Функции центров ГосСОПКА
Центр ГосСОПКА создается как структурное подразделение организации, ориентированное на решение определенного набора задач по противодействию компьютерным атакам. К таким задачам относятся:
- инвентаризация;
- выявление уязвимостей;
- анализ угроз;
- регистрация инцидентов;
- реагирование на инциденты;
- расследование инцидентов;
- анализ результатов реагирования на инцидент.
Выявление уязвимостей является, наверное, ключевым элементом противодействия атакам, и речь идет не только об устранении предпосылки для проведения атаки, использующей такую уязвимость. Не всякую уязвимость можно устранить в короткие сроки: иногда для этого требуется заменить уязвимые устройства, и таких устройств в инфраструктуре могут быть десятки тысяч. Знание уязвимости позволяет определить возможные способы ее использования нарушителем, следы, которые он при этом оставит, а главное — заранее спланировать действия по реагированию.
Выявление уязвимостей требует хорошего знания защищаемой инфраструктуры, и для этого требуется инвентаризация. Инвентаризация предусматривает сбор подробной технической информации о каждом сервере, каждом персональном компьютере и каждом телекоммуникационном устройстве в защищаемой инфраструктуре, включая определение моделей аппаратного обеспечения, состава установленных программных средств и установленных обновлений безопасности. Такая информация позволяет быстро реагировать на некоторые виды атак: например, при появлении публикаций о новом сетевом черве можно сразу же определить все узлы сети, потенциально подверженные такой атаке, и принять необходимые меры.
Анализ угроз также является необходимой составляющей подготовки к реагированию. Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой формальности, и многие актуальные угрозы при создании системы защиты не рассматриваются. Центр ГосСОПКА оценивает архитектуру и состав защищаемых информационных систем с позиций нападающей стороны и определяет, какие атаки могут быть проводиться на них при их текущем состоянии. Для этого используются как результаты выявления уязвимостей, так и опыт, накопленный в реагировании на атаки, проводившиеся ранее на другие информационные системы.
При реагировании на атаки центр ГосСОПКА сочетает в себе роли координатора и экспертной группы. Для атак, с которыми центру уже приходилось сталкиваться, разрабатываются сценарии реагирования (плейбуки), определяющие необходимые действия персонала по локализации атаки и ликвидации ее последствий. Если с атакой раньше сталкиваться не приходилось, центр формирует рабочую группу из представителей персонала защищаемой системы и своих экспертов, и решения вырабатываются непосредственно в процессе реагирования.
Не на каждую атаку удается отреагировать адекватно. Решения, принятые в спешке в случае неизвестной атаки, не всегда оказываются удачными, даже в случае известных атак готовые плейбуки не всегда оказываются адекватными. Поэтому после каждого реагирования проводится разбор полетов, по итогам которого принимаются решения о совершенствовании защиты информационных систем и работы собственно центра ГосСОПКА.
Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании на отдельный инцидент, но каждая такая неудача должна приводить к совершенствованию защиты.
Ключевская сопка
Что такое сопка, мы уже выяснили. Теперь предлагаем вам познакомиться с самыми знаменитыми сопками России.
Ключевская сопка – это действующий вулкан. Причем, самый активный во всей Евразии на сегодняшний день. Он расположен в центральной части полуострова Камчатки. Абсолютная высота Ключевской сопки составляет 4750 метров. Возраст вулкана – 7 000 лет.
Самое крупное из последних извержений Ключевской сопки началось осенью 2009 года и продолжалось вплоть до декабря 2010 года! В следующий раз вулкан проснулся в августе 2013 года. В кульминационную фазу извержения столб пепла, исходящий их жерла вулкана, достигал высоты в 12 км.
Сопки – что это такое?
Рельеф нашей планеты прекрасен в своем разнообразии. Каньоны, барханы, кары, овраги, лощины, фьорды, друмлины – вот далеко не полный перечень ее форм. Что такое сопка? И что общего она имеет с горой? Давайте разбираться.
Термин, вероятнее всего, происходит от старославянского «соп» – земляная насыпь (от этого же слова произошел русский глагол «сыпать»). Под сопкой подразумевается общее название невысоких гор и холмов, для которых характерны две ключевые особенности:
- Пологие, плавно очерченные склоны.
- Незначительная абсолютная высота (как правило, до 1000 метров).
Любопытно отметить, что в археологии у данного слова есть свое значение — это один из типов могильников.
Термин «сопка» наиболее распространен в следующих регионах:
- Дальний Восток России;
- Забайкалье;
- Кольский полуостров;
- Курильские острова;
- Крым;
- Кавказ.
Почему появилась ГосСОПКА
Как хакерам удается взламывать информационные системы? Наглядный ответ на этот вопрос дает хронология эпидемии WannaCry. 14 марта 2017 года Microsoft опубликовало обновление MS17-010, устраняющее удаленно эксплуатируемую уязвимость SMB, 14 апреля 2017 в публичный доступ был выложен эксплойт EternalBlue, использующий эту уязвимость, а 12 мая 2017 начал свое победоносное шествие сетевой червь, использующий этот эксплойт. Точно такую же картину мы увидим и в других известных эпидемиях: Conficker, MSBlast и т. п. Предотвратить эпидемию можно было простой установкой обновления, и это — элементарная мера защиты, которая понятна любому ИТ-специалисту. И тем не менее во многих корпоративных сетях установка обновлений не проводится.
Этот пример демонстрирует общую тенденцию: каждый опубликованный разбор инцидента и почти каждое тестирование на проникновение демонстрируют наличие в ИТ-инфраструктуре атакованной организации целый комплекс очевидных недостатков: типовые уязвимости веб-приложений, словарные пароли, отсутствие элементарной защиты от перехвата трафика в локальных сетях и т. п. Эти недостатки обнаруживаются практически в каждой организации, независимо от формы собственности, государственной или отраслевой принадлежности. Такие недостатки в равной степени присутствуют и в коммерческой компании, которая имеет полное право игнорировать проблемы собственной безопасности, и в органе власти, который теоретически должен добросовестно выполнять строгие требования ФСТЭК России в области безопасности информации.
Таким образом, если государство ставит перед собой задачу защитить от хакерских атак критически важные информационные системы, то при решении этих задач приходится учитывать несколько аксиом. Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему. На сегодняшний день нет эффективных способов избежать появления таких ошибок. Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия им. То есть всегда есть риск того, что в момент проведения атаки защищающаяся сторона окажется неспособна ей противодействовать из-за отсутствия необходимых знаний, опыта или технических средств. В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются крайне редко. В то же время для эффективного реагирования на такие атаки требуются люди с крайне редкими специальностями: реверсеры, вирусные аналитики, компьютерные криминалисты и т. п. Ни одна организация не может позволить себе держать в штате таких специалистов, если они востребованы только один-два раза в год.
Такая особенность предметной области диктует свой подход к решению проблемы. Если применяемые меры защиты не могут гарантированно предотвратить атаку, значит, одновременно с принятием превентивных мер необходимо готовиться к реагированию на такую атаку. Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.
Взаимодействие субъекта КИИ с ГосСОПКА
Путаница в понятии «субъект» («субъект КИИ» или «субъект ГосСОПКА») порождает путаницу в вопросах взаимодействия субъектов КИИ с ГосСОПКА.
Субъект КИИ обязан незамедлительно проинформировать об инциденте ФСБ, а точнее — НКЦКИ. Если субъект КИИ поднадзорен Банку России, то он обязан также проинформировать ФинЦЕРТ Банка России. На практике это означает следующее:
- Субъект КИИ может сообщить об инциденте в НКЦКИ любым из доступных способов: через интернет-портал НКЦКИ, письмом по электронной почте, телефонным звонком или официальным письмом.
- Субъект КИИ, являющийся субъектом ГосСОПКА (т. е. заключивший с ФСБ соглашение о подключении к инфраструктуре НКЦКИ), сообщает об инциденте с помощью специальных средств взаимодействия, напрямую подключающихся к инфраструктуре НКЦКИ.
- Субъект КИИ, поднадзорный Банку России, может сообщить об инциденте в ФинЦЕРТ, и оно будет передано в НКЦКИ.
- Субъект КИИ, обслуживаемый центром ГосСОПКА, может сообщить об инциденте в этот центр ГосСОПКА, и оно будет передано в НКЦКИ.
Таким образом, центры ГосСОПКА, обслуживая своих клиентов, выступают в роли посредников между субъектами КИИ и НКЦКИ.
Сопка и гора: в чем отличия?
Итак, мы уже немного разобрались, что такое сопка. В географии, к слову, нет четкого и однозначного определения этого термина. Более того, во многих странах мира такого слова никто и не знает! Чем же отличается сопка от обычной горы? Обратимся к этимологии.
У этих слов древнеславянское происхождение. Горами издревле обозначали на наших землях положительные формы рельефа, проще говоря – возвышенности. Не лишним будет упомянуть, что даже в древнеиндийском языке существовало слово giris со схожим значением. А что такое сопка? Если верить словарю Владимира Даля, это слово происходит от старославянского «соп». Наши предки называли так всевозможные насыпи или валы.
А теперь вернемся к современной науке географии, где гора – это вполне конкретное геоморфологическое понятие, обозначающее положительную форму рельефа с четко выраженными склонами, вершиной и подножием. А вот сопка – понятие более размытое и неконкретное. Так, на Забайкалье это обычные невысокие холмики, на Камчатке – вулканы, а в Крыму и на Кавказе – вулканы грязевые (специфические природные образования, которые извергают из себя грязевые потоки).
Выводы
Структура ГосСОПКА порождает своеобразное частно-государственное партнерство в вопросах противодействия компьютерным атакам. Угроза хакерских атак актуальна и для органов власти, и для бизнеса, но в сферах, определенных законом, они представляют особую опасность для общества. Самостоятельно защищаться от таких атак способны далеко не все. В рамках ГосСОПКА обеспечивается концентрация компетенций, необходимых для предотвращения атак и реагирования на них, и воспользоваться такими компетенциями могут как представители крупного бизнеса, так и небольшие компании и даже индивидуальные предприниматели. При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования к их деятельности, осуществляя надзор этой деятельностью и даже непосредственно участвуя в реагировании на некоторые атаки.
