Интервью с экспертом: «Как центры ГосСОПКА повысят защищенность объектов КИИ?»
Как за последнее время изменился ландшафт угроз информационной безопасности применительно к объектам КИИ, какие новые опасные векторы атак проявились, как поменялся жизненный цикл инцидента информационной безопасности?
В прошлом году проявилась очень опасная тенденция – оказалось, что многие критичные и, казалось бы, хорошо защищенные инфраструктуры могут быть взломаны путем элементарных атак. Вспомним резонансный инцидент с массовым заражением компьютеров вредоносной программой WannaCry. С технологической точки зрения эта атака реализуется очень просто: злоумышленники заражают через Интернет подключенные к сети узлы Windows, на которых не были своевременно установлены обновления безопасности. И множество организаций оказались беззащитными перед этой простейшей атакой – их внутренние сети были заражены программой-вымогателем. Это говорит о том, что внешний периметр некоторых крупных предприятий защищен недостаточно. И им предстоит провести серьезную работу по защите от простейших атак, подобных WannaCry. Хотя в технологическом плане защититься от них несложно. Нужно просто знать свой периметр – знать досконально.
Во время эпидемии WannaCry мы предлагали некоторым организациям просканировать их внешний периметр, чтобы оценить его защищенность с тех же позиций, которые занимают злоумышленники. Это позволило бы выявить все уязвимые точки периметра. Но для этого требуется список IP-адресов всех узлов организации, имеющих выход в Интернет. И оказалось, что очень немногие организации в состоянии предоставить полный список своих внешних IP-адресов. То есть они просто не знают, что в точности представляет собой их внешний периметр. Отчасти это связано с тем, что у больших корпораций действительно очень много точек подключения, а кроме того внешний периметр не бывает статичным. Он постоянно меняется – запускаются новые сервисы или сворачиваются устаревшие. И, как показал прошлый год, знать свой внешний периметр абсолютно необходимо – нужно еженедельно обновлять информацию о нем, сканируя внешние IP-адреса. Те организации, которые не знают свой внешний периметр, беззащитны даже перед элементарными атаками, эксплуатирующими уже известные уязвимости операционных систем.
Вторая важная тенденция, отмеченная в прошлом году – это всплеск целенаправленных атак. Их произошло гораздо больше, чем в предыдущий период. В ходе таких атак злоумышленники сначала внимательно изучают свою жертву, по открытой тендерной информации узнают какие защитные решения – антивирусы или межсетевые экраны - закупила и использует та или иная организация. Затем включаются методы социальной инженерии. Сканируя социальные сети, киберпреступники выявляют сотрудников этой организации, узнают их должности и адреса электронной почты. После этого они готовят персонифицированные фишинговые письма, например, от контролирующих организаций. Отличить такие подделки от настоящих писем из госорганов, которым сотрудники привыкли доверять, очень сложно. Экспертные оценки показывают, что подобные фишинговые письма открываются получателями практически всегда. А в этих письмах содержится вредоносная программа, заранее протестированная злоумышленниками на способность обойти именно тот антивирус, который использует данная организация. Таким образом киберпреступники практически гарантированно проникают в сеть организации и начинают скрытно и долго (год или два) изучать сеть, добираясь до нужной им информации.
Целенаправленных атак подобного рода в прошлом году было выявлено очень много. Ситуация становится похожа на освоение американцами Дикого Запада, когда поселенцы старались захватить как можно больше неосвоенной земли, а уже потом решали, как ей лучше распорядиться. Сейчас хакеры действуют в том же ключе. Наряду с преступными группировками, преследующими конкретные цели при взломе сетей организаций (к примеру, промышленный шпионаж), появляется все больше групп злоумышленников, атакующих организации «впрок». Сейчас им важно проникнуть в компьютерные сети как можно большего количества потенциальных жертв и как можно дольше оставаться незамеченными. А каким образом затем использовать возможность нелегального доступа к конфиденциальной информации организаций, преступники решат позднее. Когда-нибудь покупатель чьих-то корпоративных секретов наверняка найдется. И, согласно нашим исследованиям, только одна из десяти крупных организаций обнаруживает такие скрытные долговременные атаки.
Еще один вектор атак, проявившийся в последнее время, направлен преимущественно на банки. По ряду объективных причин, это одни из наиболее защищенных организаций с точки зрения информационной безопасности. Атаковать их «в лобовую» очень сложно и дорого. Поэтому киберпреступники нацелились на партнеров финансовых организаций, поставляющих тем какое-то оборудование или расходные материалы. Зачастую это очень небольшие компании, не имеющие своей службы информационной безопасности. Выявив таких поставщиков на сайтах конкурсных закупок, хакеры легко взламывают их информационные системы. А потом от реального сотрудника взломанной компании-поставщика в банк отправляется зараженное письмо. Сотрудник банка, доверяющий своему контрагенту, конечно же откроет такое письмо, не подозревая, что одновременно он открывает доступ в сеть банка злоумышленнику. Атаки через третьих лиц – тоже одна из актуальных тенденций 2017 года.
Изменилась ли в связи с появлением новых угроз парадигма защиты объектов КИИ? Каким образом?
С моей точки зрения, парадигма поменялась, и концепцию ГосСОПКА можно рассматривать как одно из проявлений наблюдаемых перемен. В рамках прежней парадигмы ставилась задача защититься от киберугроз, но сегодня в целом и гарантированно защитить большую организацию стало практически невозможно. Поэтому мы видим два новых направления в стратегии защиты: с одной стороны организации стараются сделать так, чтобы взломать их киберпреступникам было все дороже и сложнее, а с другой стороны ставится задача научиться оперативно выявлять скрытые инциденты – не через год или два, а хотя бы через месяцы или недели. Таким образом от парадигмы, в рамках которой факт взлома только предполагается, мы переходим к парадигме, где факт взлома принимается как событие, которое с высокой вероятностью уже произошло. Это принципиально новое видение ситуации, и оно приводит к изменению сознания сотрудников, ответственных за информационную безопасность – они должны не бояться объявить себе и всем внутри своей организации: вероятно, мы уже взломаны, остается только подтвердить или опровергнуть факт взлома.
Для этого необходимы определенные приготовления, нужны специальные средства мониторинга и процедуры, позволяющие провести детальный анализ ситуации; нужна эффективная инфраструктура, позволяющая точно установить истинное положение дел. И если факт взлома подтверждается, нужно четко осознавать, что реагирование на инцидент должно быть всеобъемлющим, даже если это связано с масштабными затратами. Для крупных организаций, обладающих критической информационной инфраструктурой, такое реагирование действительно может стоит очень дорого. Допустим, злоумышленник взломал контроллер домена, что бывает часто. Здесь, чтобы исправить ситуацию, необходимо переустановить все рабочие станции и все серверы, а это большая и долгая работа, во время которой деятельность организации вероятно придется частично приостановить.
И третий момент, характеризующий смещение защитной парадигмы: если твоя организация все-таки взломана, то высока вероятность, что по той же схеме уже взломана или будет атакована какая-то другая организация – соседнее предприятие из той же или смежной отрасли. Поэтому информация о каждом выявленном инциденте становится очень ценной, и она должна быть общей. Для этого ее следует передать в центр ГосСОПКА соответствующего уровня. Если же ты скроешь подробности об инциденте и выявленном способе атаки, то твои соседи вероятно тоже будут взломаны. Таким образом современная парадигма защиты базируется на утверждении: невозможно обеспечить полноценную защиту, не обмениваясь информацией о выявленных инцидентах. Поэтому концепция ГосСОПКА очень современна, и ее реализация имеет стратегическое значение для обеспечения безопасности объектов КИИ.
Как российский рынок средств информационной безопасности отреагировал на трансформацию ландшафта угроз и сдвиг парадигмы? Какие новые продукты и услуги для защиты КИИ стали результатом этой реакции? Как при этом эволюционировали традиционные защитные решения, представленные на рынке?
Для того, чтобы защититься от многих современных атак, особенно тех, которые нацелены на внешний периметр организации, сегодня нет необходимости разрабатывать и использовать какие-то новые технологии и продукты на их основе. Нужна организационная работа по приведению в «порядок» внешнего периметра, и эта работа не связана с закупками дополнительного оборудования. Вместе с тем заказчики, столкнувшиеся с реальными атаками, довольно быстро приходят к выводу, что самостоятельно расследовать инциденты очень сложно или невозможно вообще. Для этого нужны специалисты высочайший квалификации в области информационной безопасности. Таких специалистов остро не хватает, а их содержание обходится слишком дорого, особенно учитывая, что задействованы они не каждый день, а только при расследовании инцидентов. Поэтому в прошлом году очень оживился рынок аутсорсинга услуг в сфере информационной безопасности.
Что касается уже зарекомендовавших себя средств информационной безопасности, то на рынке наблюдается серьезный рост спроса на системы обнаружения атак, решения класса систем мониторинга событий и расследования инцидентов (Security Information and Event Management, SIEM), то есть на все те продукты, которые позволяют выявлять инциденты.
Также на рынке начинает формироваться запрос на новый класс защитных средств. Организации заинтересованы в появлении универсального продукта, установив который в одной точке, можно было бы гарантированно отследить и обезвредить активность хакеров. Сегодня такого продукта нет. Но появляются средства защиты нового класса, частично удовлетворяющие этому запросу. Это продукты для сбора и накопления информации об угрозах (Threat Intelligence), проактивного поиска и обнаружения угроз (Threat Hunting), «песочницы» и др. То есть растет новый класс проактивных средств информационной безопасности; он еще не сформировался окончательно, но это очень перспективное направление.
Как запущенный три года назад процесс создания центров ГосСОПКА повлиял на отечественный рынок средств информационной безопасности? Привел ли этот процесс к появлению новых продуктов и услуг для оперативного выявления инцидентов и защиты КИИ?
На мой взгляд, идея создания центров ГосСОПКА каких-то технических новшеств и потребностей в их появлении не приносит. Для создания ведомственных центров и организации их взаимодействия с главным центром ГосСОПКА достаточно того набора продуктов, который используется в обычных центрах мониторинга информационной безопасности (Security Operation Center, SOC) коммерческих компаний. У главного центра ГосСОПКА есть определенные требования к механизму взаимодействия с центрами других уровней, но эти требования - не причина для появления каких-то принципиально новых продуктов и услуг. Однако задача адаптации интерфейсов и схем информационного взаимодействия в рамках всей структуры ГосСОПКА актуальна.
Могли бы Вы описать идеальный (с Вашей точки зрения) набор технических средств и решений для полноценной реализации функций ведомственного или корпоративного центра ГосСОПКА.
Есть методические рекомендации ФСБ России, в которых четко прописана архитектура ведомственного центра ГосСОПКА. И в целом она понятна. Жестких требований со стороны регулятора к набору технических средств для ГосСОПКА нет, но есть описание их функционала. Каждое ведомство будет строить свой центр с учетом собственной специфики. Очевидно, что, к примеру, ФНС России МИД России потребуются для этого разные наборы технических средств, поскольку структурно и функционально это совсем разные организации. Каждое ведомство сформирует собственное техническое задание для проекта ГосСОПКА, согласует его с регулятором и выберет для реализации проекта необходимые продукты и технологии.
Исходя из практики нашей компании, я мог бы рекомендовать набор необходимых (но не обязательных для всех) средств для создания ведомственного центра. Ядром такого центра могла бы стать система SIEM, дополненная средствами сканирования внешнего периметра, внутренней сети и выявления уязвимостей. В SIEM также должна стекаться информация от средств обнаружения атак, которые обычно уже имеются в организации, либо докупаются. Кроме того, небольшая техническая инфраструктура может потребоваться для оперативного расследования инцидентов. И скорее всего понадобится создать специальный портал для взаимодействия с главным центром ГосСОПКА.
Предположим, субъект КИИ располагает всеми необходимыми техническими средствами. Означает ли это, что при создании центра ГосСОПКА он не столкнется с серьезными вызовами и проблемами? Какие это могут быть вызовы? Как эффективно ответить на них?
Прежде всего это процессы и персонал. В концепции ГосСОПКА нет самоцели установить в центре мониторинга некий набор технических средств. В ней ставится задача оперативно выявлять инциденты и обмениваться информацией о них. А для этого нужно, чтобы кто-то умело использовал имеющиеся технические средства. И это самая сложная проблема, как для SOC коммерческих предприятий, так и для центров ГосСОПКА. Потому что в них ежечасно стекается информация о миллионах событий. Персонал, который сможет эффективно работать с данными, поступающими из систем выявления атак, сегодня «на вес золота».
Вторая проблема обусловлена тем, что подготовленный хакер не станет организовывать атаку на хорошо укрепленные рубежи, он будет искать самое слабое звено в защите организации. Поэтому у большой федеральной структуры мониторингом должен быть охвачен весь периметр, все ИТ-сегменты, включая региональные подразделения. Создать такую архитектуру средств мониторинга, чтобы она была способна отследить все события в ИТ-инфраструктуре, принципиально важно. Но, недостаточно. Необходимо научиться правильно оценивать результаты мониторинга, верно трактовать происходящие события. А это, повторю, могут делать только высококвалифицированные специалисты.
Третье: насколько сложна задача выявления уязвимостей, настолько же сложна задача предотвращения инцидентов. Например, установить очередные обновления безопасности на все без исключения ИТ-системы и рабочие места в организации федерального масштаба - очень трудоемкая задача. Относится она к компетенции коллег из ИТ-служб, а не центров ГосСОПКА. И здесь очень важно выстроить эффективные взаимоотношения тех, кто обнаруживает бреши и тех, кто их потом своевременно закрывает. Это одна из самых сложных задач в обеспечении безопасности больших организаций.
Каким Вам видится решение проблемы кадрового обеспечения центров ГосСОПКА?
В принципе, как готовить кадры понятно. И я не считаю, что это задача из разряда самых сложных. Однако этой проблематикой мало кто занимается в современном ключе. Подбирая специалистов в центр мониторинга, важно понять что для вас важнее - наличие у будущего работника профильного образования, подтвержденного соответствующим документом, или его нацеленность на постоянное повышение уровня знаний, готовность к самостоятельному совершенствованию профессиональных навыков, подлинный интерес к своему делу. На мой взгляд, гораздо важнее, чтобы это был человек (с определенной технической подготовкой) интересующийся, подписанный на специализированные онлайн-ресурсы в области информационной безопасности – рассылки, конференции, форумы; чтобы он отслеживал и читал все новые отраслевые документы. К слову, почти все актуальные ресурсы по теме информационной безопасности сегодня публикуются на английском языке. Поэтому, если ты не знаешь английского, считай, что ты вне темы.
Не думаю, что проблему кадрового обеспечения ГосСОПКА и SOC можно решить, просто открыв обучение по новой специальности «сотрудник центра обнаружения и предотвращения компьютерных атак». Подготовка хороших специалистов такого рода - не вопрос появления новой дисциплины в университете или на курсах дополнительного профессионального образования. Эта задача не может быть решена исключительно средствами традиционного образования. Необходимо всячески поощрять развитие профессиональной среды, в которой хорошие специалисты могли бы возникнуть, проявить себя и начать развиваться. На западе сегодня основными элементами такой среды являются отраслевые конференции, студенческие соревнования. Конференции проводятся и у нас, но их мало. У нас тоже имеются сильные студенческие команды, но их должно быть больше. Сейчас среда, из которой вырастают высококлассные специалисты по информационной безопасности, у нас пока недостаточно развита и объемна.
Методические рекомендации по созданию центров ГосСОПКА предусматривают возможность аутсорсинга отдельных функций ведомственных и корпоративных центров. Какие из функций, на Ваш взгляд, целесообразно передавать на аутсорсинг специализированным организациям (лицензиатам) по информационной безопасности?
Это функции расследования инцидентов и вообще помощь при отражении атак, услуги ретроспективного анализа, который позволяет ответить на вопрос: взломана ли уже организация. То есть это те работы, которые требуется выполнять периодически, несколько раз в году, и ради которых экономически нецелесообразно содержать собственных специалистов, способных выполнить их в «час икс». Вместе с тем на аутсорсинг легко перекладываются некоторые рутинные операции. Допустим, у организации имеется веб-сайт, защищенный межсетевым экраном с функциями контроля приложений. Такой экран выдает огромное количество предупреждающих сигналов, и разумно сделать так, чтобы за этими предупреждениями следили не собственные сотрудники организации, а внешние эксперты, специализирующиеся на решении конкретно этой задачи. Тем более, что внешние эксперты могут выполнять такую работу в режиме постоянного обслуживания на основе сервисной модели.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
