создание и ведение базы данных по инцидентам безопасности на сетях связи, поддержка ее в актуальном состоянии;
Рубрикатор |
Статьи | ИКС № 03 2013 |
Дмитрий КОСТРОВ  | 12 марта 2013 |
Киберзащита конЦЕНТРируется
Для противодействия кибератакам во всем мире создаются центры реагирования на компьютерные инциденты – и Россия не исключение. Сотрудничество таких центров может сделать их работу заметно эффективнее.
Центры реагирования в России
В настоящее время создается GOV-CERT.RU – центр реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях (ИТС) органов государственной власти РФ, призванный решать следующие задачи: оказание консультативной и методической помощи при проведении мероприятий по ликвидации последствий компьютерных инцидентов в ИТС органов государственной власти; анализ причин и условий возникновения инцидентов в ИТС органов государственной власти; выработка рекомендаций по способам нейтрализации актуальных угроз безопасности информации; взаимодействие с российскими, иностранными и международными организациями, отвечающими за реагирование на компьютерные инциденты; накопление и анализ сведений о таких инцидентах.
Кроме того, в России уже действуют три аналогичных центра – CERT-GIB, WebPlus ISP и RU-CERT. Первый из тройки был создан совсем недавно, его основатель – компания Group-IB. Это частный центр реагирования, обслуживающий сторонние организации, но претендующий на звание «прогосударственного», так как именно с ним Координационный центр национального домена сети Интернет заключил соглашение о противодействии киберугрозам в доменах .RU и .РФ (наряду с подразделением Лиги безопасного Интернета – фондом «Дружественный Рунет»). Центр работает в режиме 24х7 и оказывает услуги (на основе абонентского договора или договора оферты) реагирования на следующие типы инцидентов: отказ в обслуживании (DoS, DDoS), компрометация информации, компрометация актива, внутренний или внешний несанкционированный доступ, создание и распространение вредоносного программного обеспечения, нарушение политик информационной безопасности, фишинг и незаконное использование бренда в интернете, мошеннические действия с системами ДБО и электронными платежными системами.
Центр Webplus ISP CERT занимается обслуживанием только собственных ресурсов.
Четвертый центр, RU-CERT (Russian Computer Emer-gency Response Team) – это автономная некоммерческая организация «Центр реагирования на компьютерные инциденты», официально зарегистрированная как Computer Security Incident Response Team (CSIRT). RU-CERT занимается сбором и анализом информации по фактам компьютерных инцидентов (попыток или фактов нарушений российского законодательства или принятых международных нормативных правовых актов при обработке информации в открытых телекоммуникационных сетях, которые имеют отношение к сетевым ресурсам, расположенным на территории Российской Федерации), а также реагированием на них с целью выявления, предупреждения и пресечения подобной деятельности на территории РФ. RU-CERT на территории России также выступает в качестве контактной стороны для всех пользователей, которым необходимо содействие в обращении к российским интернет-провайдерам и официальным государственным структурам, проводящим предусмотренное российским законодательством расследование компьютерных преступлений. При этом RU-CERT не обладает правами на прекращение деятельности лиц, причастных к компьютерным инцидентам, закрытие ресурсов, блокирование адресов и т.п.
Кроме того, в настоящее время создается межотраслевой CSIRT на базе Ассоциации руководителей служб информационной безопасности.
Национальные центры: сотрудничество ради безопасности
Недавно в МСЭ-Т была принята международная рекомендация (проект которой активно продвигала Россия) X. NCNS-1 – Supplement on guidance for creating national IP-based public network security center for developing countries («Руководство по созданию Национальных центров безо-пасности сети связи общего пользования, базирующейся на протоколе IP, для развивающихся стран»). Рекомендация ориентирована на содействие обеспечению безопасного и устойчивого функционирования национальной ИКТ-инфраструктуры, включающей сети операторов подвижной и фиксированной связи и национальный сегмент сети интернет. Ее концептуальный принцип – сотрудничество ради безопасности.
Рекомендация описывает структуру Национального центра и схему его внешних связей. Составляющие Рекомендации – организация функционирования межоператорской группы анализа инцидентов (МЕГА), интеграция функциональных компонентов и компонентов обеспечения безопасности, формирование координирующих воздействий для обеспечения непрерывности оказания услуг в рамках национальной ИКТ-инфраструктуры гражданам, бизнесу и органам государственной власти как в повседневном режиме работы, так и в условиях чрезвычайных ситуаций природного и техногенного характера.
В Рекомендации также описываются модели работы национальных центров, которые можно использовать для обеспечения защищенности, стабильности и восстанавливаемости национальной ИКТ-инфраструктуры развивающихся стран, работающей на основе протокола IP. Эти модели могут быть федеративными или виртуальными и имплементироваться по отдельности или комбинированно. В рамках одного государства могут функционировать несколько подобных равнозначных центров.
Последовательное применение принципа «Сотрудничество ради безопасности» приводит к формированию распределенной, федеративной интеграционной среды (ФИС), или так называемого федеративного пространства доверия, где размещаются сервисы, доступные всем участникам системы коллективной безопасности на национальном уровне.
Наличие такой федеративной интеграционной среды обеспечивает операторам возможность присоединения к ней, размещения своих сервисов и получения доступа ко всем сервисам безопасности, развернутым в ФИС другими операторами и администрацией NCNS. Федеративная интеграционная среда организуется в виде стека управляющих плоскостей (control planes): Security control plane, Information Exchange Plane, Service Exchange Plane.
Принципы создания NCNS
NCNS проектируется и формируется как система организационно-технического управления национальной ИКТ-инфраструктурой в процессе межоператорского взаимодействия и включает и уже существующие центры управления сетями связи (NOC/SOC), и вновь создаваемые центры управления безопасностью операторов связи. NCNS обеспечивает координацию как в повседневной деятельности, так и во время чрезвычайных ситуаций.
Формирование NCNS предполагает создание специального пула операторов связи, отобранных и сертифицированных в соответствии с национальными требованиями и/или международными X.Sup2: ITU-T X.800-X.849 series – Supplement on security baseline for network operators. Применение открытых и формализованных процедур и условий отбора операторов связи способствует расширению круга участников взаимодействия.
В основе создания NCNS лежат архитектура и методика организации и сопровождения системы поддержки операционной деятельности во взаимодействии с центрами управления сетями связи NOC/SOC, составляющими национальную ИКТ-инфраструктуру. Такой подход предполагает, что NCNS создается как распределенная система межоператорского взаимодействия.
В состав NCNS входят администрация центра, подразделение мониторинга и управления информационной безопасностью, подразделение анализа и развития. К функциям подразделения мониторинга и управления ИБ относят:
-
-
информационная поддержка протокольного обмена событиями безопасности и положительными практиками противодействия с другими центрами сетевой безопасности и с центрами безопасности взаимодействующих операторов;
-
контроль (с применением технических и программных средств) состояния информационной безопасности сетей и систем существенных операторов;
-
взаимодействие с оперативными подразделениями операторов при локализации и устранении аварий на сетях связи, вызванных деструктивными воздействиями на сеть и ресурсы систем управления сетью связи;
-
организация взаимодействия с центрами безопасности взаимодействующих операторов при отражении массовых атак на системы управления сетями связи;
-
организация взаимодействия с центрами компетенций и службами поддержки компаний – производителей телекоммуникационного и сетевого оборудования.
В функции подразделения анализа и развития входит:
-
разработка нормативно-методической базы безопасности национальной ИКТ-инфраструктуры;
-
анализ угроз безопасности и формирование мер и рекомендаций по противодействию им;
-
формирование базы лучших практик и рекомендаций по обеспечению безопасности и реагированию на инциденты безопасности;
-
разработка технических решений и сопровождение проектов и работ по информационной безопасности на сетях связи и информационных ресурсах;
-
сертификация присоединяемых операторов.
Объектами информационного взаимодействия NCNS являются центры управления безопасностью операторов связи, другие NCNS, организации федеральных регуляторов в области безопасности и связи, центры реагирования на инциденты безопасности (CERT, CSIRT, CIRT) и другие структуры, заинтересованные в повышении устойчивости сетей связи (вендоры, общественные организации и т.д.).
В целях информационного обмена NCNS с внешними объектами может быть использован весь спектр механизмов обмена информацией о событиях. В случае центров управления безопасностью операторов связи это протоколы взаимодействия, поддерживаемые операторскими системами управления и автоматизированными системами управления инцидентами. Для других NCNS предназначен новый протокол обмена, отвечающий требованиям взаимодействия NCNS. Обмен с организациями регуляторов в области безопасности и связи происходит в соответствии с национальным законодательством и особенностями технического оснащения регуляторов. Для взаимодействия с центрами реагирования на инциденты безопасности (CERT, CSIRT, CIRT и т.д.) используются механизмы обмена информацией, указанные в Рекомендации X.1500 (CYBEX). В случае вендоров, общественных и других организаций, заинтересованных в повышении устойчивости сетей связи, протоколы обмена целесообразно определять по договоренности с ними.
NCNS ведет собственную электронную базу данных об угрозах и методах защиты (с учетом национальных нормативных актов в части защиты конфиденциальной информации). Для автоматизации деятельности NCNS используется совокупность технических и программных средств.
МЕГА-подробности
Межоператорская группа анализа инцидентов (МЕГА) представляет собой архитектурную составлящую NCNS, выделенную для сбора, обработки и обмена информацией об инцидентах и событиях безопасности между операторами связи, потребителями услуг связи, производителями оборудования, государственными органами, а также для ведения базы данных «лучших практик» по выделенным инцидентам ИБ*.
Цель создания МЕГА – консолидация усилий по выявлению угроз информационной безопасности (кибербезопасности) национальной ИКТ-инфраструктуры, обнаружению и локализации инцидентов, относящихся к сфере информационной безопасности, принятию мер по устранению негативных последствий инцидентов и их недопущению в дальнейшем.
МЕГА формирует и рассылает присоединенным к NCNS операторам связи рекомендации по обеспечению базового уровня информационной безопасности (ITU-T X.800-X.849 series – Supplement on security baseline for network operators); проводит экспертизу и мониторинг инфокоммуникационных систем (по запросу) операторов связи на наличие уязвимостей и выдает рекомендации по их устранению и повышению уровня устойчивости предоставления услуг; оказывает поддержку пользователям – операторам связи в повышении устойчивости и информационной безопасности (консультирует их по вопросам борьбы с вредоносными программами, безопасных настроек, по случаям недоступности узлов и сегментов сети связи, нарушения авторских прав при работе в интернете и т. д.); принимает круглосуточно обращения операторов связи по поводу событий и инцидентов безопасности, в том числе жалобы на действия пользователей и операторов связи, а также на инциденты с использованием средств связи оператора (пример: фрод на сетях связи); ведет анализ (расследование) зафиксированных инцидентов и событий безопасности во взаимодействии с операторами связи, производителями оборудования, государственными органами и предоставляет оперативную информацию об угрозах, инцидентах и событиях безопасности для ликвидации их вредных последствий; организует взаимодействие между операторами связи и сервис-провайдерами при эксплуатации программно-технических средств поддержки информации об актуальности присоединенных сетей; способствует повышению устойчивости, а также информационной безопасности средств коллективного пользования; выдает рекомендации производителям оборудования в том, что касается требований к повышению устойчивости сетей связи и кибербезопасности средств связи; проводит информационно-аналитическую работу по сбору данных о произошедших атаках, актуальных методах атак, ресурсах злоумышленников, сигнатурах атак и т.д.
Список инцидентов, на которые реагирует МЕГА, включает (но не ограничивается ими) DDoS-атаки, несанкционированный доступ к сетевым ресурсам, наличие известной критичной уязвимости на имеющем существенное значение ресурсе, эпидемии компьютерных вирусов, функционирование в сети связи вредоносных программ, нарушение функций маршрутизации, приводящих к недоступности подсетей, сегментов, автономных систем, ошибочное или злонамеренное переконфигурирование сетевого оборудования, приводящее к нарушению связности телекоммуникационных сетей, фишинг, рассылку различных видов спама, несанкционированный пропуск трафика («серый» трафик).
Принятие Рекомендации МСЭ-Т по созданию Национальных центров безопасности – важный этап формирования содружества государств в интересах обеспечения информационной безопасности на сетях связи. Теперь эффективность этого процесса зависит от дальнейшей разработки более конкретных подстандартов на базе данного «зонтичного» стандарта, а также конкретных пошаговых руководств по их развертыванию.
_______________________________________________________
*Инцидент информационной безопасности (инцидент ИБ) – одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации. Эти события указывают на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ.