного сканирования сети), из установленных СЗИ/ПО (сканеров уязвимостей, SIEM, антивирусов, CMDB, службы каталогов, MS SCCM), из продукта Security Vision EDR (агент). Для процесса управления киберрисками могут использоваться следующие данные о свойствах активов: критичность и стоимость актива, требования к целостности, конфиденциальности, доступности данных в системах, зависимость бизнес-процессов от активов, а также история жизненного цикла актива (изменение его свойств).
2) Управление уязвимостями: уязвимость – это слабое место (недостаток, ошибка) актива или СЗИ, которое может быть проэксплуатировано атакующими в целях реализации киберугрозы. Уязвимости могут встречаться в коде, конфигурации, архитектуре системы, а также в бизнес-процессах (организационные уязвимости). Процесс управления уязвимостями включает в себя сканирование активов, получение информации об установленном ПО, сверка с базой известных уязвимостей или попытка контролируемой эксплуатации уязвимости, принятие решения по обработке уязвимости (установка обновления, перенастройка конфигурации, отключение уязвимого компонента, внедрение компенсирующих мер), контроль выполнения принятого решения. Управление уязвимостями в экосистеме Security Vision выполняется в продуктах Vulnerability Management (VM) или Vulnerability Scanner (VS), которые получают данные из инфраструктуры (за счет активного сканирования сети), из продуктов Security Vision AM и Security Vision EDR (агент). Для процесса управления киберрисками могут использоваться следующие данные о свойствах уязвимостей: количество и критичность уязвимостей на конкретных активах, наличие эксплойта, возможность эксплуатации уязвимости из определенных сетевых сегментов, последствия эксплуатации (например, нарушение целостности / конфиденциальности / доступности информации на активе), история изменений уязвимостей на активах (число неустраненных уязвимостей, скорость устранения, средний срок жизни непропатченной уязвимости и т.д.).
3) Управление конфигурациями: примененные настройки (конфигурации, параметры) активов влияют на защищенность всей инфраструктуры, поскольку небезопасные конфигурации (например, пароль по умолчанию или открытый порт) являются разновидностью уязвимостей, а применение оптимальных с точки зрения кибербезопасности настроек (харденинг) позволяет устранить такие уязвимости. Процесс управления конфигурациями включает в себя получение (считывание) текущих конфигураций, сравнение их с рекомендуемыми производителями или регуляторами, приведение настроек в соответствии с такими рекомендациями, автоматическое возвращение к безопасным настройкам в случае несанкционированных изменений. Управление конфигурациями в экосистеме Security Vision выполняется в продукте Security Profile Compliance (SPC), который получает данные из инфраструктуры (за счет активного сканирования сети), из продуктов Security Vision AM и Security Vision EDR (агент). Для процесса управления киберрисками могут использоваться следующие данные о свойствах конфигураций: наличие небезопасных конфигураций на активе, уровень критичности небезопасной конфигурации (использование ошибок и неверных настроек в реальных атаках), присутствие нерекомендованных или запрещенных к использованию регуляторами конфигураций.
4) Управление событиями ИБ: событие ИБ – это зафиксированное изменение состояния информационного актива, которое может являться причиной инцидента ИБ. Процесс управления событиями ИБ включает в себя подготовку источников событий, получение, парсинг и нормализацию событий, корреляцию событий в инциденты. Управление событиями ИБ в экосистеме Security Vision выполняется в продукте Security Information and Event Management (SIEM), который получает данные из инфраструктуры, из установленных СЗИ/ПО, из продуктов Security Vision EDR (агент), Security Vision AM, Security Vision VM/VS. Для процесса управления киберрисками могут использоваться следующие данные о событиях ИБ: количество и опасность киберинцидентов на конкретном активе с учетом его критичности, уровень достоверности источников, широта охвата детектирующей логики, связь событий/инцидентов с уязвимостями, частота инцидентов.
5) Управление киберинцидентами: инцидент ИБ – это ряд событий ИБ, которые могут привести или уже привели к успешной кибератаке и нанесению ущерба компании. Процесс управления инцидентами ИБ включает в себя подготовку, обнаружение, анализ (триаж) и сдерживание инцидента, устранение киберугрозы, восстановление после атаки, пост-инцидентные действия (анализ качества и полноты реагирования, определение первопричин инцидента, устранение уязвимостей, переоценку рисков, повышение защищенности инфраструктуры). Управление событиями ИБ в экосистеме Security Vision выполняется в продуктах Security Orchestration, Automation and Response (SOAR) и Next Generation SOAR (NG SOAR), которые получают данные из инфраструктуры, из установленных СЗИ/ПО, из продуктов Security Vision EDR (агент), Security Vision AM, Security Vision VM/VS, Security Vision SIEM, Security Vision TIP, Security Vision UEBA. Для процесса управления киберрисками могут использоваться следующие данные о киберинцидентах: количество и опасность киберинцидентов на конкретном активе с учетом его критичности, средняя/медианная скорость обнаружения и реагирования на инциденты (MTTD, Mean Time To Detect и MTTR, Mean Time To Respond), широта охвата детектирующей логики, процент автоматических действий при реагировании на инциденты определенного типа, частота инцидентов, оцененный ущерб от инцидентов, эффективность мер реагирования.
6) Управление непрерывностью бизнеса: в рамках данного процесса обеспечивается непрерывность и восстановление деятельности компании при авариях, сбоях, кибератаках и чрезвычайных ситуаций. Процесс управления непрерывностью бизнеса включает в себя инвентаризацию бизнес-процессов и обеспечивающих их работу активов, анализ влияния чрезвычайных ситуаций на бизнес (BIA, Business Impact Analysis), определение целевых параметров непрерывности (RTO, RPO, MTPD, WRT), формирование планов обеспечения непрерывности (BCP, Business Continuity Plan) и восстановления (DRP, Disaster Recovery Plan) с пошаговыми инструкциями, ролями и ответственными, а также тестирование планов и моделирование чрезвычайных ситуаций. Управление непрерывностью бизнеса в экосистеме Security Vision выполняется в продукте Business Continuity Management (BCM), который получает данные из установленных СЗИ/ПО (сканеров уязвимостей, SIEM, антивирусов, CMDB, службы каталогов, MS SCCM), из продукта Security Vision AM. Для процесса управления киберрисками могут использоваться следующие данные о устойчивости бизнес-процессов к чрезвычайным ситуациям: значения RTO, RPO, MTPD, WRT, результаты тестирований планов BCP и DRP, охват инфраструктуры планами и BIA-оценками, история чрезвычайных ситуаций, их последствия и сроки восстановления бизнес-процессов.
7) Управление безопасностью разработки ПО: в рамках данного процесса обеспечивается безопасность создаваемых приложений на всех этапах жизненного цикла их разработки (SSDLC, Secure Software Development Life Cycle). Процесс управления безопасностью разработки ПО включает в себя создание архитектурных моделей приложений, описание их компонент, моделирование угроз для приложения, проведение статического анализа кода, поиск секретов и проверку зависимостей, обеспечение контроля инфраструктуры и безопасного развертывания, выполнение динамического анализа, операционный мониторинг с импортом данных об обнаруженных уязвимостях и инцидентах при использовании приложения. Управление безопасностью разработки ПО в экосистеме Security Vision выполняется в продукте Application Security Orchestration and Correlation (ASOC), который получает данные из установленных DevOps- и SecOps-решений (SAST, DAST, SCA), из продуктов Security Vision VS и VM, Security Vision SOAR/NG SOAR, Security Vision SIEM. Для процесса управления киберрисками могут использоваться следующие данные о безопасности разработки ПО: количество и опасность обнаруженных ошибок, уязвимостей и инцидентов с разрабатываемыми приложениями, зависимость бизнес-процессов от рассматриваемых приложений, средняя скорость устранения ошибок, общий уровень зрелости разработки приложений.
8) Управление защитой от вредоносного ПО: в рамках данного процесса выполняется обнаружение вредоносной активности на корпоративных устройствах и блокирование опасных действий. Процесс управления защитой от вредоносного ПО включает в себя подготовку (установка защитных решений-агентов на корпоративные устройства, настройка правил), обнаружение, анализ (триаж) и блокирование/устранение киберугроз. Защита от вредоносного ПО может быть реализована либо классическими антивирусами, которые могут не обнаружить новый тип ВПО, либо решениями класса EDR, которые реагируют не на сигнатуру или вредоносный хэш, а на набор характерных для атаки событий и артефактов (например, прикладной процесс запускает командную строку, где в качестве параметров передаётся base64-строка). Управление защитой от вредоносного ПО в экосистеме Security Vision выполняется в продукте Endpoint Detection and Response (EDR), который получает данные от установленных агентов Security Vision EDR с Windows и Linux устройств, передаёт обнаруженные события в продукты Security Vision SOAR/NG SOAR, Security Vision SIEM. Для процесса управления киберрисками могут использоваться следующие данные о результатах защиты от вредоносного ПО: количество и опасность обнаруженных образцов ВПО на конкретном активе с учетом его критичности, средняя/медианная скорость обнаружения и реагирование на ВПО (MTTD, Mean Time To Detect и MTTR, Mean Time To Respond), широта охвата детектирующей логики, процент автоматических действий при реагировании на ВПО определенного типа, частота инцидентов, оцененный ущерб от инцидентов, эффективность мер реагирования.
9) Управление аналитикой киберугроз: киберразведка включает в себя работу на техническом (индикаторы компрометации), тактическом (индикаторы атак – тактики, техники, процедуры), операционном (актуальные уязвимости, применяемые эксплойты и ВПО), стратегическом (тренды киберугроз, цели и мотивации кибергрупп) уровнях. Процесс управления аналитикой киберугроз включает в себя получение данных киберразведки из TI-фидов от внешних поставщиков и из открытых источников, из бюллетеней безопасности и отчётов о киберугрозах от вендоров и регуляторов, из аналитических интернет-сервисов, дедуплицируются, фильтруются, обогащаются, а затем сверяются с событиями ИБ на лету или при выполнении ретроспективного поиска. Управление аналитикой киберугроз в экосистеме Security Vision выполняется в продукте Threat Intelligence Platform (TIP), который получает аналитические данные от внешних поставщиков (TI-фиды, бюллетени, отчёты), передаёт очищенные данные киберразведки в продукты Security Vision VS и VM, Security Vision SOAR/NG SOAR, Security Vision SIEM, Security Vision EDR, получает события ИБ из инфраструктуры и из установленных СЗИ/ПО для самостоятельного обнаружения совпадений (match). Для процесса управления киберрисками могут использоваться следующие данные о киберугрозах: количество истинноположительных IoC/IoA-срабатываний на конкретном активе с учетом его критичности, уровень возможностей и мотивации обнаруженных атакующих (по уровню сложности применяемых тактик, техник, инструментов), применение нестандартных векторов атак и эксплойтов (включая эксплуатацию 0-Day уязвимостей), интерес со стороны APT-групп и киберпреступных кластеров.
10) Управление выявлением аномалий: в случаях, когда атакующие применяют неизвестную или крайне редкую технику или метод атаки, классические средства не смогут её вовремя выявить. При этом любое вредоносное воздействие оставляет следы в виде изменения типичного поведения устройств, учетных записей, элементов инфраструктуры – и такие аномалии нужно выявлять. Процесс управления выявлением аномалий включает в себя построение модели типового поведения инфраструктуры (поведенческие профили), получение логов из инфраструктуры и фильтрацию «шума», применение методов машинного обучения, математической статистики и правил корреляции для выявления отклонений и выделения подозрительных событий, повышение качества выявления аномалий по результатам предыдущих обнаружений. Управление выявлением аномалий в экосистеме Security Vision выполняется в продукте User and Entity Behavior Analytics (UEBA), который получает данные из инфраструктуры и из установленных СЗИ/ПО, передаёт обнаруженные подозрения в продукты Security Vision SIEM, Security Vision SOAR/NG SOAR. Для процесса управления киберрисками могут использоваться следующие данные об аномалиях: количество истинноположительных срабатываний на конкретном активе с учетом его критичности, применение нестандартных векторов атак, количество активов и аккаунтов с изменяющимися поведенческими профилями.
11) Управление аудитами и самооценками: проверка соответствия корпоративным требованиям кибербезопасности может осуществляться с помощью заполнения опросных листов ответственными на местах с последующей проверкой руководителем по ИБ. В случае разветвлённых, холдинговых структур с различными дочерними и зависимыми обществами такая самопроверка поможет оценить состояние киберзащищенности в масштабе всей корпоративной структуры. Процесс управления аудитами и самооценками включает в себя подготовку реестра организаций, формирование единой ресурсно-сервисной модели для учёта бизнес-процессов, создание опросных листов, заполнение ответственными на местах, оценку соответствия и формирование задач на устранение недостатков. Управление аудитами и самооценками в экосистеме Security Vision выполняется в продукте Self-Assessment (SA), который получает данные из продукта Security Vision AM. Для процесса управления киберрисками могут использоваться следующие данные о результатах прохождения аудитов и самооценок: уровень соответствия активов и бизнес-процессов требованиям, критичность выявленных недостатков, потенциальный ущерб от несоответствия (штрафы, замечания регуляторов, последствия инцидентов).
12) Управление соответствием законодательству: проверка соответствия законодательным требованиям кибербезопасности может осуществляться с помощью заполнения опросных листов и сбора объективных сведений из технических средств и инфраструктуры. Процесс управления соответствием законодательству включает в себя формирование списка применимых требований (законодательных, отраслевых, корпоративных) с декомпозицией и дедупликацией норм, генерацию опросных листов, сбор информации из интегрированных систем, расчёт уровня соответствия нормам по кастомизируемым формулам, формирование задач на устранение недостатков. Управление соответствием законодательству в экосистеме Security Vision выполняется в продукте Compliance Management (CM), который получает данные из инфраструктуры, из установленных СЗИ/ПО, из продуктов Security Vision AM, Security Vision EDR. К процессу управления соответствием законодательству могут также быть отнесены модули Security Vision КИИ, ГосСОПКА, FinCERT, которые обеспечивают соответственно выполнение требований 187-ФЗ о безопасности КИИ, отправку инцидентов на объектах КИИ в НКЦКИ через систему ГосСОПКА, обмен информацией через АСОИ ФинЦЕРТ ЦБ РФ. Для процесса управления киберрисками могут использоваться следующие данные о соответствии законодательству: уровень соответствия активов и бизнес-процессов требованиям, критичность выявленных недостатков, потенциальный ущерб от несоответствия (штрафы, замечания регуляторов, последствия инцидентов).
Кроме указанных процессов, в рамках СУИБ могут быть также реализованы такие процессы, как:
· управление изменениями;
· управление исключениями;
· управление учетными записями и доступом;
· управление криптографическими средствами;
· управление безопасностью сети и каналов связи;
· управление взаимодействием с поставщиками и подрядчиками;
· управление внутренними документами и задачами;
· управление накопленными знаниями и лучшими практиками;
· управление осведомленностью персонала в вопросах ИБ.
В компаниях с высоким уровнем зрелости СУИБ могут быть также реализованы такие процессы, как:
· управление поверхностью атак и пентестами, программами Bug Bounty;
· управление проактивным выявлением угроз (Threat Hunting) и оценкой компрометации (Compromise Assessment);
· управление компьютерной криминалистикой (форензикой);
· управление безопасность интернета вещей и киберфизических систем;
· управление безопасностью ML/ИИ (MLSecOps, AISecOps).
Кроме того, в рамках СУИБ функционируют также и поддерживающие (операционные) процессы подразделения (функции) ИБ:
· управление операционной деятельностью ИБ-подразделения;
· управление предоставлением отчетности;
· управление взаимодействием с заказчиками (стейкхолдерами);
· управление непрерывным улучшением процессов кибербезопасности.
Перечисленные процессы могут также быть реализованы в экосистеме Security Vision за счет No-Code/Low-Code конструктора рабочих процессов, позволяющего воспроизвести логику любого процесса СУИБ – от базового до самого продвинутого. Обширный набор коннекторов обеспечивает интеграцию с инфраструктурой и различными СЗИ, функционал аналитики и визуализации позволит отобразить результаты работы в любых разрезах, а остальные модули Security Vision нативно интегрируются с кастомизированным решением для взаимного обогащения и повышения ценности всей системы.
Управление киберрисками связано с двумя подпроцессами: моделированием нарушителя и моделированием угроз. Определение групп атакующих и их возможностей (потенциала) выполняется в рамках построения модели вероятного нарушителя, затем результаты этого подпроцесса применяются при построении модели угроз, а для полученного списка угроз и для каждой рассматриваемой информационной системы проводится уже качественная или количественная оценка киберрисков. В данных подпроцессах можно использовать следующие характеристики нарушителей, киберугроз и защищаемой инфраструктуры:
1) уровни возможностей (потенциал) актуальных нарушителей – доступные атакующим компетенций, способы/инструменты атак и возможности (финансовые, кадровые, научные/исследовательские);
2) мотивация нарушителей: финансовая (киберпреступники, кибервымогатели, нанятые конкурентами хакеры), политическая (кибернаемники, APT-группы, кибершпионы), идеологическая (хактивисты), военная (киберармии), гибридная (киберкриминал и параллельное выполнение задач кураторов-спецслужб), хулиганские или исследовательские мотивы;
3) возможность вступления групп нарушителей в сговор, что увеличивает совокупный потенциал кибергруппы;
4) привлекательность конкретной компании для злоумышленников (оценка поверхности атаки и цифрового профиля/следа компании);
5) уязвимости: доступность для эксплуатации из интернета/локальной сети, наличие эксплойта (уязвимость «трендовая» и используется в реальных атаках, есть работающий эксплойт в открытом доступе), уровень привилегий для запуска эксплойта, величина последствий эксплуатации (удаленное исполнение кода, повышение привилегий, внедрение кода, нарушение целостности, конфиденциальности, доступности информации);
6) способы реализации угрозы: наличие у актуальных нарушителей соответствующего уровня возможностей и условий их реализации, доступ к компонентам (интерфейсам) активов, распространенность и автоматизируемость вектора атаки (т.е. набора методов, способов и инструментов для реализации кибератаки), последствия от способа реализации;
7) свойства объекта воздействия (актива – информационной системы, устройства, учетной записи, бизнес-процесса и т.д.): уровень критичности, требования к целостности, конфиденциальности, доступности информации на активе, список зависящих от актива бизнес-процессов и их критичность, присвоенный уровень риска/стоимостная оценка актива (может быть присвоена в рамках процесса управления непрерывностью бизнеса, оценки киберрисков);
8) последствия от реализации киберугрозы: нарушение/остановка бизнес-процессов, вывод из строя или уничтожение элементов информационной инфраструктуры, нарушение безопасности данных (включая утечки персональных данных и конфиденциальной информации), хищение денежных средств организации, ущерб репутации/бренду, невыполнение государственных функций, неисполнение обязательств/заказов, нарушение законодательства.
Процесс управления киберрисками может быть реализован в продукте Security Vision Risk Management (RM), который входит в экосистему Security Vision и нативно интегрирован со всеми модулями платформы, а использование единой ресурсно-сервисной модели позволяет использовать общую базу информации об активах, которая обогащается всеми продуктами экосистемы Security Vision. Централизованная обработка всех данных об инфраструктуре (активы, уязвимости, события, киберинциденты, конфигурации, киберразведка, аномалии, соответствие требованиям) позволяет выполнять взаимное обогащение информации, дополнять картину киберзащищенности компании и проводить более точную качественную и количественную оценку рисков, используя объективные данные от интегрированных технических средств и компонентов инфраструктуры компании. Присвоенный уровень киберриска для конкретной угрозы и конкретной информационной системы позволяет приоритизировать инциденты и уязвимости на ней, при этом обеспечивается обратная связь – свойства обработанных инцидентов и уязвимостей будут учтены при переоценке рисков. Непрерывно поступающие актуальные данные из других продуктов экосистемы Security Vision и интегрированных ИТ/ИБ-систем позволяют выполнять мониторинг уровня рисков для каждой системы и каждой угрозы в режиме реального времени, оперативно реагируя на превышения уровней индикаторов риска, а также запуская процедуры переоценки рисков с возможным принятием иного решения по риску в случае его резкого роста (например, вместо минимизации будет выбрано избежание – превентивное прекращение рискованной деятельности до нанесения значительного ущерба компании).
