Сегодня я написал про новый Указ Президента Путина о создании системы раннего предупреждения о компьютерных атаках. Несмотря на интерес к данному событию со стороны профессионального сообщества, хочу заметить, что это не ново. Мы далеко не первая страна, которая пытается запустить такой проект.
Аналогичная нашему указу 31с система обнаружения компьютерных атак в США была анонсирована аж в 1996-м году. Именно тогда был подписан соответствующий Executive Order 13010 Президента Клинтона о защите критичных инфраструктур и, среди прочего, о создании FIDNET (Federal Intrusion Detection NETwork). Этим же указом была создана президентская комиссия по данной тематике (почти как наша межведомственная). Мы сейчас пытаемся с опозданием на 17 лет сделать то, что уже было инициировано нашими партнерами|врагами (ненужное зачеркнуть). Однако надо признать, что FIDNET так и не заработала в полную силу (да и не в полную тоже) - число атак на федеральные информационные системы не уменьшилось, а число "удачных" атак даже увеличилось. В феврале 2003-го года в США была подписана "Национальная стратегия по защите киберпространства", в которой приоритетом №1 было названо создание национальной системы реагирования на инциденты в киберпространстве (National Cyberspace Security Response System), ставшей реинкарнацией FIDNET. Однако успеха NCSRS тоже не достигла, о чем лишний раз говорят "успешные" атаки Anonymous и Lulzsec в 2011-м и 2012-м годах (с угрозами а-ля "Wikileaks" системы раннего предупреждения бороться не в состоянии).
Почему произошел такой провал в достаточно здравой идее раннего предупреждения компьютерных атак? Начнем с того, что сегодня не существует возможностей для прогнозирования компьютерных атак. В институте прикладной математике имени Келдыша при РАН в свое время занимались данной проблематикой и даже высказли гипотезу, что компьютерные атаки в глобальном масштабе подчиняются вполне определенным математическим законам. Но на разработку моделей у ученых не было средств и эта тема заглохла, так и не развившись. Поэтому будем исходить из того, что спрогнозировать атаки нереально (если не брать в расчет, что почти любое крупное политическое событие приводит к всплеску хакерской активности) и нам остается только обнаруживать несанкционированные действия в реальном режиме времени.
Данная задача разбивается на несколько направлений - техника, люди, процессы, организация. С точки зрения техники дело совсем швах. Отечественных систем обнаружения вторжений у нас раз-два и обчелся; сертифицированных в ФСБ примерно столько же. Причем отзывы о работе с ними (что с "Ручейком", что с "Аргусом") говорят, что их эффективность сопоставима с системами обнаружения, которые разрабатывались в США в 90-х годах. Да и процент ведомств, которые используют эти системы ничтожно мал - большинство использует продукцию западного производства, сертифицированную в ФСТЭК (наши IPS 4200, 4300, 4500 там тоже есть). Но... когда речь идет об одном ведомстве, то проблемы нет (ну или почти нет), а когда о десятках? Да еще и КВО плюсуем. Эти IDS/IPS должны уметь обмениваться информацией между собой, что подразумевает поддержку стандартов TAXII (Trusted Automated eXchange of Indicator Information) и STIX (Structured Threat Information eXpression). А этого не наблюдается - мало кто из вендоров их поддерживает.
Пытаться разработать коннекторы к различным системам и собирать данные от них в централизованном центре мониторинга и реагирования на атаки?... Идея конечно занятная, но в России пока никем нереализованная. Государев GOV-CERT.RU пока не тянет на эту роль. Могу сказать по опыту Cisco, что работа такого центра - это колоссальная задача. У нас в нашем Cisco Security Intelligence Operations Center работает свыше 600 человек, ежедневно поступает около 75 Терабайт данных для анализа, 35% мирового email-трафика, 13 миллиардов Web-запросов, в качестве источников выступает 1.6 миллиона сенсоров и 150 миллионов оконечных устройств. Вы можете себе представить аналогичные возможности у государственного CERT? Я нет ;-(
Но мало обнаруживать атаки. На них же надо реагировать путем выработки соответствующих рекомендаций, правил для средств защиты или сигнатур для IDS/IPS. Например, упомянутый Cisco SIO выпускает свыше 8 миллионов правил для средств защиты ежедневно, а частота обновлений составляет 1 раз в 3-5 минут. Но это только для наших средств защиты? В федеральном масштабе эти показатели должны быть иными, совсем иными. Кто в ФСБ это будет делать? Там просто некому. Кто будет это делать? Как видно из текста Указа Президента эксплуатация данной системы на ФСБ не возлагается. Вообще это нонсенс. Система федерального масштаба с полным отсутствием централизованного управления. Т.е. как и сейчас это будут делать рядовые сотрудники отделов защиты информации или ИТ органов исполнительной власти? Так у них и без этого головной боли полно. К тому же квалификации в области расследования инцидентов и обнаружения атак у них нет, а обучать их в массовом порядке в России негде - соответствующих курсов по управлению инцидентами у нас раз-два и обчелся, а в институтах эту тематику обходят стороной (как и вообще тематику операционной безопасности).
Но может быть тогда можно надеяться на разработку методических указаний со стороны ФСБ? Ну даже если представить, что у них есть нужное количество специалистов для решения данной задачи, то я все равно не верю в то, что это будет сделано в обозримые сроки. Уж если прямое распоряжение по разработке обязательной нормативной базы по части персональных данных (а это все вытекает из федерального закона) было сорвано, то чего уж ждать от разработки методических рекомендаций?.. Понятие оперативности разработки нормативных актов и ФСБ у меня что-то не стыкуются. Может поэтому "Основные направления..." Совбеза растянуты до 2020-го года?..
В традиционных системах оповещения об угрозе (например, в системе предупреждения о ракетном нападении) всегда можно идентифицировать нарушителя. Либо прямо - ракета вышла из шахты с территории конкретного государства; либо косвенно - по скоплению или передислокации войск, по увеличению коммуникаций между штабами и т.п. В системе обнаружения компьютерных атак - это малореально либо требует длительных исследований с непредсказуемым результатом. Вспомним тот же Stuxnet - до сих пор нет доказательств, что эта атака была реализована американцами или израильтянами. Серьезные предпосылки в пользу этой версии присутствуют, но вот беспорных доказательств - пока нет. Или тот же "Красный Октябрь". В коде есть слова на русском языке, большинство командных серверов находится на территории России. Но является ли это признаком того, что за "Красным Октябрем" стоит Россия? Нет. Русскоговорящие программисты могут и не быть гражданами Российской Федерации. А раз нет противника, то что делать? Как выстраивать линию защиты при неизвестной нападающей стороне? А если попробовать составить список потенциальных противников, то в киберпространстве он будет слишком большим. Это в физическом мире число потенциальных противников России ограничено теми, кто владеет ядерным арсеналом. В виртуальном атаковать может кто угодно - от уволенного сисадмина до сторонников Pussy Riot, от Украины, недовольной условиями газового договора, до Аль-Кайеды, решившей поддержать братьев-мусульман.
Ну допустим, фиг с ней, с нападающей стороной. Но причину-то инцидента мы должны установить. Должны. Но как? Как отделить сбой в результате направленной атаки от сбоя в результате череды случайностей или имеющихся уязвимостей? Это и в рамках одной-то системы непросто, а уж в федеральных масштабах... Вручную это нереально, а автоматизированных систем для данной задачи не существует. Разработка же их в Указе не указана. Может быть имеется ввиду, что такие работы будут вестись в рамках утвержденных Путиным приоритетных направлений развития науки, технологий и техники и утвержденной Медведевым 28 декабря 2012 года программы фундаментальных научных исследований в Российской Федерации на долгосрочный период (2013–2020 годы)? Все может быть, но я почему-то отношусь к этому предположению скептически.
Ориентироваться на последствия от инцидентов? Но они могут носить неразрушающий характер. Яркий пример - " Красный Октябрь "? Никакого выведения из строя газопровода или завода по обогащению урана - только сбор конфиденциальной информации. Отследить такие атаки в автоматизированном режиме очень проблематично. Нужны специалисты, а их нет, как я показал выше. И не факт, что будут. В разработанных же государственных образовательных стандартах по информационной безопасности 090101-090107 (а их 7 и утверждены они были в 2010-2011-м годах) этим вопросам внимания не уделяется вовсе. В свое время я изучал курс SANS Intrusion Detection In-Depth и могу сказать, что пяти дней по 8 часов хватает впритык - только для начального погружения в тему.
Еще одной причиной, по которой указ №31с "не взлетит" - его полная отвязка от действующей системы нормативных актов. К чему он? Зачем он? Для кого он? Вопросы есть - ответов нет. Эксперты и журналисты придумывают разные версии. Только у меня их целых четыре:
Надо заметить, что она не сильно изменилась с тех пор. Появились новые документы ФСТЭК, появилась статья 11 256-го закона о безопасности объектов ТЭК (статья ни о чем), появился разбитый в пух и прах законопроект ФСТЭК по защите КВО, появился документ СовБеза. И все. Ни одного фокусного нормативного акта уровня закона как не было, так и нет. А ведь тут нужно сильно перерабатывать нормативку. Ведь многие КВО находятся в частных руках. Это для госорганов можно взять и спустить нормативные требования сверху. С бизнесом этот фокус не пройдет (если нужен правильный результат) - нужно организовывать частно-государственное партнерство и обсуждать совместные шаги, устраивающие государство и бизнес. Но регуляторы вести такое обсуждение с бизнесом не умеют (в США такая дисскусия с бизнесом была предусмотрена еще указом Клинтона в 96-м году).
Продолжим перечисление причин. Следущая - сам регулятор в лице ФСБ. При всем моем уважении к этой структуре, в теме защиты критичных инфраструктур они разбираются мало. Не на уровне отдельных специалистов, которые копают эту тематику, а именно на уровне ведомства, ответственного за безопасность российского государства. Так уж сложилось, что акромя криптографии в теме ИБ ФСБ светилась мало. Надеяться, что у них есть такая же экспертиза и в других направлениях, включая информационную безопасность КВО, не приходится. В США, когда разрабатылвали план защиты критичных инфраструктур понимали, что у них нет ведомства, который мог бы взвалить на себя такую задачу целиком. Поэтому был создан отдельный центр при ФБР (NIPC), а также Critical Infrastructure Assurance Office (CIAO), которые и координировались американским Советом Безопасности, в котором была создана отдельная должность (National Coordinator for Security, Infrastructure Protection, and Counter-terrorism). И NIPC, и CIAO были созданы отдельной директивой президента (PDD-63). Может у нас создана такая же должность; в секретной части указа 31с?
А почему не сработала FIDNET? Про это я напишу завтра. Тема обнаружения атак для меня слишком хорошо знакома, чтобы я с нее соскочил так просто ;-)
Аналогичная нашему указу 31с система обнаружения компьютерных атак в США была анонсирована аж в 1996-м году. Именно тогда был подписан соответствующий Executive Order 13010 Президента Клинтона о защите критичных инфраструктур и, среди прочего, о создании FIDNET (Federal Intrusion Detection NETwork). Этим же указом была создана президентская комиссия по данной тематике (почти как наша межведомственная). Мы сейчас пытаемся с опозданием на 17 лет сделать то, что уже было инициировано нашими партнерами|врагами (ненужное зачеркнуть). Однако надо признать, что FIDNET так и не заработала в полную силу (да и не в полную тоже) - число атак на федеральные информационные системы не уменьшилось, а число "удачных" атак даже увеличилось. В феврале 2003-го года в США была подписана "Национальная стратегия по защите киберпространства", в которой приоритетом №1 было названо создание национальной системы реагирования на инциденты в киберпространстве (National Cyberspace Security Response System), ставшей реинкарнацией FIDNET. Однако успеха NCSRS тоже не достигла, о чем лишний раз говорят "успешные" атаки Anonymous и Lulzsec в 2011-м и 2012-м годах (с угрозами а-ля "Wikileaks" системы раннего предупреждения бороться не в состоянии).
Почему произошел такой провал в достаточно здравой идее раннего предупреждения компьютерных атак? Начнем с того, что сегодня не существует возможностей для прогнозирования компьютерных атак. В институте прикладной математике имени Келдыша при РАН в свое время занимались данной проблематикой и даже высказли гипотезу, что компьютерные атаки в глобальном масштабе подчиняются вполне определенным математическим законам. Но на разработку моделей у ученых не было средств и эта тема заглохла, так и не развившись. Поэтому будем исходить из того, что спрогнозировать атаки нереально (если не брать в расчет, что почти любое крупное политическое событие приводит к всплеску хакерской активности) и нам остается только обнаруживать несанкционированные действия в реальном режиме времени.
Данная задача разбивается на несколько направлений - техника, люди, процессы, организация. С точки зрения техники дело совсем швах. Отечественных систем обнаружения вторжений у нас раз-два и обчелся; сертифицированных в ФСБ примерно столько же. Причем отзывы о работе с ними (что с "Ручейком", что с "Аргусом") говорят, что их эффективность сопоставима с системами обнаружения, которые разрабатывались в США в 90-х годах. Да и процент ведомств, которые используют эти системы ничтожно мал - большинство использует продукцию западного производства, сертифицированную в ФСТЭК (наши IPS 4200, 4300, 4500 там тоже есть). Но... когда речь идет об одном ведомстве, то проблемы нет (ну или почти нет), а когда о десятках? Да еще и КВО плюсуем. Эти IDS/IPS должны уметь обмениваться информацией между собой, что подразумевает поддержку стандартов TAXII (Trusted Automated eXchange of Indicator Information) и STIX (Structured Threat Information eXpression). А этого не наблюдается - мало кто из вендоров их поддерживает.
Пытаться разработать коннекторы к различным системам и собирать данные от них в централизованном центре мониторинга и реагирования на атаки?... Идея конечно занятная, но в России пока никем нереализованная. Государев GOV-CERT.RU пока не тянет на эту роль. Могу сказать по опыту Cisco, что работа такого центра - это колоссальная задача. У нас в нашем Cisco Security Intelligence Operations Center работает свыше 600 человек, ежедневно поступает около 75 Терабайт данных для анализа, 35% мирового email-трафика, 13 миллиардов Web-запросов, в качестве источников выступает 1.6 миллиона сенсоров и 150 миллионов оконечных устройств. Вы можете себе представить аналогичные возможности у государственного CERT? Я нет ;-(
Но мало обнаруживать атаки. На них же надо реагировать путем выработки соответствующих рекомендаций, правил для средств защиты или сигнатур для IDS/IPS. Например, упомянутый Cisco SIO выпускает свыше 8 миллионов правил для средств защиты ежедневно, а частота обновлений составляет 1 раз в 3-5 минут. Но это только для наших средств защиты? В федеральном масштабе эти показатели должны быть иными, совсем иными. Кто в ФСБ это будет делать? Там просто некому. Кто будет это делать? Как видно из текста Указа Президента эксплуатация данной системы на ФСБ не возлагается. Вообще это нонсенс. Система федерального масштаба с полным отсутствием централизованного управления. Т.е. как и сейчас это будут делать рядовые сотрудники отделов защиты информации или ИТ органов исполнительной власти? Так у них и без этого головной боли полно. К тому же квалификации в области расследования инцидентов и обнаружения атак у них нет, а обучать их в массовом порядке в России негде - соответствующих курсов по управлению инцидентами у нас раз-два и обчелся, а в институтах эту тематику обходят стороной (как и вообще тематику операционной безопасности).
Но может быть тогда можно надеяться на разработку методических указаний со стороны ФСБ? Ну даже если представить, что у них есть нужное количество специалистов для решения данной задачи, то я все равно не верю в то, что это будет сделано в обозримые сроки. Уж если прямое распоряжение по разработке обязательной нормативной базы по части персональных данных (а это все вытекает из федерального закона) было сорвано, то чего уж ждать от разработки методических рекомендаций?.. Понятие оперативности разработки нормативных актов и ФСБ у меня что-то не стыкуются. Может поэтому "Основные направления..." Совбеза растянуты до 2020-го года?..
В традиционных системах оповещения об угрозе (например, в системе предупреждения о ракетном нападении) всегда можно идентифицировать нарушителя. Либо прямо - ракета вышла из шахты с территории конкретного государства; либо косвенно - по скоплению или передислокации войск, по увеличению коммуникаций между штабами и т.п. В системе обнаружения компьютерных атак - это малореально либо требует длительных исследований с непредсказуемым результатом. Вспомним тот же Stuxnet - до сих пор нет доказательств, что эта атака была реализована американцами или израильтянами. Серьезные предпосылки в пользу этой версии присутствуют, но вот беспорных доказательств - пока нет. Или тот же "Красный Октябрь". В коде есть слова на русском языке, большинство командных серверов находится на территории России. Но является ли это признаком того, что за "Красным Октябрем" стоит Россия? Нет. Русскоговорящие программисты могут и не быть гражданами Российской Федерации. А раз нет противника, то что делать? Как выстраивать линию защиты при неизвестной нападающей стороне? А если попробовать составить список потенциальных противников, то в киберпространстве он будет слишком большим. Это в физическом мире число потенциальных противников России ограничено теми, кто владеет ядерным арсеналом. В виртуальном атаковать может кто угодно - от уволенного сисадмина до сторонников Pussy Riot, от Украины, недовольной условиями газового договора, до Аль-Кайеды, решившей поддержать братьев-мусульман.
Ну допустим, фиг с ней, с нападающей стороной. Но причину-то инцидента мы должны установить. Должны. Но как? Как отделить сбой в результате направленной атаки от сбоя в результате череды случайностей или имеющихся уязвимостей? Это и в рамках одной-то системы непросто, а уж в федеральных масштабах... Вручную это нереально, а автоматизированных систем для данной задачи не существует. Разработка же их в Указе не указана. Может быть имеется ввиду, что такие работы будут вестись в рамках утвержденных Путиным приоритетных направлений развития науки, технологий и техники и утвержденной Медведевым 28 декабря 2012 года программы фундаментальных научных исследований в Российской Федерации на долгосрочный период (2013–2020 годы)? Все может быть, но я почему-то отношусь к этому предположению скептически.
Ориентироваться на последствия от инцидентов? Но они могут носить неразрушающий характер. Яркий пример - " Красный Октябрь "? Никакого выведения из строя газопровода или завода по обогащению урана - только сбор конфиденциальной информации. Отследить такие атаки в автоматизированном режиме очень проблематично. Нужны специалисты, а их нет, как я показал выше. И не факт, что будут. В разработанных же государственных образовательных стандартах по информационной безопасности 090101-090107 (а их 7 и утверждены они были в 2010-2011-м годах) этим вопросам внимания не уделяется вовсе. В свое время я изучал курс SANS Intrusion Detection In-Depth и могу сказать, что пяти дней по 8 часов хватает впритык - только для начального погружения в тему.
Еще одной причиной, по которой указ №31с "не взлетит" - его полная отвязка от действующей системы нормативных актов. К чему он? Зачем он? Для кого он? Вопросы есть - ответов нет. Эксперты и журналисты придумывают разные версии. Только у меня их целых четыре:
- Указ является развитием (началом) активности, связанной с реализацией "Основных направлений..." СовБеза. Собственно положения Указа пытаются формализовать то, что написано в 17-м пункте документа СовБеза и должно быть сделано в 2012-2013-м годах.
- Произошел серьезный инцидент в каком-либо из КВО и регуляторы зашевелились. Это возможно, но в СМИ информация н просачивалась.
- Надо осваивать бюджеты, под которые нужен нормативный акт.
- Реакция на "Красный Октябрь".
Надо заметить, что она не сильно изменилась с тех пор. Появились новые документы ФСТЭК, появилась статья 11 256-го закона о безопасности объектов ТЭК (статья ни о чем), появился разбитый в пух и прах законопроект ФСТЭК по защите КВО, появился документ СовБеза. И все. Ни одного фокусного нормативного акта уровня закона как не было, так и нет. А ведь тут нужно сильно перерабатывать нормативку. Ведь многие КВО находятся в частных руках. Это для госорганов можно взять и спустить нормативные требования сверху. С бизнесом этот фокус не пройдет (если нужен правильный результат) - нужно организовывать частно-государственное партнерство и обсуждать совместные шаги, устраивающие государство и бизнес. Но регуляторы вести такое обсуждение с бизнесом не умеют (в США такая дисскусия с бизнесом была предусмотрена еще указом Клинтона в 96-м году).
Продолжим перечисление причин. Следущая - сам регулятор в лице ФСБ. При всем моем уважении к этой структуре, в теме защиты критичных инфраструктур они разбираются мало. Не на уровне отдельных специалистов, которые копают эту тематику, а именно на уровне ведомства, ответственного за безопасность российского государства. Так уж сложилось, что акромя криптографии в теме ИБ ФСБ светилась мало. Надеяться, что у них есть такая же экспертиза и в других направлениях, включая информационную безопасность КВО, не приходится. В США, когда разрабатылвали план защиты критичных инфраструктур понимали, что у них нет ведомства, который мог бы взвалить на себя такую задачу целиком. Поэтому был создан отдельный центр при ФБР (NIPC), а также Critical Infrastructure Assurance Office (CIAO), которые и координировались американским Советом Безопасности, в котором была создана отдельная должность (National Coordinator for Security, Infrastructure Protection, and Counter-terrorism). И NIPC, и CIAO были созданы отдельной директивой президента (PDD-63). Может у нас создана такая же должность; в секретной части указа 31с?
А почему не сработала FIDNET? Про это я напишу завтра. Тема обнаружения атак для меня слишком хорошо знакома, чтобы я с нее соскочил так просто ;-)