如果您在第187-FZ号法案(“关于俄罗斯联邦关键信息基础设施的安全性”)下的公司工作,则无需解释GosSOPKA是什么以及为什么需要它。 对于其余部分,我们将进行解释:GosSOPKA代表用于检测,预防和消除计算机攻击后果的国家系统。 从结构上讲,它是一个单一的地理分布的复合体,具有各种规模的中心,可以交换有关网络攻击的信息。 需要这些中心来创建拥有关键信息基础结构对象的所有公司(此类公司称为CII的主体)。 这项大规模政府计划的目标是在该国最重要的组织之间建立有关正在进行的网络攻击的信息交换系统,从而提供预防性保护的可能性。
长期以来,FSB制定了定义GosSOPKA中心运作原理以及与上级中心互动的主要文件,即“ GosSOPKA中心的建立和运作的方法论建议”。 我们之前曾
审阅过此文档,并指出他关注的主要重点是构建GosSOPKA主题的事件管理和安全控制的流程。 但与此同时,这种方法为GosSOPKA中心应解决多少任务以及为此需要哪些特定工具的不同解释留下了足够大的空间。 最近,“对旨在检测,预防和消除计算机攻击后果并响应计算机事件的工具的要求。” 让我们尝试弄清楚监管机构对自己建立GosSOPKA中心的公司的期望,并对此问题进行调查。
中心交互层次已经有尝试仅在IDS系统上构建GosSOPKA中心的尝试。 市场上也有一些供应商将IDS或SOA定位为该问题的通用解决方案。 KII主题有很多关于SIEM系统的功能和要求的问题,许多公司认为这几乎是创建GosSOPKA中心所需的唯一工具。
现在,随着文件“对旨在检测,预防和消除计算机攻击的后果以及对计算机事件做出响应的工具的要求”的出现,有关监管机构对中心工具的实际要求出现了第一个明确的概念。
该文档概述了GosSOPKA中心的五个主要子系统:
- 检测工具
- 警告手段
- 清算工具
- 解密工具(PACA)
- 信息交流工具
- 通信渠道的密码保护手段
让我们尝试依次检查每个项目。 我们会立即做出保留,因为我们不考虑产品的“正统”问题和替代进口的需求,我们将专注于技术方面。
检测工具,但不是SOA。 四个字母
我们认为,从解决有关可以使用的方法的争议的角度来看,该项目是最重要的项目之一,因为正在进行的讨论“您需要SIEM,还是SOA的子系统足够多”,并且不会消退。
让我们更详细地阅读该文档:
首先,我们正在讨论一种收集信息安全事件的工具。 不是事件(防护设备工作的结果),不是原始交通或其副本,即事件。 这给了我们一个相当透明的提示,即我们需要日志处理功能。
本段的注释还提供了应该引起这些事件的相当详细和广泛的潜在来源清单。 该列表不仅包括传统的保护手段(防火墙,SOA,防病毒),还包括基础结构源(网络设备和操作系统),以及网络设备的应用程序管理系统,服务质量监控系统等。
我们认为,所有这些以及功能需求中提到的“事件的关联和聚合”一词,都非常准确地将物料的目标技术定义为
SIEM平台 。
这完全遵循了先前发布的方法学建议,因为为了完全检测“未经授权的访问”,“密码猜测”和“恶意软件”类别的计算机事件,一种有效的保护手段是不够的。
以SIEM销售的平台是否同样适用? 我们认为没有,因为在文本中至少指出了两个相当重要的要求:
- 该检测系统不仅应关联并检测事件,还应保存其处理结果和“有关IS事件的信息,包括其原始形式”。 考虑到上述来源列表以及建议的存储深度(至少6个月),我们正在讨论具有高级日志管理功能并愿意处理非常重要的事件流的成熟平台。 这大大减少了潜在选项的列表。
- 检测系统应具有“对各种信息安全事件源的内置支持,并具有开发可从新的信息安全事件源提供信息的附加模块的能力”,即具有快速完善连接源的列表和组成的能力。 这对开发这种连接方法(在SIEM s语-连接器中)的开放API的可用性或快速从供应商处获得这种改进的能力提出了要求。
总的来说,这些要求表明调节器对检测系统功能的态度非常认真。 我认为,他们间接地表明,方法建议的正式执行(例如“恶意软件事件可以被网络流量捕获,我们不需要防病毒软件”或“我们只需要连接两个源即可满足要求”)不太可能具有正确的选择。生存。 需要对威胁模型进行认真研究,并建立监控方案。
警告或盘点
下一部分-警告手段-就术语和方法而言,对于安全防护人员而言更加接近并且更易于理解。 以下功能分配给警告装置:
- 具有存储和补充信息功能的基础结构资产清单。
- 收集和评估有关信息资源漏洞的信息。
- 收集和评估有关信息资源缺陷(在我们的阅读中-配置错误)的信息。
所描述的功能列表通常由“漏洞扫描程序”类的软件产品或安全扫描程序实现。 似乎不明显的名称“警告系统”具有非常正确的逻辑:如果您没有关于基础设施的状况,所用节点,软件或资产的过程漏洞的完整信息,就不可能阻止潜在的攻击媒介并识别基础设施的薄弱环节。
尽管看起来很简单,但是管理资产和漏洞的任务却充满了很多陷阱。 但是,对这些细节的讨论不是当前材料的一部分,并且可能会出现在我们将来的文章中。 我只想指出,几乎所有公司都配备了解决问题所需的工具,因为类似的要求已经出现在FSTEC的不同命令和命令中,甚至在个人数据法律中也是如此。 关键任务是“复兴”现有工具并在现实中而不是在纸面上启动流程。
消除为协作消除
在这里,产品名称及其要求都得到了意想不到的解释。 作为一种消除方法,我们提供了一个功能与事件管理平台接近的解决方案,该解决方案在IT世界中称为服务台,而IS则自豪地指代事件响应平台(尽管IRP也具有专门的功能)。 实际上,子系统的主要任务是:
- 具有编辑和补充事件卡功能的事件注册。
- 通过在负责人和单位之间转移事件来管理其生命周期的能力。
- 具有根据SCCC批准的格式收集最终事故卡的能力。
基于此,还建立了功能与系统名称的对应关系。 事件的清算主要需要公司不同部门的互动,并且在这种情况下,管理清算流程,控制其时间安排和完整性至关重要。 因此,负责此过程的GosSOPKA中心应具有适当的工具。
为市场上的IS任务专门创建的解决方案和技术的选择仍然非常有限。 但是该文档并未包含对通用IT系统(以标准或单独设计)用于此目的的直接限制,并对IS任务进行了一些修改。 通常,服务台系统是一个易于定制的构造函数,因此修订应该不会很困难。
中心其他设施
PACA子系统的功能和任务主要旨在以实时模式分析网络流量(以检测攻击或未经授权访问网络设备的企图),并记录和存储网络流量,以备将来追溯使用事件分析或事件调查。 这些要求从根本上来说并不是新的。 自2010年以来,作为FSTEC和FSB联合
命令的一部分,记录网络流量的任务已由国家信息系统的所有所有者承担。 这些要求对于商业公司来说可能是意料之外的,但是实际上,它们的实施也不是特别困难。
交换子系统的要求和通信通道的密码保护也很熟悉,可能不需要其他说明。
作为简短的摘要,本文档的发布为我提供了有关需要配备GosSOPKA中心的工具和技术的许多要点。 现在,每个客户都有一份正式的需求清单,这对于比较供应商和决定购买/更换技术都非常有用。 在这些问题上的清晰表象总是会积极影响特定参与者进行连接的步骤的效率和速度,以及关键信息基础架构的整体安全性。