Вы – субъект критической информационной инфраструктуры? Пора задуматься о безопасности…
Тенденции последних лет в целом показывают, что даже хорошо защищенные критические информационные инфраструктуры (КИИ) уязвимы перед простыми кибератаками. Например, нашумевший вирус-шифровальщик WannaCry поразил более полумиллиона компьютеров за короткое время, нарушив работу ряда крупнейших компаний. Исследования Positive Technologies показали, что в среднем до 31% компаний подвержены риску заражения данным вирусом. При этом саму атаку эксперты нередко называют результатом банального несоблюдения гигиены ИБ: нарушения правил патч-менджмента. Если же обратиться к теме APT-атак на организации, то и в этом случае показатели не утешительны: в среднем каждая вторая крупная организация обнаруживает следы присутствия злоумышленников в своей инфраструктуре. Иногда такое присутствие длится годами. Поэтому перед организациями остро стоит задача минимизировать возможности злоумышленников, научиться оперативно выявлять скрытые инциденты и вовремя находить проблемные точки в ИТ-инфраструктуре.
Содержание |
Безопасность КИИ регулируется законодательством: организации, у которых есть значимые объекты, должны создать систему безопасности и взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ)[1]. С выходом в июле 2017 года Федерального закона № 187-ФЗ о безопасности КИИ были утверждены 13 нормативно-правовых актов, а до конца 2018 года ожидается принятие еще трех приказов ФСБРоссии и приказа Минкомсвязи РФ. Разобраться в таком большом объеме требований, порядке и сроке их выполнения — непростая задача, требующая погружения в нормативно-правовую базу и отслеживания заявлений регуляторов.
В 2018 году произошло несколько крупных кибератак, затрагивающих объекты КИИ. Например, под прицел злоумышленников попало сетевое оборудование хлоропереливной станции, успешный исход атаки мог вызвать срыв технологических процессов и аварию. Во время проведения сложной операции на головном мозге из-за шифровальщика Purgen отключились компьютерные системы. К счастью, врачам удалось благополучно завершить операцию без показаний медоборудования. |
Основы безопасности для субъекта КИИ
Разобравшись в нюансах законодательства, в Positive Technologies разработали план мероприятий по соответствию 187-ФЗ, который нацелен на то, чтобы максимально упростить для любого субъекта КИИ весь процесс выполнения требования по защите КИИ. Если коротко, то для выполнения требований 187-ФЗ субъектам КИИ, у которых есть значимые объекты, необходимо создать систему безопасности и взаимодействовать с Национальным координационным центром по компьютерным инцидентам. Состав технических и организационных мер по обеспечению безопасности значимого объекта КИИ определен в приказе ФСТЭК России №239. Согласно ему, в частности, субъектам КИИ необходимо проводить аудит безопасности, обеспечивать антивирусную защиту, предотвращать вторжения, реагировать на инциденты ИБ. Для реализации требований используются средства ИБ различных классов: начиная со средств защиты от несанкционированного доступа и антивирусов и заканчивая решениями, позволяющими осуществлять мониторинг, выявлять инциденты и реагировать на них.
Если планируется создание центра ГосСОПКА, необходимо ознакомиться с методическими рекомендациями ФСБ России к его построению. В них регулятор определяет функции сегмента ГосСОПКА, технические средства, которые необходимо использовать для выявления и реагирования на атаки, дает рекомендации по их автоматизации и описывает процесс взаимодействия с главным центром ГосСОПКА.
Чтобы система безопасности объекта КИИ на практике эффективно выполняла свою задачу, требуется интеграция средств защиты и мониторинга, и максимальная автоматизация процессов ИБ. Это позволит службе ИБ сконцентрироваться на главном: выявлять атаки до того, как они нанесут серьезный ущерб, и постоянно повышать уровень защищенности системы.
Технологии защиты: 5 в 1
Требования к системе безопасности позволяют определить набор необходимых средств защиты, которые могут обеспечить выполнение основных задач в области ИБ, в том числе аудит, антивирусную защиту, обнаружение вторжений, анализ сетевого трафика, выявление инцидентов и реагирование на них. В Positive Technologies пошли дальше и сформировали полноценную технологическую платформу, которая позволит реализовать основные функции безопасности значимых объектов КИИ. Ядром платформы является MaxPatrol SIEM − система управления событиями ИБ и выявления инцидентов в режиме реального времени. Он в том числе получает информацию из других технических средств, развернутых на платформе: системы контроля защищенности и соответствия стандартам безопасности MaxPatrol 8, системы многоуровневой защиты от вредоносного ПО PT MultiScanner, решения для выявления следов компрометации в сетевом трафике PT Network Attack Discovery. Для автоматизированного взаимодействия с НКЦКИ и управления инцидентами в состав платформы включен продукт «ПТ Ведомственный центр». Все эти продукты разработаны на единой платформе и большая часть из них уже была интегрирована между собой, для остальных была доработана интеграция. Благодаря этому удалось максимально снизить ручное вмешательство администратора безопасности. В итоге получился программно-аппаратный комплекс из 5 продуктов — PT Platform 187.
Атака: работа PT Platform 187
Представим работу платформы в условиях распространенной атаки, основанной на фишинговой рассылке.
Электронная почта по статистике Positive Technologies является одним из трех основных путей заражения инфраструктуры организации – на ее долю во втором квартале 2018 года пришлось около 23% всех случаев распространения вредоносного ПО. При этом около 10% сотрудников организаций склонны открывать сомнительные вложения. |
Итак, на одном из первых этапов атаки, злоумышленники готовят вредоносный файл и целенаправленно рассылают его по скомпрометированным электронным адресам сотрудников компании. PT Network Attack Discovery анализирует сетевой трафик компании и автоматически передает файлы в PT MultiScanner для проверки на наличие вирусов.
PT MultiScanner, в свою очередь, анализирует полученные файлы, используя набор популярных антивирусных движков и репутационные списки, и блокирует файлы, признанные вредоносными.
Далее PT MultiScanner передает информацию о выявлении зараженного файла (или файлов) в MaxPatrol SIEM, который собирает события ИБ со всей инфраструктуры и выявляет инциденты. MaxPatrol SIEM заводит инцидент и автоматически передает его в «ПТ Ведомственный центр».
Инцидент об атаке регистрируется в «ПТ Ведомственный центр» и заполненная карточка инцидента передается в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Проанализировав информацию об инциденте и получив запрос о содействии от организации, НКЦКИ присылает рекомендации по предотвращению подобных атак в будущем. К примеру, в «ПТ Ведомственный центр» приходит сообщение от НКЦКИ с задачей провести анализ инфраструктуры на наличие уязвимости, установить обновление и добавить в систему защиты почты запрет на прием обнаруженного файла.
Администратор безопасности c помощью MaxPatrol 8 находит уязвимые хосты и локализует угрозу, связанную с конкретной уязвимостью, обновляет правила выявления угроз в PT MultiScanner и PT Network Attack Discovery, на антиспам-шлюзе добавляет запрещающее правило на прием вредоносного файла с доменов злоумышленников. После завершения процесса, администратор в интерфейсе «ПТ Ведомственный центр» уведомляет НКЦКИ об исполнении рекомендаций и ликвидации последствий инцидента ИБ.
Таким образом, процесс по обеспечению безопасности объектов КИИ вкратце можно представить так:
ОПЕРАТИВНОЕ ВЫЯВЛЕНИЕ УГРОЗ –> ЛОКАЛИЗАЦИЯ –> ПРИНЯТИЕ МЕР ПО ПРЕДОТВРАЩЕНИЮ
В результате организации системно повышают уровень защищенности объектов КИИ и инфраструктуры в целом за счет постоянного мониторинга событий, устранения уязвимостей и выполнения рекомендаций НКЦКИ. В том случае, когда атака нетиповая (нераспространенная, распределенная, многовекторная) или у внутренней команды организации не хватает экспертизы для эффективного реагирования на инциденты и предотвращения последующих, задача может быть решена с привлечением внешней экспертной команды.
Для кого предназначен PT Platform 187
PT Platform 187 подходит организациям с небольшой инфраструктурой и территориальным подразделениям крупных организаций. Поскольку платформа — это один сервер, на котором развернуты 5 продуктов, есть и ряд технических ограничений. Главное из них — количество сетевых устройств, включаемых в мониторинг ИБ: их должно быть не более 250. В случае крупной распределенной инфраструктуры, можно выделить в ней сегменты с объектами КИИ, подходящими под критерий, и использовать PT Platform 187 в определенных границах.
Если в организации более 250 сетевых устройств, относящихся к объекту КИИ, и объектов КИИ больше одного, правильнее создавать систему защиты на enterprise-версиях продуктов, которые позволяют выстроить распределенную систему защиты и консолидировать все данные об инфраструктуре в одном месте для централизации контроля.
Первым в РФ опытом внедрения комплекса PT Platform 187 стало создание регионального центра безопасности, формируемого на базе Калининградского государственного научно-исследовательского центра информационной и технической безопасности (КГ НИЦ). Задача центра — помогать органам государственной власти Калининградской области в вопросах защиты объектов КИИ. |
Автор: Сергей Куц, эксперт Positive Technologies