13 августа, 2018, BIS Journal №3(30)/2018

Проводник для восхождения на ГосСОПКА


Караев Георгий

руководитель направления исследования данных («Перспективный мониторинг»)

Заказчик не должен покупать «кота в мешке»

В октябре 2017 года компания «Перспективный мониторинг» (ГК «ИнфоТеКС») и ФСБ России заключили соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты. С весны 2018 года подключаем заказчиков к ГосСОПКА.

НАЧАЛО СОТРУДНИЧЕСТВА

Главная задача, которую мы решаем в рамках услуги подключения к ГосСОПКА — передать данные об инцидентах информационной безопасности по вертикали иерархической структуры ГосСОПКА в форматах, отвечающих актуальным требованиям регулятора, и в установленные сроки. Но как мы узнаём об инциденте?

С технической (не процессной) точки зрения подключение к ГосСОПКА начинается с построения системы мониторинга ИБ. На стороне заказчика размещаются сетевые и хостовые средства обнаружения компьютерных атак. Данные с этих сенсоров могут поступать напрямую к нам в Центр мониторинга либо предварительно регистрироваться и анализироваться на стороне заказчика. Успешное выполнение условий правил корреляции событий приводит к фиксации инцидента информационной безопасности, в системе управления инцидентами заводится карточка инцидента, с которой происходит вся дальнейшая работа. Именно постоянный мониторинг и обработка (идентификация, классификация, информирование, сдерживание, расследование и устранение последствий) инцидентов помогают успешно выявлять компьютерные атаки и своевременно на них реагировать.

Когда мы общаемся с потенциальными заказчиками, нам часто задают вопрос в духе: «Мы субъект КИИ, похоже нам придётся подключиться к ГосСОПКА. Но с мониторингом у нас… не очень… Нет ни средств, ни людей. Что делать?». Увы, пока ответ один — комплекс средств мониторинга нужно будет приобрести (или взять в аренду при аутсорсинге) и развернуть.

АКТУАЛЬНОЕ СОСТОЯНИЕ

Вторая задача, определённая регулятором, — сформировать и поддерживать в актуальном состоянии информацию о контролируемых ресурсах. Эту задачу мы решаем двумя способами, которые дополняют друг друга. Сначала мы вместе с заказчиком определяем пул контролируемых ресурсов: от информационных систем (включая АСУ ТП) до конкретных сетевых узлов (АРМов, серверов, контроллеров, маршрутизаторов и т. д.). После этого мы получаем перечень установленного программного обеспечения на каждом из контролируемых узлов. Состав ПО загружается в нашу систему управления уязвимостями, которая отслеживает появление новых уязвимостей в публичном поле. Если версия установленных и зарегистрированных в системе программных пакетов совпадает с той, где есть уязвимость, владельцу информационного ресурса приходит уведомление с рекомендациями по устранению данной уязвимости или необходимыми компенсационными мерами.

По рекомендациям регулятора, контроль сведений об уязвимостях информационных ресурсов носит периодический и системный характер. Например, ежемесячно проводятся сетевое и системное сканирование ресурсов автоматизированными средствами и контроль выполнения требований безопасности. Проигнорировать найденные слабости в защите тоже не получится — раз в квартал нужно будет контролировать устранение ранее выявленных уязвимостей. А тестирование на проникновение проводится не реже одного раза в год, чтобы оценить эффективность системы защиты. Его мы тоже можем провести и смоделировать действия злоумышленника, дать оценку, сколько ресурсов и времени потребуется для успешной кибератаки на заказчика. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.

ОТКУДА АТАКА?

Часто к нам обращаются заказчики с просьбой расследовать инцидент информационной безопасности и выяснить откуда «пришла» атака, каковы цели и мотивация атакующего, кто был вовлечён в проведение атаки со стороны жертвы, какие методы, уязвимости и инструменты использовал атакующий. Эти данные пригодятся для передачи информации об инциденте в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

В случае выявления инцидента наш заказчик не останется один на один с проблемой. Мы поможем среагировать на инцидент, дадим рекомендации, что нужно сделать в первую очередь, чтобы снизить негативное влияние атаки, и как ликвидировать последствия. Мы также проанализируем результаты устранения последствий инцидентов.

СИЛЫ ГОССОПКА

Если посмотреть в нормативные документы, то там встречается понятие «силы ГосСОПКА». «Силы» — это кадровое обеспечение. Опыт общения с заказчиками наглядно показывает, что люди — одна из острых проблем. Их или нет, или их недостаточно, или у них недостаточно знаний и опыта. Мы обучаем и информируем заинтересованных лиц по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, помогаем повысить осведомлённость пользователей в вопросах обеспечения безопасности информации.

В случае самостоятельного подключения к ГосСОПКА субъекту будет необходимо обеспечить взаимодействие с 8 Центром ФСБ России, выполнить организационные и технические требования в соответствии с нормативными правовыми актами и методическими рекомендациями, развернуть специализированные системы взаимодействия с технической инфраструктурой НКЦКИ (только для значимых объектов КИИ). В случае подключения через корпоративный центр ГосСОПКА «Перспективного мониторинга» — заключить с нами соглашение и уведомить НКЦКИ о включении своих информационных ресурсов в зону ответственности корпоративного центра.

Мы не хотим, чтобы потенциальные заказчики покупали «кота в мешке», поэтому даём возможность протестировать услуги Центра мониторинга во время месячного пилотного проекта. За это время мы вместе с заказчиком сможем оценить готовность инфраструктуры к подключению и понять необходимый на постоянной основе объём работ.

Остались вопросы? Пишите на info@amonitoring.ru.

Подпишись на новости!
Подписаться