Продолжу вчерашнюю заметку про ГосСОПКУ. При ее создании реализуются 11 подробно описанных в методичке функций:
- инвентаризация информационных ресурсов
- выявление уязвимостей информационных ресурсов
- анализ угроз информационной безопасности
- повышение квалификации персонала информационных ресурсов
- прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов
- обеспечение процесса обнаружения компьютерных атак
- анализ данных о событиях безопасности
- регистрация инцидентов
- реагирование на инциденты и ликвидация их последствий
- установление причин инцидентов
- анализ результатов устранения последствий инцидентов.
Этап инвентаризации, проводимой раз в квартал или при каждом изменении, позволяет собрать исходные данные о сегменте, контролируемом соответствующим центром ГосСОПКИ:
- ФИО, должности и контакты ответственных (забавно, но в одном месте требуется указывать номер МГТС. А если дело происходит не в Москве :-)
- внутренние имена и адреса узлов
- имена и адреса, доступные из Интернет (Shodan в помощь) и разрешенные протоколы
- сегментация, топология, настройки сетевого оборудования и МСЭ
- перечень используемого ПО
- существенные для ИБ конфиги/настройки ПО и железа, а также средств защиты.
Этап выявления уязвимостей подразумевает работу по ГОСТ 56546-2015 и предлагает на выбор следующие варианты получения информации о слабых местах контролируемого ГосСОПКОЙ сегмента:
- сетевое сканирование
- системное сканирование
- пентесты
- тестирование устойчивости к DDoS
- аудит
- анализ кода (SAST/DAST).
Варианты типа использования баз данных уязвимостей (Vulners, БДУ, Cisco ISIS, NVD) не попали в список. Ситуация с пассивным анализом сетевого трафика для поиска уязвимостей осталась до конца не выясненной. В принципе, я не думаю, что есть запрет на использование каких-то иных методов поиска уязвимостей, чем те, что указаны в методичке. Для каждого из способов сканирования указана своя периодичность (что очень позитивно). При этом владельцам центров ГосСОПКИ придется готовиться к длительному хранению результатов сканирования - 3 года. При ежемесячном сканировании получается 36 “слепков” по всей инфраструктуре, попадающей под мониторинг. Крутовато будет с точки зрения объемов хранилища. И если я правильно понял, то использовать надо все методы сканирования, а не какой-то один из них. Так что серверных стоек понадобится много.
На основе проведенной инвентаризации и выявленных уязвимостей проводится анализ угроз (или векторов атак). Наверное, это один из самых важных элементов всей ГосСОПКИ, так как именно от него зависит эффективность всей конструкции. Но пока ее не запустили в полном объеме, то и всех необходимых документов пока еще нет (или они в процессе, или секретны). А документом понадобится много:
- описания компьютерных атак, актуальных для информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА;
- методические рекомендации по предупреждению, обнаружению и ликвидации последствий компьютерных атак;
- решающие правила средств обнаружения компьютерных атак;
- настройки средств обеспечения информационной безопасности;
- политики обеспечения информационной безопасности;
- нормативные правовые акты организации;
- дополнительные требования по обеспечению информационной безопасности для их включения в технические задания на создание новых, доработку и обслуживание существующих информационных ресурсов;
- правила корреляции событий, направленные на определение попыток реализации угроз, связанных с проведением компьютерных атак;
- инструкции для персонала информационных ресурсов по выявлению признаков проведения типовых компьютерных атак, порядку их обнаружения, действиям по ликвидации их последствий;
- инструкции по действиям пользователей информационных ресурсов в случае возникновения инцидентов, связанных с компьютерными атаками;
- требования к квалификации персонала и пользователей, необходимой для выполнения указанных выше инструкций.
Разрабатывает это все (если я правильно понял) не головной центр, а подчиненные - ведомственные и корпоративные, так как именно они и сталкиваются с атаками. Экспертиза у них должна быть ого-го какая.
Вычисление векторов атак в постоянно изменяющемся ландшафте - задача нетривиальная и без средств автоматизации в ней не обойтись. Я сходу могу назвать только два решения, с которыми сталкивался на практике - RedSeal (его мы используем у себя в Cisco) и Skybox. Недавно Positive тоже анонсировал схожее решение и что-то мне подсказывает, что появилось оно не на пустом месте и не просто так :-)
Этап повышения квалификации вопросов у меня не вызвал. Порадовало, что он предусматривает проведение регулярных киберучений, в рамках которых на практике проверяется способность персонала отражать атаки.
Также не вызвал вопросов этап обнаружения атак, который, как и анализ уязвимостей, подразумевает применение различных методов - от сигнатурных до поведенческих. В документе явно прописано применение решений класса NBAD и UEBA (хотя сами аббревиатуры и не встречаются). Требований к средствам обнаружения атак в рекомендациях нет - этому посвящены другие документы ФСБ. Кстати, у ФСБ требования к системам обнаружения атак появились очень давно - еще в 2002-м году, задолго до того, как у ФСТЭК появился свой РД. Забавная деталь - ФСТЭК и ФСБ используют разную терминологию - одни системы обнаружения вторжений, а другие системы обнаружения атак. Сути это, конечно, не меняет.
Оставшуюся часть документа я рассмотрю уже завтра, а пока еще парочка общих замечаний, на которые я обратил внимание во время чтения документа:
- Требуется множество согласований с главным (или головным?) центром ГосСОПКИ. Я не знаю, как это будет выглядеть на практике, но по текущему опыту общения с ФСБ могу сказать, что это очень бюрократизированная служба. На все нужны бумажки. И это явно не пойдет на пользу задаче оперативного реагирования на атаки и инциденты. Даже между подразделениями службы не все проходит оперативно и гладно, а уж при общении с внешним миром...
- В документе описан обмен только между корпоративными, ведомственными и головным центром ГосСОПКИ по схеме "звезда". А между собой, минуя головной это возможно? Это, кстати, и в законе о безопасности КИИ вызывало вопросы. Мне кажется, тут тоже, для оперативности, нужно разрешать обмен минуя головной центр ГосСОПКИ (или с копией ему).