Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
 

Внедрение микросегментации

Цель: дополнительная защита ключевых активов от несанкционированного доступа на сетевом уровне.

Микросегментация
- это подход к сетевой безопасности, который позволяет архитекторам безопасности определять границы зон сетевой безопасности для каждой вычислительной машины (хоста) в центрах обработки данных и облачных развертываниях, чтобы независимо разделять и защищать рабочие нагрузки.
В настоящее время она также используется в клиентской сети, а также в сети центров обработки данных.

Микросегментация внедряется чаще всего после базовой сегментации сети на уровне сетевого оборудования, например с помощью списков управления доступом (ACL).

Существует три основных типа микросегментации:
  • Сегментация на основе собственного встроенного брандмауэра операционной системы: Использует брандмауэры операционной системы для регулирования сетевого трафика между сегментами сети. Вместо использования маршрутизатора или сетевых брандмауэров или развертывания агентов каждый брандмауэр хоста (ОС) используется для выполнения как аудита, так и принудительного запрета активности, предотвращая перемещение злоумышленников между сетевыми машинами. В то время как брандмауэры на базе собственных операционных систем могут реализовывать множество схем сегментации, включая микросегментацию, только недавние инновации в этой области сделали внедрение и управление достаточно хорошо масштабируемыми.
  • Сегментация хост-агента: Этот стиль микросегментации использует агенты, установленные на  конечных точках. Наличие централизованного менеджера, имеющего доступ ко всем потокам данных, снижает сложность обнаружения скрытых протоколов или зашифрованных сообщений. Использование технологии хост-агента общепризнанно как мощный метод микросегментации. Поскольку зараженные устройства действуют как хосты, надежная настройка правил микросегментации может предотвратить появление проблем на незараженных. Однако это программное обеспечение должно быть установлено на каждом защищаемом хосте.
  • Сегментация на базе гипервизора: В этой реализации микросегментации весь трафик проходит через гипервизор. Поскольку мониторинг трафика происходит на уровне гипервизора, можно использовать все установленные под гипервизором МЭ, а также правила можно переносить на новые гипервизоры по мере развертывания экземпляров. Сегментация гипервизора обычно не работает с облачными средами, контейнерами или "голым железом", что является недостатком данного типа.
 
Рекомендации к заполнению карточки:
  • Описать тип/способ осуществления микросегментации;
  • Указать сегменты в которых осуществляется микросегментация;
  • Описать правила микросегментации или указать ссылку на них (через поле Инструмент);
  • Если используется ПО(СЗИ) - привязать его к карточке меры через поле Инструмент.
Область действия: Вся организация
Классификация
Тип
Техническая ?
Превентивная ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 11 п.п. 7
7.11.7. В организации БС РФ должны быть реализованы защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимодействия между сегментами вычислительных сетей.
В организации БС РФ должны быть определены и контролироваться правила информационного взаимодействия ИСПДн с иными АБС. 
CIS Critical Security Controls v8 (The 18 CIS CSC):
12.2
12.2 Establish and Maintain a Secure Network Architecture 
Establish and maintain a secure network architecture. A secure network architecture must address segmentation, least privilege, and availability, at a minimum. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗСВ.1
ЗСВ.1 Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности
3-Н 2-Т 1-Н
СМЭ.2
СМЭ.2 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, сегментов контуров безопасности и внутренних вычислительных сетей финансовой организации, не предназначенных для размещения информационной инфраструктуры, входящей в контуры безопасности (далее — иные внутренние вычислительные сети финансовой организации)
3-Н 2-Т 1-Т
ЗСВ.22
ЗСВ.22 Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных (допускается использование единых сегментов управления, выделяемых в рамках выполнения меры ЗСВ.22 и меры СМЭ.9)
3-Н 2-Н 1-Т
ЗСВ.15
ЗСВ.15 Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации
3-Н 2-Н 1-Т
ЗСВ.17
ЗСВ.17 Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия
3-Н 2-Т 1-Т
ЗСВ.13
ЗСВ.13 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности
3-Н 2-Т 1-Т
ЗСВ.14
ЗСВ.14 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности
3-Н 2-Т 1-Т
СМЭ.5
СМЭ.5 Реализация и контроль информационного взаимодействия с применением программных шлюзов между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации с целью обеспечения ограничения и контроля на передачу данных по инициативе субъектов логического доступа
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-5
PR.AC-5: Защищена целостность сети, включая сегрегацию сети при необходимости
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
УПД.3 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗСВ.10 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.4.2
1.4.2 
Defined Approach Requirements: 
Inbound traffic from untrusted networks to trusted networks is restricted to: 
  • Communications with system components that are authorized to provide publicly accessible services, protocols, and ports. 
  • Stateful responses to communications initiated by system components in a trusted network. 
  • All other traffic is denied. 
Customized Approach Objective:
Only traffic that is authorized or that is a response to a system component in the trusted network can enter a trusted network from an untrusted network. 

Applicability Notes:
The intent of this requirement is to address communication sessions between trusted and untrusted networks, rather than the specifics of protocols. This requirement does not limit the use of UDP or other connectionless network protocols if state is maintained by the NSC. 

Defined Approach Testing Procedures:
  • 1.4.2 Examine vendor documentation and configurations of NSCs to verify that inbound traffic from untrusted networks to trusted networks is restricted in accordance with all elements specified in this requirement. 
Purpose:
Ensuring that public access to a system component is specifically authorized reduces the risk of system components being unnecessarily exposed to untrusted networks. 

Good Practice:
System components that provide publicly accessible services, such as email, web, and DNS servers, are the most vulnerable to threats originating from untrusted networks. 
Ideally, such systems are placed within a dedicated trusted network that is public facing (for example, a DMZ) but that is separated via NSCs from more sensitive internal systems, which helps protect the rest of the network in the event these externally accessible systems are compromised. This functionality is intended to prevent malicious actors from accessing the organization's internal network from the Internet, or from using services, protocols, or ports in an unauthorized manner. 
Where this functionality is provided as a built-in feature of an NSC, the entity should ensure that its configurations do not result in the functionality being disabled or bypassed. 

Definitions:
Maintaining the "state" (or status) for each connection into a network means the NSC “knows” whether an apparent response to a previous connection is a valid, authorized response (since the NSC retains each connection’s status) or whether it is malicious traffic trying to fool the NSC into allowing the connection. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.1.3
A.13.1.3 Разделение в сетях 
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 11.4.5
11.4.5
Определенные Требования к Подходу:
Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются для элементов управления сегментацией следующим образом:
  • Не реже одного раза в 12 месяцев и после любых изменений в элементах управления/методах сегментации
  • Охватывающий все используемые элементы управления/методы сегментации.
  • В соответствии с определенной организацией методологией тестирования на проникновение.
  • Подтверждение того, что средства управления/методы сегментации являются работоспособными и эффективными, и изолируют CDE от всех систем, не входящих в сферу применения.
  • Подтверждение эффективности любого использования изоляции для разделения систем с различными уровнями безопасности (см. Требование 2.2.3).
  • Выполняется квалифицированным внутренним ресурсом или квалифицированной внешней третьей стороной. • Существует организационная независимость тестировщика (не обязательно быть QSA или ASV).
Цель Индивидуального подхода:
Если используется сегментация, она периодически проверяется техническим тестированием на постоянную эффективность, в том числе после любых изменений, в изоляции CDE от всех систем, не входящих в сферу применения.

Определенные Процедуры Тестирования Подхода:
  • 11.4.5.a Изучить элементы управления сегментацией и методологию тестирования на проникновение, чтобы убедиться, что процедуры тестирования на проникновение определены для тестирования всех методов сегментации в соответствии со всеми элементами, указанными в этом требовании.
  • 11.4.5.b Изучите результаты последнего теста на проникновение, чтобы убедиться, что тест на проникновение охватывает и затрагивает все элементы, указанные в этом требовании.
  • 11.4.5.c Провести собеседование с персоналом, чтобы убедиться, что тест был проведен квалифицированным внутренним ресурсом или квалифицированной внешней третьей стороной и что существует организационная независимость тестировщика (не обязательно быть QSA или ASV).
Цель:
Когда объект использует элементы управления сегментацией для изоляции CDE от внутренних ненадежных сетей, безопасность CDE зависит от функционирования этой сегментации. Во многих атаках злоумышленник перемещался вбок из того, что объект считал изолированной сетью, в CDE. Использование инструментов и методов тестирования на проникновение для проверки того, что ненадежная сеть действительно изолирована от CDE, может предупредить объект о сбое или неправильной конфигурации элементов управления сегментацией, которые затем могут быть исправлены.

Надлежащая практика:
Такие методы, как обнаружение хоста и сканирование портов, могут быть использованы для проверки того, что сегменты, находящиеся вне области видимости, не имеют доступа к CDE.
Requirement 1.4.2
1.4.2
Определенные Требования к Подходу:
Входящий трафик из ненадежных сетей в доверенные сети ограничен:
  • Связь с компонентами системы, которые уполномочены предоставлять общедоступные службы, протоколы и порты.
  • Ответы с отслеживанием состояния на сообщения, инициированные системными компонентами в доверенной сети.
  • Весь остальной трафик запрещен.
Цель Индивидуального подхода:
Только авторизованный трафик или трафик, являющийся ответом на системный компонент в доверенной сети, может поступать в доверенную сеть из ненадежной сети.

Примечания по применению:
Целью этого требования является рассмотрение сеансов связи между доверенными и ненадежными сетями, а не специфики протоколов. Это требование не ограничивает использование UDP или других сетевых протоколов без установления соединения, если состояние поддерживается NSC.

Определенные Процедуры Тестирования Подхода:
  • 1.4.2 Изучите документацию поставщика и конфигурации NSCS, чтобы убедиться, что входящий трафик из ненадежных сетей в доверенные сети ограничен в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Обеспечение того, чтобы публичный доступ к системному компоненту был специально разрешен, снижает риск того, что системные компоненты будут излишне подвержены воздействию ненадежных сетей.

Надлежащая практика:
Системные компоненты, предоставляющие общедоступные службы, такие как электронная почта, веб-серверы и DNS-серверы, наиболее уязвимы для угроз, исходящих из ненадежных сетей.
В идеале такие системы размещаются в выделенной доверенной сети, которая является общедоступной (например, DMZ), но которая отделена через NSCS от более критичных внутренних систем, что помогает защитить остальную часть сети в случае взлома систем, доступных извне. Эта функция предназначена для предотвращения доступа злоумышленников к внутренней сети организации из Интернета или несанкционированного использования служб, протоколов или портов.
Если эта функциональность предоставляется как встроенная функция NSC, организация должна убедиться, что ее конфигурации не приводят к отключению или обходу функциональности.

Определения:
Поддержание "состояния" (или статуса) для каждого подключения к сети означает, что NSC “знает”, является ли очевидный ответ на предыдущее соединение действительным, авторизованным ответом (поскольку NSC сохраняет статус каждого соединения) или это вредоносный трафик, пытающийся обмануть NSC, чтобы разрешить соединение.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.3 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗСВ.10 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Strategies to Mitigate Cyber Security Incidents (EN):
2.5.
Network segmentation. Deny traffic between computers unless required. Constrain devices with low assurance (e.g. BYOD and IoT). Restrict access to network drives and data repositories based on user duties.
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Low | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.22
А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
NIST Cybersecurity Framework (EN):
PR.AC-5 PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.22
А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.

Связанные риски

Ничего не найдено