Как развернуть центр мониторинга ГосСОПКА на базе решения R-Vision

В январе 2013 года вступил в силу Указ Президента Российской Федерации «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Документ определил основные задачи ГосСОПКА, а также определил орган исполнительной власти, на который были возложены полномочия по созданию и обеспечению функционирования ГосСОПКА (ФСБ России).

Основные задачи ГосСОПКА согласно Указу № 31с:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

в) осуществление контроля степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;

г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

В декабре 2014 года Президентом РФ была утверждена Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утверждена Президентом РФ 12 декабря 2014 г. № К 1274), в которой уточнялось назначение, принципы создания и функционирования ГосСОПКА.

В 2015 году ФСБ России в рамках развития ГосСОПКА создает Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который согласно закону РФ от 26 июля 2017 г. N 187-ФЗ «О безопасности критической информационной инфраструктуры» обеспечивает координацию деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

НКЦКИ разработало методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА, в которых освещены общие вопросы создания центров ГосСОПКА и основные функции.

На текущий момент проект методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА содержит 12 функций ГосСОПКА. Отметим, что некоторые источники указывают на 11 функций. Документ также перечисляет набор технических средств, который может быть использован для выполнения этих функций.

Сюда входят:

  • средства взаимодействия персонала;
  • средства взаимодействия с главным центром ГосСОПКА;
  • средства инвентаризации информационных систем;
  • средства выявления уязвимостей;
  • средства анализа событий безопасности;
  • средства учета и обработки инцидентов.

При этом рекомендуется обеспечить их интеграцию.

Мы проанализировали указанные выше методические рекомендации с точки зрения того, в какой степени функции центра мониторинга (ЦМ) ГосСОПКА могут быть реализованы на базе решения R-Vision Incident Response Platform (R-Vision IRP) и какие технические средства необходимо использовать, чтобы полностью обеспечить реализацию каждой функции.

В документе осознанно не упоминаются конкретные производители сторонних решений, а только классы решений. Данная публикация отражает субъективную трактовку методических рекомендаций специалистами компании R-Vision.

12 функций ГосСОПКА и как они реализуются с помощью R-Vision IRP

Стоит отметить, что платформа R-Vision IRP объединяет в себе 4 средства, упомянутых в рекомендациях, являясь одновременно средством для взаимодействия персонала ЦМ, взаимодействия с главным центром ГосСОПКА, средством инвентаризации информационных систем, а также средством учета и обработки инцидентов.

В методических рекомендациях перечислены следующие функции ГосСОПКА:

  1. Инвентаризация информационных ресурсов
  2. Анализ уязвимостей информационных ресурсов
  3. Анализ угроз информационной безопасности
  4. Антивирусная защита информационных ресурсов
  5. Повышение квалификации персонала информационных ресурсов
  6. Прием сообщений об инцидентах
  7. Обнаружение компьютерных атак
  8. Анализ данных о событиях безопасности
  9. Регистрация инцидентов
  10. Реагирование на инциденты и ликвидация их последствий
  11. Установление причин инцидентов
  12. Анализ результатов устранения последствий

Проведя детальное сравнение функциональных требований к центру мониторинга ГосСОПКА и возможностей продукта R-Vision IRP, мы сделали вывод о том, что разрабатываемое нами решение в целом позволяет обеспечить выполнение почти половины (48%) всех рекомендаций.

Оставшаяся часть требований реализуется за счет применения организационных мер и использования других технических средств, перечисленных в методических рекомендациях НКЦКИ.

Рассмотрим подробнее каждую из 12 функций центра мониторинга ГосСОПКА.

№1 Инвентаризация информационных ресурсов

Функция инвентаризации информационных ресурсов предусматривает сбор сведений об информационных ресурсах, находящихся в зоне ответственности ЦМ ГосСОПКА. Эти сведения включают в себя:

  • ФИО, должности и контакты ответственных лиц;
  • доменные имена и сетевые адреса компонентов информационного ресурса;
  • доменные имена и адреса компонентов информационного ресурса, доступные из Интернет;
  • сегментацию и топологию локальных сетей, правила маршрутизации и коммутации, настройки сетевого оборудования и межсетевых экранов;
  • перечень установленного ПО;
  • существенные с точки зрения безопасности настройки ПО, оборудования и СЗИ.

Эти данные должны уточняться не реже, чем раз в квартал или при изменении состава оборудования и ПО.

Функция инвентаризации может быть полностью реализована с помощью платформы R-Vision IRP. Программный продукт позволяет собрать все необходимые сведения по информационному ресурсу, перечисленные в методических рекомендациях, соблюдая требуемую периодичность сбора и уточнений информации.

Возможности системы R-Vision IRP, позволяющие реализовать требования:

  1. Собственный движок инвентаризации.
  2. Коннекторы к поставщикам инвентаризационной информации: CMDB-решениям, сканерам защищенности, антивирусам, базам данных и другим решениям.
  3. Обогащение информации об информационных ресурсах из разных источников.
  4. Управление жизненным циклом ИТ-активов.
  5. Автоматизация связей информационных активов и оборудования.

 №2 Анализ уязвимостей информационных ресурсов (ИР)

Цель анализа уязвимостей – выявить недостатки в обеспечении безопасности информационных ресурсов, которые злоумышленник может использовать для проведения компьютерных атак. Анализ уязвимостей включает в себя выявление уязвимостей, оценку степени их опасности и разработку рекомендаций по их устранению.

Платформа R-Vision IRP позволяет реализовать порядка 20% функции анализа уязвимостей, обеспечивая автоматизацию деятельности по управлению жизненным циклом уязвимостей. В продукте имеются следующие возможности:

  1. Наличие коннекторов ко всем распространённым сканерам защищенности.
  2. Поддержка базы угроз Vulners.
  3. Отображение информации об уязвимостях из разных источников.
  4. Отображение взаимосвязи активов и обнаруженных на них уязвимостей.

Остальная часть функции анализа уязвимостей может быть обеспечена за счет следующих организационно-технических мер: применения средств анализа защищенности (выявление уязвимостей); применения средств анализа кода и безопасной разработки ПО, применения средств анализа кода веб-приложений и их защиты, включая поддержку http/https (WAF), проведения периодических пентестов, аудитов, анализа документации ИС, контроля соответствия требованиям и устранения выявленных ранее уязвимостей и недостатков.

№3 Анализ угроз информационной безопасности

Анализ угроз информационной безопасности проводится на основе информации, полученной в результате инвентаризации и анализа уязвимостей. Цель этого этапа – выявить способ проведения компьютерной атаки и разработать меры противодействия.

Анализ угроз включает в себя определение возможных угроз, связанных с компьютерными атаками на информационный ресурс; идентификацию уязвимостей; определение способов проведения атак, их признаков, способов их обнаружения и мер реагирования на них; определение возможных путей и выработку организационно-технических мер противодействия атакам. После чего готовится набор необходимых методических документов (правил, политик, инструкций для персонала и т.д.).

Данная функция по большей части реализуется организационными мерами. Из технических средств, которые могут потребоваться, можно отметить SIEM-системы, сканеры защищенности.

Примерно 10% рекомендаций по анализу угроз может быть обеспечено платформой R-Vision IRPза счет следующих возможностей системы:

  1. Анализ сведений по обнаруженным уязвимостям ИР из различных источников в единой системе.
  2. Поиск потенциально нелегитимного или вредоносного ПО на объектах ИР (на основе полученной информации по угрозам).
  3. Моделирование угроз.
  4. Определение ложных срабатываний по уязвимостям.
  5. Визуализация связей ИТ-активов и уязвимостей.

№4 Антивирусная защита информационных ресурсов

Функция антивирусной защиты информационных ресурсов подразумевает применение средств антивирусной защиты (САЗ) в составе информационных ресурсов и проверку подозрительных файлов определенным набором средств.

Среди организационных мер можно выделить разработку требований к используемым САЗ и технологиям проверки подозрительных файлов, разработку регламентов и инструкций по обеспечению антивирусной защиты, координацию действий персонала при вирусных атаках, взаимодействие с разработчиками САЗ при обнаружении ранее неизвестного вредоносного кода.

В техническом плане антивирусная защита ИР может обеспечиваться за счет применения средств антивирусной защиты, средств антивирусной защиты в составе COA/COB (IPS), средств анализа сетевого трафика, средств поведенческого анализа (песочницы), Anti-APT — решений.

Платформа R-Vision IRP выполняет функцию документационного обеспечения деятельности по информационной безопасности, включая деятельность по антивирусной защите. Кроме того, при подключении к R-Vision средств антивирусной защиты платформа может применяться в качестве дополнительного источника контроля состояния работы хостовых агентов САЗ. Таким образом, с помощью продукта может быть обеспечена реализация порядка 27% рекомендаций данного раздела.

№5 Повышение квалификации персонала информационных ресурсов

Для повышения квалификации персонала ИР проводится целенаправленное обучение по вопросам кибербезопасности, в том числе по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. Оно осуществляется путем ознакомления персонала с методическими рекомендациями и инструкциями по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, рассылки дополнительных информационных материалов, периодической аттестации персонала, отработки действий сотрудников при имитации атак и дополнительного обучения при необходимости.

R-Vision IRP может служить платформой повышения квалификации персонала, позволяя реализовать 50% всех установленных рекомендаций. Благодаря интеграции продукта c сервисом обучения и контроля защищенности Antiphish.ru, доступны следующие возможности:

  1. Автоматизация деятельности по управлению обучением сотрудников ИР.
  2. Наличие различных программ обучения с возможностью проверки знаний.
  3. Возможность локального размещения сервиса по обучению пользователей в организации.
  4. Имитация действий злоумышленников, выявление наименее осведомленных пользователей по вопросам кибербезопасности.
  5. Получение статистики, отчетности по обучению пользователей ИР.

№6 Прием сообщений об инцидентах

Данная функция подразумевает централизованный прием сообщений о возможных инцидентах от пользователей и персонала ЦМ с помощью какого-либо средства взаимодействия. Сообщение может быть сформулировано в произвольной форме. Далее на его основании создается карточка инцидента, куда заносятся все имеющиеся сведения об инциденте.

Блок рекомендаций по организации приема сообщений об инцидентах может быть реализован за счет использования платформы R-Vision IRP на 80%. Для этого в продукте имеются следующие возможности:

  1. Обеспечение деятельности по приему, обработке и хранению сообщений об инцидентах в ЦМ в единой системе.
  2. Прием сообщений от других сегментов ГосСОПКА.
  3. Прием сообщений об инцидентах операторами ЦМ (почта, телефон с последующим внесением данных в систему).
  4. Встроенный почтовый сервер, прием почтовых сообщений в режиме online и их обработка
  5. Прием сообщений об инцидентах от других центров мониторинга, использующих платформу , а также внешних провайдеров услуг мониторинга и реагирования (например, сервиса JSOC).

Для реализации оставшихся требований к функции приема сообщений об инцидентах может понадобиться веб-портал, посредством которого пользователи смогут отправлять сообщения об инцидентах ИБ.

№7 Обнаружение компьютерных атак

Цель обнаружения компьютерных атак – своевременное реагирование на связанные с ними инциденты и ликвидация последствий. Эта функция реализуется за счет использования средств обнаружения компьютерных атак и межсетевых экранов прикладного уровня, средств анализа сетевого трафика, а также средств поведенческого анализа (песочницы, Anti-APT).

№8 Анализ данных о событиях безопасности

Целью анализа данных о событиях безопасности является регистрация инцидентов. Центры мониторинга обеспечивают автоматизированный сбор и хранение данных о событиях безопасности. Последующий анализ данных проводится с использованием автоматизированных средств анализа событий путем применения к ним правил корреляции. В данном случае речь идет о применении SIEM-решений, позволяющих полностью обеспечить реализацию установленных рекомендаций.

№9 Регистрация инцидентов

Согласно методическим рекомендациям, регистрация инцидентов должна осуществляться с использованием автоматизированных средств учета и обработки инцидентов. Карточка инцидента, созданная на основании сообщений от пользователя или по результатам анализа событий безопасности, должна быть направлена в центр мониторинга. Специалисты ЦМ проверяют и уточняют сведения, которые в ней содержатся, принимают решение о подтверждении инцидента и начале действий по реагированию.

Рекомендации по регистрации инцидентов могут быть обеспечены за счет платформы R-Vision IRP практически полностью (на 90%). В продукте для этого имеются следующие возможности:

  1. Управление жизненным циклом инцидентов, накопление и обогащение информации в единой БД .
  2. Регистрация инцидентов через веб-форму Оператором ЦМ вручную.
  3. Регистрация инцидентов посредством интеграции с SIEM + 2х сторонний обмен статусами.
  4. Регистрация инцидентов по результатам обработки почтовых сообщений (парсинг почтовых сообщений по тегам или регулярным выражениям).

Оставшиеся рекомендации по регистрации инцидентов обеспечиваются организационными мерами.

 

№10 Реагирование на инциденты и ликвидация их последствий

Под реагированием на инцидент подразумевается определенная деятельность, выполняемая сотрудниками ЦМ, либо выполняемая без участия человека. Она подразумевает  фиксацию состояния и анализ затронутых объектов ИР, фиксацию и анализ сетевого трафика, сбор необходимых сведений и установление причин инцидента, возможных последствий, локализацию инцидента, планирование мер по устранению последствий, их выполнение и контроль выполнения.

R-Vision позволяет автоматизировать указанные процессы и обеспечить выполнение порядка 70% рекомендаций данного раздела. Остальная его часть выполняется организационными мерами.

Возможности платформы R-Vision IRP, позволяющие реализовать функцию реагирования на инциденты и ликвидацию их последствий:

  1. Наличие гибкого конструктора правил реагирования, позволяющего реализовать любой сценарий реагирования.
  2. Наличие порядка 40 скриптов реагирования и возможность создания собственных скриптов.
  3. Возможность создания цепочки действий в сценарии реагирования, включая действие, выполняющееся автоматически на основе анализа предыдущего действия.
  4. Автоматизация функций по назначению, уведомлению ответственных, постановки задач и сроков реагирования.
  5. Контроль и управление задачами персонала ЦМ.
  6. Автоматизация функций по сбору свидетельств и доказательств.
  7. Возможность отправления команд на сетевые СЗИ.

№11 Установление причин инцидентов

Установление причин инцидентов проводится в два этапа: первичный анализ и комплексный анализ инцидента. В задачи первичного анализа входит установление обстоятельств и возможных последствий инцидента, а также своевременное установление обстоятельств, выходящих за рамки стандартных действий для данного типа инцидентов. Комплексный анализ подразумевает установление причин инцидента и его фактических последствий. На обеих стадиях установление причин предусматривает сбор сведений об инциденте и их последующий анализ.

Рекомендации по обеспечению установления причин инцидентов платформа R-Vision IRP позволяет реализовать примерно на 25%. Для этого в продукте имеются следующие возможности:

  1. Анализ сведений по инцидентам, просмотр карточки инцидента, свидетельств, результатов выполнения скриптов реагирования.
  2. Анализ реализованных сценариев, их визуализация, анализ действий персонала ЦМ.
  3. Анализ существующих процессов, методических документов.
  4. Анализ взаимосвязей инцидентов, информационных и физических активов и их свойств, включая уязвимости.

Реализация рекомендаций данного раздела также подразумевает ряд организационных мер, а также использование СЗИ и вспомогательных средств в качестве источников сведений об инцидентах.

№12 Анализ результатов устранения последствий

Анализ результатов устранения последствий инцидента включает в себя оценку причиненного вреда ИР в результате инцидента, недостатков в обеспечении безопасности информации, не позволивших предотвратить инцидент, своевременности обнаружения инцидента, действий персонала при локализации инцидента и ликвидации его последствий, сроков устранения последствий инцидента.

Такой анализ может быть реализован на базе платформы R-Vision IRP, предоставляющей следующие возможности:

  1. Оценка предотвращенного ущерба от реализации инцидентов.
  2. Анализ действий персонала ЦМ.
  3. Оценка ущерба от реализации инцидентов.
  4. Анализ сроков реагирования на инциденты.
  5. Анализ принятых мер и их корректировка.

Таким образом за счет применения платформы R-Vision IRP обеспечивается практически полная (93%) реализация установленных рекомендаций, а для обеспечения других рекомендаций данного раздела применяются организационные меры.

Выводы

Ключевые функции платформы R-Vision IRP позволяют использовать ее как платформу оркестрации в ЦМ, способную агрегировать информацию по активам и их свойствам, включая уязвимости, принимать сообщения об инцидентах и осуществлять их регистрацию, управлять командой центра мониторинга, автоматизировать деятельность по управлению реагированием на инциденты, проведением расследований, повышением осведомленности пользователей. Таким образом, платформа R-Vision IRP может выступать основой для создания ЦМ ГосСОПКА.

Наличие коннекторов к распространенным техническим средствам, которые могут быть использованы для создания ЦМ ГосСОПКА, позволяют также использовать R-Vision IRP как интеграционную платформу.

Скачать брошюру в PDF

Поделиться записью: