ИТ-портал компании «Инфосистемы Джет»

Восхождение на ГосСОПКА

Восхождение на ГосСОПКА

Последние годы вопросам информационной безопасности на уровне государства уделяется очень много внимания, проводится целый комплекс мероприятий по усилению цифровых рубежей. Одним из важнейших шагов в этом направлении стало принятие закона ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» и запуск глобальной системы по борьбе с компьютерными атаками — ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).

Закон о безопасности критической информационной инфраструктуры (КИИ) предписывает ключевым организациям, к которым относятся органы государственной власти, государственные учреждения и ключевые предприятия основных отраслей экономики РФ, обеспечить безопасность своих информационных систем, сетей связи и технологических систем. В списке затронутых сфер экономики оказались энергетика, в том числе атомная, транспорт, связь, наука, здравоохранение, банковский и финансовый секторы, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Инциденты безопасности на ключевых предприятиях страны могут иметь серьезные последствия масштаба города и даже целого региона, и не важно, что станет их причиной — целенаправленные хакерские атаки или случайная ошибка персонала. Для предотвращения возможных инцидентов и выполнения требований государства организации должны создать систему безопасности КИИ, обеспечить ее функционирование и подключиться к системе ГосСОПКА.

ГосСОПКА — это глобальная система сбора и обмена информацией о компьютерных атаках на территории РФ, за ее создание отвечает 8-й центр ФСБ. Основная цель — предотвращать и противодействовать атакам, в первую очередь внешним, за счет непрерывного мониторинга инцидентов ИБ и своевременной выработки мер. Для достижения этой цели создается сеть корпоративных и ведомственных центров ГосСОПКА, которая должна охватить все ключевые компании. В органах государственной власти строятся ведомственные центры, в государственных корпорациях — корпоративные центры. Многие крупные интеграторы и производители решений информационной безопасности начали создавать коммерческие корпоративные центры ГосСОПКА и готовы на договорной основе оказывать полный комплекс услуг по мониторингу, реагированию и т.д. организациям, которые не планирую создавать собственный центр. При подключении к ГосСОПКА организации принимают на себя обязательства по незамедлительной отправке сообщений в случае обнаружения компьютерных атак и по реагированию в случае получения информации о возможной атаке. Обнаружив атаку, центр ГосСОПКА должен передать информацию в главный центр, который в свою очередь передаст эту информацию другим центрам уже с рекомендациями по противодействию. Такой подход существенно повышает степень готовности и, как следствие, уровень защищенности организаций. Нормативно-методологическая база, необходимая для создания центров ГосСОПКА, все еще разрабатывается, и на данный момент больше вопросов, чем ответов. Но главный центр ГосСОПКА на базе 8-го центра ФСБ уже создан и функционирует, а многие организации начали строить необходимую инфраструктуру.

Снаряжение, команда и четкий план — залог успешного восхождения

В ближайшее время будут выпущены разрабатываемые ФСБ «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Данные методические рекомендации определяют основной перечень функций, мер и решений по созданию центров ГосСОПКА. В документ еще могут вноситься правки, но уже можно говорить об общей концепции. Известно, что система ГосСОПКА будет иметь древовидную иерархическую структуру, где центральным узлом является главный центр ГосСОПКА на базе 8-го центра ФСБ, а ведомственные и корпоративные центры находятся в подчиненном положении. Взаимодействие между центрами осуществляется по вертикали. При этом ведомственные и корпоративные центры могут объединяться, также образовывая иерархическую структуру с головным центром ГосСОПКА во главе.

На центры ГосСОПКА возлагаются две основные задачи. Первая — обеспечение безопасности своих информационных ресурсов, в том числе осуществление контроля защищенности, обнаружение атаки, постоянное улучшение применяемых мер по защите. Вторая — своевременный обмен информацией о компьютерных атаках с головным центром (в случае подчинения головному центру) или с главным центром ГосСОПКА. Для реализации этих задач в рамках корпоративных и ведомственных центров должны быть построены полноценные центры управления инцидентами ИБ (SOC, Security Operation Center), со всей необходимой технической и процессной базой.

Для эффективного функционирования системы ГосСОПКА корпоративные и ведомственные центры должны обеспечивать выполнение ряда функций, которые определены в разрабатываемых ФСБ методических рекомендациях:

  • Проводить регулярную инвентаризацию информационных ресурсов с целью контроля всех изменений.
  • Систематически проводить комплекс мероприятий по выявлению уязвимостей, которые могут быть использованы злоумышленниками, в том числе осуществлять сканирование, внутренние и внешние пентесты, анализировать настройки и т.д. Далее вырабатывать меры по устранению и, основное, контролировать выполнение этих мер, чтобы избежать ситуации, как с нашумевшими шифровальщиками WannaCry и Petya, когда даже после выпуска обновлений, необходимых для закрытия уязвимостей, жертвами вирусов стали десятки компаний, так как эти обновления не были своевременно установлены.
  • На основе результатов инвентаризации и выявленных уязвимостей выполнять анализ актуальных угроз и возможных атак и разрабатывать меры по противодействию.
  • Постоянно повышать квалификацию специалистов, участвующих в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также повышать осведомленность сотрудников, чтобы предотвратить атаки социальной инженерии. Кто предупрежден, тот вооружен. Никогда не лишне напомнить сотрудникам, что нельзя переходить по ссылкам в письмах от неизвестных отправителей и куда нужно обращаться, если все же открыли, и что-то пошло не так.
  • Должен быть выстроен процесс приема сообщений об инцидентах от сотрудников. Особое внимание нужно уделять сообщениям, которые носят массовый характер.
  • Для обнаружения атак различной направленности центры ГосСОПКА должны обеспечить централизованный сбор событий ИБ с ИТ- и ИБ-инфраструктуры, осуществлять анализ этих событий и корреляцию.
  • В случае выявления атаки должно осуществляться оперативное противодействие путем координации ресурсов и непосредственного применения контрмер.
  • Необходимо проводить расследования подтвердившихся инцидентов, анализировать причины и последствия. Очень важно понять, почему этот инцидент в принципе стал возможен, как отработала команда, как улучшить меры защиты, сделать выводы о реализованных мерах ИБ и работе специалистов.
  • Ну и в завершение, центры ГосСОПКА должны осуществлять регулярное плановое взаимодействие с головным или главным центром по вопросам инвентаризации, выявления уязвимостей и т.д. и, самое важное, оперативно уведомлять в случае обнаружения атак и оперативно реагировать в случае получения информации о возможных атаках.

Для реализации всех этих функций необходим целый комплекс технических средств:

  • Средства взаимодействия с персоналом. Если в компании уже есть call-центр и ServiсeDesk, можно использовать их как базу, а также стандартные способы коммуникации: телефон, почта, web-форма.
  • Средства автоматизированного взаимодействия с главным центром ГосСОПКА. Для решения этой задачи некоторые российские производители уже разработали специализированное программное обеспечение, своего рода порталы. Они позволяют осуществлять двустороннее взаимодействие в части приема и передачи информации об активах, инцидентах, атаках и угрозах, автоматически заполнять карточки инцидента по форме регулятора.
  • Система сбора, анализа и корреляции событий информационной безопасности (SIEM), позволяющая организовать единую точку сбора информации о подозрительных событиях и инцидентах ИБ.
  • Сканеры уязвимости, необходимые для оценки защищенности информационных систем, что позволяет коррелировать события ИБ с данными о реальных уязвимостях ИТ-инфраструктуры.
  • Средства защиты, позволяющие обнаруживать компьютерные атаки на уровне сети, на уровне приложений и т.д., передавать информацию о событиях ИБ в SIEM для корреляции, предотвращать и активно противодействовать атакам. В качестве базового набора таких средств мы видим решения IDS/IPS, системы WAF, межсетевые экраны, антивирусное ПО, средства защиты от DDoS, «песочницы»;

Также для генерации событий ИБ на информационных ресурсах (ОС, сетевом оборудовании, серверах приложений, web-сервисах и БД) необходимо настроить штатные механизмы аудита.

Особых требований к техническим средствам пока не предъявляется, за исключением ПО, необходимого для непосредственного взаимодействия с головными и главным центрами ГосСОПКА — оно должно быть в реестре отечественного ПО.С выходом нормативной документации скорее всего ситуация изменится, и появятся дополнительные условия. Состав техсредств для каждой организации определяется индивидуально, в рамках работ по проектированию, учитывается специфика информационной инфраструктуры, уже имеющиеся средства защиты и процессы обеспечения ИБ. Как правило, значительная часть технических решений, необходимая для создания корпоративных и ведомственных центров, уже есть в организациях.

И если со средствами защиты особых проблем нет, куда сложнее обстоит вопрос с необходимыми кадровыми ресурсами. Реализация процессов, внедрение и эксплуатация технических средств требуют команды опытных и квалифицированных специалистов. Нужны специалисты по взаимодействию с пользователями, операторы мониторинга, группа реагирования на инциденты, специалисты по обслуживанию технических средств (администраторы средств защиты, администраторы SIEM), специалисты по оценке защищенности (по пентестам, по сканированию), аналитики ИБ для разработки сценариев выявления инцидентов, технические эксперты, юристы и т.д. По большей части под задачи ГосСОПКА требуются узкопрофильные специалисты, найти которых на рынке непросто, поэтому кадровая проблема становится основной проблемой при построении центров ГосСОПКА.


По мнению наших экспертов, для обнаружения основных типов инцидентов, предварительный перечень которых определен в разрабатываемых ФСБ методических рекомендациях, могут быть реализованы сценарии, представленные в таблице ниже. Также приводим наше видение оптимального состава источников событий, необходимого для получения полной картины и эффективной корреляции событий ИБ.

Тип инцидента ИБ Примеры сценариев инцидентов Источники событий
Вредоносное ПО (включая APT и бот-агент)
  • Обнаружение вредоносного программного обеспечения в сети или на узлах;
  • Активность с внешних адресов, которые занесены в черный список (IP-репутация);
  • Запуск/попытки запуска неразрешенных приложений на АРМ и серверах;
  • Передача информации о внутренней инфраструктуре третьим лицам (инсайд);
  • Спам-рассылка с вредоносным ПО или с запароленными архивами
  • Антивирус;
  • «Песочница»;
  • IDS/IPS;
  • Межсетевой экран;
  • DLP;
  • Антиспам-системы;
  • HoneyPot
Несанкционированный доступ
  • Повышение привилегий УЗ без заявки или без ведома администраторов системы;
  • Создание новой УЗ в нерабочее время;
  • Создание новой УЗ без заявки или без ведома администраторов системы;
  • Изменение параметров системы в нерабочее время;
  • Использование открытых (без шифрования) протоколов для передачи критичных данных (ПД, пароли);
  • Доступ к ресурсам с недоверенным сертификатом
  • Active Directory;
  • Журналы информационных систем (ОС, БД, журналы приложений);
  • IDS/IPS;
  • Антивирус;
  • HoneyPot
Эксплуатация уязвимости
  • Обнаружение сигнатуры эксплойта;
  • Открытие нового соединения, не предусмотренного паспортом системы;
  • Появление уязвимого сервиса в системе;
  • Обнаружение вредоносного ПО (rootkit) на хостах;
  • Обнаружение сетевых атак на сетевом оборудовании (arp spoofing, arp poison, ip-spoofing);
  • Обнаружение атак на веб-приложения (XSS, SQL, PHP инъекции, перебор путей)
  • IDS/IPS;
  • Межсетевой экран;
  • Сканнер уязвимостей;
  • Антивирус;
  • Фаервол прикладного уровня;
  • HoneyPot
DoS/DDoS
  • События от средств защиты о фиксации DDoS-атак;
  • Аномальный рост сетевого трафика;
  • Высокая загрузка сетевого оборудования (интерфейсов, процессора и т.п.);
  • Сообщения от пользователей о недоступности сервисов
  • Средства защиты от DDoS;
  • Сетевое оборудование
Перебор паролей
  • Попытки подбора пароля с одного источника;
  • Потенциально успешные попытки подбора пароля (успешный вход после нескольких попыток неуспешного входа);
  • Попытки подбора пароля УЗ с разных источников;
  • Неуспешная аутентификация с адресов другой страны (из сегментов сети, откуда вход не предполагается)
  • Журналы информационных систем (ОС, БД, журналы приложений);
  • Active Directory
ЦУ бот-сети
  • Обнаружение трафика с адресами, содержащимися в черных списках;
  • Обнаружен аномальный трафик на/от подозрительных получателей (например, dns-запросы на неизвестные публичные адреса)
  • IDS/IPS;
  • Межсетевой экран
Фишинг (мошенничество)
  • Спам-рассылки со ссылками на веб-ресурс;
  • Обнаружение ввода данных на ресурсах без шифрования или с недоверенным сертификатом;
  • Вход пользователей на подозрительные сайты;
  • Подключение неизвестных USB-носителей;
  • Входящая почта с подозрительных адресов
  • Спам-фильтры;
  • Proxy
Вредоносный ресурс
  • Обнаружение сигнатур вредоносного ПО в скачиваемых файлах;
  • Взаимодействие с ресурсом с недоверенным сертификатом или без использования шифрования
  • Proxy;
  • Антивирус
Сканирование ресурсов
  • Большое количество нарушений ACL на межсетевом экране;
  • Обращение с одного источника на многие за короткий период времени;
  • Обращение по многим портам на одном узле
  • Межсетевой экран;
  • IDS/IPS
Спам
  • Содержание ссылок в письмах извне;
  • Большое количество писем с одного адреса;
  • Подозрительные адреса отправителей;
  • Подозрительные домены отправителей
  • Спам-фильтр;
  • Почтовый сервер

Какой выбрать путь?

Создание ведомственных и корпоративных центров ГосСОПКА требует тщательного подхода, необходима серьезная проработка процессного обеспечения, серьезная проработка технического обеспечения и экспертная команда специалистов. Нужно провести обследование инфраструктуры, определить необходимые технические средства, архитектуру, требования к настройкам, сценарии выявления инцидентов. Далее внедрить и настроить необходимые средства защиты, разработать организационно-распорядительную документацию, включая порядок реагирования, порядок обработки и расследования инцидентов ИБ, порядок взаимодействия с главным центром ГосСОПКА и т.д., и основное — обеспечить реализацию всех требуемых функций по обеспечению ИБ, мониторингу и реагированию, желательно в круглосуточном режиме.

Фронт работы огромный, и организация, принявшая решение о подключении к ГосСОПКА, может пойти тремя путями.

1. Построить собственный центр ГосСОПКА на базе своих кадровых ресурсов

Такой подход требует огромных временных, ресурсных и финансовых затрат, зато позволит получить полный контроль над всеми процессами и существенно повысит роль организации в системе ГосСОПКА. Целесообразно для крупных ведомств и корпораций, которые планируют исполнять функции ГосСОПКА в отношении дочерних предприятий. В территориально распределенных компаниях при формировании команды рекомендуется привлекать региональных сотрудников — это позволит добиться существенной экономии, так как заработные платы в регионах ниже и за счет разницы часовых поясов можно получить большее временное покрытие.

2. Привлечь внешних специалистов под отдельные задачи

Не всегда имеет смысл пытаться объять необъятное. Так и при построении центра ГосСОПКА передача части задач на аутсорсинг может стать оптимальным решением проблем с кадрами и сроками реализации. Согласно методическим рекомендациям, возможность аутсорсинга отдельных функций предусмотрена и для ведомственных, и для корпоративных центров ГосСОПКА. Целесообразно передавать на аутсорсинг простые и ресурсоемкие задачи первой линии, например, мониторинг и обнаружение инцидентов, сопровождение средств защиты. Такие работы легко зафиксировать в договоре, разграничить зоны ответственности, согласовать SLA, удобно контролировать их исполнение. Это позволит избавиться от рутины и существенно разгрузить собственный персонал. Также имеет смысл привлекать внешних специалистов для решения задач третьей линии, например, для аналитики и разработки сценариев обнаружения инцидентов, разработки политик для средств защиты. Эти экспертные задачи требуют узкопрофильных специалистов, которых, во-первых, сложно найти, а во-вторых, не всегда есть возможность обеспечить им fulltime-загрузку и содержать их в штате может быть экономически нецелесообразно. Для аутсорсинга отдельных задач, как правило, привлекают системных интеграторов и компании, оказывающие профессиональные сервисы ИБ.

3. Переложить все функции на головной ведомственный центр или коммерческий корпоративный центр

Актуально для организаций, которые должны подключиться к ГосСОПКА, но в силу отсутствия людей и компетенций не готовы строить собственную инфраструктуру. Такая схема взаимодействия будет распространена в крупных корпорациях, где практикуется централизованное управление ИБ ресурсами головной организации. В этом случае дочерние компании не строят свой SOC, а подключают свои информационные ресурсы к SOC головного центра, который на договорной основе может исполнять все необходимые функции по обеспечению безопасности, мониторингу, реагированию и обмену информацией. Аналогичная схема взаимодействия подразумевается при использовании услуг коммерческих корпоративных центров, которые будут строиться на базе интеграторов и производителей решений ИБ.

На стороне компании останется только функция контроля и определенный объем работ по адаптации внутренних процессов ИБ к функционированию в рамках системы ГосСОПКА, выстраиванию процессов взаимодействия с головным центром, обеспечению готовности ИТ- и ИБ-специалистов принимать активное участие в расследовании и ликвидации последствий инцидентов.

Ставка на результат

Подключение к системе ГосСОПКА и построение корпоративных и ведомственных центров позволит значительно повысить уровень зрелости ИБ и реальную защищенность информационных ресурсов ключевых российских компаний.

Создание такой системы должно стать стремительным скачком вперед в вопросах ИБ, многие организации сегодня только осваивают базовые меры безопасности, но уже завтра, а точнее 1 января 2018 г., когда вступит в силу закон о безопасности КИИ, должны будут перейти к технологии SOC. И несмотря на то что процесс этот сложный, требующий много усилий, польза от таких мероприятий очевидна. И здесь в первую очередь важен результат: безопасность ключевых предприятий РФ. Формальный подход по закрытию навязанных требований применить не получится, так как в том числе и в УК РФ внесены поправки, устанавливающие серьезные наказания не только для атакующих (наказание до 10 лет лишения свободы за кибератаки), но и для лиц, ответственных за защиту КИИ (наказание до 6 лет лишения свободы за нарушений правил эксплуатации). Возможно, это жесткие меры, но цена инцидентов ИБ на ключевых предприятиях страны может быть слишком велика.

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: