УДК 004.492.3
ПЕРСПЕКТИВНЫЕ НАПРАВЛЕНИЯ РАЗВИТИЯ ТЕХНОЛОГИЙ ДЛЯ ЦЕНТРОВ МОНИТОРИНГА И РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Мишурин А.О.
Ст. преподаватель кафедры «Комплексная защита информации» Омского государственного технического университета, член Ассоциации руководителей служб информационной безопасности, г. Омск
Аннотация. В настоящее время большое внимание уделяется практическим вопросам повышения эффект вности выявления и реагирования на инциденты информационной
безопасности |
при эксплуатац информационных систем в условиях растущего числа |
кибератак |
х сложности. Ответом на указанные вопросы может являться не только |
выполнение требован й нормативных актов в области информационной безопасности и применения международных практик по противодействию кибератакам, но и разработка новых перспект вных технолог ческих решений, которые позволят ускорить их адаптацию к конкретным услов ям функц онирования информационных систем.
Ключевые слова: нструменты о наружения, предупреждения и ликвидации последствий компьютерных атак. Tools for detecting, preventing and eliminating the consequences of computer attacks.
В связи с тем, что среднее количестве дней, в течение которых присутствие нарушителя в информац онной с стеме (далее – ИС) остается незамеченным составляет 200 дней [9] в отрасли информационной езопасности (далее – ИБ) происходит сдвиг парадигмы от «предотвращения» к «реагированию» на возникающие угрозы ИБ.
Также в настоящее время сложность, адресность и количество кибератак на ИС неуклонно растет и как следствие регуляторами в о ласти ИБ усиливаются требования по обеспечению ИБ для различных типов и классов ИС.
Одним из наиболее сложных в реализации требований ИБ остается обеспечение требуемого уровня защищенности ИС при ее эксплуатации в условиях постоянно изменяющихся угроз ИБ.
Примеры таких требований для различных типов ИС представлены в таблице 1.
Для всех типов ИС основополагающим элементом является обеспечение реагирования на инциденты ИБ с различным набором требований и мероприятий исходя из типа и критичности ИС.
Таблица 1 – Требования ИБ для ИС
|
№ |
Тип ИС |
Основные требования |
Наименование НПА |
|
|
п/п |
|
|
|
|
|
|
|
|
|
|
|
1 |
Информационная |
В состав мер по обеспечению безопасности |
Приказ ФСТЭК России от |
|
|
|
система |
персональных данных входит в том числе: |
18.02.2013 г. № 21 «Об |
|
|
|
СибАДИперсональных - регистрация событий безопасности; утверждении Состава |
|
||
|
|
данных |
- обнаружение (предотвращение) вторжений; |
содержания |
|
|
|
|
- выявление инцидентов (одного события или |
организационных и |
|
|
|
|
группы событий), которые могут привести к |
технических мер по |
|
|
|
|
сбоям или нарушению функционирования |
обеспечению безопасности |
|
|
|
|
информационной системы и (или) к |
персональных данных при |
|
|
|
|
возникновению угроз безопасности |
их обработке в |
|
|
|
|
персональных данных, и реагирование на них |
информационных |
|
|
|
|
|
системах персональных |
|
|
|
|
|
данных» |
|
|
|
|
|
|
|
89
|
2 |
Государственная |
Обеспечение защиты информации в ходе |
Приказ ФСТЭК России от |
|
||
|
|
информационная |
эксплуатации информационной системы должно |
11.02.2013 № 17 «Об |
|
||
|
|
система |
включать следующие мероприятия: |
утверждении Требований о |
|
||
|
|
|
- регистрацию событий безопасности; |
защите информации, не |
|
||
|
|
|
- обнаружение (предотвращение) вторжений; |
составляющей |
|
||
|
|
|
- реагирование на инциденты ИБ (обнаружение |
государственную тайну, |
|
||
|
|
|
и идентификация инцидентов, анализ |
содержащейся в |
|
||
|
|
|
инцидентов, в том числе определение |
государственных |
|
||
|
|
|
источников и причин возникновения |
информационных |
|
||
|
|
СибАДИ |
|
||||
|
|
|
инцидентов, а также оценка их последствий, |
системах» |
|
||
|
|
|
планирование и принятие мер по устранению |
|
|
||
|
|
|
нц дентов, планирование и принятие мер по |
|
|
||
|
|
|
предотвращению повторного возникновения |
|
|
||
|
|
|
нц |
дентов) |
|
|
|
|
3 |
Крит ческая |
Вза |
модействие с государственной системой |
Федеральный закон от |
|
|
|
|
информац онная |
обнаружения, предупреждения и ликвидации |
26.07.2017 г. № 187-ФЗ «О |
|
||
|
|
инфраструктура |
последств |
й компьютерных атак на |
безопасности критической |
|
|
|
|
|
нформац онные ресурсы Российской |
информационной |
|
||
|
|
|
Федерац |
|
инфраструктуры |
|
|
|
|
|
|
|
|
Российской Федерации» |
|
|
В |
целях реал зац |
указанных тре ований возможным вариантом является создание |
||||
|
центра мон тор нга |
реаг рования на инциденты ИБ (далее – ЦМР) или передачи части его |
|||||
|
функций сторонней орган зац |
(внешнему контрагенту). В качестве примера практической |
|||||
реализации ЦМР может служить организация центра государственной системы обнаружения (рис. 1), предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее — ГосСОПКА).
Рисунок 1 – Структура ГосСОПКА
Основной организационно-технической составляющей ГосСОПКА являются центры обнаружения, предупреждения ликвидации последствий компьютерных атак, организованные по ведомственному и территориальному принципам.
Центры подразделяются на главный центр ГосСОПКА, региональные центры, территориальные центры, центры органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации и корпоративные центры.
К основным задачам ЦМР относятся:
-обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на ИС;
-проведение мероприятий по оценке степени защищенности контролируемых ИС;
-проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые ИС;
90
-сбор и анализ данных о состоянии информационной безопасности в контролируемых ИС;
-осуществление взаимодействия между ЦМР;
-информирование заинтересованных лиц по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.
В соответствии с задачами ЦМР и международного опыта можно выделить следующий жизненный цикл реагирования на события ИБ (рис. 2) [7, 8].
СибАДИР сунок 2 – Ж зненный цикл реагирования на событие ИБ
В целях успешного дост жения результатов в реализации проектов в области ИБ необходимо уч тывать следующие факторы: наличие в составе команды проекта специалистов соответствующего уровня и компетенции, формализация и практическое использован е процессного подхода в реализации проекта, а также наличие соответствующ х целям проекта инструментов. В данной статье будет рассмотрено инструментальное направления и перспективы его развития как одного из элементов результативности проекта по о еспечению требуемого уровня защищенности ИС при ее эксплуатации в рамках ЦМР.
В результате анализа средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (ГосСОПКА) [6] и лучших международных практик по использованию инструментов для функционирования ЦМР можно выделить следующие основные инструменты ЦМР:
- средства для обнаружения компьютерных атак из различных источников данных
(функционал относится к классу средств Security information and event management (SIEM); - средства для предупреждения компьютерных атак (системы учета и мониторинга
инфраструктуры ИС, сканеры безопасности); - средства для ликвидации последствий компьютерных атак (функционал относится к
классу средств Incident response platforms (IRP);
- средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры
(функционал относится к классам средств: Intrusion detection system (IDS), Intrusion prevention system (IPS), Threat intelligence platform (TIP);
- средства обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении (или) ликвидации последствий компьютерных атак (IRP);
-средства сбора, хранения и анализа трафика (Network Traffic Analysis (NTA);
-средства выявления и реагирования на целевые атаки ИС (Endpoint Detection and Response (EDR);
-средства поведенческого анализа пользователей (User and Entity Behavior Analytics (UEBA);
-криптографические средства защиты информации;
-средства визуализации, построения сводных отчетов и хранения информации.
Одним из дополнительных инструментов для ЦМР является SOAR, который по классификации компании Gartner с 2015 году определялся как «Security operations, analytics
91
and reporting», а с 2017 года как «Security orchestration, automation and response». Внесение корректировки в описание SOAR отмечает уклон в сторону автоматизации реагирования на инциденты ИБ. Применение SOAR в работе ЦМР соответствует 5 уровню зрелости ЦМР (согласно данным Компании Gartner) [2, 3].
По прогнозам Компании Gartner к концу 2022 года 30% организаций, в которых отдел безопасности будет превышать 5 человек, будут использовать инструменты SOAR при обеспечении безопасности, по сравнению с менее чем 5 % в 2109 году. [1]
Основные функциональные особенности инструментов SOAR:
СибАДИклассу инструментов. В условиях импортозамещения в ИТ-отрасли реализации Постановления Правительства Российской Федерации от 16.11.2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд», то разработка инструмента SOAR является одной из актуальных задач для достижения 5 уровня зрелости (эффективности) ЦМР. Вместе с тем сейчас на международном рынке существует не менее 18 решений типа SOAR.
- агрегирование (aggregation): получение данных из разных источников (сигналы
предупреждения или иные входные данные от других технологий безопасности, например от
инструмента SIEM, а также з с |
стем анализа угроз ИБ (threat intelligence); |
|
- обогащен е (enrichment): |
нтеграция и анализ описания внешних угроз ИБ (threat |
|
intelligence), выполнен е внутреннего контекстного поиска или сбор дополнительных данных |
||
в соответств |
с определенными действиями после идентификации инцидента ИБ или во |
|
время сбора |
обработки данных; |
|
- оркестровка (orchestration): координация рабочих процессов как ручных, так и |
||
автоматизированных, вл яющ х на информационные системы; |
||
- автомат |
зац я (automation): спосо ность программного обеспечения и систем выполнять |
|
функции по заранее оп санному сценарию (playbook, playrun); |
||
- реагирован е (response): о еспечение ручного или автоматизированного реагирования на инциденты ИБ, что может включать в се я действия базового уровня (создание заявки в
службу техн ческой поддержки ИС) к олее сложным действиям (например: применение блокировки IP-адреса путем зменения правила МСЭ).
Самое распространенное применение инструментов SOAR:
- приоритизация мероприятий по о еспечению безопасности информации;
- сортировка и реагирование на инциденты ИБ; - автоматизация реагирования на инциденты ИБ.
Рост спроса на инструменты SOAR возможен по следующим причинам:
- нехватка персонала по обеспечению безопасности и реагированию на инциденты ИБ; - увеличение количества угроз ИБ и повышение уровня их сложности;
- необходимость повышения качества и скорости фильтрации событий ИБ (улучшение
отношения сигнал/шум);
- необходимость централизованного анализа угроз ИБ (threat intelligence);
- сокращение времени реагирования на инциденты ИБ (автоматизация реагирования на
инциденты);
- сокращение рутинной работы для аналитиков Security Operations Center (SOC);
- возможность направления деятельности аналитиков SOC на обработку
высокотехнологичных инцидентов ИБ, в том числе выявления целевых атак.
Анализ рынка Российской Федерации в области разработки инструментов SOAR выявил отсутствие продукта, полностью соответствующего современным требованиям к этому
На основании изложенного и в целях повышения эффективности реагирования на угрозы ИБ возможно выделить следующие перспективные направления развития функциональных возможностей инструмента SOAR:
92
- при агрегации данных учитывать следующие сведения: структурно-функциональные характеристики ИС (Configuration management database, CMDB), карту информационных потоков, индикаторы компрометации (IOC);
- применение методов машинного обучения для классификации выявленных уязвимостей ИС, индикаторов компрометации (IOC), угроз ИБ (по ФСТЭК России, MITRE (STIX), событий и инцидентов ИБ в целях определения критичности, приоритета устранения и взаимосвязей между собой относительно эксплуатируемой ИС;
- применение методов моделирования (имитационное, математическое) реализации угроз
СибАДИресурс] // URL: https://www.sans.org/cyber-security-summit/archives/file/summit-archive- 1532986430.pdf (дата обращения: 02.09.2019).
ИБ по отношению к ИС с использованием методов ФСТЭК России и MITRE (STIX);
- автоматизация формирования базы инструкций реагирования на инциденты ИБ
(playbook, playrun) для разл чных классов;
- оценка эффект вности работы ЦМР с применением ключевых показателей (KPI).
Реализац я |
указанных перспективных направлений развития функциональных |
|||
возможностей |
нструмента SOAR позволит усилить эффект от его применения к 2022 году и |
|||
улучшить значен я базовых метрик функционирования ЦМР таких как: время обнаружения |
||||
угрозы (Time-to-Detect, TTD), время локализации угрозы, включая расследование (Time-to- |
||||
Contain, TTC), время реаг рован я на угрозу (Time-to-Response, TTR) [10, 11]. |
|
|||
|
|
Би лиографический список |
|
|
1. |
Анал т ческ й отчет компании Gartner «Market Guide for Security Orchestration, |
|||
Automation and Response Solutions» от 27.06.2019 г. [Электронный ресурс] // URL: |
||||
https://www.gartner.com/en/documents/3942064/market-guide-for-security-orchestration- |
||||
automation-and-r (дата о ращен я: 02.09.2019). |
|
|
||
2. |
Joseph Muniz, Gary McIntyre. Security Operations Center: Building, Operating, and |
|||
Maintaining Your SOC [Электронный ресурс] // URL: http://www.ciscopress.com/store/security- |
||||
operations-center-building-operating-and-maintaining-9780134052014 |
(дата |
обращения: |
||
02.09.2019). |
|
|
|
|
3. |
А.В. Лукацкий. Модель зрелости SOC от Gartner [Электронный ресурс] // URL: |
|||
https://lukatsky.blogspot.com/2019/07/soc-gartner.html (дата обращения: 02.09.2019). |
|
|||
4. |
Common and Best Practices for Security Operations Centers: Results of the 2019 SOC |
|||
Survey [Электронный ресурс] // URL: https://www.sans.org/webcasts/common-practices-security- |
||||
operations-centers-results-2019-soc-survey-110050 (дата обращения: 02.09.2019). |
|
|||
5. |
Gartner Research: Security Operations Centers [Электронный ресурс] // URL: |
|||
https://www.gartner.com/en/documents/3899074/security-operations-centers (дата обращения: |
||||
02.09.2019). |
|
|
|
|
6. |
Приказ ФСБ России от 06.05.2019 г. N 196 «Об утверждении Требований к средствам, |
|||
предназначенным для обнаружения, предупреждения и ликвидации последствий |
||||
компьютерных атак и реагирования на компьютерные инциденты». |
|
|
||
7. |
Rob Gresham. Hacking your SOEL SOC Automation and Orchestration [Электронный |
|||
8. .В. Лукацкий. Cisco Security Operations Virtual Summit [Электронный ресурс] // URL: https://www.youtube.com/watch?v=llojCta3le (дата обращения: 02.09.2019).
9.А.В. Лукацкий. Какие технологии кибербезопасности будут актуальны в среднесрочной перспективе [Электронный ресурс] // URL: https://www.youtube.com/watch?v=0BQPdZP36us (дата обращения: 02.09.2019).
10.А.В. Лукацкий. Правило "1-10-60" или три метрики SOC, когда вы не знаете как правильно измерить свой центр мониторинга ИБ [Электронный ресурс] // URL: https://lukatsky.blogspot.com/2018/09/1-10-60-soc.html (дата обращения: 02.09.2019).
11.А.В. Лукацкий. «Обзор метрик, используемых для оценки эффективности SOC»
[Электронный ресурс] // URL: https://soc-forum-2016.ib- bank.ru/files/files/soc2016/31%20lukatsky.pdf(дата обращения: 02.09.2019).
93