- •Основы проектирования защищенных инфокоммуникационных систем
- •ГосСОПКА Нормативные требования и рекомендации
- •Что такое ГосСОПКА?
- •Примеры аналогичных систем Системы IPS/IDS
- •Виды IDS по принципу действия
- •Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет
- •Различия типов технологий IDS
- •Архитектура и технология IDS
- •Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети
- •Системы IPS
- •Концепция ГосСОПКА
- •ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в
- •Структура системы ГосСОПКА
- •ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения
- •Структура центров ГосСОПКА
- •Ведомственные и корпоративные сегменты ГосСОПКА
- •Направления деятельности ведомственного сегмента ГосСОПКА
- •Задачи ведомственного сегмента ГосСОПКА
- •Задачи корпоративного сегмента ГосСОПКА
- •Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
- •Порядок предоставления сведений главному центру ГосСОПКА
- •Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
- •Перечень предоставляемой информации об информационных ресурсах
- •Перечень передаваемой информации о компьютерных атаках
- •Обязанности владельца объекта КИИ
- •При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом,
- •На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных
- •Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право
- •Выявление уязвимостей является ключевым элементом противодействия атакам, и речь идет не только об
- •Подключение субъекта КИИ к инфраструктуре ГосСОПКА
- •Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает
Основы проектирования защищенных инфокоммуникационных систем
ЛЕКЦИЯ № 12
Сторожук Николай Леонидович доцент кафедры ЗСС, к.т.н.
ГосСОПКА Нормативные требования и рекомендации
1.Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.
2.Указы Президента Российской Федерации от 15.01.2013 г. № 31с, от 03.02.2012 № 803, от 12.12.2014 № К 1274
3.Меры защиты информации в государственных информационных системах, утверждены ФСТЭК Росии 11.02.2014.
На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак Система ГосСОПКА, которая представляет собой совокупность объединенных между собой центров мониторинга инцидентов информационной безопасности в пределах России. Цель создания данной государственной Системы – обеспечить сбор и обмен информацией о компьютерных атаках между сотрудниками центров, включенными в данную Систему.
Что такое ГосСОПКА?
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации.
При решении задачи защиты от хакерских атак критически важных информационных систем приходится учитывать несколько факторов.
Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему.
Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия им.
В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются один-два раза в год.
Примеры аналогичных систем Системы IPS/IDS
В результате в 2008-2010 годах в ряде российских ведомств были начаты работы по созданию ведомственных систем обнаружения и предупреждения компьютерных атак (СОПКА), основанных на централизованном использовании IDS/IPS.
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений.
IPS расшифровывается как Intrusion Prevention System, — система предотвращения вторжений.
По сравнению с традиционными средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо более высокий уровень защиты сети, анализируют данные и сетевое поведение. Продолжая аналогию с хранителями правопорядка, файервол, почтовые фильтры и антивирус — это рядовые сотрудники, работающие «в поле», а системы обнаружения и предотвращения вторжений — это старшие по рангу офицеры, которые работают в отделении.
Виды IDS по принципу действия
Все системы обнаружения атак IDS работают по одному принципу — поиск угрозы путем анализа трафика. Отличия кроются в самом процессе анализа. Существует три основных вида: сигнатурные, основанные на аномалиях и основанные на правилах.
Сигнатурные IDS
IDS этой разновидности работают по схожему с антивирусным программным обеспечением принципу. Они анализируют сигнатуры и сопоставляют их с базой, которая должна постоянно обновляться для обеспечения корректной работы. Соответственно, в этом заключается главный недостаток сигнатурных IDS: если по каким-то причинам база недоступна, сеть становится уязвимой. Также если атака новая и ее сигнатура неизвестна, есть риск того, что угроза не будет обнаружена.
IDS, основанные на аномалиях
Данная разновидность IDS по принципу работы в чем-то схожа с отслеживанием состояний, только имеет больший охват.
IDS, основанные на аномалиях, используют машинное обучение. Для правильной работы таких систем обнаружения угроз необходим пробный период обучения. Администраторам рекомендуется в течение первых нескольких месяцев полностью отключить сигналы тревоги, чтобы система обучалась. После тестового периода она готова к работе.
Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет аномалии. Аномалии делятся на три категории:
-статистические;
-аномалии протоколов;
-аномалии трафика.
Статистические аномалии выявляются, когда система IDS составляет профиль штатной активности и сравнивает его с текущим профилем. Например, для компании характерен рост трафика по будним дням на 90%. Если трафик вдруг возрастет не на 90%, а на 900%, то система оповестит об угрозе.
IDS на основе правил
IDS на основе правил похожи на экспертные системы. Экспертная система основана на базе знаний, механизме логических выводов и программировании на основе правил. Знания представляют собой правила, а анализируемые данные – факты. Знания системы описываются с помощью программирования на основе правил (ЕСЛИ ситуация ТОГДА действие). Эти правила применяются к фактам, к данным, получаемым сенсором, или к контролируемым системам. Затем к этим данным применяются предварительно настроенные правила, которые проверяют, есть ли что-нибудь подозрительное в произошедших событиях.
Различия типов технологий IDS
Сигнатурные
Отслеживающие шаблоны, работающие подобно антивирусным программам Сигнатуры должны постоянно обновляться Не могут выявить новые атаки
Два типа:
-отслеживающие шаблоны – сравнивают пакеты с сигнатурами
-отслеживающие состояние – сравнивают действия с шаблонами
Основанные на аномалиях
Основанные на поведении системы, изучают ее «нормальную» деятельность Могут выявлять новые атаки Также называются поведенческими или эвристическими
Три типа:
-основанные на статистических аномалиях – создают профиль «нормальной» деятельности и сравнивают реальную деятельность с этим профилем
-основанные на аномалиях протоколов – выявляют факты необычного использования протоколов
-основанные на аномалиях трафика – выявляют необычное в сетевом трафике
Основанные на правилах
Используют ЕСЛИ/ТОГДА программирование, основанное на правилах, в рамках экспертных систем Используют экспертную систему, подобную искусственному интеллекту Более сложные правила
Не может выявлять новые атаки
Архитектура и технология IDS
Принцип работы IDS заключается в определении угроз на основании анализа трафика, но дальнейшие действия остаются за администратором. Системы IDS делят на типы по месту установки и принципу действия.
Виды IDS по месту установки:
-сетевые системы обнаружения вторжения — NIDS (Network Intrusion Detection System);
-хостовая система обнаружения вторжений — HIDS (Host-based Intrusion Detection System).
Технология NIDS дает возможность установить систему в стратегически важных местах сети и анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.
Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети. Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые пакеты, что делает сеть уязвимой.
Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. Её лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.
Другие разновидности IDS по месту установки
Кроме NIDS и HIDS, доступны также Системы обнаружения вторжений по периметру — PIDS (Perimeter Intrusion Detection Systems), которые охраняют не всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена Трампа».
Еще одна разновидность — Системы обнаружения вторжений на основе виртуальных машин — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет обойтись без развертывания системы обнаружения на отдельном устройстве. Достаточно развернуть защиту на виртуальной машине, которая будет отслеживать любую подозрительную активность.
Системы IPS
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Система предотвращения вторжений (IPS) является технологией предотвращения сетевых угроз. Система исследует сетевой трафик, потоки для обнаружения и предотвращения эксплойтов.
Целью IPS систем является не только выявление несанкционированной деятельности, но и предотвращение доступа злоумышленника к цели. Таким образом, IPS является превентивной и проактивной технологией, сосредоточенной в первую очередь на предотвращении атак, в отличие от IDS, являющейся детективной технологией, применяемой к уже свершившимся фактам. Основной идеей является комбинирование средств IDS и IPS в одном продукте – межсетевом экране, который проводит глубокий анализ сетевых пакетов, выявляет атаки и останавливает их. Как и в мире IDS, существуют средства IPS уровня хоста (HIPS) и уровня сети (NIPS).