SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)

Риски кибербезопасности. Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)
15.03.2019


Чтобы перевести кибербезопасность в управляемый бизнес-процесс, необходимо обеспечить автоматизацию такого базового процесса, как управление рисками. Задача амбициозная, если мы говорим о реальной практической автоматизации, в которую входит регулярная идентификация новых рисков, анализ «темных зон» на стыке отдельных решений защиты, учет применяемых мер защиты, ведение реестра и контроль уровня рисков кибербезопасности с инструментом моделирования возможных исходов, визуализацию комплексного состояния информационной безопасности и четкие показатели эффективности систем безопасности. Решение Security Vision Cyber Risk System станет удобным инструментом для решения этой задачи.

Введение

Согласно ежегодному отчету Всемирного экономического форума The Global Risks Report, кибератаки впервые вошли в топ-3 наиболее вероятных и значимых угроз мира. Кроме этого, в списке 2018 года впервые появились и другие киберриски — кража данных, зависимость от ИТ-технологий и разрывы в критически важной информационной инфраструктуре.


Рисунок 1. Карта глобальных рисков 2018 года

 Карта глобальных рисков 2018 года

 

Киберриск – это любой риск финансовых потерь, организационных сбоев или ущерба репутации, связанный с каким-либо инцидентом в ИТ-инфраструктуре. Разделение зон ответственности ИБ и бизнеса в итоге приводит к тому, что ИБ-специалист ищет, «кто виноват» в уже случившихся инцидентах. Поскольку сегодня все ключевые бизнес-процессы завязаны на целостности ИТ-инфраструктуры, защита от киберугроз становится вопросом уровня топ-менеджмента. Поэтому для сохранения скорости бизнеса необходимо объединять системы управления бизнесом и информационными ресурсами с системами безопасности. Интеграция всех ключевых процессов бизнеса выводит систему управления киберрисками на новый уровень с повышенными требованиями к скорости реакции.

 

Как составить стратегию управления киберрисками

Стратегия кибербезопасности — это нечто большее, чем реализация контрольного списка требований. Модель угроз информационной безопасности включает в себя три направления — технологии, процессы, кадры. Но на стыке этих направлений появляются скрытые угрозы — темная зона для систем безопасности, специализирующихся на том или ином виде угроз.


Полноценная система менеджмента киберугроз должна иметь инструменты автоматической реакции и предусматривать сценарии реагирования на любые потенциальные риски на всех уровнях процессов компании. А чтобы понимать, куда наносить точечные удары, необходимо иметь информацию о текущем состоянии рисков в режиме реального времени. Управление рисками — основа системы защиты от киберугроз в компании, и для ее работы необходимо убедиться, что она вписывается в структуру управления компанией.


Поэтому для управления киберрисками на стратегическом уровне важно прояснить следующие вопросы:

1. Насколько сильно бизнес завязан на цифровой инфраструктуре? Каков уровень влияния киберугроз для вашей компании? Как эти риски можно идентифицировать? 
Регулярное обсуждение вопросов управления киберрисками с руководителями бизнес-подразделений повышает уровень поддержки руководства. При должной поддержке руководства становится возможным перевести процесс идентификации рисков в область автоматизированных. В этом случае «белые пятна» перестают быть больной мозолью. На первом этапе важно подключить справочники с базой активов компании, критичные бизнес-процессы, общий справочник рисков и др. справочники и данные компании, позволяющие автоматизировать идентификацию.

2. Какие угрозы актуальны для вашей компании? 
Комплексная программа кибербезопасности должна обеспечивать соответствие отраслевым стандартам и требованиям регуляторов. В первую очередь это касается банковской сферы. Анализ, объединение и интеграция данных о рисках из различных источников и участие в обмене информацией об угрозах с партнерами помогает организациям быстро выявлять и реагировать на инциденты. На этапе формирования модели угроз важно обеспечить входными данными и справочниками систему. Это как общедоступные и применимые к вам базы данных угроз, так и TI-платформы. На базе реестра угроз и применимого потенциала нарушителя мы строим частную модель угроз.

3. Не забываем про уязвимости. 
Параллельно с этим подтягиваем данные по техническим и организационным уязвимостям оцениваемых активов из области применения.

4. Насколько эффективны и как влияют на риски применяемые средства и меры защиты? 
Не секрет, что внедренные средства и меры защиты влияют на расчет рисков, тем более автоматический. Их эффективность зависит напрямую от должного уровня внедрения и использования по назначению. Меры защиты и их влияние учитывается с учетом выявленных уязвимостей.

5. А что было раньше с данными активами? 
Важным элементом в расчетах риска является информация об инцидентах случавшихся ранее применительно к активам из области оценки и оцениваемым активам. Правильно выстроенные алгоритмы обработки обеспечивают моментальную реакцию на инциденты и, таким образом, снижают вероятные потери от них. Кроме того, управление жизненным циклом инцидентов информационной безопасности определено в таких стандартах как СТО БР ИББС, ГОСТ Р ИСО/МЭК 18044-2007 или ISO 27000, и само по себе является хорошей практикой при внедрении комплексной системы управления информационной безопасностью.

6. Без математики нельзя. 
Все собранные данные и расчеты используются для многомерной оценки количественных рисков кибербезопасности. Качественная оценка происходит на базе опросных листов и оценок экспертов.

7. А для кого делаем расчеты? 
Ключевые индикаторы риска как основа мониторинга и контроля уровня риска кибербезопасности. Обязательно требует внимания.

8. А для чего делаем? 
Всегда не будет допустимого уровня риска, поэтому важна стратегия снижения риска кибербезопасности. Она базируется на разработке плана обработки рисков и практического моделирования возможных исходов рисков. Без автоматизации этих частей процесс будет давать сбои.

9. Наглядность и прозрачность. 
Для принятия эффективных управленческих решений и понимания уровня защищенности компании важна наглядность и прозрачность. Как следствие, визуальные инструменты оцифровки данных по информационной безопасности. Информационная безопасность всегда испытывала потребность в наглядности, что говорить про еще менее наглядный процесс — управление рисками кибербезопасности. Наглядное его отображение в реальном времени значительно поможет в понимании стратегии по кибербезопасности компании.

 

Автоматизация управления киберрисками с помощью Security Vision Cyber Risk System (CRS)

На российском рынке только начали появляться решения для автоматизации процессов управления киберрисками, и одно из них — Security Vision Cyber Risk System (CRS) от компании «Интеллектуальная безопасность».


Производитель Security Vision целенаправленно выделил управление киберрисками в отдельный продукт, понимая фундаментальную роль процесса в информационной безопасности. Анализ данных при расчете становится математически насыщенным и использует в качестве входных данных множество реестров и справочников, оценки по косвенным признакам случавшихся инцидентов, объединяя это в единый инструмент Cyber Risk System. Очевидно, что ручной анализ и сопоставление данных c разрозненных источников не даст той полноты анализа и скорости, которая нужна для подтверждения принимаемых управленческих решений и взаимодействия с инструментами автоматической реакции (например, Security Vision Incident Response Platform).


Решение интегрируется в инфраструктуру компании для круглосуточного анализа данных, поступающих как из систем защиты информации (DLP, IPS, WAF, управления инцидентами, сканеры уязвимостей и другие), так и из бизнес-приложений (АБС банка, СУБД бизнес-приложений). На основе этих данных система делает прогнозы по киберрискам организации и по произошедшим инцидентам. 

Система позволяет автоматизировать полный цикл управления киберрисками:

- Идентификация риска кибербезопасности;
- Анализ информации о мерах защиты;
- Ведение реестра рисков кибербезопасности;
- Моделирование возможных исходов риска кибербезопасности;
- Мониторинг и контроль уровня риска кибербезопасности.

При этом предоставляет инструмент расширенного охвата источников и предустановленных данных:

- Определение области оценки риска кибербезопасности;
- Частная модель угроз;
- Опросные листы;
- Оценка риска кибербезопасности;
- Интеграция со смежными системами;
- Планы обработки риска кибербезопасности;
- Ключевые индикаторы риска кибербезопасности;
- Экспресс-оценка риска кибербезопасности;
- Оценка рисков кибербезопасности третьих сторон.

Некоторые скриншоты системы представлены на рисунках 2-4:

 

Рисунок 2. Реестр угроз кибербезопасности в Security Vision Cyber Risk System (CRS)

Реестр угроз кибербезопасности в Security Vision Cyber Risk System (CRS)

 

Рисунок 3. Технические уязвимости в Security Vision Cyber Risk System (CRS)

Технические уязвимости в Security Vision Cyber Risk System (CRS)

 

Рисунок 4. Реестр рисков в Security Vision Cyber Risk System (CRS)

Реестр рисков в Security Vision Cyber Risk System (CRS)

 

В основе системы управления киберрисками лежит конструктор сущностей, позволяющий выстраивать управление рисками в компании используя собственную методологию без привлечения разработчика. Это удобный инструмент для зрелых компаний, заботящихся о безопасности своих данных и ноу-хау.


Работа с данными в системе выстроена в нескольких представлениях. Визуально удобная отчетность-конструктор уже стала «хорошим тоном» в любой системе управления, наглядный отчет упрощает задачу коммуникации с топ-менеджментом компании.Помимо отчетности-конструктора, визуализация присутствует в виде витрины дашбордов, также построенного по принципу конструктора, с предустановленными виджетами. Предустановленные виджеты отражают визуализацию области оценки рисков во всевозможных разрезах. Это удобно, когда выбирается заданная область оценки рисков и тут же по ней выводится полная информация достаточная для принятия решений.


Финальным инструментом визуализации являются представления во встроенной ГИС системе в режиме 2D и 3D с возможными динамическими представлениями. Это удобно для операторов, наблюдающих процесс изменения в динамике. Представление дает возможность интерактивного взаимодействия оператора через ГИС систему.

 

Рисунок 5. Визуальное представление в Security Vision Cyber Risk System (CRS)

Визуальное представление в Security Vision Cyber Risk System (CRS)

 

Рисунок 6. Дашборды в Security Vision Cyber Risk System (CRS)

 Дашборды в Security Vision Cyber Risk System (CRS)

 

Выводы

Динамика киберрисков и волна кибератак в последние годы показала, насколько бизнес зависим от ИТ-инфраструктуры. Массовость и публичность инцидентов выводит тему киберугроз в один из самых обсуждаемых вопросов экономики. В портфелях страховых брокеров появляются предложения страхования киберрисков. И топ-менеджмент флагманских компаний уже готов вникать в детали защиты от киберугроз.


Поэтому в ближайшие годы рынок систем стратегического управления киберрисками будет стремительно расти. Интеграторы уже начали реализовывать проекты по автоматизации комплексного выявления и реагирования на киберугрозы совместно с вендорами-пионерами этого направления.


Решение Security Vision Cyber Risk System уже зарекомендовало себя в проектах финансовой  отрасли в банках из списка топ-10, обеспечивая полный цикл автоматизации процесса управления киберрисками. 

К особенностям системы можно отнести:

- Конструктор — продукт позволяет моделировать и автоматизировать собственные методологии управления и оценки расчетов рисков, без текущей доработки со стороны разработчика.
- Объективная оценка данных — существующие смежные системы компании могут быть подключены к интеллектуальному разбору и анализу с использованием базы знаний решения.
- Мониторинг в режиме реального времени — внедренные в систему современные алгоритмы и технологии дают возможность перевести расчет рисков в разряд управляемых сервисов и контролировать состояние в режиме реального времени.
- Короткие сроки внедрения — существует как коробочное, так и проектное решение. Сроки внедрения коробочного решения позволяют получить результаты в течение месяца.
- Автоматизация — автоматическая адаптация методологий оценки рисков к собственным требованиям, международным стандартам и практикам, актуальным требованиям регуляторов, в том числе проекту положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
- Наличие готового отечественного продукта по управлению рисками, апробированного банками из списка топ-10, — хорошее подспорье финансовому рынку в поиске решений по соответствию проекту положения Центробанка.


Источник: https://www.anti-malware.ru/practice/methods/security-vision-cyber-risk-system-crs

Управление ИБ Киберриски (Cyber Risk, CRS) ГОСТы и документы ИБ Угрозы ИБ Дашборды ИБ Управление уязвимостями DLP

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса