26.04.2017

Методические рекомендации по созданию центров ГосСОПКИ (часть 1)

Сегодня, в канун дня проведения SOC Forum в Астане, я бы хотел поделиться впечатлениями от 66-тистраничного документа под названием “Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации”, разработанного в Национальном координационном центре по компьютерным инцидентам (НКЦКИ), который курирует вопросы создания и эксплуатации ГосСОПКИ. Попавший мне в руки документ как раз и определяет, как создавать корпоративные и ведомственные центры этой национальной системы обнаружения атак.

Документ расчитан на госорганы, решившие создавать у себя ведомственные центры ГосСОПКИ, и на тех, кто решил создавать у себя корпоративные центры ГосСОПКА. В последнем случае речь идет о госкорпорациях, операторах связи и лицензиатах в области защиты информации, которые захотят помогать госорганам, госкорпорациям и операторам связи в этом непростом деле. И, как мы все понимаем, первые кандидаты на роль таких лицензиатов у нас есть. Это Solar Security, Positive Technologies, Перспективный мониторинг, Информзащита, то есть все те компании, которые активизировались в последнее время в относительно новой для России области - Security Operations Center (SOC). А ведь английская аббревиатура SOC и отечественная ГосСОПКА - это почти близнецы-братья (или сестры).  Интересно, куда относится ЦБ? А Газпром? А Роснефть? Они не являются госорганами и госкорпорациями и что, они не смогут создать в рамках своих холдингов корпоративный центр? Скорее всего это просто недогляд со стороны авторов документа - тот же FinCERT при ЦБ все называют именно ведомственным центром ГосСОПКИ.

Я не буду подробно расписывать все 66 страниц документа; коснусь только того, на что, после трех бокалов красного вина, я обратил внимание в самолете, летящем по маршруту “Москва - Астана”. Сразу скажу, что описанный документ не отвечает на все вопросы, которые могут возникнуть при создании собственного SOCа. Это скорее концепция, которая затем будет расширяться и дополняться. В методичке очень много отсылок на будущие документы, регламенты, интерфейсы взаимодействия, которые только будут разрабатываться по мере развития ГосСОПКИ. Еще одной особенностью этой методички является канцеляризм. Местами приходится продираться через вновь введенные и не сразу понятные термины. Только после вдумчивого многократного прочтения (и три бокала красного не облегчают задачу) понимаешь, что вот тут речь шла о UEBA (user entity behavior analytics), а вот тут о NBAD (network-based anomaly detection), а вот тут о SIEM.

Понятно, что главной задачей ГосСОПКИ, как видно из ее названия, является борьба с компьютерными атаками, которые по ходу документа перемежаются компьютерными инцидентами и угрозами. У каждого из терминов есть свое определение, но местами мне кажется, что они путаются.  Инцидент - это факт нарушения функционирования объекта информационной инфраструктуры, который может быть вызван атакой, а может быть и не атакой. Атака - это целенаправленное воздействие в целях нарушения безопасности (кстати, веерные и случайные атаки попадают в поле зрения документа или нет?), а угроза - это совокупность условий и факторов, создающих опасность нарушения безопасности. Если совсем упростить, то угроза - это то, что может произойти, атака - то, что произошло, а инцидент - к чему это все привело.

Например, методические рекомендации говорят, что по ходу развития ГосСОПКИ будут определены use case (в документе их называют “типовыми инцидентами”), для которых будут даны соответствующие рекомендации по реагированию на них. Также будут определены типовые атаки, для которых будут определены документы, в которых будут прописаны IoC и порядок действий персонала при ликвидации последствий атак (предположу, что речь идет о более привычном термине “Playbook”, но это вкусовщина). При этом в 8-м разделе методички четко указаны 4 группы инцидентов и их наполнение (перечень почему-то закрытый и не расширяемый). С этим перечнем у меня возникли вопросы. Почему обычный вирус уравнен с APT? И почему центр управления бот-сетью отнесен к инциденту, а не к атаке? Или тот же спам? Или перебор паролей? Если следовать терминам, то это все-таки не инциденты, а именно атаки. Я бы этот раздел переработал, взяв за основу, какую-либо из существующих таксономий атак.

Кстати, не знаю, случайно ли, но несколько дней назад сайт МинОбороны Казахстана был взломан. И вот такая(ой) атака (инцидент), имеющая явно репутационный ущерб (если не было проникновения внутрь), в перечень инцидентов из методички НКЦКИ не входит. Не считается серьезной проблемой? Или забыли, так как российские сайты давно уже не дефейсили?


Второй не совсем понятной мне вещью стало включение динамических  IoC (могут хоть раз в день обновляться) в статические документы, еще и согласуемые с головным центром ГосСОПКИ. Вот, кстати, тоже - в тексте упоминаются головной центр ГосСОПКИ и главный центр. Я поначалу думал, что это опечатка, но потом понял, что это разные центры - один главный, а другой головной :-) Но все это не является серьезным препятствием и может быть поправлено в будущих версиях рекомендаций, которые, как мне кажется, еще будут претерпевать изменения.

Выделяется 7 защитных мер, реализуемых ГосСОПКОЙ:

  1. анализ угроз безопасности информации и рисков их реализации;
  2. контроль (анализ) защищенности информации;
  3. управление конфигурацией средств защиты;
  4. регистрация и анализ событий безопасности;
  5. выявление инцидентов и реагирование на них;
  6. обеспечение действий в нештатных ситуациях;
  7. информирование и обучение персонала,

которые по ходу раскрываются в 11 функций ГосСОПКИ (им и посвящено чуть ли не половина всего документа) и уже описываются гораздо подробнее. И вот о них мы поговорим уже завтра, когда в Астане начнет работу SOC Forum, а жители России будут скучать, ожидая майских праздников.

ЗЫ. В целом документ получился неплохой, но его бы вычитать свежим взглядом пару раз. Тогда бы было меньше того, за что цепляется глаз.