2018/10/30 14:03:10

Вы – субъект критической информационной инфраструктуры? Пора задуматься о безопасности…

Тенденции последних лет в целом показывают, что даже хорошо защищенные критические информационные инфраструктуры (КИИ) уязвимы перед простыми кибератаками. Например, нашумевший вирус-шифровальщик WannaCry поразил более полумиллиона компьютеров за короткое время, нарушив работу ряда крупнейших компаний. Исследования Positive Technologies показали, что в среднем до 31% компаний подвержены риску заражения данным вирусом. При этом саму атаку эксперты нередко называют результатом банального несоблюдения гигиены ИБ: нарушения правил патч-менджмента. Если же обратиться к теме APT-атак на организации, то и в этом случае показатели не утешительны: в среднем каждая вторая крупная организация обнаруживает следы присутствия злоумышленников в своей инфраструктуре. Иногда такое присутствие длится годами. Поэтому перед организациями остро стоит задача минимизировать возможности злоумышленников, научиться оперативно выявлять скрытые инциденты и вовремя находить проблемные точки в ИТ-инфраструктуре.

Содержание

Организации должны вовремя находить проблемные точки в ИТ-инфраструктуре
Организации должны вовремя находить проблемные точки в ИТ-инфраструктуре

Безопасность КИИ регулируется законодательством: организации, у которых есть значимые объекты, должны создать систему безопасности и взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ)[1]. С выходом в июле 2017 года Федерального закона № 187-ФЗ о безопасности КИИ были утверждены 13 нормативно-правовых актов, а до конца 2018 года ожидается принятие еще трех приказов ФСБРоссии и приказа Минкомсвязи РФ. Разобраться в таком большом объеме требований, порядке и сроке их выполнения — непростая задача, требующая погружения в нормативно-правовую базу и отслеживания заявлений регуляторов.

«

В 2018 году произошло несколько крупных кибератак, затрагивающих объекты КИИ. Например, под прицел злоумышленников попало сетевое оборудование хлоропереливной станции, успешный исход атаки мог вызвать срыв технологических процессов и аварию. Во время проведения сложной операции на головном мозге из-за шифровальщика Purgen отключились компьютерные системы. К счастью, врачам удалось благополучно завершить операцию без показаний медоборудования.

»

Основы безопасности для субъекта КИИ

Разобравшись в нюансах законодательства, в Positive Technologies разработали план мероприятий по соответствию 187-ФЗ, который нацелен на то, чтобы максимально упростить для любого субъекта КИИ весь процесс выполнения требования по защите КИИ. Если коротко, то для выполнения требований 187-ФЗ субъектам КИИ, у которых есть значимые объекты, необходимо создать систему безопасности и взаимодействовать с Национальным координационным центром по компьютерным инцидентам. Состав технических и организационных мер по обеспечению безопасности значимого объекта КИИ определен в приказе ФСТЭК России №239. Согласно ему, в частности, субъектам КИИ необходимо проводить аудит безопасности, обеспечивать антивирусную защиту, предотвращать вторжения, реагировать на инциденты ИБ. Для реализации требований используются средства ИБ различных классов: начиная со средств защиты от несанкционированного доступа и антивирусов и заканчивая решениями, позволяющими осуществлять мониторинг, выявлять инциденты и реагировать на них.

Если планируется создание центра ГосСОПКА, необходимо ознакомиться с методическими рекомендациями ФСБ России к его построению. В них регулятор определяет функции сегмента ГосСОПКА, технические средства, которые необходимо использовать для выявления и реагирования на атаки, дает рекомендации по их автоматизации и описывает процесс взаимодействия с главным центром ГосСОПКА.

Чтобы система безопасности объекта КИИ на практике эффективно выполняла свою задачу, требуется интеграция средств защиты и мониторинга, и максимальная автоматизация процессов ИБ. Это позволит службе ИБ сконцентрироваться на главном: выявлять атаки до того, как они нанесут серьезный ущерб, и постоянно повышать уровень защищенности системы.

Технологии защиты: 5 в 1

Требования к системе безопасности позволяют определить набор необходимых средств защиты, которые могут обеспечить выполнение основных задач в области ИБ, в том числе аудит, антивирусную защиту, обнаружение вторжений, анализ сетевого трафика, выявление инцидентов и реагирование на них. В Positive Technologies пошли дальше и сформировали полноценную технологическую платформу, которая позволит реализовать основные функции безопасности значимых объектов КИИ. Ядром платформы является MaxPatrol SIEM − система управления событиями ИБ и выявления инцидентов в режиме реального времени. Он в том числе получает информацию из других технических средств, развернутых на платформе: системы контроля защищенности и соответствия стандартам безопасности MaxPatrol 8, системы многоуровневой защиты от вредоносного ПО PT MultiScanner, решения для выявления следов компрометации в сетевом трафике PT Network Attack Discovery. Для автоматизированного взаимодействия с НКЦКИ и управления инцидентами в состав платформы включен продукт «ПТ Ведомственный центр». Все эти продукты разработаны на единой платформе и большая часть из них уже была интегрирована между собой, для остальных была доработана интеграция. Благодаря этому удалось максимально снизить ручное вмешательство администратора безопасности. В итоге получился программно-аппаратный комплекс из 5 продуктов — PT Platform 187.

Атака: работа PT Platform 187

Представим работу платформы в условиях распространенной атаки, основанной на фишинговой рассылке.

«

Электронная почта по статистике Positive Technologies является одним из трех основных путей заражения инфраструктуры организации – на ее долю во втором квартале 2018 года пришлось около 23% всех случаев распространения вредоносного ПО. При этом около 10% сотрудников организаций склонны открывать сомнительные вложения.

»

Итак, на одном из первых этапов атаки, злоумышленники готовят вредоносный файл и целенаправленно рассылают его по скомпрометированным электронным адресам сотрудников компании. PT Network Attack Discovery анализирует сетевой трафик компании и автоматически передает файлы в PT MultiScanner для проверки на наличие вирусов.

PT Network Attack Discovery выявляет атаки с помощью сигнатурного анализа,
репутационных списков и технологии выявления автоматически сгенерированных доменов
PT Network Attack Discovery выявляет атаки с помощью сигнатурного анализа, репутационных списков и технологии выявления автоматически сгенерированных доменов

PT MultiScanner, в свою очередь, анализирует полученные файлы, используя набор популярных антивирусных движков и репутационные списки, и блокирует файлы, признанные вредоносными.

PT MultiScanner в режиме реального времени выдает результат сканирования и передает событие в MaxPatrol SIEM
PT MultiScanner в режиме реального времени выдает результат сканирования и передает событие в MaxPatrol SIEM

Далее PT MultiScanner передает информацию о выявлении зараженного файла (или файлов) в MaxPatrol SIEM, который собирает события ИБ со всей инфраструктуры и выявляет инциденты. MaxPatrol SIEM заводит инцидент и автоматически передает его в «ПТ Ведомственный центр».

MaxPatrol SIEM выявляет инцидент, уведомляет о нем оператора ИБ и передает информацию в «ПТ Ведомственный центр»
MaxPatrol SIEM выявляет инцидент, уведомляет о нем оператора ИБ и передает информацию в «ПТ Ведомственный центр»

Инцидент об атаке регистрируется в «ПТ Ведомственный центр» и заполненная карточка инцидента передается в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

«ПТ Ведомственный центр» позволяет взаимодействовать с НКЦКИ в режиме онлайн-чата
«ПТ Ведомственный центр» позволяет взаимодействовать с НКЦКИ в режиме онлайн-чата

Проанализировав информацию об инциденте и получив запрос о содействии от организации, НКЦКИ присылает рекомендации по предотвращению подобных атак в будущем. К примеру, в «ПТ Ведомственный центр» приходит сообщение от НКЦКИ с задачей провести анализ инфраструктуры на наличие уязвимости, установить обновление и добавить в систему защиты почты запрет на прием обнаруженного файла.

В «ПТ Ведомственный центр» приходят рекомендации специалистов НКЦКИ
В «ПТ Ведомственный центр» приходят рекомендации специалистов НКЦКИ

Администратор безопасности c помощью MaxPatrol 8 находит уязвимые хосты и локализует угрозу, связанную с конкретной уязвимостью, обновляет правила выявления угроз в PT MultiScanner и PT Network Attack Discovery, на антиспам-шлюзе добавляет запрещающее правило на прием вредоносного файла с доменов злоумышленников. После завершения процесса, администратор в интерфейсе «ПТ Ведомственный центр» уведомляет НКЦКИ об исполнении рекомендаций и ликвидации последствий инцидента ИБ.

Оператор ИБ уведомляет НКЦКИ о принятых мерах
Оператор ИБ уведомляет НКЦКИ о принятых мерах

Таким образом, процесс по обеспечению безопасности объектов КИИ вкратце можно представить так:


ОПЕРАТИВНОЕ ВЫЯВЛЕНИЕ УГРОЗ –> ЛОКАЛИЗАЦИЯ –> ПРИНЯТИЕ МЕР ПО ПРЕДОТВРАЩЕНИЮ


В результате организации системно повышают уровень защищенности объектов КИИ и инфраструктуры в целом за счет постоянного мониторинга событий, устранения уязвимостей и выполнения рекомендаций НКЦКИ. В том случае, когда атака нетиповая (нераспространенная, распределенная, многовекторная) или у внутренней команды организации не хватает экспертизы для эффективного реагирования на инциденты и предотвращения последующих, задача может быть решена с привлечением внешней экспертной команды.

Для кого предназначен PT Platform 187

PT Platform 187 подходит организациям с небольшой инфраструктурой и территориальным подразделениям крупных организаций. Поскольку платформа — это один сервер, на котором развернуты 5 продуктов, есть и ряд технических ограничений. Главное из них — количество сетевых устройств, включаемых в мониторинг ИБ: их должно быть не более 250. В случае крупной распределенной инфраструктуры, можно выделить в ней сегменты с объектами КИИ, подходящими под критерий, и использовать PT Platform 187 в определенных границах.

Если в организации более 250 сетевых устройств, относящихся к объекту КИИ, и объектов КИИ больше одного, правильнее создавать систему защиты на enterprise-версиях продуктов, которые позволяют выстроить распределенную систему защиты и консолидировать все данные об инфраструктуре в одном месте для централизации контроля.

«

Первым в РФ опытом внедрения комплекса PT Platform 187 стало создание регионального центра безопасности, формируемого на базе Калининградского государственного научно-исследовательского центра информационной и технической безопасности (КГ НИЦ). Задача центра — помогать органам государственной власти Калининградской области в вопросах защиты объектов КИИ.
Использование PT Platform 187 позволило КГ НИЦ за месяц запустить центр безопасности и начать выполнение требований законодательства. К решению были подключены информационные системы министерств в сферах науки, здравоохранения, промышленности. Теперь КГ НИЦ отслеживает события ИБ в подключенных системах и выявляет атаки.
До конца 2018 года центр планирует организовать подключение к ГосСОПКА для передачи информации об атаках на объекты КИИ региональных органов государственной власти. Постепенно он будет расширять область мониторинга и переходить на enterprise-версии продуктов, входящих в PT Platform 187. В 2019 году к центру будут подключены 1000 сетевых устройств органов власти Калининградской области, а к 2020 году — 3000 устройств.

»


Автор: Сергей Куц, эксперт Positive Technologies