SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Ситуационная осведомленность в кибербезопасности

Ситуационная осведомленность в кибербезопасности
13.09.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     

Руслан Рахметов, Security Vision 

Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.

Целью ситуационной осведомленности являются активное обнаружение и анализ информации, относящейся к немедленной операционной стабильности и безопасности, и координация такой информации на предприятии, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.

Ситуационная осведомленность позволяет организации понять операционную среду критичных сервисов и среду влияния на их работу. Это понимание дает заинтересованным сторонам достаточно точное и актуальное понимание прошлого, текущего и прогнозируемого будущего состояния таких сервисов и поддерживает эффективное принятие решений в контексте общей операционной среды.

Процесс ситуационной осведомленности устанавливает общую операционную картину путем сбора, слияния и анализа данных для поддержки автоматизированных или человеческих решений при осуществлении действий по реагированию на инциденты кибербезопасности. Такие данные обязательно должны передаваться своевременно и в форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.

Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разные участники предприятия нуждаются в разных и не обязательно полных знаниях об операционной среде. В зависимости от того, как это представлено, полная картина может содержать слишком много информации и перегрузить человека, принимающего решения. Операторам также не следует предоставлять массивный объем данных; скорее, операторы должны видеть только то, что важно, что определяется стратегией рисков и общей картиной рисков.

Роль и связи ситуационной осведомленности

Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами подразделения кибербезопасности, такими как управление активами, уязвимостями, инцидентами, рисками. Да, ситуационная осведомленность – это тоже процесс, который должен быть интегрирован в общую операционную деятельность по обеспечению кибербезопасности.

Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных активов (с привязкой также к управлению рисками), на которых должен сосредоточиться процесс ситуационной осведомленности.

Управление рисками – это основа для выявления требований ситуационной осведомленности и линза, через которую информация ситуационной осведомленности интерпретируется и передается. Управление рисками также включает несколько процессов. Поставщики, команда по управлению уязвимостями или другие источники могут сообщить о существовании уязвимости организации. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы подвержены уязвимости, и потенциальные риски для критичных сервисов. Эта информация используется для процесса ситуационной осведомленности, который передает ее команде управления рисками. Обладая этой информацией, группа управления рисками может расставить приоритеты для рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости, повысить срочность корректирующих действий, таких как запрос исправления или обходного пути у поставщика.

Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может соотносить их с информацией из других внешних CERT и, при необходимости, объявлять инцидент и передавать его соответствующим заинтересованным сторонам.

Выстроенный процесс ситуационной осведомленности включает в себя четыре этапа, с помощью которых организация планирует, осуществляет сбор и анализ, проводит обмен информацией и улучшает сам процесс ситуационной осведомленности, чтобы повысить операционную эффективность и обеспечить необходимый уровень кибербезопасности организации.

Рисунок 1 - Процесс ситуационной осведомленности

1. Планирование ситуационной осведомленности

Планирование необходимо для успешной реализации программы ситуационной осведомленности. В плане документируются цели программы, стратегия достижения этих целей, а также инфраструктура и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно осуществить следующие действия:

  • Получить поддержку со стороны руководства в виде ресурсов

  • Разработать стратегию программы ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к передаче ситуационной информации        

  • Составить план ситуационной осведомленности.

2. Сбор и анализ данных ситуационной осведомленности

Сбор и анализ данных является основным процессом, в рамках которого необходимо:

  • Установить требования к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Создать инфраструктуру для поддержки деятельности по мониторингу ситуационной осведомленности

  • Собирать, записывать и анализировать информацию.

3. Обмен информацией

Информация, собранная с помощью мероприятий по повышению осведомленности о ситуации, должна эффективно передаваться заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений относительно кибербезопасности организации.

Для построения процессов обмена информацией необходимо:

  • Установить требования к коммуникации с ситуационной осведомленностью

  • Установить стандарты и инструкции по обмену информацией

  • Создать инфраструктуру для поддержки действий по информированию о ситуации

  • Передавать ситуационную информацию.

4. Улучшение процессов и технологий ситуационной осведомленности

Успешное управление рисками для критически важных услуг во многом зависит от эффективности процессов и технологий ситуационной осведомленности в организации. В среде возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.

В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:

  • Обзор общей эффективности программы ситуационной осведомленности

  • Выявление обновлений и улучшений в программе ситуационной осведомленности

  • Внесение улучшения в процессы и технологии.

Заключение

Ситуационная осведомленность включает сбор, анализ и передачу информации, которая обеспечивает более широкую и богатую перспективу операционной среды организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину окружающей среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Для наблюдения, оценки и сопоставления событий и информации этот контекст требуется на местном или внутреннем организационном уровне (организационные события, такие как увольнения, особые громкие события и т.д.), а также на внешнем, национальном или мировом уровне.



Подкасты ИБ Стандарты ИБ

Рекомендуем

«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Фреймворк COBIT 2019
Фреймворк COBIT 2019
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
SOAR-системы
SOAR-системы
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»

Рекомендуем

«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Фреймворк COBIT 2019
Фреймворк COBIT 2019
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
SOAR-системы
SOAR-системы
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»

Похожие статьи

Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»

Похожие статьи

Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»