11 сентября, 2018, BIS Journal №3(30)/2018

Может ли выполнение требований по защите КИИ ухудшить ИБ организации? Как сделать так, чтобы этого не произошло?


Коростелев Павел

руководитель отдела продвижения продуктов («Код безопасности»)

Закон «О безопасности критической информационной инфраструктуры» всколыхнул всю российскую отрасль ИБ. Широкая область действия и критерии категорирования, жесткие меры по защите значимых объектов КИИ, а также риск уголовной ответственности не только за атаки, но и за ненадлежащую защиту, приковали внимание тысяч организаций к этой теме. Однако инвестиции в защиту КИИ могут парадоксальным образом ухудшить общий уровень информационной безопасности. Необходимость выполнения множества требований повлечет за собой внедрение дополнительных средств обеспечения ИБ. Необходимо будет набрать персонал, как для администрирования этих средств, так и для мониторинга. При этом, согласно приказу №235 ФСТЭК России, эти сотрудники не могут совмещать функции работников ИТ- и ИБ-отделов. Они должны заниматься именно ИБ, а в идеале, только ИБ объектов КИИ. 

Понятно, что субъекты КИИ, особенно в регионах, будут неохотно выделять дополнительные штатные единицы под эти задачи, что выльется в перегруженность специалиста по обеспечению ИБ задачами по администрированию и настройке средств защиты, а также отслеживанию потенциальных инцидентов. В вышеупомянутом 235-м приказе перечислено семь различных типов средств защиты, то есть администратору придется кроме непосредственно мониторинга ИБ тратить время на семь различных консолей управления и решение вопросов эксплуатации этих средств. В таких условиях возрастает вероятность сбоя в работе всего объекта КИИ, вызванного, например, ошибкой администратора, несовместимостью средств обеспечения ИБ между собой или атакой злоумышленника, признаков которой администратор не заметил.

Что же делать, чтобы инвестиции в безопасность КИИ принесли пользу?

КОМПЛЕКСНЫЙ ПОДХОД

Необходим комплексный подход для защиты всех элементов инфраструктуры с помощью минимального количества продуктов. Только это вместе с удобным централизованным управлением повысит эффективность защиты объектов КИИ в условиях крайне ограниченного времени специалистов и снизит вероятность ошибок.

Подход включает в себя три направления:

  • повышение эффективности работы администратора;
  • защита сетевой инфраструктуры вне зависимости от размера, производительности и среды;
  • комплексная защита как физических, так и виртуальных серверов.

Подход реализуется с помощью нескольких продуктов компании «Код Безопасности»:

  • АПКШ «Континент» для защиты сетевой инфраструктуры и создания каналов связи с шифрованием по алгоритмам ГОСТ;
  • СОВ «Континент» для обнаружения и предотвращения вторжений в сетевую инфраструктуру и интеграции с ГосСОПКА;
  • Secret Net Studio для комплексной защиты рабочих станций серверов и виртуальных машин;
  • vGate для защиты и сегментации виртуальной инфраструктуры, а также фильтрации трафика в виртуализованных сетях.

Как эти продукты помогут защитить объекты КИИ?

ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ РАБОТЫ АДМИНИСТРАТОРА

В условиях динамично развивающейся инфраструктуры, дефицита компетентных специалистов и высокой цены ошибки необходимо внедрять в систему защиты принципы автоматизации. Политика безопасности должна применяться к элементам инфраструктуры автоматически, а администратор – тратить минимум действий на ее изменение. Исключение ручных рутинных операций значительно снизит риск простоя системы по вине администратора.

Приказ ФСТЭК России №239 описывает более 150 мер, которые необходимо выполнить для защиты объекта КИИ, при этом заказчик сначала должен их выполнить, а потом регулярно проводить аудит для контроля исполнения. И процедура первичной настройки, и процедура внутреннего аудита требуют от обслуживающего персонала дополнительных ресурсов, поэтому используемые средства защиты должны иметь предустановленные шаблоны настроек, которые позволят быстро внедрить их в соответствии с требованиями ФСТЭК, а также оперативно и без дополнительных затрат продемонстрировать выполнение требуемых мер.

Этот механизм реализован в продуктах Secret Net Studio и vGate. Он позволяет использовать существующий или создать собственный шаблон настроек безопасности на основе требований ФСТЭК, чтобы сэкономить ресурсы, с одной стороны, при внедрении системы защиты, а с другой – при прохождении аудита на соответствие настроек требованиям 239-го приказа ФСТЭК.

ЗАЩИТА СЕТЕВОЙ ИНФРАСТРУКТУРЫ

Усложнение сетевой инфраструктуры, сопряжение технологических и офисных сетей, а также повышение пропускной способности внутренней сети накладывают дополнительные требования на подсистему защиты сетевой инфраструктуры. Согласно требованиям 239-го приказа, каждый значимый объект КИИ должен быть выделен в отдельный сетевой сегмент и закрыт межсетевым экраном. Если объект КИИ обменивается с другими элементами инфраструктуры большими объемами трафика, межсетевой экран может сам по себе стать бутылочным горлышком, что негативно повлияет на технические процессы, обслуживаемые объектом КИИ. В других случаях, чтобы добиться подобной производительности можно пожертвовать уровнем журналирования или количеством правил фильтрации трафика – это повысит производительность, но снизит уровень безопасности.

При использовании новой версии АПКШ «Континент» 3.9 нет необходимости жертвовать безопасностью ради производительности. Пропускная способность межсетевого экрана этой наиболее производительной на данный момент платформы превышает 10 Гбит/с, что позволяет обеспечить эффективную фильтрацию трафика.

Отдельной проблемой является межсетевое экранирование в виртуализованных сетях. Высокая скорость изменений виртуальной инфраструктуры делает фильтрацию на основе IP-адреса виртуальных машин малоэффективной, при этом затрудняется фильтрация трафика между двумя виртуальными машинами. Ответом может стать виртуальный межсетевой экран, но злоумышленникам по силам обойти эту меру. Для эффективной защиты лучше всего использовать межсетевой экран уровня гипервизора, который обеспечивает фильтрацию трафика не только на основе традиционных аттрибутов (IP-адреса и порта), но и специфических для виртуальной среды. Такой межсетевой экран реализован в механизме vFirewall, включенного в продукт vGate: он позволяет создавать правила фильтрации трафика на основе меток безопасности vGate или имени виртуальной машины. Важной особенностью vGate vFirewall является низкая нагрузка на процессор хоста гипервизора.

Таким образом, средства защиты сети позволяют фильтровать трафик даже в высокопроизводительных сетях, не влияя на работу всей сетевой инфраструктуры субъекта КИИ.

ЗАЩИТА СЕРВЕРНОЙ ИНФРАСТРУКТУРЫ

Серверы и рабочие станции из состава объектов КИИ обеспечивают те самые процессы, которые необходимо защищать. Они являются «последней линией обороны». Применение обычных антивирусов на подобных системах неэффективно, так как в продвинутых атаках используются образцы вредоносного программного обеспечения, неизвестные разработчикам средств защиты. Эвристические способы поиска вредоносного ПО генерируют слишком большой «белый шум», который отвлекает на себя внимание администратора ИБ. Эффективной стратегией защиты будет своевременное обновление и устранение уязвимостей как в ОС, так и в прикладном ПО. Однако в реальности этот путь работает далеко не всегда, так как у субъекта КИИ часто может не быть ресурсов для тестирования всех обновлений либо технологические окна для развертывания обновлений могут быть очень короткими и редкими.

Для эффективной защиты конечных точек необходимо применить принцип «Default Deny», который предполагает явное указание доверенных процессов и контроль их целостности. В этом случае любой неавторизованный процесс или несанкционированное изменение процесса будет считаться инцидентом ИБ. Этот принцип реализован в механизмах контроля целостности объектов ОС и замкнутой программной среды в Secret Net Studio.

Но что делать, если используется не физический сервер, а виртуальная машина? Ведь если злоумышленник скомпрометирует всю виртуальную инфраструктуру, он получит неограниченные права доступа буквально к каждой машине. Некоторые компании в этом случае разделяют виртуальную среду на несколько независимых сегментов: виртуальные машины с разным уровнем доверия физически разнесены на разные хосты гипервизоров. Однако такой подход требует дополнительных ресурсов со стороны администраторов виртуальной среды, а также снижает ту самую гибкость, ради которой и внедряется виртуализация серверов.

Более эффективным подходом станет защита виртуальной инфраструктуры с помощью наложенных средств. В этом случае для эффективной защиты необходимо контролировать несколько направлений:

  • контроль безопасности настроек виртуальной среды;
  • разделение виртуальных машин по нескольким контурам безопасности;
  • разграничение доступа и контроль действий администратора виртуальной среды.

Эти механизмы реализованы в продукте vGate. Кроме сегментации виртуальной среды vGate может реализовать «принцип четырех глаз», когда определенные команды администратора виртуальной среды не будут выполнены без согласования администратора безопасности.

Защита критической информационной инфраструктуры – это сложная и трудоемкая задача. Зачастую она требует переосмысления всех элементов стратегии ИБ в организации. Суровое наказание в случае невыполнения требований и пристальное внимание к теме со стороны регуляторов не позволяют спустить тему «на тормозах». Но при правильном подходе проект по защите КИИ - это возможность значительно усилить уровень информационной безопасности предприятия.  Комплексное применение продуктов «Кода безопасности» позволяет достичь этой цели оптимальным образом. Такой путь обеспечивает высокий уровень защиты объектов КИИ, а также экономит время и силы администраторов ИБ.

Подробная информация: https://www.securitycode.ru/solutions/zashchita-kii/