Ситуационная осведомленность в кибербезопасности

devanssh, Security Vision.

ситуационная осведомленность — это модель оценки ситуации. Одним из самых известных исследователей в этой области является Девансш, где она сформировала следующее определение: ситуационная осведомленность – это восприятие элементов и событий окружающей среды по отношению ко времени или пространству, понимание их значения и проекция их статуса на ближайшее время. .

Цель ситуационной осведомленности состоит в упреждающем обнаружении и анализе информации, относящейся к оперативной стабильности и безопасности, и координации такой информации по всему предприятию, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.

Ситуационная осведомленность позволяет организации понять рабочую среду критически важных сервисов и среду, в которой на них можно повлиять. Это понимание дает заинтересованным сторонам достаточно точное и актуальное представление о прошлом, текущем и прогнозируемом будущем состоянии таких услуг и поддерживает эффективное принятие решений в контексте общей операционной среды.

Процесс ситуационной осведомленности создает общую оперативную картину путем сбора, объединения и анализа данных для поддержки автоматических или человеческих решений в действиях по реагированию на инциденты кибербезопасности. Такие данные должны передаваться своевременно и в такой форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.

Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разным участникам предприятия нужны разные и не обязательно полные знания об операционной среде. В зависимости от того, как она представлена, полная картина может быть ошеломляющей и ошеломляющей для лица, принимающего решения. Операторам также следует избегать предоставления больших объемов данных; скорее, операторам нужно видеть только то, что важно, что определяется стратегией риска и общей картиной риска.

Роль и связи ситуационной осведомленности

Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами отдела кибербезопасности, такими как управление активами, уязвимостями, инцидентами и рисками. Да, ситуационная осведомленность также является процессом, который необходимо интегрировать в общие операции по обеспечению кибербезопасности.

Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных с ними активов (также связанных с управлением рисками), на которых должен быть сосредоточен процесс ситуационной осведомленности.

Управление рисками является основой для определения требований к ситуационной осведомленности и линзой, через которую интерпретируется и передается информация о ситуационной осведомленности. Управление рисками также включает в себя несколько процессов. Поставщики, группа управления уязвимостями или другие источники могут сообщить организации о наличии уязвимости. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы уязвимы, и потенциальные риски для критически важных услуг. Эта информация используется для процесса ситуационной осведомленности, который передает ее группе управления рисками. С помощью этой информации группа управления рисками может расставить приоритеты рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости,

Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может сопоставить их с информацией из других внешних CERT и, при необходимости, объявить об инциденте и сообщить об этом соответствующим заинтересованным сторонам.

Хорошо выстроенный процесс ситуационной осведомленности включает четыре этапа, посредством которых организация планирует, собирает и анализирует, сообщает и совершенствует сам процесс ситуационной осведомленности для повышения операционной эффективности и обеспечения требуемого уровня кибербезопасности организации.

1. Планирование ситуационной осведомленности

Планирование необходимо для успешной программы ситуационной осведомленности. План документирует цели программы, стратегию достижения этих целей, а также инфраструктуру и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно сделать следующее:

• Получите поддержку руководства в виде ресурсов
• Разработайте стратегию для программы ситуационной осведомленности
• Разработать подход к сбору и анализу данных о ситуационной осведомленности
• Разработать подход к передаче ситуационной информации
• Составьте план ситуационной осведомленности.

2. Сбор и анализ данных о ситуационной осведомленности

Сбор и анализ данных – основной процесс, в рамках которого необходимо:

• Установить требования к сбору и анализу данных о ситуационной осведомленности
• Разработать подход к сбору и анализу данных о ситуационной осведомленности
• Создание инфраструктуры для поддержки деятельности по мониторингу ситуационной осведомленности
• Собирайте, записывайте и анализируйте информацию.

3. Обмен информацией

Информация, собранная в ходе действий по ситуационной осведомленности, должна быть эффективно передана заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений в отношении кибербезопасности организации.

Для построения процессов обмена информацией необходимо:

• Установите требования к связи с ситуационной осведомленностью
• Установить стандарты и руководящие принципы для обмена информацией
• Создание инфраструктуры для поддержки коммуникативной деятельности
• Передача ситуационной информации.

4. Улучшение процессов и технологий ситуационной осведомленности

Успешное управление рисками для критически важных услуг в значительной степени зависит от эффективности процессов и технологий ситуационной осведомленности организации. В условиях возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.

В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:

• Обзор общей эффективности программы ситуационной осведомленности
• Выявление обновлений и улучшений программы ситуационной осведомленности
• Внесение улучшений в процессы и технологии.

Заключение

Ситуационная осведомленность включает в себя сбор, анализ и передачу информации, которая обеспечивает более широкое и богатое представление об операционной среде организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов, события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Наблюдение, оценка и сравнение событий и информации требуют этого контекста на локальном или внутреннем организационном уровне (организационные события, такие как увольнения, специальные громкие события и т. д.), а также на внешнем, национальном или глобальном уровне.