23.1.13

Федеральная система обнаружения атак - как она могла бы выглядеть?

В блоге и в Твиттере мне стали оппонировать, что я критикую, не зная, как на самом деле будет устроена система обнаружения атак, описанная в Указе Президента №31с. Так уж сложилось, что темой обнаружения атак я занимаюсь давно, еще с конца 90-х и поэтому неплохо себе представляю, как может быть выстроена такая система и с какими сложностями могут столкнуться ее создатели (кстати, в Академии ФСБ до сих пор учатся по моей книжке "Обнаружение атак" 2001-го года издания).

Конечно, сложно, не зная целеполагания, предполагать, что же имели ввиду авторы 31-го указа, но вариантов на самом деле тут немного. Под описанной системой обнаружения атак может пониматься:
  • Низкоуровневая система мониторинга вредоносной активности, направленной на информационные системы РФ (допустим, только на государственные информационные системы и КСИИ в КВО). Т.е. по сути - это территориально-распределенная IDS. Почему она не заработает я написал вчера и позавчера.
  • Высокоуровневая система мониторинга, которая аккумулирует данные с разных источников. Некий ситуационный центр по ИБ (или Security Operation Center). При том зоопарке решений, используемых отечественными госорганами и КВО, построить такой SOC - задача нетривиальная. Еще более нетривиальная задача - визуализировать весь тот объем информации, который будет поступать в SOC. Это терабайты данных ежедневно.
  • Центр сбора информации об инцидентах ИБ. Это наиболее просто реализуемая задача, но и она имеет кучу подводных камней, начиная от отсутствия единого формата для такой информации до нежелания госорганов светить такие сведения. Тут достаточно вспомнить процедуру обязательного уведомления Банка России в рамках отчетности по 2831-У. Но там хоть ответственность косвенная была за невыполнение обязательных требований ЦБ, а тут?...
  • Система оповещения об уровне Интернет-угрозы. Это, пожалуй, самый простой путь реализации указа 31с. Достаточно просто поставить на сайт ФСБ иконку уровня угрозы от Cisco, Касперского или других вендоров и тем самым оповещать пользователей об уровне угроз. Я про это даже писал 10 лет назад.
Но так уж ли важен вариант реализации данной системы? По сути они все обладают  схожим функционалом и при его реализации проблемы будут одинаковыми. Как могла бы выглядеть такая система в идеале?

Начать стоило бы с того, чтобы определиться - мы хотим иметь систему ориентированную вовнутрь или с зачатками прогнозирования? Первый вариант ограничен только данными, получаемыми из множества источников (сенсоров), разбросанных по госорганам и Интернет. В этом случае мы анализируем текущий уровень защищенности; не более того. Второй позволяет учитывать и внешнюю ситуацию в киберпространстве, атаки на иные ресурсы, в т.ч. и в других странах, тенденции мира "по ту сторону баррикад" и т.д. Первый путь чуть проще в реализации, т.к. поступаемые данные более формализованные, чем различные бюллетени, сообщения на "хакерских" форумах и другая неструктурированная информация.

Ядром (и первым элементом) любого варианта построения системы обнаружения атак является механизм сбора событий для последующего их анализа. В зависимости от охвата и глубины реализации системы этот список может быть очень широким и включать в себя сетевой трафик, логи сетевого оборудования, ОС, СУБД и приложений, события средств защиты, результаты идентификации/аутентификации, события Netflow, результаты сканирования, конфиги, данные репутации Интернет-ресурсов и т.п. Не так важно, что будет выступать в качестве сборщика - SIEM, средства анализа защищенности, средства анализа рисков, системы управления журналами регистрации. Главное, чтобы выбранное средство могло:
  • собирать данные из всех источников
  • собирать и хранить неструктурированные данные
  • работать с большими объемами данных (сотни терабайт, а то и петабайт с эксабайтами)
  • предоставить мощные аналитические возможности (причем на этом уровне они даже важнее, чем аналитика и модуль принятия решения на сенсоре)
  • приоритезировать зафиксированные события.
Из современных SIEM мало кто подойдет под эту задачу. Все-таки они ориентированы для решения иных задач - аггрегирования данных от распространенных средств защиты в одной базе и генерации отчетов для реализации требований соответствия. Из всех игроков рынка лучше всего под эту задачу подходит Splunk, но и его надо докручивать, чтобы получить инструмент, похожий на нужный хотя бы в первоначальном приближении. В отличие от традиционных SIEM Splunk ориентирован на аналитику неструктурированных данных большого объема.

Модули сбора и аналитики - это тот минимум, который позволяет выстроить систему обнаружения вторжений по любому из вышеописанных сценариев.И я специально не касаюсь того, как устроен модуль аналитки. Там ведь тоже вопросов выше крыши. Как бороться с ошибками первого и второго рода? Что является нормальным поведением, а что отклонением? Кто описывает профили поведения контролируемых систем? Я более чем уверен, что ФСБ не готова заниматься этой работой. Если уж не стали писать базовые модели угроз для нескольких десятков отраслей, то уж создавать десятки и сотни тысяч профилей точно не будут (в FIDNET первоначально речь шла о нескольких десятках миллионов профилей). Ждать этого от уважаемых мной рядовых сотрудников органов власти я тоже не могу - они и сигнатурные-то IDS не всегда настраивают, оставляя все "по умолчанию". Здесь же задача гораздо сложнее, чем просто поставить галочку напротив нужных сигнатур. Посмотрите на картинку ниже - можно ли по данному профилу сказать, речь идет об атаке на БД SQL или это просто пик обращений к ней?


А вот тут ситуация еще сложнее - два "аномальных" события. Одно предваряет другое. Кто будет описывать не только профиль трафика, но и правила корреляции между событиями?




Отдельная задача - визуализация полученных данных. При том объеме данных, которые будут поступать в систему, обычный табличный вариант не сильно подойдет. Да и традиционные карты сети тоже будут захлебываться в объеме данных. Вот так карта сети выглядит в системе визуализации для обычного предприятия (даже большого).


Все почти идеально (пример из реальной сетки). А теперь я покажу как такая карта выглядит для сети компании Cisco:


Попытка детализации карты не сильно облегчает жизнь:


Решить эту проблему можно - путем редизайна контролируемых сетей, сегментирования, применения модульного подхода и т.д. Но как заставить госорганы это сделать? Это вам не СКЗИ навязывать. Многие годами живут в плоской сети без всякой сегментации. И как в такой карте разбираться и отслеживать в ней инциденты ИБ?

Могу поделиться опытом, как Cisco проводила работы по автоматизации задачи оценки безопасности нашей сети на десятки тысяч узлов. Задача оказалась нетривиальной. В федеральной же сети узлов не десятки и даже не сотни тысяч - гораздо больше. И это только ПК, за которыми работают пользователи. Если вспомнить про M2M-взаимодействие, различные IP-устройства (принтеры, сенсоры ввода/вывода, датчики индустриальных систем и т.д.), то число узлов, которые должны будут мониториться системой обнаружения атак, будет измеряться миллионами.

Дальше начинается уже специфика и конкретика. Если в систему обнаружения атак входит реагирование, а в указе 31с оно прописано, то мы должны решить, как реагировать на обнаруженные атаки - просто уведомить "кого надо" или предпринимать более активные действия - контратака, блокирование, изоляция пострадавшего сегмента и т.д. Причем в зависимости от источника данных варианты реагирования и ликвидации последствий могут быть совершенно различными и спектр возможных вариантов просто зашкаливает. А еще они могут быть автоматическими, ручными и автоматизированными.

Мнение о том, что предлагаемая 31-м указом система обнаружения атак должна работать по принципу "установил и забыл", ошибочно с самого начала. Это совершенно не так. Это постоянная и кропотливая работа, требующая высокой квалификации от ее участников и  немалых ресурсов (временных, людских, финансовых). Именно поэтому я скептически отношусь к идее, прописанной в Указе №31с. В теории такую систему создать не сложно - проблемы начинаются на практике. И пока я не вижу, чтобы кто-нибудь задумался о том, чтобы найти пути их решения до разработки системы, а не после. Если этот пост поможет ответственным за создание данной системы обратить внимание на тонкие моменты и подводные камни - уже неплохо. А если они привлекут к разработке концепции системы экспертное сообщество (правда, в это я не очень верю - ФСБ пока считает себя умнее всех), то будет вообще отлично. И еще неплохо подумать о том, кто и как будет эксплуатировать созданную систему?

ЗЫ. Я в своих постах не раз высказался о том, что у ФСБ нет достаточного количества квалифицированных специалистов, чтобы потянуть эту задачу. На чем базируется мое мнение? Если не брать некоторые сведения, которые у меня есть и которые я не буду афишировать, то достаточно взглянуть на этот вопрос с точки зрения логики. Вы видели хоть какой-нибудь документ от ФСБ по теме информационной безопасности, который бы вызвал у вас уважение и доверие к конторе, а также уверенность в ее компетенции? Я нет ;-( У меня даже к документам по криптографии есть немало претензий, а уж в этой-то теме регулятор собаку съел. Но время идет, меняются технологии, меняются подходы, а регулятор как сидит на своих "временных требованиях к СКЗИ" так и сидит. NIST и не только уже с тех пор не один и не два документа выпустили по теме управления ключами, выбора длин ключей в зависимости от задачи, облачной криптографии, а мы так и сидим в средневековье. "Святая Инквизиция" не хочет выпускать из своих рук знание о том, что Земля-то круглая. Правда все уже об этом знают, но официально регулятор хранит молчание и ничего не признает кроме принадлежащего себе сокровенного знания.

В других темах по информационной безопасности ФСБ пока "студенты" ;-(  Достаточно вспомнить некоторые выступления сотрудников ФСБ по теме безопасности виртуализации и облаков. Они только-только начинают копать что-то отличное от криптографии. И они уступают специалистам коммерческих компаний, ВУЗов, госорганов, которые не связаны никакими ограничениями по части изучения международного опыта, международных стандартов и т.п. Это не то, чтобы плохо - это нормально. Все всегда с чего-то начинают. Плохо то, что ФСБ оккупировала эту тему и никого туда не пускает, считая себя умнее всех и засекречивая результаты своей работы. Может быть все-таки они одумаются?.. Или серьезный инцидент на каком-либо критически важном объекте заставит их одуматься?.. Последнего не хотелось бы.

12 коммент.:

ZZubra комментирует...

Прочитав все это, мне вдруг вспомнились аналогии с "аналоговой" разведкой. Конечно могу ошибаться, но ситуация, на мой взгляд, сильно похожа на ситуацию двух стран:
- у одной старая, разветвленная, мощная агентурная разведывательная сеть и мощные алгоритмы обработки и проверки поступающей информации;
- и и вторая страна, которая "поняла", что электронной разведкой агентурную не заменить, но для последней ой как нужно время, а вот деньги отступают на второй план.

Мне кажется, что мы сейчас близки именно ко второму варианту. Своих "электронных агентов" мы еще не выращиваем, но уже стали понимать, что в кибермире с аналоговой агентурой проблема аналогичная аналоговому миру с "электронными агентами". В истории, насколько помню, уже такие ситуации были и некоторым странам удавалось сделать рывок даже в таком временнеёмком вопросе. А вдруг и мы?

Кстати пересечения-то между мирами и взаимовлияние уже есть. Например, в блоге http://infowatch.livejournal.com/ как то уже поднималась тема сложности внедрения агентов (полиции в преступные сообщества), не имеющих в соцсетях легенды, появившейся задолго до возникновения необходимости применения агента и даже мысли о том, что этот человек станет агентом.

Анонимный комментирует...

Я бы ввел ранжирование на подобии "цветного" при этом решение принимается экспертным методом с использованием дополнительных источников, число которых может шириться и меняться.

Владимир Рындин комментирует...

Да, ФСБ могла бы обратиться к экспертам. Но нам не известно, о чем говорилось в коридоре и что будет (а может и есть уже) в ТЗ на эту систему. Может этот указ писался под конкретную разработку? Т.е. сказали: "у нас есть, но это надо документально узаконить". Вот и издали указ.

СВП комментирует...

Алексей Викторович, ну Вас опять понесло:-)
"Контора" имеет достаточный арсенал средств и ресурсов для решения поставленных задач в Указе 31с. Зря вы так огалтело на 8/11/16 и пр наезжаете...просто не в курсе, наверное не положено "внутреннему иммигранту" - не обессудьте:-)

Алексей Лукацкий комментирует...

Василий Петрович, средства-то может у них и есть, только вот как они потратят, я примерно догадываюсь. Достаточно посмотреть на "Ручеек" и "Аргус". Если эти IDS для ФСБ верх совершенства, то и система по 31с будет из той же оперы. Я уже не говорю про то, что создание такой системы невозможно без участия ФОИВов, а они не горят желанием ложиться под ФСБ в этом вопросе. Про психологию внедрения навязанных СЗИ я даже не говорю - ФСБ про это может и слышала, но почему-то считает, что можно повторить ситуацию с навязыванием убогих СКЗИ.

Алексей Лукацкий комментирует...

Потеряли они связь с реальностью и не учитывают мировых тенденций

Евгений комментирует...

Большинство комментаторов, высказывающих положительную убежденность в реализуемости данного указа и упоминающего наличие в органах "специалистов, которые все могут" забывают об одном важном моменте. Данные спецы может и есть, но почему-то мне кажется это спецы по техническим и научным вопросам. А вот специалисты по выстраиванию эффективной системы менеджмента какими-либо процессами на уровне государства у нас похоже отсутствуют как класс.
Например по теме близкой ФСБ - когда у нас будет эффективная, удобная, межведомственная система ЭЦП государственного уровня, которой легко можно будет воспользоваться обычным гражданам и юридическим лицам?

СВП комментирует...

Леша, не серчай, конечно во многом ты прав, но:
- с ними стало можно работать, начиная даже с ликбеза, особенно по мобильной среде, от которой они были далеки;
- у них помолодели кадры и они стали уже более адаптивными и открытыми к новым техническим схемам/стандартам

А вот Евгений верно заметил - организационно-регламентная часть у них слабовата - без отмашки они влезать в околополитичексие аспекты НПА они не будут...
Да ладно, вцелом их защищать не надо, просто им помогать нужно для того, чтобы нам же самим меньше потом прыгать по граблям и бухтеть чего вы там наворочили приказами №№ 795/796, а тут еще умники из МКС с приказами по аккредитации УЦ - тут конечно ЭП(ЭЦП) активисты в прострации как соответствовать прописям 63-ФЗ
Что до IDS/IPS или SEIM то, Леша, тут да, им есть над чем им почесать репу...
Все одно, спасибо, Алексей, за активность!

Алексей Лукацкий комментирует...

Василий Петрович, кто ж спорит, что с ним стало проще работать. Но если уж они действительно готовы сотрудничать, то пусть поступят как ФСТЭК - привлекают открыто экспертное сообщество. Вот тогда будет толк.

Что касается Нетехники, то без нее никуда и им это тоже надо вкладывать в голову. Не случайно же у иностранцев есть такой термин как Security Governance. Там техники вообще нет - одна психология, системый анализ, теория организации, управление портфелем проектов и т.д. Т.е. то, чего так не хватает регуляторам

Анонимный комментирует...

На мой взгляд, исходя из формулировок указа, концепция будет проста до неприличия. Одних обяжут применять(читай - финансировать) системы обнаружения вторжений, других - эксплуатировать и обслуживать их, третьих - контролировать эффективность. Зоопарк средств и решений вообще никуда не упирается. Утвердят требования к применяемым IDS, методику обнаружения атак (фактически - общие принципы, ведь конкретика зависит от применяемых IDS), формат отчетности о зарегистрированных инцидентах.
Аналитический центр будет сами знаете где.
Мне интереснее, как будут выглядеть "мероприятия по оценке степени защищенности критической информационной инфраструктуры".

Алексей Лукацкий комментирует...

Под "мероприятия по оценке" у ФСТЭК документ есть

daspeac комментирует...

а есть ли какие требования к системам IPS в зарубежных госучреждениях?
у нас фстэк выпустила классификацию СОВ, а у них с этим как?