Неделя, прошедшая под знаком CSIRT/CERT/CIRC

Неделя, прошедшая под знаком CSIRT/CERT/CIRC
Прошлая неделя у меня прошла под знаком CSIRT/CERT. Сначала я ездил в одну из стран СНГ и делал презентацию для национального CERTа. Потом мне попалась парочка презентаций о том, как устроены группы реагирования на инциденты в Cisco (CSIRT) и в НАТО (CIRC). Попутно почтовый ящик пополнился несколькими уведомлениями от FS-ISAC и IT-ISAC (обычно раз-два в неделю, а тут каждый день, а то и по паре раз на дню). И наконец, в АРБ прошло собрание по поводу заработавшего недавно при Банке России центра мониторинга и реагирования на атаки в кредитно-финансовой сфере FinCERT.

Пока никаких официальных документов и правил игры Банк России нигде не озвучивал, можно пофантазировать о том... нет, не о том, как будет работать FinCERT (это знает только Банк России), а о том, что хотелось бы увидеть от Банка России на выходе.

Если вспомнить, какие вообще сервисы может оказывать центр реагирования на инциденты, то список будет достаточно большой.

Сервисы CSIRT по версии Университета Карнеги-Меллона
Вспоминая, о чем неоднократно говорили представители Банка России на разных мероприятиях, можно предположить, что FinCERT будет в первую очередь уведомлять заинтересованные стороны об атаках, опираясь как на собственные данные, так и на данные, получаемые от банков, которые будут присылать в FinCERT информацию об инцидентах, которые у них происходили.

Высокоуровневая схема информационных потоков в сервисе уведомлений
И вот от того, как будет выстроен и как формализован данный сервис, зависит то, будут ли им пользоваться банки. Ведь сервис этот зависит именно от двухсторонней связи "Банк России - кредитные организации". Самостоятельно ЦБ не сможет в настоящий момент предоставлять сведения об инцидентах - он с ними почти не сталкивается, не работая с юрлицами и физлицами напрямую. Максимум, о чем он может сообщать - это об инцидентах на свой сайт и инфраструктуру, т.е. о технических атаках. Логические атаки на финансовые инструменты ЦБ может получать только извне - от самих банков. Есть, конечно, еще вариант, что такие сведения он может получать от других CERTов/CSIRTов, но от каких? От ГосСОПКИ?.. Маловероятно. Остаются только банки как поставщики информации.

Чтобы банки отдавали сведения в ЦБ (помимо 203-й формы, которая уходит в ДНПС), они должны иметь подробное описание предоставляемых FinCERT сервисов.


Что им может быть интересно? Я бы, на месте банка, хотел получить от FinCERTа ответы на следующие вопросы:

  • Есть ли четкий перечень информации интересной FinCERTу? Как она соотносится с 203-й формой отчетности?
  • Какие детали по каждой атаке нужны FinCERTу? IP/DNS-адреса? Имена файлов? Паспортные данные дропперов? Имена фирм-однодневок?
  • С какой частотой передавать данные?
  • Время работы FinCERT? 8х5 или 24х7? Если 8х5, то в каком часовом поясе находится FinCERT и как он будет взаимодействовать с банками в других часовых поясах?
  • Каким способом передавать данные? E-mail (с указанием единого адреса центра, а не отдельных его сотрудников), Web-сайт, телефон, KliKO, ПТК ПСД или еще что-то?
  • Каков формат передачи данных? Может быть есть уже проработанные формы/отчеты об инцидентах? При получении от FinCERT ответной реакции в виде уведомлений об атаках, хотелось бы иметь также унифицированный и заранее определенный формат получения данных, чтобы можно было легко автоматизировать процесс его подключения к собственным системам защиты, например, МСЭ, IDS, антифроду и т.п.
  • Как защищаются данные в процессе передачи и хранения в FinCERT?
  • Как гарантируется защита данных от передачи информации об инцидентах в СМИ?
  • Будет ли передаваться информация об инцидентах в надзор Банка России? А в МВД? А в ГосСОПКУ? При каких условиях и в каком объеме?
  • Кто от имени банка имеет право передавать данные об инцидентах?
  • Как подтверждается получение FinCERTом данных? Если требуется ответная реакция FinCERT, то есть ли SLA для нее?
  • Как хранятся полученные данные и кто имеет к ним доступ?
Без ответов на эти вопросы FinCERT может и не взлететь, как мне кажется. В отличие от 203-й формы передается достаточно чувствительная и детальная информация, утечка которой может серьезно повлиять на репутацию банка и его финансовые показатели. Поэтому банк должен быть не только уверен в том, что переданная им информация будет получена, обработана и не уйдет наружу, но и то, что на основе этой информации (а также информации от других банков) будет регулярно приходить обратная связь. Односторонняя связь, к сожалению, сводит на нет весь интерес взаимодействия с CERT/CSIRT. Могу это утверждать, имея опыт работы с нашим CSIRT и с IT-ISAC, в который входит Cisco и через который американские ИТ-компании обмениваются информацией об угрозах.

ЗЫ. Аналогичные вопросы, кстати, будут актуальны и для ГосСОПКИ, когда она заработает в полную силу.
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться