Рассуждая о том, какие в настоящее время существуют основные риски и угрозы в области информационной безопасности для государственных органов, невольно хочется сказать, что ничего не изменилось — как было три основных момента, на которые стоит обратить внимание, так и остаётся — это нарушение конфиденциальности, целостности и доступности.
Другими словами, если произойдёт утечка, данные будут изменены или недоступны. Однако в действительности это всего лишь «человеческий фактор», и опять ничего не меняется за столько лет. Проблема во многом складывается вследствие непонимания рисков (например, многие до сих пор не понимают, что у нас идёт кибервойна и бывшие хакеры стали кибервойсками; тем, кого раньше спецслужбы других стран помогали сажать, сейчас будут скорее давать медали), заканчивая банальной низкой квалификацией специалистов. Ну и последнее, естественно, связано с нехваткой кадров.
С ЧЕГО НАЧИНАТЬ?
Основные проблемы и слабые места в ИБ госсектора, на мой взгляд, связаны с бюджетированием и, как результат, сложноcтью оперативного влияния на современные угрозы. Также многие до сих пор думают, что если нет требований под конкретные решения, то их не нужно использовать. Сертификация — это правильно, но при этом новые решения, которые зачастую опережают рынок, практически не рассматриваются.
На фоне всего происходящего государственным органам следует адаптироваться к постоянно меняющемуся ландшафту киберугроз и обеспечить надёжную защиту своих информационных активов. Но как? На мой взгляд, первое, с чего стоит начинать, это повышение своей квалификации. Я не хочу никого обидеть, но за последние полгода я объехал полстраны и общался со специалистами разных уровней. Постараться изучать рынок — это второе. Покупка одного дорогого решения, которое закрывает только часть угроз или покупка большего количества за адекватные деньги? Третье — это взаимодействие с регуляторами, а также обмен опытом между собой. Ну и наконец — это независимый аудит. Большинство государственных органов сейчас проходят аудит от той же компании, которая потом внедряет решения, или от производителя, который потом рекомендует свои решения.
ПРО SOC
Как показала проектная практика, в эффективном обеспечении ИБ может помочь создание и развитие Security Operation Center (SOC). Но это всего лишь один из множества инструментов. Почему все так бегают вокруг него? Создали тренд и раскручивают, при этом многие заказчики не понимают, для чего это нужно и какие существуют риски. Это крайне важный инструмент, но далеко не основной. Мы про него постоянно говорим, но забываем, что во многих компаниях до сих пор нет банального антивируса, а такой компанией может быть даже госорганизация. Мы говорим про SOC, а у заказчика нет денег даже на специалиста, не говоря уже о построении собственного SOC или его аренде. SOC позволяет, самое главное, объединить в одно место все усилия и своевременно реагировать. Внешний или внутренний — это не столь принципиально, но нужно понять и учитывать несколько моментов. Первое — внешний исполняет договор (не все, но некоторые), а собственный строит защиту и защищает свою компанию; второе — что будет, если вы поругаетесь с внешним сервисом? Поэтому мы рекомендуем использовать гибридные схемы.
Часто задают вопросы об оценке важности SIEM и SOC с точки зрения ответственности перед регулятором, особенно в свете новой законодательной нормы об оборотных штрафах за утечку персональных данных. Штрафы всем безразличны. Лично я плохо представляю систему защиты без SIEM или SOC. Это ядро, мозг, если хотите. Законодательные требования просто усиливают эту потребность.
О ФУНКЦИЯХ И ВОЗМОЖНОСТЯХ
Если говорить об основных функциях и возможностях, которые предоставляет SOC для обнаружения, анализа и реагирования на киберугрозы в государственных информационных системах, то можно с уверенностью сказать, что благодаря развитию отечественных ИБ-продуктов, в том числе и SIEM-систем, таких как RuSIEM, способной работать в режиме мультитенанси в распределённых филиальных структурах и готовой стать сердцем любого SOC, в том числе и ведомственного, у заказчиков появляется большой выбор между различными поставщиками SOC, обладающими решениями, работающими на разных продуктах. Список SOC-центров растёт день ото дня, и нужно в первую очередь учитывать такие факторы, как наличие качественных, сертифицированных отечественных решений в составе, наличие квалифицированных кадров и большого опыта работы, что позволяет предоставить заказчику наработанную базу знаний и готовность оперативно и качественно реагировать на инциденты за счёт ранее полученного опыта.
О ТРЕБОВАНИЯХ РЕГУЛЯТОРА
Немаловажным становится определение факторов и критериев, которые государственные органы должны учитывать при выборе решения для управления киберинцидентами. В первую очередь при выборе решения по информационной безопасности госкомпании нужно отталкиваться от того, соответствует ли решение всем требованиям регулятора. Регулятор способствует росту киберзащищённости за счёт приобретения продуктов ИБ, о которых раньше заказчик не знал или не мог выделить необходимый бюджет. Ярким примером является в том числе и SIEM-система. Многие заказчики, приобретая продукты ИБ по требованию регулятора, в итоге приходят к тому, что данные продукты действительно полезны и необходимы в работе.
О НАШЕЙ SIEM-СИСТЕМЕ
Говоря о том, как наша SIEM-система обеспечивает анализ и корреляцию событий, связанных с информационной безопасностью, и как это помогает выявлять и предотвращать угрозы в реальном времени, важно отметить, что собираемые из различных источников события проходят несколько этапов обработки: приём, нормализацию, обогащение (симптоматику), сохранение и корреляцию. За каждый этап у нас отвечает отдельный микросервис. Попадая на последний микросервис, события прогоняются через коррелятор, анализируются, и в случае выполнения логики, заложенной в правилах корреляции, формируется карточка инцидента, внутри которой сохраняются все события, связанные с конкретным инцидентом. Из коробки мы умеем выявлять более 400 различных типов инцидентов, а благодаря графическому конструктору любой заказчик может в считаные минуты создать собственные правила корреляции, без необходимости дополнительного изучения каких-либо языков программирования. А благодаря дополнительным модулям система предоставляет ещё больше возможностей для выявления и реагирования на инциденты. Модуль аналитики за счёт выявления аномалий помогает заглянуть заказчику туда, где он не ожидал увидеть угрозы. Модуль индикаторов компрометации своевременно сообщает заказчику о случаях обращения или запросов от скомпрометированных ресурсов. Модуль мониторинга при этом позволяет контролировать происходящее в ИТ-инфраструктуре заказчика и своевременно реагировать на возникающие триггеры, что позволяет контролировать бизнес-критические сервера и приложения в инфраструктуре заказчика, в том числе и связанные с ИБ-деятельностью.
О МОНИТОРИНГЕ И АНАЛИЗЕ
Стоит отметить также возможности, которые предоставляет RuSIEM для мониторинга и анализа сетевого трафика, и какие преимущества это даёт при обнаружении и предотвращении кибератак. На текущий момент мы уже поддерживаем большое количество различных типов источников — более 350, и этот список мы постоянно расширяем. Мы работаем с различными производителями ПО, СКУД и сетевого оборудования, умеем анализировать Netflow, и, безусловно, это расширяет возможности наших заказчиков по выявлению и расследованию инцидентов.
О ВЗАИМОДЕЙСТВИИ С ГОССОПКА
SIEM-система RuSIEM также может взаимодействовать с Государственной системой обнаружения, предупреждения и реагирования на компьютерные атаки (ГосСОПКА). Более того, у нас из коробки предусмотрена двухсторонняя интеграция с ГосСОПКА. В случае выявления инцидентов на объектах КИИ автоматически формируется карточка инцидента с указанием всех необходимых полей (типа инцидента, времени регистрации, критичности инцидента и ряда других полей). Отправка уведомления в НКЦКИ осуществляется непосредственно из веб-интерфейса RuSIEM в один клик. Более того, мы умеем не только отправлять уведомления, но и получать бюллетени от НКЦКИ. Таким образом, мы предлагаем уже полностью готовый и удобный инструмент для взаимодействия с ГосСОПКА.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных