В одной из прошлых статей мы писали про то как с помощью социальной инженерии и человеческого фактора можно осуществить успешную атаку на корпоративную сеть крупной компании выполнил все этапы убийственной цепочки (kill chain). Не смотря на то что в копании принята политика формационной безопасности и применяются различные СЗИ - межсетевые экраны, антивирусы, прокси сервера и т.д. А что же тогда с теми кто вообще не использует СЗИ? Они более уязвимы? Сегодня речь пойдет о том как же найти оптимальный состав СЗИ необходимый именно вам.
Для определения и перечисления СЗИ, которые необходимы вам в данный момент можно исходить из жизненного цикла атаки (kill chain) и набрать средств защиты, которые позволяют бороться с угрозами "ДО", "ВО ВРЕМЯ" и "ПОСЛЕ" их появления на защищаемом объекте. При этом реализованы эти средства защиты могут как на уровне сети, виртуальной среды или облака, так и на уровне стационарных или мобильных устройств и тому подобное.
Вариант второй - воспользоваться уже имеющуюся модель NIST CuberSecurity Framework (CSF), которая становится стандартом де-факто в США и на базе которой строят свои системы защиты многие американские предприятия. Все защитные мероприятия делятся на 5 направлений - идентификация активов, защита, обнаружение угроз, реагирование и восстановление (см. рисунок ниже).
При этом эти пять направлений могут быть наложены на объекты защиты - сеть, устройства, приложения, пользователей и данные
Схожую модель можно построить исходя из шести направлений, предложенных Министерством Обороны США, и наложенных на этапы реализации атаки (kill chain). Я специально не стал переводить на русский язык 6 направлений - в англоязычном варианте они очень красиво смотрятся (этакая модель 6D).
Наиболее же полно выглядит периодическая таблица кибербезопасности.
Да, да и такая существует!
Шутки шутками, но на самом деле такая визуализация действительно помогает понять, чего нам не хватает с точки зрения обеспечения ИБ и на что стоит обратить внимание. Обычно же мы концентрируемая на предотвращении угроз, отдавая ему предпочтение в 80% случаев - оставшиеся 15% и 5% соответственно делятся между обнаружением и реагирование на угрозы. Однако такой перекос в предотвращение угроз (борьбу с ними "ДО" их появления на объекте защиты) плохо помогает в современном мире, когда мы не можем предотвратить все. Необходимо смотреть чуть шире и быть готовым к тому, что нас все-таки взломают и надо будет оперативно локализовывать скомпрометированный узел и восстанавливать его в предатакованное состояние.
И упомянутые выше модели позволяет сделать это.
За материалы спасибо Алексей Лукацкий
Комментариев нет:
Отправить комментарий
Вы можете добавить свой комментарий...
Примечание. Отправлять комментарии могут только участники этого блога.