При проектировании систем безопасности для субъектов критической информационной инфраструктуры нередко встает вопрос о достаточности или избыточности, а также эффективности подсистем безопасности в том или ином проекте, поскольку, как говорил мой коллега в статье : «Зачастую построение дополнительных эшелонов информационной безопасности не даёт эффективного прироста уровня защищённости. К тому же стоимость средств обеспечения информационной безопасности возрастает от года к году».
Как бы прискорбно это ни звучало, многие субъекты КИИ до сих пор не воспринимают киберугрозы как реальную опасность, а деньги, которые необходимо расходовать на средства защиты информации, считают необоснованной тратой. Однако не для каждого объекта КИИ требуются большие инвестиции в систему безопасности: к примеру, для локальных систем можно реализовать только базовый набор мер защиты информации (строгая работа по регламентам и минимальные траты на СЗИ).
Этапы построения системы безопасности
Как показывает практика, цикл построения системы безопасности с нуля, если не форсировать события, занимает от трех до пяти лет. При этом нужно учитывать количество и уровень квалификации ИТ- и ИБ-специалистов, а также сложность инфраструктуры. К счастью, фактор взаимоотношения подразделений ИТ и ИБ всё чаще исключается из этого сложного уравнения.
При разработке технического проекта и при дальнейшем формировании дорожной карты построение системы безопасности можно разделить на три этапа:
1. Реализация базовых потребностей информационной безопасности.
2. Решение точечных задач, основанных на потребностях бизнес-процессов и требованиях субъекта КИИ.
3. Построение своего SOC.
1 этап. В состав базовой системы информационной безопасности входят следующие подсистемы:
· НСД и двухфакторная аутентификация;
· Антивирусная защита;
· Защита периметра сети (NGFW, потоковый антивирус, CКЗИ, балансировка каналов связи, анализ приложений, Proxy, IPS);
· Подсистемы анализа уязвимостей.
Этот состав СЗИ всем давно известен, поскольку базовые требования защиты были сформированы еще в первом десятилетии 2000-х годов, а впоследствии стали широко известны благодаря первой редакции НПА «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержденный приказом ФСТЭК России от 18 февраля 2013 г. № 21) и «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утвержденный приказом ФСТЭК России от 11 февраля 2013 г. № 17).
Реализация базовых потребностей информационной безопасности является основополагающим и трудоемким этапом. И дело не столько в сложности интеграции подсистем, сколько в формировании конкретных требований к функционалу СЗИ и подсистем безопасности (правилам и политикам фильтрации, формированию ролевых политик доступа (разграничение прав), правилам и периодичности сканирования сети (формирование расписания) и т.д.) и в формировании внутри организации понимания о необходимости и важности выполнения этих требований.
После ввода в эксплуатацию первого эшелона защиты необходимо осознавать следующее:
- За внедренной системой безопасности нужно следить.
- Для сопровождения системы нужны обученные специалисты.
- Для оптимизации системы потребуется время.
2 этап. Как правило, при проектировании в ТП пишут все СЗИ. Чтобы система безопасности не «давила на кошелек» собственника всем своим «весом», готовятся дорожные карты (определяется этапность внедрения СЗИ, формируются бюджеты каждого этапа).
У каждого Заказчика свои точечные задачи, которые необходимо решить на втором этапе проекта. И пул решений для их решения огромен:
· NTA (системы анализа сети, расследование инцидентов, предотвращение вторжений);
· Почтовый антиспам и антивирус;
· «Песочница»;
· DLP (контроль пользователей и утечек);
· PAM (контроль привилегированных пользователей);
· Навязывание ложных целей, точное выявлений угроз (HoneyPot и Deception);
· Защита баз данных;
· Виртуализация с функциями безопасности;
· Мультифакторная аутентификация;
· EDR и т.д.
Кейсы и наша экспертиза
Одна из классических задач, с которой мы сталкиваемся в проектах, – организация безопасной связи сегментов АСУ ТП с корпоративной сетью. Для ее реализации мы стараемся организовать DMZ и применяем средства межсетевого экранирования.
Также немаловажной задачей в таких проектах является контроль за действиями пользователей, имеющих привилегированный (административный) доступ, поскольку сотрудники, обладающие расширенными правами доступа, могут создать угрозу информационной безопасности компании. К тому же, зачастую (особенно с переходом на удаленный режим работы) подрядчики требуют удаленный доступ для сопровождения и администрирования систем. В этой связи, к примеру, в сетях АСУ ТП мы применяем PAM-системы для контроля подрядчиков и администраторов.
Основной задач в организации безопасности систем АСУ ТП является анализ и мониторинг технологического трафика. Для этого мы используем продукты класса NTA для промышленных сетей (например, PT ISIM). Данный класс решений не оказывает влияния на технологический процесс, сетевую инфраструктуру и промышленное оборудование, поскольку подключается однонаправленным способом (через SPAN), физически исключающим какое-либо воздействие. PT ISIM использует для анализа копию трафика технологической сети, детектирует события кибербезопасности и выявляет связи между ними. В режиме SPAN двунаправленная передача пакетов исключена – порт зеркалирования не обрабатывает приходящий на него трафик, а PT ISIM не отправляет пакеты с портов, на которые принимает перколированный трафик. Применение данной технологии исключает возможность негативного влияния NTA на технологический трафик и упрощает технологию внедрения.
Зачастую при формировании требований к защите конечных точек мы сталкиваемся с ситуацией, когда производители ПО для систем АСУ ТП не рекомендуют применять средства антивирусной защиты, которые не были проверены на совместимость с их ПО. В этом случае история «про безопасность» превращается в «маркетинговую» историю, ведь САВЗ, которые имеют гарантийные письмо о совместимости, в разы отличаются по стоимости от аналогов, которые их не имеют. Такие истории встречаются даже в рамках одного производителя. На практике же разницы между «классическим» антивирусом и антивирусом для АРМ АСУ ТП нет.
3 этап. На третьем этапе (построение своего SOC) мы выделяем следующие задачи:
· Внедрение системы мониторинга и корреляция событий безопасности (SIEM).
· Работа с сотрудниками компании (обучение и повышение осведомленности).
· Киберучения.
Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять управление инцидентами и событиями безопасности в близком к реальному времени режиме.
Обучение и повышение осведомленности в сфере ИБ является трудоемкой работой по минимизации рисков.
Киберучения направлены на выявление брешей и повышение уровня информационной безопасности.
Выводы
Формирование требований к системе безопасности и ее построение для каждого субъекта критической информационной инфраструктуры индивидуальны. Базовый набор мер защиты информации не в полной мере реализует требования реальной безопасности, он является лишь основой для построения эффективного комплекса противодействия киберугрозам. Есть типовые состав и комплекс мер, которые можно использовать в проектах, но их сочетание дает множество вариантов системы защиты. Задача проектов по системе безопасности заключается в организации и формировании выстроенного процесса безопасности, а не в приобретении разрозненных решений.
Технологии безопасности «в куче»
Выстроенные процессы безопасности
Также немаловажным вопросом являются кадры: если нет квалифицированных специалистов, построенная система безопасности не будет эффективной. Для минимизации угроз, связанных с низкой квалификацией сотрудников, необходимо организовывать мероприятия, направленные на повышение осведомленности пользователей.
