Сьогодні, напередодні дня проведення SOC Forum в Астані, я б хотів поділитися враженнями від 66-тістранічного документа під назвою "Методичні рекомендації щодо створення відомчих і корпоративних центрів державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації", розробленого в Національному координаційному центрі з комп'ютерних інцидентів (НКЦКІ), який курирує питання створення та експлуатації ГосСОПКІ. Що потрапив мені в руки документ якраз і визначає, як створювати корпоративні і відомчі центри цієї національної системи виявлення атак.
Я не буду детально розписувати всі 66 сторінок документа; торкнуся лише того, на що, після трьох келихів червоного вина, я звернув увагу в літаку, що летить за маршрутом "Москва - Астана". Відразу скажу, що описаний документ не відповідає на всі питання, які можуть виникнути при створенні власного SOCа. Це скоріше концепція, яка потім буде розширюватися і доповнюватися. У методичке дуже багато відсилань на майбутні документи, регламенти, інтерфейси взаємодії, які тільки будуть розроблятися в міру розвитку ГосСОПКІ. Ще однією особливістю цієї методички є канцеляризм. Місцями доводиться продиратися через нововведені і не відразу зрозумілі терміни. Тільки після вдумливого багаторазового прочитання (і три келихи червоного не полегшують завдання) розумієш, що ось тут йшлося про UEBA (user entity behavior analytics), а ось тут про NBAD (network-based anomaly detection), а ось тут про SIEM.
Зрозуміло, що головним завданням ГосСОПКІ, як видно з її назви, є боротьба з комп'ютерними атаками, які по ходу документа перемежовуються комп'ютерними інцидентами і погрозами. У кожного з термінів є своє визначення, але місцями мені здається, що вони плутаються. Інцидент - це факт порушення функціонування об'єкта інформаційної інфраструктури, який може бути викликаний атакою, а може бути і не атакою. Атака - це цілеспрямований вплив з метою порушення безпеки (до речі, віялові і випадкові атаки потрапляють в поле зору документа чи ні?), А загроза - це сукупність умов і факторів, що створюють небезпеку порушення безпеки. Якщо зовсім спростити, то загроза - це те, що може статися, атака - то, що сталося, а інцидент - до чого це все призвело.
Наприклад, методичні рекомендації кажуть, що по ходу розвитку ГосСОПКІ будуть визначені use case (в документі їх називають "типовими інцидентами"), для яких будуть дані відповідні рекомендації щодо реагування на них. Також будуть визначені типові атаки, для яких будуть визначені документи, в яких будуть прописані IoC і порядок дій персоналу при ліквідації наслідків атак (припущу, що мова йде про більш звичному терміні "Playbook", але це смаківщина). При цьому в 8-му розділі методички чітко вказані 4 групи інцидентів і їх наповнення (перелік чомусь закритий і не розширюваний). З цим переліком у мене виникли питання. Чому звичайний вірус зрівняний з APT? І чому центр управління бот-мережею віднесений до інциденту, а не до атаки? Або той же спам? Або перебір паролів? Якщо слідувати термінам, то це все-таки не інциденти, а саме атаки. Я б цей розділ переробив, взявши за основу, яку-небудь з існуючих таксономій атак.
До речі, не знаю, чи випадково, але кілька днів тому сайт Міноборони Казахстану був зламаний. І ось така (ий) атака (інцидент), що має явно репутаційний збиток (якщо не було проникнення всередину), в перелік інцидентів з методички НКЦКІ не входить. Не вважається серйозною проблемою? Або забули, так як російські сайти давно вже не дефейси?
Другий не зовсім зрозумілою мені річчю стало включення динамічних IoC (можуть хоч раз в день оновлюватися) в статичні документи, ще й узгоджуються з головним центром ГосСОПКІ. Ось, до речі, теж - в тексті згадуються головний центр ГосСОПКІ і головний центр. Я спочатку думав, що це помилка, але потім зрозумів, що це різні центри - один головний, а інший головний :-) Але все це не є серйозною перешкодою і може бути виправлено в майбутніх версіях рекомендацій, які, як мені здається, ще будуть у змінах.
Виділяється 7 захисних заходів, що реалізуються ГосСОПКОЙ:
ЗИ. В цілому документ вийшов непоганий, але його б вичитати свіжим поглядом пару раз. Тоді б було менше того, за що чіпляється око.