Тенденции последних лет в целом показывают, что даже защищенные организации и объекты критической информационной инфраструктуры (КИИ) уязвимы перед кибератаками. Вспомните нашумевший вирус-шифровальщик WannaCry, который поразил более полумиллиона компьютеров за короткое время, нарушив работу ряда крупнейших компаний в более чем 70 странах. Теперь тема безопасности КИИ регулируется государством, поэтому организациям необходимо не только нейтрализовать возможности злоумышленников, но и соответствовать действующему законодательству. Задача сложная, но решаемая.
В 2013 г. президент Владимир Путин поручил создать систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на ИТ-ресурсы. Позже был выпущен закон N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Он предназначен для регулирования деятельности по обеспечению безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для стабильного развития государства. Такие объекты в законе называются объектами критической информационной инфраструктуры (КИИ). К объектам КИИ могут быть отнесены информационные системы и сети, а также автоматизированные системы управления, функционирующие .
Эксперты по информационной безопасности из компании Positive Technologies разработали , чтобы максимально упростить для любого субъекта КИИ весь процесс выполнения требований по защите КИИ. Если коротко, то для выполнения требований № 187-ФЗ субъектам КИИ, у которых есть значимые объекты, необходимо создать систему безопасности и взаимодействовать с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). Состав технических и организационных мер по обеспечению безопасности значимого объекта КИИ определен в приказе ФСТЭК России № 239. Согласно ему, в частности, субъектам КИИ необходимо проводить аудит безопасности, обеспечивать антивирусную защиту, предотвращать вторжения, реагировать на инциденты ИБ. Для реализации требований используются средства ИБ различных классов: начиная со средств защиты от несанкционированного доступа и антивирусов и заканчивая решениями, позволяющими осуществлять мониторинг, выявлять инциденты и реагировать на них.
От кого защищаемся?
По данным Positive Technologies, во втором квартале 2018 года государственные учреждения занимали среди наиболее атакуемых объектов. Эксперты компании утверждают, что такие организации продолжают оставаться излюбленной мишенью для киберпреступников. Злоумышленников в первую очередь интересует коммерческая тайна целевых организаций, однако специалисты компании заметили учащение случаев атак на сотрудников и слежки за ними. Так, , в процессе атаки, злоумышленники от лица молодых девушек в социальных сетях убеждали жертв установить зараженный мессенджер Dardesh из Google Play. После этого киберпреступники могли тайно следить за жертвами, в том числе записывать аудио и копировать данные.
Решение 5-в-1
Чтобы система безопасности объекта КИИ на практике эффективно выполняла свою задачу, требуется интеграция средств защиты и мониторинга и максимальная автоматизация процессов информационной безопасности. Это позволит службе ИБ сконцентрироваться на главном: выявлять атаки до того, как они нанесут серьезный ущерб, и постоянно повышать уровень защищенности системы.
Требования к системе безопасности позволяют определить набор необходимых средств защиты, которые могут обеспечить выполнение основных задач в области ИБ, в том числе аудит, антивирусную защиту, обнаружение вторжений, анализ сетевого трафика, выявление инцидентов и реагирование на них. Эксперты из Positive Technologies сформировали полноценную технологическую платформу — PT Platform 187, которая позволит реализовать основные функции безопасности значимых объектов КИИ.
Ядром платформы является система управления событиями ИБ и выявления инцидентов в режиме реального времени MaxPatrol SIEM. Она в том числе получает информацию из других технических средств, развернутых на платформе: системы контроля защищенности и соответствия стандартам безопасности MaxPatrol 8, системы многоуровневой защиты от вредоносного программного обеспечения PT MultiScanner, решения для выявления следов компрометации в сетевом трафике PT Network Attack Discovery. Для автоматизированного взаимодействия с НКЦКИ и управления инцидентами в состав платформы включен продукт «ПТ Ведомственный центр». Все эти продукты разработаны на единой платформе и интегрированы между собой. Это максимально снижает ручное вмешательство администратора безопасности.
Первым в РФ опытом внедрения комплекса PT Platform 187 стало создание регионального центра безопасности на базе Калининградского государственного научно-исследовательского центра информационной и технической безопасности (КГ НИЦ). Задача центра — помогать органам государственной власти Калининградской области в вопросах защиты объектов КИИ.Использование PT Platform 187 позволило КГ НИЦ за месяц запустить центр безопасности и начать выполнение требований законодательства. К решению были подключены информационные системы министерств в сферах науки, здравоохранения, промышленности. Теперь КГ НИЦ отслеживает события ИБ в подключенных системах и выявляет атаки.
PT Platform 187 подходит организациям с небольшой инфраструктурой и территориальным подразделениям крупных организаций. Поскольку платформа — это один сервер, на котором развернуты 5 продуктов, есть и ряд технических ограничений. Главное из них — количество сетевых устройств, включаемых в мониторинг ИБ: их должно быть не более 250. В случае крупной распределенной инфраструктуры, можно выделить в ней сегменты с объектами КИИ, подходящими под критерий, и использовать PT Platform 187 в определенных границах.
Если в организации более 250 сетевых устройств, относящихся к объекту КИИ, и объектов КИИ больше одного, правильнее создавать систему защиты на enterprise-версиях продуктов, которые позволяют выстроить распределенную систему защиты и консолидировать все данные об инфраструктуре в одном месте для централизации контроля.
