2-го июля ФСТЭК выпустила информационное сообщение про вредоносные программы Petya и WannaCry и способы борьбы с ними. Закрою глаза на то, что рекомендации ФСТЭК вышли спустя полтора месяца с момента WannaCry и пару недель с момента Petya/Nyetya. Все-таки у ФСТЭК нет задачи оперативного оповещения о компьютерных атаках и способах им противодействия - это задача ГосСОПКИ и она с ней справляется, пусть пока и для избранных, подключенных ведомств или иных организаций, например, в рамках Кубка Конфедерации. Да и процедура согласования любых официальных коммуникаций у госорганов со своими юристами дело небыстрое. Учитывая, что ряд госорганов, за безопасность которых и отвечает ФСТЭК, столкнулись с заражениями своих компьютеров, регулятор не смог остаться в стороне (хотя, наверное, мог) и выпустил “рекомендации”, в которых, если их уложить в одну фразу, указал, что 17/21/31-й приказы содержали защитные меры для борьбы с WannaCry и Nyetya и их реализация помогла бы предотвратить эпидемии. Отчасти конечно это так, но…
Во-первых, часть из описанных в сообщении мер (кстати, в нем было бы правильно указать коды этих мер) была включена в базовый набор только для 1-го и 2-го классов защищенности ГИС, а для 3-го и 4-го (хотя последних в природе, по словам ФСТЭК, почти не существует) эти меры не входили в состав рекомендованных (например, ОЦЛ.4, ОДТ.2, ОДТ.4, ОДТ.5, ЗИС.17, ЗИС.23 и СОВ.1). Тоже самое с ИСПДн и АСУ ТП - далеко не для всех классов/уровней защищенности рекомендованные меры были рекомендованы. А учитывая классическое стремление многих заказчиков к занижению классов и уровней защищенности, число тех, кто мог попасть под раздачу могло оказаться вполне большим, даже несмотря на реализацию приказов ФСТЭК.
Во-вторых, как показали обе эпидемии, традиционные антивирусы не могли оперативно обнаруживать данные вредоносные программы (очень хорошо это было видно на VirusTotal, где в первые часы после начала эпидемий только 5-7 антивирусов обнаруживали данные угрозы). ФСТЭК в своем сообщении правильно пишет, что нужны не простые антивирусы, а имеющие функцию эвристики. И тут мы натыкаемся на несколько тонких нюансов. Во-первых, ни в 17-м приказе (а также 21-м и 31-м), ни в методичке к нему, про эвристику не сказано ни слова, и в целях экономии и так небольшого бюджета на защиту информации заказчики могут применять обычные бесплатные антивирусы без какой-либо эвристики (в данном случае речь идет о реальном механизме, а не маркетинговых заявлениях). Во-вторых, эвристика включена далеко не всегда (отжирает системных ресурсов она не мало). В-третьих, системы класса STAP или EDR или EVC, которые заточены на борьбу именно с такими угрозами (я проверял на нашем Cisco AMP for Endpoints), часто не сертифицированы в ФСТЭК, так как непонятно, по каким требованиям проводить оценку соответствия - базы решающих правил у таких решений нет вовсе. В-четвертых, я пробежался глазами по требованиям к 4-му классу антивирусных средств типа “В” (для автоматизированных рабочих мест) и также не нашел в них ни слова про эвристику или иные, отличные от сигнатурных, методы обнаружения вредоносных программ, а значит при сертификации их могут и не проверять вовсе.
Кстати, еще один нюанс. В информационном сообщении ФСТЭК от 30 июля 2012 г. N 240/24/3095 говорится, что для применения в ГИС могут применяться только антивирусы 4-го класса защиты (не ниже), а в том же 17-м приказе еще недавно, до принятия 27-го приказа, говорилось, что для ГИС 4-го класса возможно применение антивирусов 5-го класса защиты. Теперь же, после принятия 27-го приказа, 17-й приказ допускает применение антивирусов 5-го класса защиты для ГИС 2-го класса защищенности и антивирусов 6-го класса для ГИС 3-го класса соответственно. Понятно, что руководствоваться надо 17-м приказом, а не информационным сообщением, но нестыковка требований налицо. Схожая проблема была с информационным сообщением про межсетевые экраны и 1-е декабря 2016-го года, что потребовало выпуска еще одного информационного сообщения.
В-третьих, среди упомянутых защитных мер не упомянуты ни управление потоками, например, анализ Netflow с сетевого оборудования (УПД.3), ни применение СЗИ от НСД для блокирования запуска того же psexec.exe (УПД.1, УПД.2, УПД.4, УПД.5, ЗИС.1), используемого в эпидемии Nyetya? А где упоминание контроля удаленного доступа к средствам административного управления WMI (УПД.13, ЗИС.23), внутренней сегментации сети (ЗИС.6, ЗИС.17), взаимодействия с Tor (ЗИС.16)?
Очень непривычно выглядит ссылка ФСТЭК на уязвимости, классифицированные в соответствие с Банком данных угроз и уязвимостей (БДУ). Обычно все вендоры ссылаются на CVE. Интересно, что ГосСОПКА в своих рекомендациях тоже использует международную классификацию CVE, “забывая” про отечественную БДУ (можно было бы и в скобках указать соответствующие коды). Добавлю, что рекомендации ГосСОПКИ по борьбе с Petya/Nyetya отличаются от рекомендаций ФСТЭК.
Вот такое у меня впечатление от последнего информационного сообщения ФСТЭК. Вроде и нужное дело, но есть какая-то недосказанность и неполнота. Вообще, информационные сообщения ФСТЭК несмотря на всю их полезность часто неполны или вызывают у многих читателей двойственность толкования при прочтении. Например, информационное сообщение по согласованию моделей угроз. Из него, например, непонятно, надо ли согласовывать модели угроз для уже введенных или модернизируемых ГИС? А надо ли согласовывать частные модели угроз при наличии общей? А еще, будь я на месте ФСТЭК, я бы в это сообщение вставил бы список типовых ошибок при составлении моделей угроз. Он же у ФСТЭК есть и его даже представляли на одной из конференций - логично было бы его поместить сюда.
Учитывая, что ФСТЭК активно стал публиковать разъяснения тех или иных вопросов именно в виде информационных сообщений, стоило бы внедрить у себя на сайте форму для отправки запросов по каким-либо темам (из широкого набора предопределенных вариантов, чтобы было проще сортировать) с последующей публикацией ответов в виде информационного письма (возможно, с предварительным обсуждением проекта письма с экспертами). Это бы сделало работу регулятора более полезной и эффективной.
Во-первых, часть из описанных в сообщении мер (кстати, в нем было бы правильно указать коды этих мер) была включена в базовый набор только для 1-го и 2-го классов защищенности ГИС, а для 3-го и 4-го (хотя последних в природе, по словам ФСТЭК, почти не существует) эти меры не входили в состав рекомендованных (например, ОЦЛ.4, ОДТ.2, ОДТ.4, ОДТ.5, ЗИС.17, ЗИС.23 и СОВ.1). Тоже самое с ИСПДн и АСУ ТП - далеко не для всех классов/уровней защищенности рекомендованные меры были рекомендованы. А учитывая классическое стремление многих заказчиков к занижению классов и уровней защищенности, число тех, кто мог попасть под раздачу могло оказаться вполне большим, даже несмотря на реализацию приказов ФСТЭК.
Во-вторых, как показали обе эпидемии, традиционные антивирусы не могли оперативно обнаруживать данные вредоносные программы (очень хорошо это было видно на VirusTotal, где в первые часы после начала эпидемий только 5-7 антивирусов обнаруживали данные угрозы). ФСТЭК в своем сообщении правильно пишет, что нужны не простые антивирусы, а имеющие функцию эвристики. И тут мы натыкаемся на несколько тонких нюансов. Во-первых, ни в 17-м приказе (а также 21-м и 31-м), ни в методичке к нему, про эвристику не сказано ни слова, и в целях экономии и так небольшого бюджета на защиту информации заказчики могут применять обычные бесплатные антивирусы без какой-либо эвристики (в данном случае речь идет о реальном механизме, а не маркетинговых заявлениях). Во-вторых, эвристика включена далеко не всегда (отжирает системных ресурсов она не мало). В-третьих, системы класса STAP или EDR или EVC, которые заточены на борьбу именно с такими угрозами (я проверял на нашем Cisco AMP for Endpoints), часто не сертифицированы в ФСТЭК, так как непонятно, по каким требованиям проводить оценку соответствия - базы решающих правил у таких решений нет вовсе. В-четвертых, я пробежался глазами по требованиям к 4-му классу антивирусных средств типа “В” (для автоматизированных рабочих мест) и также не нашел в них ни слова про эвристику или иные, отличные от сигнатурных, методы обнаружения вредоносных программ, а значит при сертификации их могут и не проверять вовсе.
Кстати, еще один нюанс. В информационном сообщении ФСТЭК от 30 июля 2012 г. N 240/24/3095 говорится, что для применения в ГИС могут применяться только антивирусы 4-го класса защиты (не ниже), а в том же 17-м приказе еще недавно, до принятия 27-го приказа, говорилось, что для ГИС 4-го класса возможно применение антивирусов 5-го класса защиты. Теперь же, после принятия 27-го приказа, 17-й приказ допускает применение антивирусов 5-го класса защиты для ГИС 2-го класса защищенности и антивирусов 6-го класса для ГИС 3-го класса соответственно. Понятно, что руководствоваться надо 17-м приказом, а не информационным сообщением, но нестыковка требований налицо. Схожая проблема была с информационным сообщением про межсетевые экраны и 1-е декабря 2016-го года, что потребовало выпуска еще одного информационного сообщения.
В-третьих, среди упомянутых защитных мер не упомянуты ни управление потоками, например, анализ Netflow с сетевого оборудования (УПД.3), ни применение СЗИ от НСД для блокирования запуска того же psexec.exe (УПД.1, УПД.2, УПД.4, УПД.5, ЗИС.1), используемого в эпидемии Nyetya? А где упоминание контроля удаленного доступа к средствам административного управления WMI (УПД.13, ЗИС.23), внутренней сегментации сети (ЗИС.6, ЗИС.17), взаимодействия с Tor (ЗИС.16)?
Очень непривычно выглядит ссылка ФСТЭК на уязвимости, классифицированные в соответствие с Банком данных угроз и уязвимостей (БДУ). Обычно все вендоры ссылаются на CVE. Интересно, что ГосСОПКА в своих рекомендациях тоже использует международную классификацию CVE, “забывая” про отечественную БДУ (можно было бы и в скобках указать соответствующие коды). Добавлю, что рекомендации ГосСОПКИ по борьбе с Petya/Nyetya отличаются от рекомендаций ФСТЭК.
Вот такое у меня впечатление от последнего информационного сообщения ФСТЭК. Вроде и нужное дело, но есть какая-то недосказанность и неполнота. Вообще, информационные сообщения ФСТЭК несмотря на всю их полезность часто неполны или вызывают у многих читателей двойственность толкования при прочтении. Например, информационное сообщение по согласованию моделей угроз. Из него, например, непонятно, надо ли согласовывать модели угроз для уже введенных или модернизируемых ГИС? А надо ли согласовывать частные модели угроз при наличии общей? А еще, будь я на месте ФСТЭК, я бы в это сообщение вставил бы список типовых ошибок при составлении моделей угроз. Он же у ФСТЭК есть и его даже представляли на одной из конференций - логично было бы его поместить сюда.
Учитывая, что ФСТЭК активно стал публиковать разъяснения тех или иных вопросов именно в виде информационных сообщений, стоило бы внедрить у себя на сайте форму для отправки запросов по каким-либо темам (из широкого набора предопределенных вариантов, чтобы было проще сортировать) с последующей публикацией ответов в виде информационного письма (возможно, с предварительным обсуждением проекта письма с экспертами). Это бы сделало работу регулятора более полезной и эффективной.
