22 янв. 2013 г.

Как создать государственную систему обнаружения, предупреждения и ликвидации последствий  компьютерных атак в масштабах России.

Посвящается выходу Указа Президента РФ №31с "О СОЗДАНИИ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ ФЕДЕРАЦИИ", который мне очень понравился.

Давайте рассмотрим, что нужно сделать, чтобы создать такую систему.

Такая система называется на английском языке Security Operation Center (далее SOC). Такие системы уже много лет эксплуатируются во многих крупных компаниях и государственных организациях и Президент своим Указом №31с ничего экстраординарного не потребовал. Основу таких систем составляют 1. люди 2. продукты 3. процессы. Рассмотрим эти компоненты.

Продукты для создания системы

Основой любого SOC является система сбора и корреляции событий или по-английски Security Information and Event Management (далее SIEM). Ошибочно считать, что Президент имел в виду системы обнаружения и предотвращения атак, которые по-английски мы привыкли называть Intrusion Detection and Prevention Systems (далее IDS и IPS). На самом деле системы IDS и IPS будут использоваться, но они являются лишь частью SOC и рассматриваются как источники событий для анализа ситуации с безопасностью. Источниками событий для SIEM являются все системы информационной безопасности, которые уже установлены или будут постепенно устанавливаться в защищаемых сегментах сети: межсетевые экраны, VPN, DLP, DAM, антивирусы, honeypot, сканеры безопасности, антиспам, веб фильтры и т.д. Также источниками событий являются обычные информационные системы: журналы рабочих станций, серверов, сетевого оборудования, WEB приложения, базы данных и т.д. (Полный список тут) Также источниками событий являются события которые создает сам SIEM - это так называемые скоррелированные события. SIEM сам может создавать активные таблицы состояний и другие специальные наборы данных, на основе которых делаются глубокие выводы.
Есть ошибочное представление о системах SIEM как только о сборщиках журналов. На самом деле за долгие годы их развития в продвинутых SIEM есть целые аналитические модули, использующие многолетние наработки и выявляющие в реальном времени различные виды мошеннических действий людей (например, работающие в банках); корреляции поведения различных систем по анализу поведения: моделирование ролей сотрудников; использование мощных языков анализа записей журналов. Основой современных SIEM являются набор готовых правил, выявляющих, предупреждающих и ликвидирующих последствия компьютерных атак. Как раз то, что "доктор прописал".

Люди, управляющие системой

Очевидно, что любая система не работает без людей. Нужные на работу в SOC люди тоже уже существуют. Надо сказать, что это очень высококвалифицированные кадры, которые должны понимать в совершенно различных ИТ технологиях: сетях, операционных системах, протоколах различных приложений. Поскольку таких людей нужно готовить достаточно долго, то их мало на рынке труда. Проблема состоит в том, что ИТ безопасник в первую очередь должен стать хорошим ИТ специалистом и лишь только потом он может стать хорошим ИТ безопасником. Многие этого не понимают. Если вы заняты поиском таких кадров, то можно начать с поиска людей у которых есть сертификаты GCIA или GCIH - именно такие люди работают в SOC. Либо вы можете находить обычных ИТ специалистов и обучать их тонкостям безопасности.

Процессы

Для наилучшего результата в SOC должны быть выстроены различные процессы. По опыту создания SOC мне известно, что этих процессов во "взрослом" SOC порядка 170. Это и методы анализа событий, и обучение сотрудников и даже план по их карьерному росту - тоже один из процессов.
После того как все процессы будут реализованы поочередно в таком SOC в нашей стране появится национальная система защиты.

Продолжение.. 

Однако не все так просто. SOC надо строить в организациях в которых хотя бы один раз был какой-нибудь ИТ безопасник. Весь SOC глобальный будет бессмыслен, если в организации, которую SOC контролирует, нет системы управления информационной безопасностью (СУИБ). В этом случае непонятно как сейчас вообще выглядит защита, не разработан или не реализован дизайн защиты, не отслеживается актуальность защитных мер, не обучаются сотрудники, соответственно нет зонирования, не установлены зоны ответственности, не введены какие-либо процессы связанные с безопасностью и т.д и т.п.

Продолжение...

Все гораздо хуже. Открою секрет. В некоторых структурах на сегодняшний день нет не только безопасников, но нет даже... ИТшников. Представляете? То есть в некоторых организациях надо начать просто с того, что взять в штат ИТшника.

Итог

Вот так вкратце я прошелся от сложного к простому, от SOC к единственному ИТшнику. То есть над чем работать понятно. План уже составлен: осталось лишь.. захотеть его реализовать.