Упомянутая вчера федеральная сеть обнаружения компьютерных атак FIDNET, анонсированная в указе Клинтона от 1996-го года, так и не была запущена ни в своем изначальном, ни в реинкарнированном виде. Причиной тому стало обычный недосмотр, в результате которого информация о FIDNET просочилась в СМИ до того момента, как данный проект был анонсирован членам Конгресса и другим заинтересованным сторонам. Сторонники прав и свобод в Интернет начали серьезно критиковать проект, утверждая, что он является очередной попыткой вмешательства в частную жизнь американских граждан. Конгресс ничего не мог противопоставить данной критике, т.к. не имел никакой информации о реальном положении дел. Да и публикация в "Нью-Йорк Таймс" о проекте FIDNET оказалась преждевременной и с технической точки зрения - не было до конца понятно, где будет размещен "мозг" системы, в который будут стекаться данные с распределенных датчиков. "Белый Дом" тоже не проявил интереса к данной инициативе, а потом все про нее забыли, т.к. ее заслонила более серьезная тема - "Проблема 2000". В итоге система приказала долго жить...
Идея же FIDNET была концептуально достаточно проста. В федеральном сегменте американского Интернет, предназначенного для работы госорганов (это некий аналог отечественной СМЭВ), были разбросаны датчики системы обнаружения атак, использующего не сигнатурный, а поведенческий (аномальный) подход, позволяющий отслеживать отклонения от нормального профиля трафика, идущего к критическим сетевым узлам. Дополнительно на ключевых оконечных устройствах устанавливались агенты, которые передавали данные о поведении своих "подопечных" в центр для анализа, а по его результатам информация об атаках и атакующих передавалась по всей сети. Ничего сверхестественного, но в отечественных условиях такая система столкнулась бы (столкнется) с рядом сложностей.
Во-первых, в России нет ни одного работающего прототипа поведенческих системы обнаружения вторжений. Наработок много, дипломов и диссертаций еще больше, НИРами можно туалеты оклеивать. Кстати, прошлое и нынешнее руководство 8-го Центра ФСБ очень активно занималось данной темой и выпустило немало публикаций по этому вопросу. Реальных систем нет ;-(
Во-вторых, любая поведченская система базируется на обучении, которое предваряет ее ввод в промышленную эксплуатацию. Сначала мы изучаем и фиксируем эталонное поведение, а потом уже отслеживаем отклонения от него. В условиях постоянных изменений эффективно обучить систему практически невозможно - число ложных срабатываний будет просто зашкаливать. В России, в отличии от США, процесс информатизации госорганов только началася, чиновники учатся пользоваться компьютерами, а значит их поведение постоянно меняется. Также постоянно меняются различные государственные информационные системы. Их постоянная модификация не позволяет выстроить для них адекватный профиль.
Третья причина - отсутствие специалистов, которые способны заниматься поведенческими системами. Это вам не сигнатурные IDS/IPS, которым достаточно указать адрес сервера обновления и они будут сами скачивать новые сигнатуры. Это в Указе Президента на ФСБ возложена только разработка системы, а ее эксплуатация ложится на плечи органов исполнительной власти. На самом деле в этих органах нет специалистов и эффективность системы снижалась бы по экспоненте с течением времени (у сигнатурных систем эффективность снижается линейно).
Я не знаю, как будет строиться система, предполагаемая по Указу №31с, поэтому и коснулся проблем с FIDNET. А теперь обратимся к тому, как строится в США современная "версия" FIDNET. Называется она National Cyberspace Security Response System. При ее разработке учли проблемы с FIDNET. Если у первой задачи стояли следующие:
В целом NCSRS опирается на две основных инициативы:
Краткий экскурс в историю FIDNET и NCSRS показывает, что с наскока решить проблему создания системы обнаружения вторжения федерального масштаба невозможно. И прежде чем выпускать какие-то нормативные акты необходимо все тщательно взвесить, определиться с целями, возможными путями их достижения и препятствиями на этих путях. И только потом затевать такую, безусловно нужную в наше время инициативу.
Идея же FIDNET была концептуально достаточно проста. В федеральном сегменте американского Интернет, предназначенного для работы госорганов (это некий аналог отечественной СМЭВ), были разбросаны датчики системы обнаружения атак, использующего не сигнатурный, а поведенческий (аномальный) подход, позволяющий отслеживать отклонения от нормального профиля трафика, идущего к критическим сетевым узлам. Дополнительно на ключевых оконечных устройствах устанавливались агенты, которые передавали данные о поведении своих "подопечных" в центр для анализа, а по его результатам информация об атаках и атакующих передавалась по всей сети. Ничего сверхестественного, но в отечественных условиях такая система столкнулась бы (столкнется) с рядом сложностей.
Во-первых, в России нет ни одного работающего прототипа поведенческих системы обнаружения вторжений. Наработок много, дипломов и диссертаций еще больше, НИРами можно туалеты оклеивать. Кстати, прошлое и нынешнее руководство 8-го Центра ФСБ очень активно занималось данной темой и выпустило немало публикаций по этому вопросу. Реальных систем нет ;-(
Во-вторых, любая поведченская система базируется на обучении, которое предваряет ее ввод в промышленную эксплуатацию. Сначала мы изучаем и фиксируем эталонное поведение, а потом уже отслеживаем отклонения от него. В условиях постоянных изменений эффективно обучить систему практически невозможно - число ложных срабатываний будет просто зашкаливать. В России, в отличии от США, процесс информатизации госорганов только началася, чиновники учатся пользоваться компьютерами, а значит их поведение постоянно меняется. Также постоянно меняются различные государственные информационные системы. Их постоянная модификация не позволяет выстроить для них адекватный профиль.
Третья причина - отсутствие специалистов, которые способны заниматься поведенческими системами. Это вам не сигнатурные IDS/IPS, которым достаточно указать адрес сервера обновления и они будут сами скачивать новые сигнатуры. Это в Указе Президента на ФСБ возложена только разработка системы, а ее эксплуатация ложится на плечи органов исполнительной власти. На самом деле в этих органах нет специалистов и эффективность системы снижалась бы по экспоненте с течением времени (у сигнатурных систем эффективность снижается линейно).
Я не знаю, как будет строиться система, предполагаемая по Указу №31с, поэтому и коснулся проблем с FIDNET. А теперь обратимся к тому, как строится в США современная "версия" FIDNET. Называется она National Cyberspace Security Response System. При ее разработке учли проблемы с FIDNET. Если у первой задачи стояли следующие:
- мониторинг телекоммуникационной инфраструктуру в реальном или близком к реальному времени
- возможность распознавать, собирать и строить профили системных аномалий для идентификации потенциальных угроз и атак
- возможность отслеживать, перенаправлять, изолировать и удалять трафик, ассоциированный с атакой,
- анализ и предупреждение
- управление инцидентами национального масштаба
- обеспечение непрерывности в государственной и частной инфраструктуре
- обмен информацией о безопасности через и между организациями с целю улучшения информационной безопасности.
В целом NCSRS опирается на две основных инициативы:
- поощрение частного сектора делиться информацией о состоянии своей защищенности
- расширение сети раннего предупреждения и информирования (Cyber Warning and Information Network, CWIN) для поддержания координирующей роли Министерства национальной безопасности (Department of Homeland Security, DHS) для повышения уровня защищенности национального сегмента сети Интернет.
Краткий экскурс в историю FIDNET и NCSRS показывает, что с наскока решить проблему создания системы обнаружения вторжения федерального масштаба невозможно. И прежде чем выпускать какие-то нормативные акты необходимо все тщательно взвесить, определиться с целями, возможными путями их достижения и препятствиями на этих путях. И только потом затевать такую, безусловно нужную в наше время инициативу.
4 коммент.:
Вопрос: CERT (Computer Emergency Response Team) входят в подобные системы или нет?
Подборка нескольких технических систем визуализации оперативной обстановки (очень наглядно для высшего руководства):
Для АСУТП
https://sophiahome.inl.gov/
Information Technology Sophia Fingerprinting Tool
https://www.controlsystemsroadmap.net/Efforts/Pages/Control-System-Situational-Awareness-Technology.aspx
Для ловушек
The Honeynet Project
http://map.honeycloud.net/
Для bot-сетей
Tenable SecurityCenter 3-D Visualization of Botnet Connections
http://www.tenable.com/expert-resources/videos/1070
Руслан, это зависит от задач и от трактовкт понятия CERT
Еще ИМХО полезная ссылка на документ как создать команду реагирования для работы с инцидентами в АСУТП:
http://www.us-cert.gov/control_systems/practices/documents/final-RP_ics_cybersecurity_incident_response_100609.pdf
Думаю, подобные команды реагирования могут входить в системы обнаружения и предотвращения атак.
Отправить комментарий