16.11.2015

Превратится ли ГосСОПКА в ГосКУРГАН?

Прошедший SOC Forum запомнился еще двумя моментами - на нем впервые заговорили о работе FinCERT (предыдущие редкие упоминания не в счет) и в центре внимания была ГосСОПКА. Про FinCERT я напишу отдельно, а вот про ГосСОПКУ напишу сейчас. Хотя правильнее было бы сказать, что ГосСОПКА могла бы быть в центре, если бы о ней кто-нибудь сказал что-нибудь конкретное.

2-го марта я уже писал про выступление представителя 8-го Центра на Уральском форуме по банковской ИБ с рассказом о СОПКЕ. Однако никаких деталей о работе системы представлено не было, кроме известных вещей из 31-го Указа Президента, которому в январе стукнет 3 года. И это несмотря на то, что сама система к моменту рассказа о ней уже существовала и работала. На SOC Forum была надежда, что о системе расскажут гораздо больше. Все-таки к этому моменту уже и Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации уже было утверждена.

Однако ничего конкретного так и не было сказано (а ведь с Магнитогорска прошло уже 9 месяцев - могло бы что-нибудь и родиться). Была только представлена структура ГосСОПКИ, которая иной быть и не могла исходя из ее задач и поверхностного описания в Концепции и Указе.


Лично мне хотелось бы услышать что-нибудь о том, что и как будет делать главный центр ГосСОПКИ и НКЦКИ. По последнему центру (он же GOV-CERT) сказано ничего не было и, несмотря на присутствие в зале представителей госорганов, принципы, время, инструменты работы центра реагирования на инциденты так и остались тайной за семью печатями. Однако по тому, как работает сайт gov-cert.ru уже есть определенные вопросы и замечания.

Например, зачем у этого сайта, предназначенного для органов государственной власти РФ англоязычная форма уведомления об инцидентах (русскоязычная тоже есть)? Это американские или китайские хакеры после атак должны сообщить о своем черном деле? Или еще какие-то причины есть?


В какой часовой зоне находится центр реагирования? С 9 утра до 6 вечера связываться можно по какому времени? Московскому? А может быть Хабаровскому?


А что делать, если инцидент произошел ночью? Если посмотреть на статистику JSOC, генерального спонсора SOC Forum, то мы увидим что внешние инциденты происходят преимущественно ночью. И куда с ними бежать?


Есть у меня и еще один простой вопрос. Почему передача информации из формы уведомления об инциденте передается в открытом и никак незащищенном виде? Например, для общения по почте GOV-CERT предлагает использовать PGP (неплохо бы его еще и в виде файла разместить), а для формы? Даже HTTPS не поднимается. При этом, как следует из описания ведомственных центров ГосСОПКА, которые должны передавать информацию об инцидентах в своих ведомствах, они должны общаться с Главным центром с помощью сертифицированной криптографии. Неувязочка :-(


По данной форме возникает и другой вопрос. А кто-нибудь думал об удобстве использования результатов, помещаемых в данную форму? Я понимаю, что она "срисована" с аналогичной формы Group-IB, но где классификация/систематизация информации? Посмотрите на то, как сделана форма уведомления об уязвимостях на оригинальном сайте CERT/CC. Тут и возможность загрузки файлов, и больше полей для описания проблемы, и даже возможность отслеживать взаимодействие с CERT/CC по номеру тикета (tracking ID). А gov-cert спрашивает про наличие лог-файлов, но не предлагает формы/кнопки для их подкачки. Без систематизации хотя бы первичной информации всю эту информацию из формы придется считывать вручную, что замедляет работу по инцидентам.

Форма об инциденте на сайте Group-IB
Кстати, GOV-CERT работает всего с тремя типами инцидентов - DDoS, ботсети и вредоносное ПО, а также несанкционированный доступ к информационным системам госорганов. Аналогичный американский US-CERT добавляет к этой тройке, еще 4 типа инцидентов - киберучения, сканирование и попытки доступа, нарушение госслужащими правил безопасности и неподтвержденный инцидент.

Про автоматизацию отправки информации об инцидентах тоже пока говорить не приходится. И хотя аналогичная проблема присутствует почти во всех мировых CERTах, стоило бы подумать об API или использовании того или иного стандарта описания инцидентов. Хотя бы потому, что в ряде ведомств и госкорпораций уже создан свой центр ГосСОПКИ, который может в автоматизированном режиме передавать информацию в НКЦКИ. Например, такой центр есть в РЖД. Точнее их там несколько - построенных на базе ArcSight и на базе импортозамещенных технологий (об обоих был рассказ на SOC Forum).


Возможно со временем НКЦКИ и превратится в нечто похожее на раздел сайта ENISA по поддержке региональных и корпоративных CERTов (или на европейский CERT), но пока до этого ой как далеко. Да и долго. Бюрократия убивает идею центра реагирования на корню. Кстати, у европейского CERTа есть и свое мобильное приложение. Будет ли когда-нибудь такое у 8-го Центра?..


С ведомственными центрами ГосСОПКИ ситуация была чуть более понятная. Представитель 8-го Центра ФСБ озвучил основные задачи ведомственных центров:
  • выявление признаков проведения компьютерных атак формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра
  • сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах
  • проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах
  • принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов
  • выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищённости от компьютерных атак и вирусных заражений информационных ресурсов
  • информирование заинтересованных лиц и субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак 
  • обеспечение защиты данных, передаваемых между ведомственным центром и Главным центром по каналам, защищённым с использованием сертифицированных ФСБ России средств защиты информации
  • предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам Главного центра ГосСОПКА.
О том, как строить такие ведомственные центры в 8-м Центре не знают. Иначе как объяснить тот факт, что они разослали по госорганам не ТЗ с описанием центра, его интерфейсов, описания полей информации и других моментов, облегчающих интеграцию, а всего лишь запрос с требованием предоставить планы создания таких центров. То есть ТЗ должны будут писать сами ведомства, а затем согласовывать их с 8-м Центром ФСБ.

У иностранных вендоров SIEM появляется призрачный шанс залезть на эту поляну. Но шанс призрачный, потому что 8-ка известна своей любовью к решениям сертифицированным, а значит все SIEMы должны обладать соответствующей бумажкой. Но выданной кем? ФСТЭК или ФСБ? И на соответствие каким требованиям? ФСТЭК в лице Лютикова на SOC Forum заявила, что пока они требования по SOCам/SIEMам не планируют разрабатывать. На что же тогда ориентироваться  ArcSight, Splunk и другим 72 SIEMам, известным в мире (вот список). Ну а судя по тому, что второй доклад по ГосСОПКА с ответами на вопросы о ней вместо представителя 8-го Центра делала компания  Positive Technologies, думаю, что явный фаворит для технологической платформы ГосСОПКИ уже определен и им будет MaxPatrol SIEM.

Что ждет Главный центр ГосСОПКИ от ведомственных центров? Три типа данных:

  • Информация о выявленных компьютерных атаках
  • Информация о выявленных компьютерных инцидентах
  • Результаты проведения оценки защищенности.
Тем ведомствам, которые уже у себя внедрили SIEMы, сканеры защищенности и SOCи будет попроще разобраться с этой информацией. Вот как, например, выглядит форма об инциденте в центре мониторинга ИБ РЖД.

Главный же центр ГосСОПКИ будет отдавать ведомственным и, возможно, корпоративным центрам другую информацию:
  • Информация о признаках компьютерных инцидентов
  • Индикаторы вредоносной деятельности
  • Сведения об угрозах безопасности информации
  • Методические рекомендации по противодействию выявленным угрозам.
Вот с последним пунктом тоже есть вопросы. Как я уже писал, 8-му Центру предстоит разработать большое число методических документов. Но когда они будут разработаны совсем непонятно. Судя по оперативности выпуска этим регуляторов документов ждать придется долго :-(

3 коммент.:

Мирослав Берков комментирует...

у CheckPoint карта тоже есть

Алексей Лукацкий комментирует...

А СОПКА тут причем?

George Kornilov комментирует...

Задумка по СОПКА отличная, но думается мне, что контент у нее будет негодный. Так как для того, чтобы СОПКА работала, необходимо иметь уровень 4 по CMMI и реализацию ИБ с процесcным подходом (с идеологией ITIL/ITSM), то есть с SLA и соответствующими SLT - на всех узлах ведомственных центров и корпоративных центров Системы. Много ли таких...