- •Основы проектирования защищенных инфокоммуникационных систем
- •ГосСОПКА Нормативные требования и рекомендации
- •На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий
- •Что такое ГосСОПКА?
- •Причины возникновения ГосСОПКА
- •Примеры аналогичных систем
- •Системы IPS/IDS
- •Виды IDS по принципу действия
- •IDS, основанные на аномалиях
- •IDS на основе правил
- •Различия типов технологий IDS
- •Архитектура и технология IDS
- •Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети
- •Системы IPS
- •Целью IPS систем является не только выявление несанкционированной деятельности, но и предотвращение доступа
- •Создание ГосСОПКА
- •Концепция ГосСОПКА
- •ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в
- •Структура системы ГосСОПКА
- •Структура системы ГосСОПКА
- •ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения
- •Структура центров ГосСОПКА
- •Ведомственные и корпоративные сегменты ГосСОПКА
- •Направления деятельности ведомственного сегмента ГосСОПКА
- •Задачи ведомственного сегмента ГосСОПКА
- •Задачи корпоративного сегмента ГосСОПКА
- •Направления деятельности корпоративного сегмента ГосСОПКА
- •Требования к взаимодействию с главным центром ГосСОПКА
- •Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
- •Порядок предоставления сведений главному центру ГосСОПКА
- •Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
- •Перечень предоставляемой информации об информационных ресурсах
- •Перечень передаваемой информации о компьютерных атаках
- •Обязанности владельца объекта КИИ
- •При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом,
- •На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных
- •Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право
- •Ктаким задачам относятся:
- •Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой
- •Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании
- •При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования
- •Подключение субъекта КИИ к инфраструктуре ГосСОПКА
- •Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает
- •Что должно измениться после создания Центра мониторинга?
Основы проектирования защищенных инфокоммуникационных систем
ЛЕКЦИЯ № 12
Сторожук Николай Леонидович доцент кафедры ЗСС, к.т.н.
ГосСОПКА Нормативные требования и рекомендации
1.Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.
2.Указ Президента Российской Федерации от 15.01.2013 г. № 31с. «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
3.Указ Президента Российской Федерации от 03.02.2012 № 803. «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации».
4.Указ Президента Российской Федерации от 12.12.2014 № К 1274 «Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
5.Меры защиты информации в государственных информационных системах, утверждены ФСТЭК Росии 11.02.2014.
На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак Система ГосСОПКА, которая представляет собой совокупность объединенных между собой центров мониторинга инцидентов информационной безопасности в пределах России. Цель создания данной государственной Системы – обеспечить сбор и обмен информацией о компьютерных атаках между сотрудниками центров, включенными в данную Систему. Это должно позволить более оперативно реагировать на возникающие киберугрозы в государственном масштабе. Главным управляющим центром ГосСОПКА является «Национальный координационный Центр по компьютерным инцидентам» ФСБ России.
В рамках Системы ГосСОПКА предусмотрено создание органами государственной власти ведомственных центров ГосСОПКА, а государственными корпорациями, операторами связи и другими организациями, осуществляющими лицензируемую деятельность в области защиты информации, корпоративных центров ГосСОПКА.
Ведомственные Центры мониторинга инцидентов информационной безопасности создаются органами государственной власти, а также организациями, действующими в интересах органов государственной власти. Как правило, данные Центры создаются по инициативе, исходящей от ФСБ России и получают официальное приглашение о создании Центра ГосСОПКА и подключении его к Системе ГосСОПКА.
Что такое ГосСОПКА?
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации.
Она представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им.
Концепция ГосСОПКА появилась с целью защиты критической информационной инфраструктуры (КИИ) Российской Федерации. Нормативные правовые акты в области защиты КИИ устанавливают требования и определяют субъекты, для которых исполнение данных требований носит обязательный характер.
Причины возникновения ГосСОПКА
При решении задачи защиты от хакерских атак критически важных информационных систем приходится учитывать несколько факторов.
Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему.
Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия им. В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются один-два раза в год. В то же время для эффективного реагирования на такие атаки требуются люди с крайне редкими специальностями: реверсеры, вирусные аналитики, компьютерные криминалисты и т. п. Ни одна организация не может позволить себе держать в штате таких специалистов, если они востребованы крайне редко.
Такая особенность предметной области диктует свой подход к решению проблемы. Если применяемые меры защиты не могут гарантированно предотвратить атаку, значит, одновременно с принятием превентивных мер необходимо готовиться к реагированию на такую атаку. Если невозможно обеспечить все предприятия КИИ специалистами с нужными компетенциями, значит нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.
Примеры аналогичных систем
Одним из первых примеров такого противодействия стала программа EINSTEIN Агентства национальной безопасности США. По замыслу авторов программы, для эффективного противодействия хакерским атакам достаточно разместить на каналах связи систему сенсоров, сочетающих в себе сигнатурные методы выявления атак с выявлением аномалий сетевого трафика. Атаки, выявляемые с помощью сигнатур, должны блокироваться оборудованием интернет-провайдеров, а анализ аномалий сетевого трафика должен позволить специалистам US-CERT выявлять новые атаки и разрабатывать сигнатуры для них.
Идея казалась очень перспективной: все компьютерные атаки включают в себя или удаленную эксплуатацию уязвимостей, или передачу по каналам связи эксплойтов, используемых при локальной эксплуатации уязвимостей, а значит, анализ сетевого трафика способен их обнаруживать. При этом все манипуляции проводятся только на внешних каналах связи, никак не зависят от архитектуры и специфики защищаемых информационных систем и не требуют вмешательства в их функционирование.
Системы IPS/IDS
В результате в 2008-2010 годах в ряде российских ведомств были начаты работы по созданию ведомственных систем обнаружения и предупреждения компьютерных атак (СОПКА), основанных на централизованном использовании IDS/IPS.
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений.
IPS расшифровывается как Intrusion Prevention System, — система предотвращения вторжений.
По сравнению с традиционными средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо более высокий уровень защиты сети.
Антивирус анализирует файлы, спам-фильтр анализирует письма, файервол — соединения по IP.
IDS/IPS анализируют данные и сетевое поведение. Продолжая аналогию с хранителями правопорядка, файервол, почтовые фильтры и антивирус — это рядовые сотрудники, работающие «в поле», а системы обнаружения и предотвращения вторжений — это старшие по рангу офицеры, которые работают в отделении. Рассмотрим эти системы подробнее.
Виды IDS по принципу действия
Все системы обнаружения атак IDS работают по одному принципу — поиск угрозы путем анализа трафика. Отличия кроются в самом процессе анализа. Существует три основных вида: сигнатурные, основанные на аномалиях и основанные на правилах.
Сигнатурные IDS
IDS этой разновидности работают по схожему с антивирусным программным обеспечением принципу. Они анализируют сигнатуры и сопоставляют их с базой, которая должна постоянно обновляться для обеспечения корректной работы. Соответственно, в этом заключается главный недостаток сигнатурных IDS: если по каким-то причинам база недоступна, сеть становится уязвимой. Также если атака новая и ее сигнатура неизвестна, есть риск того, что угроза не будет обнаружена.
Сигнатурные IDS способны отслеживать шаблоны или состояния. Шаблоны — это те сигнатуры, которые хранятся в постоянно обновляемой базе. Состояния — это любые действия внутри системы.
Начальное состояние системы — нормальная работа, отсутствие атаки. После успешной атаки система переходит в скомпрометированное состояние, то есть заражение прошло успешно. Каждое действие способно изменить состояние. Поэтому сигнатурные IDS отслеживают не действия, а состояние системы.
IDS, основанные на аномалиях
Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только имеет больший охват.
IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После тестового периода она готова к работе.
Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет аномалии. Аномалии делятся на три категории:
-статистические;
-аномалии протоколов;
-аномалии трафика.
Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности и сравнивает его с текущим профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
Для выявления аномалий протоколов IDS-система анализирует коммуникационные протоколы, их связи с пользователями, приложениями и составляет профили. Например, веб-сервер должен работать на порте 80 для HTTP и 443 для HTTPS. Если для передачи информации по HTTP или HTTPS будет использоваться другой порт, IDS пришлет уведомление.
IDS на основе правил
IDS на основе правил похожи на экспертные системы. Экспертная система основана на базе знаний, механизме логических выводов и программировании на основе правил. Знания представляют собой правила, а анализируемые данные – факты. Знания системы описываются с помощью программирования на основе правил (ЕСЛИ ситуация ТОГДА действие). Эти правила применяются к фактам, к данным, получаемым сенсором, или к контролируемым системам. Затем к этим данным применяются предварительно настроенные правила, которые проверяют, есть ли что-нибудь подозрительное в произошедших событиях.
Таким образом IDS на основе правил работают аналогично экспертным системам, собирают данные с сенсоров или из журналов аудита, а механизм логических выводов обрабатывает их, используя предварительно запрограммированные правила. Если характеристики удовлетворяют правилу, отправляется соответствующее уведомление или выполняется определенное действие для решения возникшей проблемы.