SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Ситуационная осведомленность в кибербезопасности

Ситуационная осведомленность в кибербезопасности
13.09.2021

|   Слушать на Mave  |   Слушать на Яндекс Музыке  |     


Руслан Рахметов, Security Vision 


Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.


Целью ситуационной осведомленности являются активное обнаружение и анализ информации, относящейся к немедленной операционной стабильности и безопасности, и координация такой информации на предприятии, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.


Ситуационная осведомленность позволяет организации понять операционную среду критичных сервисов и среду влияния на их работу. Это понимание дает заинтересованным сторонам достаточно точное и актуальное понимание прошлого, текущего и прогнозируемого будущего состояния таких сервисов и поддерживает эффективное принятие решений в контексте общей операционной среды.


Процесс ситуационной осведомленности устанавливает общую операционную картину путем сбора, слияния и анализа данных для поддержки автоматизированных или человеческих решений при осуществлении действий по реагированию на инциденты кибербезопасности. Такие данные обязательно должны передаваться своевременно и в форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.


Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разные участники предприятия нуждаются в разных и не обязательно полных знаниях об операционной среде. В зависимости от того, как это представлено, полная картина может содержать слишком много информации и перегрузить человека, принимающего решения. Операторам также не следует предоставлять массивный объем данных; скорее, операторы должны видеть только то, что важно, что определяется стратегией рисков и общей картиной рисков.


Роль и связи ситуационной осведомленности


Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами подразделения кибербезопасности, такими как управление активами, уязвимостями, инцидентами, рисками. Да, ситуационная осведомленность – это тоже процесс, который должен быть интегрирован в общую операционную деятельность по обеспечению кибербезопасности.


Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных активов (с привязкой также к управлению рисками), на которых должен сосредоточиться процесс ситуационной осведомленности.


Управление рисками – это основа для выявления требований ситуационной осведомленности и линза, через которую информация ситуационной осведомленности интерпретируется и передается. Управление рисками также включает несколько процессов. Поставщики, команда по управлению уязвимостями или другие источники могут сообщить о существовании уязвимости организации. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы подвержены уязвимости, и потенциальные риски для критичных сервисов. Эта информация используется для процесса ситуационной осведомленности, который передает ее команде управления рисками. Обладая этой информацией, группа управления рисками может расставить приоритеты для рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости, повысить срочность корректирующих действий, таких как запрос исправления или обходного пути у поставщика.


Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может соотносить их с информацией из других внешних CERT и, при необходимости, объявлять инцидент и передавать его соответствующим заинтересованным сторонам.


Выстроенный процесс ситуационной осведомленности включает в себя четыре этапа, с помощью которых организация планирует, осуществляет сбор и анализ, проводит обмен информацией и улучшает сам процесс ситуационной осведомленности, чтобы повысить операционную эффективность и обеспечить необходимый уровень кибербезопасности организации.


Рисунок 1 - Процесс ситуационной осведомленности


1. Планирование ситуационной осведомленности


Планирование необходимо для успешной реализации программы ситуационной осведомленности. В плане документируются цели программы, стратегия достижения этих целей, а также инфраструктура и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно осуществить следующие действия:

  • Получить поддержку со стороны руководства в виде ресурсов

  • Разработать стратегию программы ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к передаче ситуационной информации        

  • Составить план ситуационной осведомленности.


2. Сбор и анализ данных ситуационной осведомленности


Сбор и анализ данных является основным процессом, в рамках которого необходимо:

  • Установить требования к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Создать инфраструктуру для поддержки деятельности по мониторингу ситуационной осведомленности

  • Собирать, записывать и анализировать информацию.


3. Обмен информацией


Информация, собранная с помощью мероприятий по повышению осведомленности о ситуации, должна эффективно передаваться заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений относительно кибербезопасности организации.


Для построения процессов обмена информацией необходимо:

  • Установить требования к коммуникации с ситуационной осведомленностью

  • Установить стандарты и инструкции по обмену информацией

  • Создать инфраструктуру для поддержки действий по информированию о ситуации

  • Передавать ситуационную информацию.


4. Улучшение процессов и технологий ситуационной осведомленности


Успешное управление рисками для критически важных услуг во многом зависит от эффективности процессов и технологий ситуационной осведомленности в организации. В среде возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.


В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:

  • Обзор общей эффективности программы ситуационной осведомленности

  • Выявление обновлений и улучшений в программе ситуационной осведомленности

  • Внесение улучшения в процессы и технологии.


Заключение


Ситуационная осведомленность включает сбор, анализ и передачу информации, которая обеспечивает более широкую и богатую перспективу операционной среды организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину окружающей среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Для наблюдения, оценки и сопоставления событий и информации этот контекст требуется на местном или внутреннем организационном уровне (организационные события, такие как увольнения, особые громкие события и т.д.), а также на внешнем, национальном или мировом уровне.



Подкасты ИБ Стандарты ИБ Управление инцидентами Практика ИБ

Рекомендуем

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Геймификация и управление персоналом
Геймификация и управление персоналом
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Пентесты
Пентесты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Визуализация: лучшие практики
Визуализация: лучшие практики
Что за зверь Security Champion?
Что за зверь Security Champion?
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Рекомендуем

Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Геймификация и управление персоналом
Геймификация и управление персоналом
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Пентесты
Пентесты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Визуализация: лучшие практики
Визуализация: лучшие практики
Что за зверь Security Champion?
Что за зверь Security Champion?
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Похожие статьи

Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Сертификация ФСТЭК
Сертификация ФСТЭК
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Уязвимости
Уязвимости
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?

Похожие статьи

Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Сертификация ФСТЭК
Сертификация ФСТЭК
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Уязвимости
Уязвимости
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?