22.1.13

Почему провалилась FIDNET?

Упомянутая вчера федеральная сеть обнаружения компьютерных атак FIDNET, анонсированная в указе Клинтона от 1996-го года, так и не была запущена ни в своем изначальном, ни в реинкарнированном виде. Причиной тому стало обычный недосмотр, в результате которого информация о FIDNET просочилась в СМИ до того момента, как данный проект был анонсирован членам Конгресса и другим заинтересованным сторонам. Сторонники прав и свобод в Интернет начали серьезно критиковать проект, утверждая, что он является очередной попыткой вмешательства в частную жизнь американских граждан. Конгресс ничего не мог противопоставить данной критике, т.к. не имел никакой информации о реальном положении дел. Да и публикация в "Нью-Йорк Таймс" о проекте FIDNET оказалась преждевременной и с технической точки зрения - не было до конца понятно, где будет размещен "мозг" системы, в который будут стекаться данные с распределенных датчиков. "Белый Дом" тоже не проявил интереса к данной инициативе, а потом все про нее забыли, т.к. ее заслонила более серьезная тема - "Проблема 2000". В итоге система приказала долго жить...

Идея же FIDNET была концептуально достаточно проста. В федеральном сегменте американского Интернет, предназначенного для работы госорганов (это некий аналог отечественной СМЭВ), были разбросаны датчики системы обнаружения атак, использующего не сигнатурный, а поведенческий (аномальный) подход, позволяющий отслеживать отклонения от нормального профиля трафика, идущего к критическим сетевым узлам. Дополнительно на ключевых оконечных устройствах устанавливались агенты, которые передавали данные о поведении своих "подопечных" в центр для анализа, а по его результатам информация об атаках и атакующих передавалась по всей сети. Ничего сверхестественного, но в отечественных условиях такая система столкнулась бы (столкнется) с рядом сложностей.

Во-первых, в России нет ни одного работающего прототипа поведенческих системы обнаружения вторжений. Наработок много, дипломов и диссертаций еще больше, НИРами можно туалеты оклеивать. Кстати, прошлое и нынешнее руководство 8-го Центра ФСБ очень активно занималось данной темой и выпустило немало публикаций по этому вопросу. Реальных систем нет ;-(

Во-вторых, любая поведченская система базируется на обучении, которое предваряет ее ввод в промышленную эксплуатацию. Сначала мы изучаем и фиксируем эталонное поведение, а потом уже отслеживаем отклонения от него. В условиях постоянных изменений эффективно обучить систему практически невозможно - число ложных срабатываний будет просто зашкаливать. В России, в отличии от США, процесс информатизации госорганов только началася, чиновники учатся пользоваться компьютерами, а значит их поведение постоянно меняется. Также постоянно меняются различные государственные информационные системы. Их постоянная модификация не позволяет выстроить для них адекватный профиль.

Третья причина - отсутствие специалистов, которые способны заниматься поведенческими системами. Это вам не сигнатурные IDS/IPS, которым достаточно указать адрес сервера обновления и они будут сами скачивать новые сигнатуры. Это в Указе Президента на ФСБ возложена только разработка системы, а ее эксплуатация ложится на плечи органов исполнительной власти. На самом деле в этих органах нет специалистов и эффективность системы снижалась бы по экспоненте с течением времени (у сигнатурных систем эффективность снижается линейно).

Я не знаю, как будет строиться система, предполагаемая по Указу №31с, поэтому и коснулся проблем с FIDNET. А теперь обратимся к тому, как строится в США современная "версия" FIDNET. Называется она National Cyberspace Security Response System. При ее разработке учли проблемы с FIDNET. Если у первой задачи стояли следующие:
  • мониторинг телекоммуникационной инфраструктуру в реальном или близком к реальному времени
  • возможность распознавать, собирать и строить профили системных аномалий для идентификации потенциальных угроз и атак
  • возможность отслеживать, перенаправлять, изолировать и удалять трафик, ассоциированный с атакой,
то у NCSRS приоритеты сменились:
  • анализ и предупреждение
  • управление инцидентами национального масштаба
  • обеспечение непрерывности в государственной и частной инфраструктуре
  • обмен информацией о безопасности через и между организациями с целю улучшения информационной безопасности.
Сразу видно, что авторы NCSRS, даже имея бюджеты, несопоставимые с тем, что готова выделять Россия на информационную безопасность, не стали делать ставку на технологические аспекты обнаружения вторжений, понимая, что это малореально и что федеральными информационными системами (а FIDNET была ограничена только ими) национальный сегмент Интернет не ограничен. КВО находятся в ведении частных лиц и компаний, в дела которых вмешиваться достаточно сложно.

В целом NCSRS опирается на две основных инициативы:
  • поощрение частного сектора делиться информацией о состоянии своей защищенности
  • расширение сети раннего предупреждения и информирования (Cyber Warning and Information Network, CWIN) для поддержания координирующей роли Министерства национальной безопасности (Department of Homeland Security, DHS) для повышения уровня защищенности национального сегмента сети Интернет.
Первая инициатива пока наталкивается на сложности юридического характера, т.к. частным предприятиям непросто с законодательной точки зрения делиться достаточно критической информацией об атаках на свои ресурсы, возникших инцидентах, утечках и иной чувствительной информации. Вторая похожа на первоначальную FIDNET, но деталей ее реализации пока не так много. Хотя первая версия CWIN была запущена еще в 2001-м году, она до сих пор так и не заработала на полную мощность в связи с отсутствием адекватного финансирования. Однако определенные результаты все-таки достигнуты - были созданы и заработали индустриальные центры анализа и обмена информацией (Information Sharing and Analysis Centers, ISAC), например, центр для электроэнергетики (Energy ISAC).

Краткий экскурс в историю FIDNET и NCSRS показывает, что с наскока решить проблему создания системы обнаружения вторжения федерального масштаба невозможно. И прежде чем выпускать какие-то нормативные акты необходимо все тщательно взвесить, определиться с целями, возможными путями их достижения и препятствиями на этих путях. И только потом затевать такую, безусловно нужную в наше время инициативу.

4 коммент.:

Rusik комментирует...

Вопрос: CERT (Computer Emergency Response Team) входят в подобные системы или нет?

Rusik комментирует...

Подборка нескольких технических систем визуализации оперативной обстановки (очень наглядно для высшего руководства):

Для АСУТП
https://sophiahome.inl.gov/
Information Technology Sophia Fingerprinting Tool
https://www.controlsystemsroadmap.net/Efforts/Pages/Control-System-Situational-Awareness-Technology.aspx

Для ловушек
The Honeynet Project
http://map.honeycloud.net/

Для bot-сетей
Tenable SecurityCenter 3-D Visualization of Botnet Connections
http://www.tenable.com/expert-resources/videos/1070

Алексей Лукацкий комментирует...

Руслан, это зависит от задач и от трактовкт понятия CERT

Rusik комментирует...

Еще ИМХО полезная ссылка на документ как создать команду реагирования для работы с инцидентами в АСУТП:
http://www.us-cert.gov/control_systems/practices/documents/final-RP_ics_cybersecurity_incident_response_100609.pdf

Думаю, подобные команды реагирования могут входить в системы обнаружения и предотвращения атак.