Немного теорииyartfoms.ru/itconf/ppt/2 infotecs_itdp for foms.pdf ·...

Решение ViPNet по обнаружению и предотвращению компьютерных атак в структурах АИС ОМС

Светлана Старовойт,

Руководитель направления, ОАО ИнфоТеКС

[email protected]

mailto:[email protected]

Немного теории

©2016, ОАО «ИнфоТеКС».

Основные требования регуляторов

Требования к системам обнаружения компьютерных атак;

Перечень информации, предоставляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка предоставления информации в ГосСОПКА (Приказ № 367 от 24 июля 2018 года);

Порядок обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации… (Приказ от 24 июля 2018 г. N 368);

Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (Приказ от 06.05.2019 №196)


Основные требования регуляторов

Требования к системам обнаружения вторжений;

Меры по защите информации в информационных и автоматизированных системах (Приказы ФСТЭК России № 17, № 21, №31)

Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости (Приказ ФСТЭК России № 239 )


Система обнаружения атак

Система обнаружения компьютерных атак (СОА) – программное, программно-аппаратное или аппаратное средство, целевая функция которого заключается в автоматическом выявлении воздействий на контролируемую данным средством АИС, которые могут быть классифицированы, как компьютерные атаки.

Четыре класса в зависимости от типов выявляемых компьютерных атак на контролируемую АИС:

класс А;

класс Б;

класс В;

класс Г.


Система обнаружения вторженийСистема обнаружения вторжений (СОВ) — программное или программно-техническое средство, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней Соответствующий английский термин — Intrusion Detection System (IDS)

Тип системы обнаружения

вторжений

6 5 4 3 2 1

Система обнаружения

вторжений уровня сети

ИТ.СОВ. С6.ПЗ ИТ.СОВ. С5.ПЗ ИТ.СОВ. С4.ПЗ ИТ.СОВ. СЗ.ПЗ ИТ.СОВ. С2.ПЗ ИТ.СОВ. С1.ПЗ

Система обнаружения

вторжений уровня узла

ИТ.СОВ. У6.ПЗ ИТ.СОВ. У5.ПЗ ИТ.СОВ. У4.ПЗ ИТ.СОВ. УЗ.ПЗ ИТ.СОВ. У2.ПЗ ИТ.СОВ. У1.ПЗ

Проблемы мониторинга угроз ИБ

Сколько событий обрабатывает SOC?

392 326 588

112 000 000

363 434

I полугодие 2018 II полугодие 2018

События Инциденты

8 243 000 000

28 000 000 000

231 623 357 706

I полугодие 2018 II полугодие 2018

События Инциденты

86%

14%

Причины утечек

Доказательства были в логахОтсутствие доказательств

Результаты исследований

56%44%

Предупреждения от средств ИБ

Были изучены

Не были изучены

Важные события остаются не замеченными

Средства ИБ создают

«информационный шум»!

Квалифицированные сотрудники стоят дорого

Регион Средняя

заработная плата

Москва 80 000

Санкт-Петербург 64 000

Волгоград 38 000

Воронеж 40 000

Екатеринбург 51 000

Казань 40 000

Красноярск 46 000

Нижний Новгород 44 000

Новосибирск 50 000

Омск 40 000

Пермь 46 000

Ростов-на-Дону 45 000

Самара 46 000

Уфа 40 000

Челябинск 46 000 © SuperJob 2016

Причины неудовлетворенности системой SIEM

Решение от Инфотекс


Решение по обнаружению компьютерных атак

Сенсоры

Аналитика

Управление ViPNet IDS MC

ViPNet TIAS

ViPNet

IDS NS

ViPNet

IDS HS


Сенсоры

ViPNet

IDS NS

ViPNet

IDS HS

Система обнаружения вторжений уровня сети

Система обнаружения вторжений уровня узла


ViPNet IDS Network Sensor

ISP

LAN

Management console

ViPNet IDS, Firewall

Internet

Switch with

Span-port

Router (Firewall)

ViPNet IDS

Management channel

Protected

Network

Attack


Функции ViPNet IDS NS

обнаруживать события ИБ в трафике;

оповещать о событиях;

хранить события;

работать с событиями;

управлять правилами и настройкой сигнатур


ViPNet IDS Host Sensor

Выявлять подозрительную активность внутри ОС:• файловая активность, • изменения в реестре, • неизвестные процессы.

Определять атаки, которые “не видит” сетевой сенсор;

Обнаруживать атаки после расшифровки входящего трафика;


Система управления

Сенсоры

Аналитика


ViPNet TIAS

ViPNet

IDS NS

ViPNet

IDS HS


Система управления IDS MC

Управлять структурой и настройками сенсоров;

Управлять конфигурациями правил;

Мониторить работоспособность сенсоров;

Обновлять:• базы решающих правил; • базы сигнатур вредоносного ПО;• экспертные данные;


Система анализа

Сенсоры

Аналитика


ViPNet TIAS

ViPNet

IDS NS

ViPNet

IDS HS


Основные функции ViPNet TIAS

сбор и анализ событий от сенсоров ViPNet IDS;

автоматическое выявление инцидентов;

оповещение об инцидентах;

инструменты для проведения расследований;

формирование отчетов


ViPNet TIAS

самые актуальные сведения об угрозах

передовые технологии машинного обучения;

рекомендации по реагированию;

проведение расследования;

сбор доказательной базы;


Как это работает?

События ИБМодуль анализа

ViPNet TIAS

Инциденты ИБ

Threat Intelligence


Threat Intelligence

Индикаторы атак и компрометации;

ТТП - тактики, техники, процедуры;

Информационный обмен:

СОПКА, ФСТЭК, RU-CERT;

Опыт клиентов - верифицированная и обезличенная информация

Отличие от классической SIEM


Machin Learning

математическая модель принятия решений;

алгоритмы машинного обучения;

ежемесячное переобучение;

выявление атак нулевого дня

Отличие от классической SIEM


Варианты исполнения ViPNet TIAS

Server 1U Virtual Appliance

ПАК ViPNet TIAS 1000

ПАК ViPNet TIAS 2000

ПАК ViPNet TIAS 5000 ViPNet TIAS VA

Сертификация

Действующие сертификаты

ViPNet IDS 2. Сертификат ФСТЭК России

СОВ 4 класс

ViPNet IDS 2. Сертификат ФСБ России

СОА класс класса В

ViPNet IDS HS. Сертификат ФСТЭК

России СОВ уровня узла 4 класс

ViPNet TIAS. Сертификат ФСТЭК России.

НДВ 4 уровень, соответствие ТУ

Сертификация

Сертификация IDS 3 в составе:

ViPNet IDS NS

ViPNet IDS MC

ViPNet TIAS

На соответствие СОВ 4 уровня и

СОА класса B

Обеспечение мер защиты


Меры по защите информации (17, 21 приказ ФСТЭК России)

VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.0

Разработка политики

предотвращения вторжений

(компьютерных атак)

Для решения ViPNet базы решающих правил для выявления компьютерных атак, являющиеся

частью политик предотвращения вторжений разрабатываются лабораторией ЗАО Перспективный

Мониторинг, имеющей лицензию ФСТЭК.

В ViPNet IDS NS и ViPNet IDS HS есть возможность написания собственных (пользовательских) правил

и политик

СОВ.1

Обнаружение и

предотвращение

компьютерных атак

Все требования ФСТЭК к СОВ и ФСБ к СОА сетевого уровня и уровня узла закрываются ViPNet IDS NS

и ViPNet IDS HS и подтверждаются сертификатами ФСТЭК и ФСБ

СОВ.2Обновление базы решающих

правилАвтоматическое централизованное обновление БРП на всех сенсорах с помощью ViPNet IDS MC


Меры по защите информации (17, 21 приказ ФСТЭК России)

XIV. Выявление инцидентов и реагирование на них (ИНЦ)

ИНЦ.0 Разработка правил и процедур (политик) выявления

инцидентов и реагирования на них

Правила выявления инцидентов и рекомендации по реагированию на них разрабатываются

экспертами компании ЗАО Перспективный мониторинг на основе анализа актуальных данных об

угрозах, уязвимостях, инструментов и техник проведения атак.

Разработанные правила и рекомендации по реагированию применяются в ViPNet TIAS

ИНЦ.1 Определение лиц, ответственных за выявление инцидентов и

реагирование на них

Реализовано в ViPNet TIAS с помощью функции управления пользователями с настройкой

ролевого доступа к информации об инцидентах

ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов Реализовано в ViPNet TIAS. Инциденты определяются автоматически с помощью правил

обнаружения инцидентов и математической модели принятия решений. Инциденты однозначно

идентифицируются регистрируются в системе

ИНЦ.3 Своевременное информирование лиц, ответственных за

выявление инцидентов и реагирование на них, о

возникновении инцидентов в информационной системе

пользователями и администраторами

Реализовано в ViPNet TIAS настройкой оповещения заинтересованных лиц о произошедших

инцидентах по e-mail

ИНЦ.4 Анализ инцидентов, в том числе определение источников и

причин возникновения инцидентов, а также оценка их

последствий

ViPNet TIAS позволяет проводить полноценный анализ инцидентов предоставляя функции

полноценного поиска информации в исходных событиях (в т.ч. с использованием регулярных

выражений) а так же предоставлением образцов трафика и описания правил выявления событий

безопасности

ИНЦ. 5 Принятие мер по устранению последствий инцидентов ViPNet TIAS по каждому из выявленных инцидентов предоставляет рекомендации по

реагированию и устранению последствий

ИНЦ. 6 Планирование и принятие мер по предотвращению

повторного возникновения инцидентов

ViPNet TIAS позволяет строить отчеты по угрозам и инцидентам, на основании которых могут

планироваться мероприятия, направленные на предотвращение повторного возникновения

инцидентов


Меры по обеспечению безопасности для объекта КИИ (239 приказ)

VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.0

Разработка правил и

процедур (политик)

обнаружения вторжений

Для решения ViPNet базы решающих правил для выявления вторжений разрабатываются

лабораторией ЗАО Перспективный Мониторинг, имеющей лицензию ФСТЭК.

В ViPNet IDS NS и ViPNet IDS HS есть возможность написания собственных (пользовательских)

правил и политик

СОВ.1 Обнаружение вторженийВсе требования ФСТЭК к СОВ и ФСБ к СОА сетевого уровня и уровня узла закрываются ViPNet

IDS NS и ViPNet IDS HS и подтверждаются сертификатами ФСТЭК и ФСБ

СОВ.2Обновление базы

решающих правил

Автоматическое централизованное обновление БРП на всех сенсорах с помощью ViPNet IDS

MC

Приложение к Требованиям по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденным приказом ФСТЭК России от 25 декабря 2017 г. N 239


Меры по обеспечению безопасности для объекта КИИ (239 приказ)

XII. Реагирование на компьютерные инциденты (ИНЦ)ИНЦ.0 Разработка политики

реагирования на

компьютерные инциденты

Политики реагирования на компьютерные инциденты разрабатываются экспертами

компании ЗАО «Перспективный мониторинг» на основе анализа актуальных данных об

угрозах, уязвимостях, инструментов и техник проведения атак. В ViPNet TIAS происходит

выявление инцидентов и даются рекомендации по реагированию на нихИНЦ.1 Выявление компьютерных


Инциденты выявляются автоматически с помощью правил обнаружения инцидентов и

математической модели принятия решений. Инциденты однозначно идентифицируются и

регистрируются в системеИНЦ.2 Информирование о

компьютерных инцидентах

В ViPNet TIAS настройкой оповещения заинтересованных лиц о произошедших инцидентах по

e-mail либо передачей информации об инциденте во внешние системы. Есть возможность

настройки информирования в зависимости от критичности инцидента, его статуса а так же

контролируемого сегментаИНЦ.3 Анализ компьютерных


ViPNet TIAS позволяет проводить глубокий анализ компьютерных инцидентов, предоставляя

инструменты поиска и фильтрации данных в событиях, связанных с инцидентом, а так же

предоставляя образцы исходного трафика и описания правил выявления событий

безопасностиИНЦ.4 Устранение последствий

компьютерных


Карточка инцидента в ViPNet TIAS содержит информацию о пострадавших в результате

компьютерного инцидента активах, а так же рекомендации по устранению его последствий

Оказание услуг на базе решения


Решение для оказания услуг мониторинга

№ Наименование

оборудования

Технические и (или) функциональные характеристики

24. Средства управления

информацией об угрозах

безопасности информации

Автоматизированный сбор и анализ информации, поступающей из различных источников, об

угрозах безопасности информации.

Должны иметь формуляры, оформленные разработчиками (производителями) данных средств.


событиями безопасности

информации

Автоматизированный сбор, анализ и корреляция данных о событиях безопасности

информации, регистрируемых компонентами информационных систем, идентификация по

заданным индикаторам типовых инцидентов информационной безопасности и их

локализация.

Должны иметь сертификаты соответствия ФСТЭК России


инцидентами информационной

безопасности

Автоматизированная регистрация информации об инцидентах информационной безопасности

информационных систем, предоставление рекомендаций по реагированию на них,

формирование и модификация шаблонов инцидентов информационной безопасности, в том

числе рекомендаций по реагированию на них.

Должны иметь формуляры, оформленные разработчиками (производителями) данных средств.

Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79


ViPNet IDS HS agent

Management Console Клиент N

ViPNet IDS NS

ViPNet TIAS

ViPNet IDS MC

ViPNet IDS HS agent

Клиент 1

ViPNet IDS HS Server

ViPNet IDS NS

Инфраструктура сервис-провайдера

Сервисы на базе решения

Мастер подключения организации;

Активация и настойка сенсоров из IDS MC;

Мульти-арендный доступ к IDS MC;

Биллинг по организациям;

Подключение к ГосСОПКА

Общие документы, регулирующие деятельность ГосСОПКА

• Доктрина информационной безопасности РФ.

• Федеральный закон «О безопасности критической информационной инфраструктуры» 187-ФЗ.

• Федеральный закон «Об информации, информационных технологиях и о защите информации» 149-ФЗ.

• Стратегия развития информационного общества.

• Указ Президента N 31с о создании ГосСОПКА.

• Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации.

• Концепция ГосСОПКА.

Приказы ФСБ

• ПОЛОЖЕНИЕ о Национальном координационном центре по компьютерным инцидентам № 366 от 24.07.2018

• Перечень информации, предоставляемой в ГосСОПКА № 367 от 24.07.2018

• ПОРЯДОК обмена информацией о компьютерных инцидентах № 368 от 24.07.2018

• Порядок, технические условия установки и эксплуатации средств ГосСОПКА

• ПОРЯДОК информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятие мер ликвидации последствий

• ТРЕБОВАНИЯ к средствам обнаружения, предупреждения, ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты

Методические документы ФСБ

• Требования к подразделениям и должностным лицам субъекта ГосСОПКА

• Методические рекомендации по созданию ведомственных и корпоративных центров

• Типовой Регламент информационного взаимодействия

• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы

• Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов

• Методические рекомендации по проведению мероприятий по оценке степени защищённости от компьютерных атак

Структура ГосСОПКА

Перечень мероприятий класс А:• Взаимодействие с НКЦКИ

• Разработка регламентирующих документов

• Эксплуатация средств ГосСОПКА

• Прием сообщений об инцидентах

• Регистрация атак и инцидентов

• Анализ событий ИБ

• Инвентаризация

• Анализ угроз ИБ

• Составление и актуализация перечня угроз

• Выявление уязвимостей

• Подготовка предложений по повышению уровня защищенности

• Составление перечня инцидентов

• Ликвидация последствий

• Анализ результатов ликвидации последствий

• Расследование инцидентов

Перечень мероприятий класс Б:• Взаимодействие с НКЦКИ















Перечень мероприятий класс В:• Взаимодействие с НКЦКИ















Варианты подключения

• Заключить соглашение с 8Ц ФСБ России;

• Выполнить организационные и технические требования к центру ГосСОПКА;

• Обеспечить взаимодействие с технической инфраструктурой НКЦКИ;

• Заключить соглашение корпоративным центром;

• Уведомить НКЦКИ о включении своих информационных ресурсов в зону ответственности цента


Преимущества решения от ИнфоТеКС

Продукты и

техподдержка от

ИнфоТеКС

Экспертиза и сервисы

от Перспективного

мониторинга

Эффективно

работающее

решение!

Авторизованные курсы

от Учебного центра

ИнфоTеКС

Вопросы

Немного теорииyartfoms.ru/itconf/ppt/2 infotecs_itdp for foms.pdf ·...

Documents