Embed Size (px)
Citation preview
Создание эффективного IRP
Божокоев Аскар Муратович
Консультант по информационной безопасности
Что это за объект, на котором возник инцидент ИБ?
Как организовать привлечение к работе смежных подразделений?
Как сократить время реагирования?
Что делать с обнаруженными уязвимостями?
Типовые вопросы, возникающие у сотрудников Центра кибербезопасности
Трудности:
Сеть предприятия распределенная и включает в себя большое количество ИТ-объектов;
ИТ-объекты постоянно модернизируются и обновляются;
Зачастую у сотрудников отсутствует полная информация об используемых ИТ-объектах
Решение:
Создание CMDB, автоматизированное поддержание её в актуальном состоянии путём интеграции с несколькими средствами инвентаризации для обогащения данных по активу
Что это за объект?
Организация работыКак работать со смежными подразделениями?
Трудности: Подчинение подразделений разным руководителям
Сильная бюрократизация процесса привлечения смежных подразделений
Отсутствие заранее согласованного совместного плана действий
Контроль сроков усложняется при увеличении количества задействованных сотрудников
Решение:
Создание единой платформы управления инцидентами ИБ, обеспечивающей совместную работу над инцидентами, интеграция с системами управления ИТ
Как сократить время реагирования?
Время реакции
Трудности:
Зачастую необходимо максимально быстро выполнить типовые действия по реагированию на инцидент ИБ
У сотрудников Центра мониторинга зачастую отсутствуют административные права к средствам управления ИТ и средствам защиты
Размывание ответственности за администрирование из-за передачи административных учетных данных в ИБ
Решение:
Использование внешней системы оркестрации и создание типовых автоматизированных сценариев реагирования на инциденты ИБ
Что делать с обнаруженными уязвимостями?
Трудности:
Не всегда есть полная информация об объекте, на котором обнаружена
уязвимость (критичность объекта, его расположение и владелец)
Большое количество уязвимостей в целом по предприятию, в том
числе, однотипных
Необходимость привлечения к работе специализированных служб
(например, служба АСУ ТП)
Решение:
Внесение уязвимостей ИБ в единую платформу управления, привязка к ИТ-активам, контроль за устранением уязвимостей.
Уязвимости
Основные задачи Центра кибербезопасности
Инвентаризация ИТ- активов (построение
CMDB)
Управление инцидентами ИБ
(расследование и реагирование)
Управление деятельностью по работе с
уязвимостями
Ключевые задачи
Интеграция с внешними системами инвентаризации,
например:
MF uCMDB
MS SCCM
Kaspersky KSC
PT MaxPatrol
и другие
Дополнение информации вручную, которую
невозможно собрать автоматически
Построение CMDB
Реагирование и расследование
Интеграция с автоматизированной системой сбора и корреляции событий ИБ
Автоматизация работы с инцидентами ИБ с возможностью гибкой настройки сценариев реагирования
Реагирования на инциденты ИБ с помощью внешней системы оркестрации. Реализация сервисно-изолированной модели
Управление инцидентами ИБ
Управление деятельностью по работе с уязвимостями
Интеграция с системой анализа защищенности для выявления уязвимостей
Автоматизация процесса работы с уязвимостями:
регистрация выявленных уязвимостей
назначение задачи по закрытию
контроль выполнения задач
формирование отчетных документов
Уязвимости
Архитектура КСУИБ
Информация об ИТ-активах
Информация об обнаруженных
уязвимостях в ИТ-активах
Информация об ИТ-активах
Информация о планах
мероприятий
Информация о выявленных
инцидентах ИБ
ИКТ-инфраструктура Предприятия
Серверы (AD, БД, приложений, веб и др.)
Сетевое оборудование(МЭ, IPS/IDS, роуутеры, коммутаторы и др.
АРМ (рабочие станции)
Средства инвентаризации, мониторинга и анализа
Информационно-аналитическая панельдля руководства
Анализ инцидентов ИБ и формирование
планов реагирования на
инциденты
ВЫСШЕЕ РУКОВОДСТВО И РУКОВОДСТВО ИБ
Анализ и принятие управленческих решений на основании статистической и аналитической информации
РУКОВОДСТВО ИБ И СПЕЦИАЛИСТЫ ИБ И ИТ
Идентификация объектов защиты и учет их взаимосвязей с бизнес-процессами организации
Оценка критичности активов Управление инцидентами ИБ Формирование модели угроз ИБ Управление рисками ИБ Контроль соответствия текущего состояния ИБ
требуемому уровню
СПЕЦИАЛИСТЫ ИБ И ИТ
Сбор информации о СрЗИ и ИТ-инфраструктуре
Сбор и анализ событий ИБ Контроль предоставления прав доступа и
построение текущей матрицы доступа Мониторинг состояния ИТ-инфраструктуры Поиск уязвимостей ИБ Предоставление информации в подсистемы
КСУИБ
Обмен данными о конфигурационных
единицах, инцидентах ИБ, запуск сценариев
реагирования на инциденты ИБ
Комплексная система управления ИБ (КСУИБ)
Подсистема управления
инцидентами ИБ
Ядро КСУИБ
Подсистема управления уязвимостями
Подсистема информационного обмена с центром
ГосСОПКА
ВНЕШНИЕ СЕРВИСЫ ИБ:
- киберразведка (Threat Intelligence)
- другие сервисы
Обмен данными об инцидентах и
компьютерных атаках
ГосСОПКА(ФСБ России)
Рекомендации, требования, помощь в
расследовании инцидентов
ФинЦЕРТ(ЦБ РФ)
Системаинвентаризации
Информация о событиях ИБ
Информация об ИТ-активах
Информация об уязвимостях в ИТ-активах
Система сбора, анализа и корреляции
событий ИБ
Система анализа защищённости и
контроля требований
Информация об инцидентах ИБ
Средства защиты информации(АВЗ, защита от НСД и др.)
Сервисы ИТ-блока
Система поддержки пользователей MF Service
Manager
Запуск сценариев реагирования на инциденты ИБ
Система управления сложными компьютерными системами и
службамиMF Operations Orchestration
Система управления конфигурационными
единицами MF uCMDB
Обмен данными об инцидентах и
компьютерных атаках
Подсистема управления
активами
Инвентаризация ИТ-активов
Активы отсутствуют
Инвентаризация ИТ-активов
Активы, имеющиеся в KSC
Инвентаризация ИТ-активов
Активы загружены в
КСУИБ из KSC
Инвентаризация ИТ-активов
Данные,
полученные из KSC
в карточке актива
Управление инцидентами ИБ
Инциденты ИБ
отсутствуют
Управление инцидентами ИБ
SIEM система выявила
инцидент!
Управление инцидентами ИБ
Скрин КСУИБ – появились инциденты
Загруженные инциденты
ИБ
Управление инцидентами ИБ. Блокирование УЗ
Инцидент №1. Кто зашёл под УЗ
сотрудника, которого нет в
офисе
Управление инцидентами ИБ. Блокирование УЗ
План реагирования на инцидент
Управление инцидентами ИБ. Блокирование УЗ
Перечень задач по инциденту
Управление инцидентами ИБ. Блокирование УЗ
Выясняем был ли зафиксирован проход работника на территорию. Анализируем
СКУД. Проход зафиксирован не был
Управление инцидентами ИБ. Блокирование УЗ
Запускаем скрипт
блокировки УЗ в AD
Управление инцидентами ИБ. Блокирование УЗ
Сценарий блокировки УЗ в
Оркестраторе
Управление инцидентами ИБ. Блокирование УЗ
УЗ заблокирована в AD
Управление инцидентами ИБ
Скрин КСУИБ – появились инциденты
Рассмотрим инцидент №2.
Появление вредоносного
объекта
Управление инцидентами ИБ. Блокирование вируса
План реагирования на инцидент
Hash файла с подозрением на
вредонос. Получен из SIEM
Управление инцидентами ИБ. Блокирование вируса
Направляем запрос из
КСУИБ в MISP. Hash есть в
базе. Файл действительно
вредоносный
Управление инцидентами ИБ. Блокирование вируса
Видим, что потенциальный вредоносный объект может
быть запущен на АРМ сотрудника
Управление инцидентами ИБ. Блокирование вируса
Запускаем скрипт на
блокирование hash в KSC
Запускаем скрипт на
блокирование hash в KSC
Управление инцидентами ИБ. Блокирование вируса
KSC получил из Оркестатора
команду на блокировку hash
Управление инцидентами ИБ. Блокирование вируса
Вредоносный файл заблокирован, запустить его сотрудник
уже не может
Управление уязвимостями
Данные об
уязвимостях
отсутствуют
Управление уязвимостями
Проводим сканирование
уязвимостей
Управление уязвимостями
Данные об
уязвимостях
загружены
Управление уязвимостями
Карточка уязвимости с полученными из сканера
описанием уязвимости и данными об объекте
воздействия
Управление уязвимостями
Формируем задачу на устранение
уязвимости, назначаем
исполнителя
Управление уязвимостями
Уязвимость закрыта, приняты
корректирующие меры
Казань 420029
Сибирский тракт, 34
тел: (843) 272-81-61
факс: (843) 279-49-05
web: www.icl.ru
СПАСИБО ЗА ВАШЕ ВНИМАНИЕ!
