SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Защита данных и носителей информации от вирусов и взлома

Защита данных и носителей информации от вирусов и взлома
14.10.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

В предыдущей статье мы рассказали о решениях класса DCAP. Раскрывая тему защиты данных, сегодня расскажем про датацентричный подход к кибербезопасности, про процессы управления данными и методы их защиты.

 

В современных средних и крупных компаниях цифровизация бизнес-процессов достигла уровня, при котором кибербезопасность является одним из главных приоритетов и условием успешного развития бизнеса. В традиционной экономике, до четвертой промышленной революции, главными ценностями компании были физические активы - здания, техника, станки, материал, продукция. Сейчас всё чаще главными активами становятся цифровые объекты - данные, приложения, информационные системы, а также бизнес-процессы, которые тоже зачастую зависят от ИТ-инфраструктуры. Объекты кибернападения и киберзащиты - это люди, процессы, технологии и данные, которые связывают воедино первые три элемента. Всё более актуальными становятся задачи обеспечения информационной безопасности данных - их конфиденциальности, целостности, доступности, неотказуемости, подотчетности, подлинности, достоверности.

 

В современной кибербезопасности можно условно выделить несколько подходов:


1.   Активоцентричный - классический подход, в фокусе внимания которого находятся информационные системы, бизнес-процессы, приложения и сервисы, которые помогают бизнесу генерировать прибыль и выполнять миссию компании;


2.   Инцидентоцентричный - более современный подход, в рамках которого процессы ИБ выстроены для недопущения критичных киберинцидентов (т.н. недопустимых событий);


3.   Датацентричный - подход, при котором основное внимание уделяется защите данных при их обработке (включая создание, хранение, использование, передачу, изменение, удаление и т.д.).

 

В 2010-х годах ИБ-эксперты начали говорить про необходимость использования датацентричного подхода (data-centric security) вместо классической модели сетевой безопасности (network-centric security), обладающей определенными недостатками: распространение облачных инфраструктур и удаленной работы не позволяло эффективно защищать размытый сетевой периметр, а возможность несанкционированного доступа к данным со стороны сотрудников и ИТ-администраторов приводила к утечкам и никак не закрывалась классическими СЗИ. Датацентричный подход начал применяться в компаниях, основной ценностью которых являются именно данные - например, исходный код программных продуктов, чертежи, схемы, топологии микросхем, формулы (математические, физические, химические), персональные данные клиентов, платежная информация, объекты интеллектуальной собственности, Big Data. Кроме того, интерес к датацентричному подходу и спрос на соответствующие средства защиты подстегивают и строгие законодательные нормы в отношении обработки персональных данных (152-ФЗ, GDPR, HIPAA, CCPA), финансовой информации и данных платежных карт (ГОСТ Р 57580.1-2017, PCI DSS, Положения ЦБ РФ №672-П, №719-П), коммерческой тайны (98-ФЗ).

 

В зарубежной литературе часто встречается понятие управления данными (англ. Data Governance), которое означает набор процессов для управления данными и модель управления данными, включающую в себя полномочия, управление, параметры принятия решений в отношении данных, которые создаются или управляются компанией. В отношении управления данными приняты несколько уровней зрелости для компаний:


1.  Data-informed (или Data-aware) - компания собирает данные, упорядочивает и документирует процессы их обработки, а сотрудники знают, где хранятся данными и как можно их использовать, при этом бизнес-решения не принимаются на основе имеющихся данных;


2.  Data-driven - компания применяет Data Science (работает с Big Data), использует обрабатываемые данные для принятия решений и для планирования своего развития;


3.  Data-centric - обработка Big Data является ядром бизнеса, результаты обработки непосредственно влияют на принимаемые бизнес-решения.

 

Для выстраивания процесса управления данными следует выполнить два блока задач:


1. Классификация данных, в рамках которой следует ответить на вопросы:

   ·   Откуда появились данные?

   ·   Кто является владельцем данных?

   ·   Кто контролирует данные?

   ·   Где и кого данных хранятся?

   ·   Каков тип этих данных?


2. Формирование корпоративных требований по защите данных, в рамках которого для каждого из классов данных следует ответить на вопросы:

   ·   Кто (что) может использовать данные, как именно, с какой целью, при каких условиях?

   ·   Где и как долго будут храниться данные?

   ·   Как нужно защищать данные (при передаче, использовании, хранении, резервном копировании)?

   ·   Можно ли раскрывать данные, в каком объеме, с какими мерами предосторожности, нужно ли предварительно преобразовать данные или установить специальные метки?

 

После классификации данных и формирования требований по их защите, можно перейти к разработке корпоративных политик и правил управления данными, которые должны учитывать требования законодательства и бизнеса, а также должны содержать требования к аутентификации пользователей и ролей в бизнес-приложениях и правила доступа бизнес-приложений к данным. 


Существует пять основных моделей управления данными, которые отличаются методами формирования политик и правил управления данными:

1.  Top-down (сверху вниз) - руководители компании формируют политики управления данными и передают их в бизнес-подразделения для выполнения;

2.  Bottom-up (снизу вверх) - сотрудники на местах формируют практику работы с данными и передают свои наработки руководству;

3.  Center-out (центробежная) - выделенная группа экспертов формирует корпоративные стандарты для работы с данными;

4.  Silo-in (центростремительная) - представители различных подразделений компании коллективно формируют правила работы с данными;

5.  Hybrid (гибридная) - совместное использование перечисленных моделей сотрудниками на разных уровнях иерархии в компании.

 

Для реализации описанных моделей разработаны несколько фреймворков управления данными, например:

   ·   DGI Data Governance Framework (фреймворк управления данными);

   ·   Data Management Body of Knowledge (DAMA-DMBOK, база знаний по управлению данными);

   ·   Data Management Capability Assessment Model (модель оценки уровня возможностей управления данными).

 

Для защиты данных применяются следующие меры:


1. Организационные:

   ·   Классификация данных;

   ·   Формирование корпоративных требований по защите данных;

   ·   Разработка корпоративных политик и правил управления данными;

   ·   Введение и поддержание режима коммерческой тайны (в соответствии с требованиями 98-ФЗ);

   ·   Разработка пакета ОРД по защите ПДн (в соответствии с требованиями 152-ФЗ);

   ·   Разработка пакета ОРД по защите финансовой информации и данных платежных карт (в соответствии с требованиями стандартов ГОСТ Р 57580.1-2017 и PCI DSS, Положений ЦБ РФ №672-П и №719-П).


2. Технические:

   ·   Обнаружение (инвентаризация) данных;

   ·   Классификация данных (на основе контентного и контекстного анализа, анализа метаданных);

   ·   Разделение полномочий (separation of duties);

   ·   Реализация принципа наименьших привилегий (principle of least privilege);

   ·   Предоставление доступа к данным только при наличии обоснования и согласования на ознакомление с данными, использование и хранение данных, подключение к информационной системе (need to know, need to use, need to store, need to connect);

   ·   Актуализация прав доступа к данным;

   ·   Ограничение доступа к данным по времени;

   ·   Сегментирование и контроль доступа к данным с использованием подхода "Zero Trust";

   ·   Применение шифрования при хранении, передаче, использовании данных (data at rest, data in transit, data in use), в частности использование методов гомоморфного и прозрачного шифрования данных;

   ·   Применение методов статического и динамического маскирования, токенизации, анонимизации данных (masking / obfuscation, tokenization, anonymization);

   ·   Обеспечение мониторинга и аудита всех операций с данными;

   ·   Создание резервных копий, шифрование носителей информации с резервными копиями;

   ·   Надежное (гарантированное) удаление, стирание, уничтожение данных и носителей информации.


3. Физические:

   ·   Обеспечение контроля и учета доступа в помещения, в которых производится обработка данных;

   ·   Защита, учет, контроль перемещения носителей информации, включая съемные носители информации, мобильные устройства, рабочие станции, серверы, объекты ЦОД, кассеты ленточных накопителей с резервными копиями.

 

Для реализации технических мер защиты данных применяются следующие классы СЗИ:

   ·   DCAP - Data-Centric Audit and Protection, системы датацентричного аудита и защиты;

   ·   DAG - Data Access Governance, системы управления доступом к данным;

   ·   DLP - Data Leak/Leakage/Loss Prevention, системы предотвращения утечек/потери данных;

   ·   RMS - Rights Management Services, службы управления правами доступа;

   ·   DSPM - Data Security Posture Management, системы управления состоянием безопасности данных;

   ·   UDM - Unstructured Data Management, системы управления неструктурированными данными;

   ·   DSG - Data Security Governance, системы управления безопасностью данных.

 

Одними из наиболее продвинутых систем для защиты и управления данными на сегодняшний день являются системы класса DCAP, которые обладают следующими характеристиками:

   ·   Анализ содержимого файлов, контентное разграничение доступа;

   ·   Аудит прав доступа (построение списка доступных объектов для каждого субъекта, построение списка субъектов доступа для каждого объекта);

   ·   Аудит доступа к определенным типам данных (например, к персональным данным, коммерческой тайне);

   ·   Контроль прав доступа, уменьшение количества избыточных прав;

   ·   Выявление владельцев файлов (например, по частоте обращения);

   ·   Ведение истории файлов (кем и когда был создан, как изменялся, кем и когда был удален);

   ·   Поиск всех объектов (файлов), содержащих определенные данные (например, персональные данные конкретного клиента);

   ·   Дедупликация данных (например, для экономии дискового пространства, для создания резервных копий меньшего объема);

   ·   Контроль работы систем ИИ с данными (к каким данным ИИ получает доступ, какие данные загружаются в LLM, классификация генерируемых ИИ данных, контроль промптов на наличие конфиденциальной информации, выявление аккаунтов ИИ и copilot-пользователей с доступом к конфиденциальной информации, выявление аномалий в действиях ИИ по отношению к данным);

   ·   Выявление аномалий и несанкционированных действий, блокирование вредоносных действий (например, блокирование учетной записи или перевод её в режим «только чтение» в случае подозрения на заражение вирусом-шифровальщиком).

 

Системы класса DCAP могут быть востребованы при решении, например, следующих практических кейсов:

   ·   Наведение порядка в работе с данными - структурирование содержимого файловых хранилищ, выявление конфиденциальных данных, определение эффективных права доступа пользователей;

   ·   Противодействие кибершпионажу - предотвращение, выявление и расследование инцидентов, связанных с действиями инсайдеров и вирусов-шпионов (spyware);

   ·   Борьба с шифровальщиками - предотвращение, выявление и расследование кибератак с использованием вирусов-шифровальщиков (ransomware);

   ·   Защита коммерческой тайны - выявление всех мест хранения сведений, составляющих коммерческую тайну, и определение пользователей, обращавшихся к определенным файлам в заданные временные промежутки;

   ·   Выполнение требований законодательства - удаление всей информации, относящейся к определенному субъекту персональных данных, который подал соответствующий запрос.

 

Среди зарубежных систем класса DAG/DCAP можно отметить следующие продукты:

   ·   IBM Guardium Data Protection

   ·   Imperva Data Security Fabric

   ·   Microsoft Purview

   ·   Netwrix Enterprise Auditor

   ·   SailPoint Data Access Security

   ·   Varonis Data Security Platform

   ·   Veritas Data Insight

 

Среди российских систем класса DAG/DCAP можно отметить следующие продукты:

   ·   CTSG Docs Security Suite

   ·   Cyberpeak Спектр

   ·   InfoWatch Data Discovery

   ·   Makves DCAP

   ·   Solar DAG

   ·   Zecurion DCAP

   ·   Гарда DCAP

   ·   Орлан.DCAP

   ·   СёрчИнформ FileAuditor

ИБ для начинающих Практика ИБ СЗИ Нарушители ИБ Подкасты ИБ

Похожие статьи

От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Модель угроз ФСТЭК
Модель угроз ФСТЭК

Похожие статьи

От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
От пользовательского пути к защищённым системам: как UX / UI влияет на кибербезопасность
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Модель угроз ФСТЭК
Модель угроз ФСТЭК