Инцидент-менеджмент в КИИ: организация процесса выявления и реагирования на ИБ-инциденты

В 2017 году был подписан Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры РФ», который регулирует порядок обеспечения кибербезопасности в таких важных секторах, как здравоохранение, наука, транспорт, связь, энергетика, финансы, оборона и различные отрасли промышленности. Особенностью объектов КИИ является высокий уровень потенциального ущерба вследствие успешной кибератаки, включая социальные, политические, экономические и экологические последствия, а также снижение уровня обороноспособности и безопасности всего государства.

Ключевой задачей процесса реагирования на киберинциденты в КИИ становится предотвращение или минимизация подобного ущерба с одновременным обеспечением непрерывности и стабильности бизнес-процессов, технологических операций и оказываемых услуг. При управлении инцидентами ИБ организации-субъекты КИИ сталкиваются с рядом вызовов, о которых расскажем в данной статье.

Наряду с высоким уровнем потенциального ущерба от кибератак, объекты КИИ — т.е. информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления — обладают следующими особенностями:

1) К объектам КИИ проявляют повышенное внимание организованные группы атакующих с высоким уровнем возможностей и квалификации. Соответственно, при моделировании угроз и нарушителей следует акцентировать внимание на злоумышленниках, нацеленных на причинение максимального ущерба конкретному учреждению или даже всему сектору экономики — причем это могут быть не столько профессиональные финансово-мотивированные хакеры, сколько организованные и координируемые хактивисты, кибернаёмники, APT-группы и солдаты киберармий. Для подобных типов нарушителей финансовая выгода от успешной атаки не столь важна, их цель — практически любой ценой причинить ущерб: вывести из строя объект КИИ, уничтожить ИТ-инфраструктуру субъекта КИИ, похитить и удалить информацию (включая персональные данные граждан), вызвать недоступность важного сервиса, повредить технологическое оборудование и даже спровоцировать аварию или техногенную катастрофу. Такое целеполагание злоумышленников не позволяет ИБ-специалистам применять классические парадигмы оценки привлекательности конечной цели для атакующих и таким образом рассчитывать экономическую эффективность внедрения тех или иных мер защиты. Кроме того, атрибутирование различных киберпреступных групп может быть осложнено за счет широкого использования разными категориями нарушителей хакерских Open Source инструментов и фреймворков, а также из-за приемов «мимикрирования» и запутывания следов, которые используются продвинутыми атакующими.

2) Обратной стороной ускоренной цифровизации, особенно в годы пандемии, стала высокая зависимость самых разных отраслей от ИТ-решений — зачастую импортных. С массовым уходом западных вендоров в начале 2022 года российские компании, использовавшие зарубежные решения, столкнулись со сложностями при поддержке и обновлении импортного ПО и оборудования, включая ПАК (программно-аппаратные комплексы). Указом Президента №166 от 30.03.2022 г. было установлено, что с 1 января 2025 года действует запрет на использование иностранного ПО на значимых объектах КИИ для органов государственной власти и компаний с госучастием — субъектов КИИ, выступающих заказчиками закупок в соответствии с 223-ФЗ. С 1 сентября 2025 года вступают в силу изменения в 187-ФЗ, в соответствии с которыми Правительство РФ установит порядок и сроки перевода значимых объектов КИИ на отечественный софт из реестра российского ПО — уже всех субъектов КИИ без исключения. Таким образом, ещё некоторое время организации-субъекты КИИ будут по-прежнему использовать импортные ИТ-системы, что предоставляет злоумышленникам окно возможностей: можно эксплуатировать непропатченные уязвимости (из-за сложностей с обновлением зарубежных продуктов) и осуществлять атаки на цепочку поставок ПО и ПАК (за счет получения новых версий софта и прошивок из недостоверных источников).

3) При обеспечении кибербезопасности объектов КИИ — в промышленных, медицинских, научных, транспортных сетях и в автоматизированных системах управления — важно не нарушить непрерывность производственных процессов. Именно поэтому не во всех технологических сетях для предотвращения и расследования киберинцидентов можно применять традиционные наложенные СЗИ, которые к тому же могут работать некорректно на устаревших версиях зарубежных ОС, до сих пор управляющих различным оборудованием. Вместо этого можно использовать встроенные функции безопасности и механизмы защиты оборудования, при этом следует погружаться в специфику технологических процессов и плотно взаимодействовать с инженерно-техническими работниками — применяемые безопасные (эталонные) конфигурации не должны оказывать негативного влияния на работу объекта КИИ.

4) На объектах КИИ могут использоваться особые протоколы промышленной автоматизации, а элементы инфраструктуры (включая различное оборудование, контроллеры, датчики) могут находится в труднодоступных географических локациях. Кроме того, не во всех региональных филиалах субъекта КИИ присутствуют выделенные специалисты по кибербезопасности, которые работают круглосуточно и могут оперативно получить физический доступ к оборудованию. Таким образом, целесообразно автоматизировать сбор событий ИБ из всех доступных сегментов инфраструктуры и обрабатывать их централизованно — анализировать, коррелировать, выявлять киберинциденты и реагировать на них. Вместе с тем, относительная статичность и неизменность систем, приложений и сетевых коммуникаций в технологических сегментах позволяет эффективно применять средства выявления аномалий — даже если злоумышленники уже внутри, важно как можно быстрее их обнаружить и обезвредить, тем самым минимизировав последствия кибератаки.

5) Важность скорости реагирования на инциденты на объектах КИИ подчеркивается в том числе и в нормативных требованиях. Так, в соответствии с Приказом ФСБ РФ №282, субъект КИИ должен передать в систему ГосСОПКА информацию о произошедшей кибератаке или инциденте ИБ в систему ГосСОПКА в срок не позднее 3 часов с момента их обнаружения на значимом объекте КИИ, а результаты реагирования должны быть переданы в НКЦКИ в срок не позднее 48 часов после завершения работ. Более того, в методических рекомендациях НКЦКИ указано, что уведомление должно быть отправлено после выполнения регистрации инцидента и получения первичной информации о нём — т.е. до выполнения других шагов по реагированию. Кроме того, в соответствии с новыми изменениями в 187-ФЗ, субъекты КИИ, которым принадлежат значимые объекты КИИ, должны будут осуществлять непрерывное взаимодействие с системой ГосСОПКА — в соответствии с Регламентом взаимодействия НКЦКИ, наиболее подходящим для этого каналом передачи информации может быть API-взаимодействие.

Для организации процесса выявления и реагирования на ИБ-инциденты на объектах КИИ можно предложить следующие ответы на описанные выше вызовы:

1) Для своевременного выявления интереса злоумышленников к субъекту КИИ, а также для эффективного выявления признаков реализуемой или уже совершённой кибератаки можно использовать инструменты аналитики киберугроз. Платформы Threat Intelligence помогают работать с индикаторами компрометации (IoC) и индикаторами атак (IoA), позволяют следить за активностью кибергрупп, выявлять кибератаки на ранних стадиях. Особенности инфраструктуры объектов КИИ (применение специализированного ПО и протоколов) позволяют сузить фокус внимания TI-аналитиков на более специфичные киберугрозы и определенные наборы IoC/IoA, характерные для кибератак на промышленные объекты. Важно, чтобы используемое субъектом КИИ решение класса TIP поддерживало интеграцию с различными источниками данных киберразведки, позволяло дедуплицировать и приоритизировать получаемые сведения, позволяло выявлять ранее произошедшие и текущие кибератаки за счет интеграции с различными СЗИ. Таким функционалом обладает наше решение Security Vision TIP, которое позволяет управлять данными аналитики киберугроз, выполнять их обогащение из внешних аналитических сервисов, выявлять артефакты и индикаторы компрометации/атак в инфраструктуре (за счет анализа «на лету» и ретро-поиска), выполнять расследование и реагирование на платформе. Решение Security Vision TIP также поддерживает возможность использования загруженных извне IoC/IoA на выделенном сервере в изолированных сетях — этот функционал можно использовать в технологических сегментах на объектах КИИ.

2) Эксплуатация уязвимостей — один из основных способов реализации кибератак. Для управления уязвимостями — установки обновлений, отключения уязвимого функционала или применения компенсирующих мер — требуется прежде всего выстроить взаимосвязанные процессы управления активами и уязвимостями. Без обнаружения, инвентаризации, классификации устройств в инфраструктуре будет невозможно выстроить другие процессы ИБ, включая управление уязвимостями, конфигурациями, киберинцидентами. Далее, «увидев» инфраструктуру, можно переходить к управлению уязвимостями, руководствуясь соответствующими методическими документами ФСТЭК России — например, Руководством по организации процесса управления уязвимостями в органе (организации), Методикой оценки уровня критичности уязвимостей программных, программно-аппаратных средств, а также Методикой тестирования обновлений безопасности программных, программно-аппаратных средств. Для выстраивания процесса управления активами можно использовать решения класса Asset Management — например, Security Vision AM позволяет выполнять обнаружение, инвентаризацию, классификацию активов, выстраивать ресурсно-сервисную модель инфраструктуры, а также управлять активами из интерактивного графа связей. Для автоматизации управления уязвимостями целесообразно использовать средства автоматизации — например, продукт Security Vision Vulnerability Management, в котором используется собственный движок сканирования, поддерживается загрузка информации об уязвимостях из различных реестров (БДУ ФСТЭК, NVD, Ubuntu, Microsoft), присутствует интеграция с внешними аналитическими сервисами для обогащения сведений об уязвимостях, а также поддерживается настройка политик сканирования с указанием временных интервалов, регулярности, ограничений для различных типов активов. Кроме того, Security Vision VM поддерживает установку компонентов на выделенные серверы в изолированных сетях с возможностью импорта результатов сканирования на основной сервер, что может быть актуально для субъектов КИИ.

3) Управление конфигурациями и применение настроек безопасности (харденинг) помогут привести инфраструктуру объекта КИИ в защищенное состояние без использования дополнительных СЗИ. Крупные производители ОС, оборудования и промышленных систем выпускают рекомендации по защищенной настройке, однако проверка конфигурации множества систем из разных сетевых сегментов в ручном режиме будет нерациональной. Для автоматизации можно использовать решения для контроля параметров безопасности информационных активов — например, решение Security Vision SPC (Security Profile Compliance) позволяет осуществлять оценку конфигураций активов, отслеживать их состояние с точки зрения уровня защищённости и приводить значения параметров политик безопасности к эталонным значениям (автоматически или вручную). Решение Security Vision SPC также позволяет проводить оффлайн-сканирование активов для определения степени соответствия параметров безопасности рекомендуемым значениям — это поможет управлять конфигурациями устройств в выделенных и изолированных сетевых сегментах объектов КИИ.

4) Поскольку типовое поведение устройств в технологических сегментах объектов КИИ изменяется редко, эффективно выявлять атакующих в инфраструктуре можно с помощью решений для поведенческого анализа и обнаружения аномалий. Например, решение Security Vision UEBA позволяет анализировать поведение устройств в сети, выстраивать модель нормального состояния инфраструктуры и далее выявлять признаки скрытой вредоносной активности за счет обнаружения отклонений. В решении Security Vision AD + ML (поиск аномалий с машинным обучением) используются методы ML для выявления отклонений в инфраструктуре и поиска признаков кибератак — при этом могут применяться как модели «без учителя», так и предварительно обученные модели (поддерживается возможность переобучения на особенностях конкретной инфраструктуры объекта КИИ). Анализировать сетевой трафик, собирать и агрегировать события ИБ, коррелировать и проверять подозрения на киберинциденты на объектах КИИ можно автоматизированно с помощью решений классов NTA, NDR, XDR, SIEM, SOAR. Например, решение для расширенного управления инцидентами Security Vision NG SOAR позволяет выстроить весь цикл управления киберинцидентами: производить сбор, агрегацию, корреляцию, хранение событий ИБ, осуществлять формирование инцидентов ИБ и автоматизированное реагирование на них с помощью динамических плейбуков и широких интеграционных возможностей с различными типами СЗИ и ИТ-решений, включая промышленные.

5) Для упрощения взаимодействия с регуляторами по вопросам киберинцидентов на объектах КИИ и в финансовом секторе в платформе Security Vision используются модули ГосСОПКА и FinCERT, которые обеспечивают автоматизацию двустороннего взаимодействия с НКЦКИ (через API) и ЦБ РФ (с использованием АСОИ ФинЦЕРТ). Это позволяет автоматизировать формирование и отправку уведомлений об инцидентах и атаках, дальнейшее взаимодействие при расследовании, а также обработку запросов и бюллетеней от регуляторов. Разумеется, решение Security Vision зарегистрировано в Реестре российского ПО, имеет Сертификат соответствия ФСТЭК России (УД4), Сертификат соответствия ОАЦ при Президенте Республики Беларусь и Заключение 8 Центра ФСБ России. Кроме того, в 2024 году продукты на платформе Security Vision по результатам экспертной проверки были официально признаны решениями, использующими технологию ИИ, что также зафиксировано в реестре российского ПО.

Автор: Руслан Рахметов, СЕO Security Vision.