SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Ситуационная осведомленность в кибербезопасности

Ситуационная осведомленность в кибербезопасности

|   Слушать на Mave  |   Слушать на Яндекс Музыке  |     


Руслан Рахметов, Security Vision 


Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.


Целью ситуационной осведомленности являются активное обнаружение и анализ информации, относящейся к немедленной операционной стабильности и безопасности, и координация такой информации на предприятии, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.


Ситуационная осведомленность позволяет организации понять операционную среду критичных сервисов и среду влияния на их работу. Это понимание дает заинтересованным сторонам достаточно точное и актуальное понимание прошлого, текущего и прогнозируемого будущего состояния таких сервисов и поддерживает эффективное принятие решений в контексте общей операционной среды.


Процесс ситуационной осведомленности устанавливает общую операционную картину путем сбора, слияния и анализа данных для поддержки автоматизированных или человеческих решений при осуществлении действий по реагированию на инциденты кибербезопасности. Такие данные обязательно должны передаваться своевременно и в форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.


Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разные участники предприятия нуждаются в разных и не обязательно полных знаниях об операционной среде. В зависимости от того, как это представлено, полная картина может содержать слишком много информации и перегрузить человека, принимающего решения. Операторам также не следует предоставлять массивный объем данных; скорее, операторы должны видеть только то, что важно, что определяется стратегией рисков и общей картиной рисков.


Роль и связи ситуационной осведомленности


Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами подразделения кибербезопасности, такими как управление активами, уязвимостями, инцидентами, рисками. Да, ситуационная осведомленность – это тоже процесс, который должен быть интегрирован в общую операционную деятельность по обеспечению кибербезопасности.


Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных активов (с привязкой также к управлению рисками), на которых должен сосредоточиться процесс ситуационной осведомленности.


Управление рисками – это основа для выявления требований ситуационной осведомленности и линза, через которую информация ситуационной осведомленности интерпретируется и передается. Управление рисками также включает несколько процессов. Поставщики, команда по управлению уязвимостями или другие источники могут сообщить о существовании уязвимости организации. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы подвержены уязвимости, и потенциальные риски для критичных сервисов. Эта информация используется для процесса ситуационной осведомленности, который передает ее команде управления рисками. Обладая этой информацией, группа управления рисками может расставить приоритеты для рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости, повысить срочность корректирующих действий, таких как запрос исправления или обходного пути у поставщика.


Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может соотносить их с информацией из других внешних CERT и, при необходимости, объявлять инцидент и передавать его соответствующим заинтересованным сторонам.


Выстроенный процесс ситуационной осведомленности включает в себя четыре этапа, с помощью которых организация планирует, осуществляет сбор и анализ, проводит обмен информацией и улучшает сам процесс ситуационной осведомленности, чтобы повысить операционную эффективность и обеспечить необходимый уровень кибербезопасности организации.


Рисунок 1 - Процесс ситуационной осведомленности


1. Планирование ситуационной осведомленности


Планирование необходимо для успешной реализации программы ситуационной осведомленности. В плане документируются цели программы, стратегия достижения этих целей, а также инфраструктура и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно осуществить следующие действия:

  • Получить поддержку со стороны руководства в виде ресурсов

  • Разработать стратегию программы ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к передаче ситуационной информации        

  • Составить план ситуационной осведомленности.


2. Сбор и анализ данных ситуационной осведомленности


Сбор и анализ данных является основным процессом, в рамках которого необходимо:

  • Установить требования к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Создать инфраструктуру для поддержки деятельности по мониторингу ситуационной осведомленности

  • Собирать, записывать и анализировать информацию.


3. Обмен информацией


Информация, собранная с помощью мероприятий по повышению осведомленности о ситуации, должна эффективно передаваться заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений относительно кибербезопасности организации.


Для построения процессов обмена информацией необходимо:

  • Установить требования к коммуникации с ситуационной осведомленностью

  • Установить стандарты и инструкции по обмену информацией

  • Создать инфраструктуру для поддержки действий по информированию о ситуации

  • Передавать ситуационную информацию.


4. Улучшение процессов и технологий ситуационной осведомленности


Успешное управление рисками для критически важных услуг во многом зависит от эффективности процессов и технологий ситуационной осведомленности в организации. В среде возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.


В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:

  • Обзор общей эффективности программы ситуационной осведомленности

  • Выявление обновлений и улучшений в программе ситуационной осведомленности

  • Внесение улучшения в процессы и технологии.


Заключение


Ситуационная осведомленность включает сбор, анализ и передачу информации, которая обеспечивает более широкую и богатую перспективу операционной среды организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину окружающей среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Для наблюдения, оценки и сопоставления событий и информации этот контекст требуется на местном или внутреннем организационном уровне (организационные события, такие как увольнения, особые громкие события и т.д.), а также на внешнем, национальном или мировом уровне.



Подкасты ИБ Стандарты, ГОСТы и документы ИБ Управление инцидентами Практика ИБ

Похожие статьи

Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Bug Bounty: как превратить любопытство в заработок
Bug Bounty: как превратить любопытство в заработок
EDR для Windows. Основы, архитектура, принципы работы
EDR для Windows. Основы, архитектура, принципы работы
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
CyBOK. Глава 1. Введение
CyBOK. Глава 1. Введение
Расследование инцидентов и использование специализированных инструментов
Расследование инцидентов и использование специализированных инструментов
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества

Похожие статьи

Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Фишинг - что это такое, как защититься от фишинговых атак и писем. Часть 2
Bug Bounty: как превратить любопытство в заработок
Bug Bounty: как превратить любопытство в заработок
EDR для Windows. Основы, архитектура, принципы работы
EDR для Windows. Основы, архитектура, принципы работы
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
CyBOK. Глава 1. Введение
CyBOK. Глава 1. Введение
Расследование инцидентов и использование специализированных инструментов
Расследование инцидентов и использование специализированных инструментов
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества