Руслан Рахметов, Security Vision
Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.
Целью ситуационной осведомленности являются активное обнаружение и анализ информации, относящейся к немедленной операционной стабильности и безопасности, и координация такой информации на предприятии, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.
Ситуационная осведомленность позволяет организации понять операционную среду критичных сервисов и среду влияния на их работу. Это понимание дает заинтересованным сторонам достаточно точное и актуальное понимание прошлого, текущего и прогнозируемого будущего состояния таких сервисов и поддерживает эффективное принятие решений в контексте общей операционной среды.
Процесс ситуационной осведомленности устанавливает общую операционную картину путем сбора, слияния и анализа данных для поддержки автоматизированных или человеческих решений при осуществлении действий по реагированию на инциденты кибербезопасности. Такие данные обязательно должны передаваться своевременно и в форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.
Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разные участники предприятия нуждаются в разных и не обязательно полных знаниях об операционной среде. В зависимости от того, как это представлено, полная картина может содержать слишком много информации и перегрузить человека, принимающего решения. Операторам также не следует предоставлять массивный объем данных; скорее, операторы должны видеть только то, что важно, что определяется стратегией рисков и общей картиной рисков.
Роль и связи ситуационной осведомленности
Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами подразделения кибербезопасности, такими как управление активами, уязвимостями, инцидентами, рисками. Да, ситуационная осведомленность – это тоже процесс, который должен быть интегрирован в общую операционную деятельность по обеспечению кибербезопасности.
Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных активов (с привязкой также к управлению рисками), на которых должен сосредоточиться процесс ситуационной осведомленности.
Управление рисками – это основа для выявления требований ситуационной осведомленности и линза, через которую информация ситуационной осведомленности интерпретируется и передается. Управление рисками также включает несколько процессов. Поставщики, команда по управлению уязвимостями или другие источники могут сообщить о существовании уязвимости организации. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы подвержены уязвимости, и потенциальные риски для критичных сервисов. Эта информация используется для процесса ситуационной осведомленности, который передает ее команде управления рисками. Обладая этой информацией, группа управления рисками может расставить приоритеты для рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости, повысить срочность корректирующих действий, таких как запрос исправления или обходного пути у поставщика.
Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может соотносить их с информацией из других внешних CERT и, при необходимости, объявлять инцидент и передавать его соответствующим заинтересованным сторонам.
Выстроенный процесс ситуационной осведомленности включает в себя четыре этапа, с помощью которых организация планирует, осуществляет сбор и анализ, проводит обмен информацией и улучшает сам процесс ситуационной осведомленности, чтобы повысить операционную эффективность и обеспечить необходимый уровень кибербезопасности организации.
Рисунок 1 - Процесс ситуационной осведомленности
1. Планирование ситуационной осведомленности
Планирование необходимо для успешной реализации программы ситуационной осведомленности. В плане документируются цели программы, стратегия достижения этих целей, а также инфраструктура и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно осуществить следующие действия:
-
Получить поддержку со стороны руководства в виде ресурсов
-
Разработать стратегию программы ситуационной осведомленности
-
Разработать подход к сбору и анализу данных ситуационной осведомленности
-
Разработать подход к передаче ситуационной информации
-
Составить план ситуационной осведомленности.
2. Сбор и анализ данных ситуационной осведомленности
Сбор и анализ данных является основным процессом, в рамках которого необходимо:
-
Установить требования к сбору и анализу данных ситуационной осведомленности
-
Разработать подход к сбору и анализу данных ситуационной осведомленности
-
Создать инфраструктуру для поддержки деятельности по мониторингу ситуационной осведомленности
-
Собирать, записывать и анализировать информацию.
3. Обмен информацией
Информация, собранная с помощью мероприятий по повышению осведомленности о ситуации, должна эффективно передаваться заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений относительно кибербезопасности организации.
Для построения процессов обмена информацией необходимо:
-
Установить требования к коммуникации с ситуационной осведомленностью
-
Установить стандарты и инструкции по обмену информацией
-
Создать инфраструктуру для поддержки действий по информированию о ситуации
-
Передавать ситуационную информацию.
4. Улучшение процессов и технологий ситуационной осведомленности
Успешное управление рисками для критически важных услуг во многом зависит от эффективности процессов и технологий ситуационной осведомленности в организации. В среде возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.
В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:
-
Обзор общей эффективности программы ситуационной осведомленности
-
Выявление обновлений и улучшений в программе ситуационной осведомленности
-
Внесение улучшения в процессы и технологии.
Заключение
Ситуационная осведомленность включает сбор, анализ и передачу информации, которая обеспечивает более широкую и богатую перспективу операционной среды организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину окружающей среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Для наблюдения, оценки и сопоставления событий и информации этот контекст требуется на местном или внутреннем организационном уровне (организационные события, такие как увольнения, особые громкие события и т.д.), а также на внешнем, национальном или мировом уровне.
