SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей

Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
24.02.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   



Данила Луцив, Руслан Рахметов, Security Vision


Фундаментом любого процесса построения эффективной структуры управления информационной безопасностью в организации по праву считается процесс управления активами. Речь в данном случае идет даже не о предписаниях регуляторов, отраслевых стандартов и лучших практик. Все более прозаично: невозможно эффективно управлять безопасностью того, о чем мы не знаем.


Если развивать эту мысль в приложении к Security Operation, то становится понятно, что актуальная достоверная информация об активах, как в приложении к бизнес-процессам (критичности, допустимого простоя и т.д.), так и относительно технических характеристик (списка обновления, пользователей, открытых портов) ничуть не менее важна для ИБ, чем зрелый SIEM. Последний отвечает за анализ событий, система инвентаризации же - за анализ состояний систем и их защищенности.


Рис. 1. Карточка «Актив»


Как и во всех других наших продуктах, в продукте «Управление активами и инвентаризация» платформы Security Vision мы придерживались объектно-ориентированного подхода. Это означает, что все сущности в системе, будь то информационные системы, технические средства, пользователи, ПО и т.д. являются равноценными элементами. Каждый из них имеет свой собственный набор представлений, рабочих процессов или атомарных действий. Каждый обладает собственным набором свойств и связей с другими элементами системы. Продукт «Управление активами» уже содержит в себе всё необходимое для построения эффективного процесса, однако, в случае необходимости, пользователь может добавить или модифицировать существующие представления, процессы и наборы свойств. Если существующих вариантов объектов будет недостаточно – пользователю также доступно создание собственных типов. Благодаря же конструктору представлений создать свой уникальный тип, будь то Сертификат, Банкомат, UPS или Резервная копия данных, теперь займет не более нескольких минут, прямо в графическом интерфейсе платформы и без использования верстки и HTML. Просто создавайте и перемещайте вкладки и блоки, компонуя на них нужные данные.


Рис. 2. Конструктор объектов


Когда нужный перечень типов объектов готов, можно перейти непосредственно к получению данных. В зоне ответственности подразделений Информационной Безопасности многих наших клиентов лежит обеспечение требуемого уровня защищенности десятков, а иногда и сотен тысяч устройств. Даже вопрос загрузки такого количества объектов из источника вроде сканеров уязвимостей для многих продуктов становится неподъёмной задачей. 


В платформе Security Vision 5 реализован уникальный механизм работы с источниками, который:

  • Позволяет обрабатывать отчеты любых форматов (XML, JSON, CSV, XLS\XLSX) практически без ограничения по объему (протестировано на различных типах данных, включая отчеты сканеров уязвимостей размером в несколько гигабайт). Алгоритм получения информации разработан таким образом, что для обработки данных больше нет необходимости полностью загружать структуру файла в оперативную память.

  • Уже содержит предустановленные коннекторы к основным источникам, таким как Active Directory, Kaspersky Security Center, Naumen и еще десятки других систем. Также поддерживаются протоколы REST API, SQL, MS RPC и другие.

  • Дает возможность настройки правил группировки для каждого из источников таким образом, чтобы максимально избежать появления дублированной информации и агрегировать все доступные данные в единой карточке актива, обновляя в ней только актуальную релевантную информацию.


Все интеграции реализованы в конструкторе коннекторов, работа которого абсолютно прозрачна для конечного пользователя. Прямо в интерфейсе системы инженерам доступен функционал проверки результатов, модификации запросов к источнику и огромной библиотеки предустановленных преобразований для нормализации и приведения получаемых данных к единому формату.


Рис. 3. Конструктор коннекторов


Большинство интеграций с современными API-интерфейсами ИТ и ИБ решений предполагает многоэтапную последовательность шагов, состоящую из аутентификаций, формирования запросов и последующего выполнения цикла команд, на основании полученных ранее результатов. Все это теперь также доступно из интерфейса, без необходимости использования сторонних скриптов и интерпретаторов. Для группы команд, созданных для одного источника, теперь появилась возможность создавать единую команду начала и окончания сессии. Это позволяет упростить разработку новых сценариев, а также использовать сторонние сервисы для получения учетных данных, такие как PAM Credential Vaults.


Рис. 4. Конструктор коннекторов (последовательные шаги)


Одной из главных проблем любой консолидированной системы обработки информации об ИТ инфраструктуре на основе данных, полученных из различных источников, безусловно, является дупликация. Как выстроить работу с данными таким образом, чтобы с одной стороны избежать появления дублированных сущностей, а с другой – обновлять в активе только те данные из источника, которые наиболее актуальны? Правила группировки, реализованные в платформе Security Vision, дают пользователю возможность как использовать предустановленные механизмы группировки, так и настраивать собственные на основании полученных полей или их комбинаций. Для каждого источника, по каждому из полей объектов возможно настроить собственные правила обновления/добавления информации.


Рис. 5. Правила группировки


Однако пассивного сбора информации не всегда оказывается достаточно. Security Vision обладает собственным механизмом инвентаризации активов, который способен даже в отсутствие учетных данных, лишь на основании ответов сервисов и других служебных заголовков, предоставить аналитику полную информацию об узлах, доступных в инфраструктуре. Пользователь может создавать собственные правила классификации, используя имена обнаруженных устройств, подсети, ответы сервисов или любую другую информацию, полученную при сканировании систем.




Рис. 6,7. Идентификация нераспознанного объекта


Механизм распределенных сервисов коннекторов позволяет проводить идентификацию изолированных сегментов сети, без необходимости прямого сетевого доступа от платформы до конечных устройств. В случае пересекающейся адресации или других коллизий, связанных с распределенной инфраструктурой, коннектор может добавлять дополнительные значения, такие как «Наименование филиала» или «Локация оборудования» в передаваемые на сервер данные.


Рис. 8. Сервисы коннекторов


Мы уделяем особое внимание безопасности механизмов аутентификации и сохранности учетных данных, которые используются при инвентаризации. Все используемые пароли и ключи хранятся в платформе в зашифрованному виде, однако система позволяет придерживаться и концепции нулевого доверия, минимизируя риски даже в случае ее собственной компрометации. Описанный ранее механизм сервисов коннекторов позволяет использовать встроенные в инфраструктуру Windows механизмы распространений и ротации паролей gMSA. Используя групповые политики и средства Just-Enough-Administration, ИТ администраторы могут гранулярно предоставить права на исполнение только необходимого набора команд и модулей, которые нужны платформе для выполнения инвентаризации, не давая учетной записи других избыточных административных привилегий. Все эти механизмы аутентификации и разделения полномочий в инфраструктуре MS Windows проще всего реализовать при инвентаризации оборудования с использованием протокола WSMAN (PS-Remoting). Платформа поддерживает и инвентаризацию протоколами предыдущего поколения (MS RPC/WMI), однако мы не рекомендуем их использовать.


Рис. 9. Настройки PowerShell и Kerberos


В случае успешной аутентификации на устройстве и/или получения информации о нем из внешних источников, система формирует единую карточную актива, обладающую исчерпывающей информацией о всех технических параметрах системы: Технические характеристики, Пользователи и их привилегии, ПО, Обновления, Сервисы, Сетевые интерфейсы и многие другие параметры. На основании настроенный правил или вручную пользователи могут устанавливать дополнительные параметры, такие как Владелец системы, Технический администратор, Критичность, параметры конфиденциальности/целостности/доступности, ссылки на ассоциированные Информационные системы, Проекты и другие бизнес-параметры.





Рис. 10-14. Информация о техническом активе


Отдельно стоит отметить представление информации, получаемой от средств защиты. Платформа позволяет аналитику в едином окне получить данные, собранные как непосредственно при инвентаризации устройства, так и полученные с серверов управления средств защиты. В случае, если платформа настроена на двустороннее взаимодействие и у пользователя присутствуют соответствующие права, в карточке становятся доступны и инструменты выполнения различных сценариев с использованием подключенных средств защиты.



Рис 15,16. Информация о средствах защиты и команды реагирования


Запуск сценариев обогащения, эскалации и реагирования доступен теперь не только из карточки объекта, но и из табличного представления. Команды, позволяющие обновить информацию об активе, создать инцидент или выполнить активное реагирование, реализованы теперь и в общем виде, что значительно ускоряет работу.


Рис. 17. Команды из табличного представления


Табличное представление объектов обладает также рядом полезных функций для поиска, анализа и редактирования. В интерфейсе присутствует как полнотекстовый поиск по всем полям, содержащимся в объектах, так и настраиваемый фильтр, позволяющий задавать различные условия поиска. Для регулярно используемых фильтров есть возможность сохранить их в представлении системы «Управление активами и инвентаризация» в качестве быстрых ссылок. Таким образом ими можно будет поделиться с коллегами.



Рис. 18,19. Быстрый поиск и Фильтр


Для редактирования множества объектов в платформе теперь реализованы Массовые операции, позволяющие как просто удалить или заполнить недостающие данные по всем выбранным или отфильтрованным активам, так и выполнить выбранного множества инициацию рабочего процесса (плейбука), тем самым, например, обновив данные инвентаризации или выполнив принудительное антивирусное сканирование.



Рис. 20,21. Массовые операции


В обновленном продукте «Управление активами и инвентаризация» платформы Security Vision также стала доступна инвентаризации Пользователей и Программного обеспечения. Встроенный механизм создания связей позволяет получить представление о том, на каких устройствах сейчас установлено то или иное ПО или где последний раз аутентифицировался указанный пользователь. Карточки обладают всей необходимой для анализа информацией, от статусов и описаний до необходимого процесса согласования и необходимых для аудита безопасности пользовательских параметров.  



Рис. 22,23. Пользователи и ПО


Категорирование и присвоение групп активов и других классификаций часто является ручной монотонной операцией, из-за чего данные быстро теряют актуальность. Для автоматического присвоения нужных параметров в системе реализован механизм поисковых справочников. Нужная категория, ответственный или группа активов присваиваются при совпадении данных, содержащихся в справочниках. Возможно использовать как строгие соответствия, так и регулярные выражения. В качестве исходного значения для поиска могут использоваться установленное ПО, паттерн наименования актива, подсеть или баннеры сервисов. Возможно на основе конструктора рабочих процессов использовать расширения этого функционала, позволяющие присваивать нужную категорию на основании обнаруженных файлов и папок, веток и ключей реестра, обнаруженной при массовом поиске чувствительной информации (например PAN) или установленных компонентов операционной системы.


Рис. 24. Поисковый справочник категорирования ПО


Данные в систему могут поступать из множества различных источников. К заполнению информации могут быть привлечены сотрудники различных подразделений, так что конфликтов данных скорее всего не избежать. Для того, чтобы пользователи смогли точно понимать, откуда поступила информация об объекте, а также кем и в какой момент было установлено то или иное значение, в системе реализован механизм Истории. Все связанные с объектом изменения, время и инициатор доступны для просмотра и поиска интересующих значений.


Рис. 25. История изменений


Объекты в платформе Security Vision далеко не статичны и могут обрабатываться в одном или нескольких сразу рабочих процессах (плейбуках), вызывая коннекторы получения информации, заполняя свойства или создавая новые дочерние объекты. Для того, чтобы понять, в каком сейчас состоянии этого рабочего процесса находится объект и какой путь он уже прошел, пользователю доступна также История состояний и переходов рабочих процессов. Ее можно вызвать прямо из карточки объекта.


Рис. 26. История рабочего процесса


Для эффективной работы с данными об активах, а также с их взаимосвязями, табличных представлений часто бывает недостаточно. Мы предусмотрели возможность иерархического отображения информации в виде Деревьев, а также Графов связей. Эти представления могут быть вынесены как в отдельные представления, так и отражены внутри карточек активов, как представлено на рисунке. Подобные графы могут служить для отображения сетевой связанности технических узлов или быть инструментом расследования. Графы и Деревья имеют возможность добавления интерактивных команд для загрузки дополнительной информации непосредственно из интерфейса виджета, либо для выполнения немедленных действия по реагированию. На рисунках можно увидеть Сводную таблицу административных привилегий пользователей на конкретных узлах и Граф карты сети внутри площадки ЦОД.



Рис. 27,28. Деревья и Графы связей



Библиотека виджетов, на основе которой в последствии формируются Дашборды и Отчеты, не ограничивается описанными выше. В системе присутствует библиотека встроенной аналитики, содержащая управленческие, операционные и технические Дашборды, дающие возможность сформировать аналитику по текущему состоянию различных параметров систем. Для создания собственных представлений пользователю доступен no-code конструктор, не требующий знания SQL или GraphQL. Формирование виджетов в конструкторе больше похоже на сводные таблицы и графики в Excel.




Рис. 29-31. Библиотека дашбордов и редактор виджетов


Географическое представление объектов и их позиционирование на планах офисных помещений также доступно в редакторе виджетов. Отображаемые объекты автоматически размещаются на карте согласно заполненным координатам. Они могут менять пиктограммы и/или добавлять анимацию для идентификации ненадлежащего состояния актива, а также иметь интерактивные команды и детальное описание, доступные в контекстном меню.



Рис. 32,33. Карта здания и гео-карта


Редактор отчетов позволяет создавать шаблоны нужного формата и графического оформления прямо в интерфейсе платформы. Отчеты могут формироваться автоматически по указанному расписанию, либо создаваться вручную. Доступно создание как документов Microsoft Word, так и Excel таблиц.



Рис. 34,35. Отчеты


Использование продукта «Управление активами и инвентаризация» позволяет обогащать другие программные модули платформы. При активации модуля «Управление уязвимостями» в карточке уязвимости становятся доступны связанные активы, а в карточках технических активов – связанные с ними уязвимости. При работе с модулем «Инциденты» в принятии решений об обработке конкретного инцидента становится возможным принимать во внимание и характеристики атакованного узла, его критичности и другие бизнес-параметры.




Рис. 36,37. Связанные Уязвимости и Инциденты


Платформа обеспечивает гранулярное предоставление доступа как на уровне представлений и объектов, так и на уровне самого интерфейса, создавая для пользовательской роли уникальную витрину, очищенную от лишних меню и объектов. Такого рода витрины можно выдавать пользователям смежных подразделений, например, ИТ администраторам, аудиторам или риск-аналитикам.



Рис. 38,39. Создание ролей и пользовательских витрин


Система «Управление активами и инвентаризация» платформы Security Vision 5 создана для автоматизации и роботизации практически любых процессов управления инвентаризацией технических и логических объектов инфраструктуры. В ее функционал входит инструментарий безагентского сбора информации о системах как с, так и без использования учетных записей на конечных устройствах. Множество коннекторов к различным системам и механизм дупликации позволяют эффективно управлять получаемыми данными и консолидировать их в единое, максимально актуальное представление объекта и его состояний. Продукт содержит в себе все множество различных процессов идентификации, обогащения и управления информационными активами, их техническим состоянием, категорированием и этапами жизненного цикла. Встроенная аналитика помогает выявить узкие места в существующих ИТ и ИБ процессах, а также значительно упростить взаимодействие с аудиторами и регуляторами.


На основе данного продукта могут быть легко внедрены методики управления жизненным циклом активов, от бюджетирования до списания и утилизации; проведения оценки влияния систем на бизнес-процессы (Business Impact Analysis) и планирования командно-штабных учений по бесперебойности ведения бизнеса и восстановления после инцидентов (Business Continuity/Disaster Recovery).


Данные, полученные при инвентаризации и категорировании, обогащают смежные модули платформы, такие как:

  • Модуль управления уязвимостями

  • Модуль управления инцидентами

  • Модуль категорирования КИИ

  • Модуль управления рисками

  • Модуль управления аудитами и оценками соответствия


4 апреля 2023 г. Security Vision выпустила новый релиз модуля. В продукт были добавлены новые функции для работы с программным обеспечением (ПО) активов и их обновлениями.


Пользователям стали доступны следующие новые возможности:

· Ведение «белого» списка ПО в модуле. Каждое добавляемое в модуль ПО проходит проверку на включение в «белый» список: в карточке устанавливается признак «ПО в белом списке». Пользователь может настраивать правила, по которым ПО будет включаться в белый список.

· В карточке ПО для пользователей добавлена возможность ручного добавления или удаления ПО из списков разрещенного ПО.

· Для оперативного контроля за установленном ПО добавлены новые разделы с ключевыми признаками: Общий список, Не разрешенное ПО на хостах, Разрешенное ПО.

· В модуль добавлена возможность хранение обновлений для ПО. Для каждого обновления предусмотрена полная и краткая карточки для просмотра и редактирования информации, можно прикрепить файл обновления к карточке или указать ссылку на репозиторий, из которого будет выгружаться файл обновления. Также в интерфейсе продукта можно задать срипты обновления ПО для различных типов операционных систем.

· Добавлены связи карточки ПО и обновлений ПО различных версий и платформ.

· Добавлен процесс обновления ПО на активах: пользователь выбирает активы и файлы обновления ПО, которые будут запускаться на активах. Можно также запустить обновление единовременно на всех активах, привязанных к ПО. Данное действие может быть настроено для проведения как в ручном, так и в автоматическом режиме по заданным правилам.

· Добавлен процесс удаления ПО с активов: пользователь выбирает активы, на которых необходимо удалить соответствующее ПО. Можно также запустить удаление единовременно на всех активах, привязанных к ПО. Данное действие может быть настроено для проведения как в ручном, так и в автоматическом режиме по заданным правилам.

 

Видео о модуле: https://youtu.be/IRO-p8q0XBo

Видео о практическом применении модуля: https://youtu.be/_zvVaiI0auA



Подкасты ИБ Управление ИТ-активами Дашборды ИБ Управление ИБ КИИ СЗИ

Рекомендуем

Configuration-as-Code
Configuration-as-Code
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
SCA на языке безопасника
SCA на языке безопасника
Управление мобильными устройствами
Управление мобильными устройствами
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Рекомендуем

Configuration-as-Code
Configuration-as-Code
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
SCA на языке безопасника
SCA на языке безопасника
Управление мобильными устройствами
Управление мобильными устройствами
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Похожие статьи

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Разработка без кода
Разработка без кода
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Разработка без кода
Разработка без кода
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации