Божокоев Аскар Муратович › uploads › files › presentations ›...
TRANSCRIPT
![Page 1: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/1.jpg)
Создание эффективного IRP
Божокоев Аскар Муратович
Консультант по информационной безопасности
![Page 2: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/2.jpg)
Что это за объект, на котором возник инцидент ИБ?
Как организовать привлечение к работе смежных подразделений?
Как сократить время реагирования?
Что делать с обнаруженными уязвимостями?
Типовые вопросы, возникающие у сотрудников Центра кибербезопасности
![Page 3: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/3.jpg)
Трудности:
Сеть предприятия распределенная и включает в себя большое количество ИТ-объектов;
ИТ-объекты постоянно модернизируются и обновляются;
Зачастую у сотрудников отсутствует полная информация об используемых ИТ-объектах
Решение:
Создание CMDB, автоматизированное поддержание её в актуальном состоянии путём интеграции с несколькими средствами инвентаризации для обогащения данных по активу
Что это за объект?
![Page 4: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/4.jpg)
Организация работыКак работать со смежными подразделениями?
Трудности: Подчинение подразделений разным руководителям
Сильная бюрократизация процесса привлечения смежных подразделений
Отсутствие заранее согласованного совместного плана действий
Контроль сроков усложняется при увеличении количества задействованных сотрудников
Решение:
Создание единой платформы управления инцидентами ИБ, обеспечивающей совместную работу над инцидентами, интеграция с системами управления ИТ
![Page 5: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/5.jpg)
Как сократить время реагирования?
Время реакции
Трудности:
Зачастую необходимо максимально быстро выполнить типовые действия по реагированию на инцидент ИБ
У сотрудников Центра мониторинга зачастую отсутствуют административные права к средствам управления ИТ и средствам защиты
Размывание ответственности за администрирование из-за передачи административных учетных данных в ИБ
Решение:
Использование внешней системы оркестрации и создание типовых автоматизированных сценариев реагирования на инциденты ИБ
![Page 6: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/6.jpg)
Что делать с обнаруженными уязвимостями?
Трудности:
Не всегда есть полная информация об объекте, на котором обнаружена
уязвимость (критичность объекта, его расположение и владелец)
Большое количество уязвимостей в целом по предприятию, в том
числе, однотипных
Необходимость привлечения к работе специализированных служб
(например, служба АСУ ТП)
Решение:
Внесение уязвимостей ИБ в единую платформу управления, привязка к ИТ-активам, контроль за устранением уязвимостей.
Уязвимости
![Page 7: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/7.jpg)
Основные задачи Центра кибербезопасности
Инвентаризация ИТ- активов (построение
CMDB)
Управление инцидентами ИБ
(расследование и реагирование)
Управление деятельностью по работе с
уязвимостями
Ключевые задачи
![Page 8: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/8.jpg)
Интеграция с внешними системами инвентаризации,
например:
MF uCMDB
MS SCCM
Kaspersky KSC
PT MaxPatrol
и другие
Дополнение информации вручную, которую
невозможно собрать автоматически
Построение CMDB
![Page 9: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/9.jpg)
Реагирование и расследование
Интеграция с автоматизированной системой сбора и корреляции событий ИБ
Автоматизация работы с инцидентами ИБ с возможностью гибкой настройки сценариев реагирования
Реагирования на инциденты ИБ с помощью внешней системы оркестрации. Реализация сервисно-изолированной модели
Управление инцидентами ИБ
![Page 10: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/10.jpg)
Управление деятельностью по работе с уязвимостями
Интеграция с системой анализа защищенности для выявления уязвимостей
Автоматизация процесса работы с уязвимостями:
регистрация выявленных уязвимостей
назначение задачи по закрытию
контроль выполнения задач
формирование отчетных документов
Уязвимости
![Page 11: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/11.jpg)
Архитектура КСУИБ
Информация об ИТ-активах
Информация об обнаруженных
уязвимостях в ИТ-активах
Информация об ИТ-активах
Информация о планах
мероприятий
Информация о выявленных
инцидентах ИБ
ИКТ-инфраструктура Предприятия
Серверы (AD, БД, приложений, веб и др.)
Сетевое оборудование(МЭ, IPS/IDS, роуутеры, коммутаторы и др.
АРМ (рабочие станции)
Средства инвентаризации, мониторинга и анализа
Информационно-аналитическая панельдля руководства
Анализ инцидентов ИБ и формирование
планов реагирования на
инциденты
ВЫСШЕЕ РУКОВОДСТВО И РУКОВОДСТВО ИБ
Анализ и принятие управленческих решений на основании статистической и аналитической информации
РУКОВОДСТВО ИБ И СПЕЦИАЛИСТЫ ИБ И ИТ
Идентификация объектов защиты и учет их взаимосвязей с бизнес-процессами организации
Оценка критичности активов Управление инцидентами ИБ Формирование модели угроз ИБ Управление рисками ИБ Контроль соответствия текущего состояния ИБ
требуемому уровню
СПЕЦИАЛИСТЫ ИБ И ИТ
Сбор информации о СрЗИ и ИТ-инфраструктуре
Сбор и анализ событий ИБ Контроль предоставления прав доступа и
построение текущей матрицы доступа Мониторинг состояния ИТ-инфраструктуры Поиск уязвимостей ИБ Предоставление информации в подсистемы
КСУИБ
Обмен данными о конфигурационных
единицах, инцидентах ИБ, запуск сценариев
реагирования на инциденты ИБ
Комплексная система управления ИБ (КСУИБ)
Подсистема управления
инцидентами ИБ
Ядро КСУИБ
Подсистема управления уязвимостями
Подсистема информационного обмена с центром
ГосСОПКА
ВНЕШНИЕ СЕРВИСЫ ИБ:
- киберразведка (Threat Intelligence)
- другие сервисы
Обмен данными об инцидентах и
компьютерных атаках
ГосСОПКА(ФСБ России)
Рекомендации, требования, помощь в
расследовании инцидентов
ФинЦЕРТ(ЦБ РФ)
Системаинвентаризации
Информация о событиях ИБ
Информация об ИТ-активах
Информация об уязвимостях в ИТ-активах
Система сбора, анализа и корреляции
событий ИБ
Система анализа защищённости и
контроля требований
Информация об инцидентах ИБ
Средства защиты информации(АВЗ, защита от НСД и др.)
Сервисы ИТ-блока
Система поддержки пользователей MF Service
Manager
Запуск сценариев реагирования на инциденты ИБ
Система управления сложными компьютерными системами и
службамиMF Operations Orchestration
Система управления конфигурационными
единицами MF uCMDB
Обмен данными об инцидентах и
компьютерных атаках
Подсистема управления
активами
![Page 12: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/12.jpg)
Инвентаризация ИТ-активов
Активы отсутствуют
![Page 13: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/13.jpg)
Инвентаризация ИТ-активов
Активы, имеющиеся в KSC
![Page 14: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/14.jpg)
Инвентаризация ИТ-активов
Активы загружены в
КСУИБ из KSC
![Page 15: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/15.jpg)
Инвентаризация ИТ-активов
Данные,
полученные из KSC
в карточке актива
![Page 16: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/16.jpg)
Управление инцидентами ИБ
Инциденты ИБ
отсутствуют
![Page 17: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/17.jpg)
Управление инцидентами ИБ
SIEM система выявила
инцидент!
![Page 18: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/18.jpg)
Управление инцидентами ИБ
Скрин КСУИБ – появились инциденты
Загруженные инциденты
ИБ
![Page 19: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/19.jpg)
Управление инцидентами ИБ. Блокирование УЗ
Инцидент №1. Кто зашёл под УЗ
сотрудника, которого нет в
офисе
![Page 20: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/20.jpg)
Управление инцидентами ИБ. Блокирование УЗ
План реагирования на инцидент
![Page 21: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/21.jpg)
Управление инцидентами ИБ. Блокирование УЗ
Перечень задач по инциденту
![Page 22: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/22.jpg)
Управление инцидентами ИБ. Блокирование УЗ
Выясняем был ли зафиксирован проход работника на территорию. Анализируем
СКУД. Проход зафиксирован не был
![Page 23: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/23.jpg)
Управление инцидентами ИБ. Блокирование УЗ
Запускаем скрипт
блокировки УЗ в AD
![Page 24: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/24.jpg)
Управление инцидентами ИБ. Блокирование УЗ
Сценарий блокировки УЗ в
Оркестраторе
![Page 25: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/25.jpg)
Управление инцидентами ИБ. Блокирование УЗ
УЗ заблокирована в AD
![Page 26: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/26.jpg)
Управление инцидентами ИБ
Скрин КСУИБ – появились инциденты
Рассмотрим инцидент №2.
Появление вредоносного
объекта
![Page 27: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/27.jpg)
Управление инцидентами ИБ. Блокирование вируса
План реагирования на инцидент
Hash файла с подозрением на
вредонос. Получен из SIEM
![Page 28: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/28.jpg)
Управление инцидентами ИБ. Блокирование вируса
Направляем запрос из
КСУИБ в MISP. Hash есть в
базе. Файл действительно
вредоносный
![Page 29: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/29.jpg)
Управление инцидентами ИБ. Блокирование вируса
Видим, что потенциальный вредоносный объект может
быть запущен на АРМ сотрудника
![Page 30: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/30.jpg)
Управление инцидентами ИБ. Блокирование вируса
Запускаем скрипт на
блокирование hash в KSC
Запускаем скрипт на
блокирование hash в KSC
![Page 31: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/31.jpg)
Управление инцидентами ИБ. Блокирование вируса
KSC получил из Оркестатора
команду на блокировку hash
![Page 32: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/32.jpg)
Управление инцидентами ИБ. Блокирование вируса
Вредоносный файл заблокирован, запустить его сотрудник
уже не может
![Page 33: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/33.jpg)
Управление уязвимостями
Данные об
уязвимостях
отсутствуют
![Page 34: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/34.jpg)
Управление уязвимостями
Проводим сканирование
уязвимостей
![Page 35: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/35.jpg)
Управление уязвимостями
Данные об
уязвимостях
загружены
![Page 36: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/36.jpg)
Управление уязвимостями
Карточка уязвимости с полученными из сканера
описанием уязвимости и данными об объекте
воздействия
![Page 37: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/37.jpg)
Управление уязвимостями
Формируем задачу на устранение
уязвимости, назначаем
исполнителя
![Page 38: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/38.jpg)
Управление уязвимостями
Уязвимость закрыта, приняты
корректирующие меры
![Page 39: Божокоев Аскар Муратович › uploads › files › presentations › Бальный › … · Блокирование УЗ Инцидент №1. Кто зашёл](https://reader035.vdocuments.site/reader035/viewer/2022081406/5f1011527e708231d4474910/html5/thumbnails/39.jpg)
Казань 420029
Сибирский тракт, 34
тел: (843) 272-81-61
факс: (843) 279-49-05
web: www.icl.ru
СПАСИБО ЗА ВАШЕ ВНИМАНИЕ!