SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Тренды информационной безопасности. Часть 2

Тренды информационной безопасности. Часть 2
09.08.2021

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В предыдущей статье, посвященной трендам современной информационной безопасности, мы обсудили атаки на цепочки поставок (Supply chain attacks) и атаки на третьих лиц (3rd parties attacks). Не менее актуальными темами-трендами можно назвать атаки на элементы «интернета вещей» и вопросы защиты облачных инфраструктур, которым посвящена данная статья.


Термин «Интернет вещей» (IoT - internet of things) подразумевает большое количество элементов электроники потребительского уровня, непрерывно подключенных к разнообразным сетями, в т.ч. к интернет, для взаимодействия между собой, с владельцем и с разнообразными интернет-сервисами. Примерами IoT-устройств могут быть: смарт-телевизоры, «умные колонки», фитнес-трекеры, элементы «умного дома» (датчики, бытовая техника, системы безопасности), веб-камеры, автомобильные и транспортные системы и т.д. С развитием сетей 5G количество устройств «интернета вещей» будет лишь расти, поскольку сети нового поколения поддерживают высокоскоростную передачу данных с малым расходом электроэнергии и взаимодействие устройств непосредственно друг с другом.


С точки зрения кибербезопасности особую озабоченность вызывают IoT-элементы, обладающие функциональными возможностями доступа в интернет и допускающими внешнее подключение к ним, микропрограммы («прошивка», англ. firmware) которых не получают обновлений безопасности от производителя. Примером такого уязвимого устройства может стать веб-камера нижнего ценового диапазона, разработанная, например, в Китае, и используемая, скажем, для контроля обстановки на садовом участке: к ней можно подключаться из интернета для просмотра изображения, в ней установлен некий упрощенный веб-сервер для контроля самой камеры (например, для поворота камеры или приближения). Производитель, скорее всего, не балует покупателей частыми обновлениями «прошивки», а если эта модель больше не производится, то обновления ПО можно и вообще не дождаться. Поиск уязвимостей в установленном на камере веб-сервере с большой долей вероятности не будет затруднительным, поскольку аппаратная «начинка» бытовой техники, как правило, не самая производительная и поддерживает установку лишь самого простого софта с урезанным функционалом, а производители в высококонкурентной среде вынуждены экономить буквально на всем для формирования самой привлекательной цены, в т.ч. на качестве встроенного ПО, процессах безопасной разработки софта и на работах по устранению в нем уязвимостей.


Итак, в случае, если в программном коде веб-сервера, установленного в камере, найдут уязвимость, то владелец сможет защитить себя единственным способом - отключив камеру от интернета или полностью выключив своё устройство. В случае с простой домашней электроникой это несложно, но как быть, например, владельцам большого парка таких камер, которые необходимы для выполнения определенной бизнес-функции, например, контроля важного объекта? Скорее всего, такая камера так и останется подключенной к интернету, и через некоторое время она окажется взломана через найденную уязвимость. Дальше работа камеры будет контролироваться уже злоумышленником - он может как безнаказанно просматривать изображение с камеры или просто выключить её, так и использовать устройство в своих целях - например, сделать его частью бот-сети, которая осуществляет DDoS-атаки по указанию злоумышленника, или банально начать майнить криптовалюту, расходуя электроэнергию своего ничего не подозревающего владельца.


Следует учесть, что вся ответственность за последствия вредоносной активности устройства ляжет на владельца устройства, даже если заражение произошло без его ведома. Картина становится еще драматичнее, если представить себе, что заражено, например, устройство класса «носимая электроника»: портативный глюкометр (прибор для измерения уровня глюкозы в крови) или пульсоксиметр (прибор для измерения уровня насыщения крови кислородом).Таким образом, вопрос защиты устройств «интернета вещей» уже выходит за рамки стандартных бизнес-рисков и затрагивает жизнь и здоровье людей, что является абсолютным императивным приоритетом.


Для защиты IoT-устройств от кибератак в общем случае внимание стоит обратить на следующее:


1. Страна производства устройства и производитель: чем известнее производитель, тем выше вероятность своевременного обновления ПО и ниже вероятность наличия неустраненных уязвимостей, о которых известно вендору.


2. Наличие юридических документов на официальном сайте: положения о конфиденциальности обрабатываемых данных, политики обработки персональных данных, заявления о соответствии тем или иным законодательным нормам и т.д.


3. Возможность настройки встроенного ПО для отключения внешних интернет-подключений к устройству - удаленного управления, администрирования, просмотра состояния и т.д.


4. Наличие обновлений встроенного ПО на официальном сайте производителя, периодичность их выпуска, дата выпуска последнего обновления.


5. Наличие сообщества энтузиастов-любителей, которые выпускают неофициальные, «кастомизированные» прошивки для данного устройства.


В случае применения устройств «интернета вещей» для выполнения бизнес-задач следует внимательно отнестись к выбору производителя, отдавая предпочтение тому, кто регулярно выпускает обновления встроенного ПО, предлагает расширенную техническую поддержку и выезд своих специалистов on-site, предоставляет продолжительную гарантию и рекомендации по защищенной настройке устройства, а также имеющему актуальные документы с описанием реализуемых мер информационной безопасности и принятым методикам безопасной разработки.


В случае применения IoT-устройств в личных целях следует оценить, насколько тот или иной функционал удаленной работы с устройством действительно требуется, насколько простой будет защищенная настройка устройства конечным пользователем (например, ребенком или пожилым человеком), дает ли производитель подробные рекомендации и инструкции по настройке девайса для ограничения и контроля его «опасного» функционала.


Вопросы защиты облачных инфраструктур также являются крайне актуальными на текущий момент, и это несомненно связано с популярностью облачных платформ и решений, которые привлекают заказчиков легкостью горизонтального масштабирования, прозрачным планированием затрат, возможностями переложить часть задач по обслуживанию инфраструктуры на специалистов Cloud-провайдеров. Кроме того, в последнее время на отечественный рынок облачных инфраструктур вышли многие известные игроки, которые предлагают Cloud-решения и сервисы, предназначенные в том числе для обработки персональных данных, работы в составе ГИС (государственной информационной системы), а также для обработки конфиденциальной информации, защищенной от несанкционированного доступа. Такие предложения позволяют пользоваться услугами облачных сервисов даже государственным учреждениям, но при этом для многих компаний возможность работы с облачными инфраструктурами до сих пор остается под вопросом. Главными челленджами являются вопросы соответствия законодательству, конфиденциальности корпоративной информации как для провайдера услуги, так и для «соседей» по инфраструктуре, сложности миграции из on-prem-инфраструктуры, тонкости настройки облачных систем обеспечения кибербезопасности.


Облачные инфраструктуры можно разделить по принципу работы на следующие типы:


Public cloud (публичные облака) - провайдер облачных услуг предоставляет заказчику свою инфраструктуру и сервисы на коммерческой основе, как правило, по подписке.


Private cloud (частные облака) - организация размещает часть своей инфраструктуры в некотором своем или арендуемом ЦОД (центре обработки данных) и полностью контролирует все аппаратные и программные компоненты.


Hybrid cloud (гибридные облака) - организация совмещает работу с публичным и частным облаком, размещая свои приложения и данные в зависимости от удобства и потребностей в той или иной инфраструктуре.


Multi-cloud (мультиоблако) - организация пользуется услугами нескольких провайдеров облачных сервисов для надежности и повышения отказоустойчивости, например, размещая основную инфраструктуру в одном публичном облаке, а бекапы и резервные сервисы - в другом.


Для работы с облачными инфраструктурами, как правило, предоставляются следующие варианты:


IaaS (infrastructure as a service) - предоставление услуги по модели «инфраструктура как сервис», когда облачный провайдер предоставляет только своё аппаратное обеспечение, сетевой доступ и гипервизор системы виртуализации, а заказчикам дается возможность установить свои операционные системы, прикладное и системное ПО, бизнес-приложения.


PaaS (platform as a service) - предоставление услуги по модели «платформа как сервис», когда облачный провайдер предоставляет установленную операционную систему (как правило, давая на выбор несколько вариантов ОС на базе Winows и Linux), а заказчики уже устанавливают только свое программное обеспечение.


SaaS (software as a service) - предоставление услуги по модели «программное обеспечение как сервис», когда облачный провайдер предоставляет конечному заказчику предварительно установленное бизнес-приложение с некоторыми возможностями по его настройке и модификации.


Также в контексте информационной безопасности можно выделить такие термины:


SECaaS (security as a service, «безопасность как сервис») - предоставление заказчикам услуги в области кибербезопасности по подписке, с размещением самих СЗИ в облаке провайдера, например, систем резервного копирования, сканеров уязвимостей, систем аутентификации и управления доступом, решений для сбора и анализа событий ИБ.


FWaaS (firewall as a service, «фаирволл как сервис») - предоставление межсетевого экрана в облачной инфраструктуре по подписке.


MaaS (malware as a service, «вредоносное ПО как сервис») - термин, введенный злоумышленниками, который означает, что одни атакующие разрабатывают некий вредоносный инструмент (например, вирус-вымогатель, англ. ransomware) и предоставляют доступ по подписке другим атакующим, которые затем используют его в своих атаках.


Для обеспечения кибербезопасности в различных облачных инфраструктурах на рынке предлагаются специализированные решения:


CASB (cloud access security broker) - брокеры безопасности облачного доступа, обеспечивающие ИБ в облаке путем аутентификации пользователей (в т.ч. мультифакторной), контролем предоставления доступа к данным, логированием действий, предоставлением отчетности, а также путем контроля программного API-доступа со стороны приложений и сервисов.


CSPM (cloud security posture management) - системы управления состоянием облачной безопасности, помогающие проанализировать киберриски на основе данных о настройках облачной инфраструктуры, проводящие оценку соответствия текущих настроек облачных систем требованиям законодательства и рекомендациям вендоров, помогающие визуализировать состояние ИБ в Cloud-инфраструктуре.


CWPP (cloud workload protection platform) - облачные системы защиты сервисов, осуществляющие контроль настроек размещенных в облаке элементов (серверов, контейнеров, приложений), анализ их уязвимостей, сегментацию на сетевом уровне, контроль активности, устранение угроз.


SASE (secure access service edge) - пограничные сервисы безопасного доступа, предоставляющие пользователям удобный и безопасный доступ к корпоративным облачным ресурсам с использованием средств мультифакторной аутентификации, с проверкой подключающегося устройства на соответствие требованиям компании (т.н. posturing), с применением функционала систем обнаружения/предотвращения вторжений и контролем сетевого трафика.

Управление ИБ Киберриски (Cyber Risk, CRS) Угрозы ИБ Нарушители ИБ Практика ИБ Подкасты ИБ Управление уязвимостями Big Data СЗИ Оргмеры ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют