понедельник, 21 ноября 2016 г.

Общее. Новости регуляторов с SOC-Forum 2.0

16 ноября принял участие в довольно интересном мероприятии SOC-Forum 2.0 посвященном практике противодействия кибератакам и построению центров мониторинга ИБ.
Для такого практического мероприятия удивительно много было докладов со стороны регуляторов – ФСБ России, ФСТЭК России, ЦБ РФ (большая часть которых кстати пришла с практическим опытом построения центров мониторинга ИБ) на которых я и хочу остановится в данной статье.



ФСБ России участвовали в пленарной дискуссии, а также 2 них было 2 доклада (Алексей Новиков и Владислав Гончаренко) на секции посвященной информированию об инцидентах:
·         (о целях) Организациям по отдельности сложно успешно противостоять организованным группам и сообществу киберпреступников, а значит необходимо объединять усилия ИБ – делится информацией, передавать информацию об атаках и инцидентах в центры мониторинга, а в ответ получать от них рекомендации по защите
·         ФСБ России на практике убедилась в пользе такого объединения, когда во время зимней олимпиады, при взаимодействии с международными центрами мониторинга (CSIRT) удавалось очень быстро реагировать на атаки, в том числе выводить из строя центры управления ботнет-сетями в течении 5 часов

·         (о этапах) Для регулирования таких действий поэтапно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) – по сути это объединение/сообщество центров мониторинга ИБ и реагирования на инциденты
·         В первую очередь к системе подключаются федеральные и региональные гос. органы исполнительной власти. Основное внимание ФСБ России направлено на создание ведомственных центров ГосСОПКА – центры которые создаются в федеральных органах власти и помогают обеспечивать безопасность в подведомственных
·         Для коммерческих организаций, в том числе для владельцев КВО пока никаких обязательных требований для подключения. Но многие крупные корпорации - владельцы SOC-ков подключаются добровольно, так как видят реальную пользу от обмена важной для ИБ информацией

·         (о документах) в данный момент разработан проект Методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА. Документ не секретный. Алексей Новиков готов предоставить данный документ в ответ на ваш запрос по его контактному адресу
·         В следующем году планируется выпустить регламента обмена информацией об инцидентах в рамках ГосСОПКА , в котором будут формально описаны правила и форматы обмена.
·         Также ФСБ России очень надеется на оживление в 2017 году законопроекта «О безопасности критической информационной инфраструктуры РФ», который даст основания для обязательного подключения к ГосСОПКА компаний, являющихся владельцами критически важных объектов

·         (об охват гос. учреждений) На вопрос о том, как планируется обеспечивать с помощью ГосСОПКА безопасность остальных гос. учреждений (особенно региональных) представитель ФСБ России ответил, что этот вопрос окончательно не решен – ещё ведутся обсуждения как это лучше сделать: через ведомственные, региональные или корпоративные центры ГосСОПКА

·         (о сервисах) ГосСОПКА собирает информацию:
o   источники угроз
o   атакованные системы
o   агрегацию по инцидентам
o   состояние защищенности
o   уязвимости ПО
o   признаки компрометации
o   другие оперативные и значимые сведения
·         ГосСОПКА сейчас предоставляет 4 сервиса:
o   информация о заражённых узлах в области покрытия ГосСОПКА,  
o   обмен индикаторами обнаружения вредоносных программ
o   консолидированные данные об уязвимостях ПО
o   оперативные сведения о проводимых и готовящихся компьютерных атаках

·         (о соглашении) в данный момент, пока нет регламента взаимодействия, между ФСБ России и другими организациями, владельцами центров ГосСОПКА заключается персональное соглашение, в том числе включающее:
o   перечень направлений взаимодействия
o   требования к организации
o   требования к ФСБ России ! (тот редкий случай, когда вы можете что-то потребовать у ФСБ)
o   безвозмездность, ограничение на передаваемую информацию и т.п.

Представители ФСТЭК России (Дмитрий Шевцов и Игорь Носов)  участвовали в пленарной дискуссии, а также сделали доклад на секции посвященной информированию об инцидентах.
·         (об инцидентах) ФСТЭК России ожидает принятия своего законопроекта по информированию об инцидентах ИБ (о котором я писал ранее) в начале 2017 г. Он не заменяет законопроекта о защите КВО.
На вопрос – кого именно надо будет информировать, представитель ФСТЭК России ответил, что после принятия закона будут разработаны соответствующие подзаконные акты, определяющие порядок и варианты информирования

·         (об уязвимостях) ФСТЭК России поблагодарил поименно специалистов (Никитин Виктор, Губенков Артём, Щербаков Андрей), отправивших информацию об уязвимостях в БДУ ФСТЭК. Чем вам не Hall of Fame для российских исследователей ИБ
·         Анализ уязвимостей – важный процесс, который необходим на многих стадиях жизненного цикла ИС. В SOC может выполнятся интеграция процессов мониторинга с результатами анализа уязвимостей (требование к усилению 2 для РСБ.5)

·         (о лицензировании) 17.06.2017 вступает в силу Постановление Правительства РФ от 15.06.2016 N 541 в котором в перечень лицензируемых видов деятельности добавлены “услуги по мониторингу информационной безопасности средств и систем информатизации” (все SOC-и), в котором имеется вид деятельности “контроль защищенности конфиденциальной информации” (пентестеры для ИСПДн и ГИС), и содержатся новые требования к лицензиатам
·         ФСТЭК России должен выпустить отдельный документ, содержащий детальные требования к лицензиату, но пока этого документа нет, а времени остается совсем мало
·         скорее всего многим существующим лицензиатам ФСТЭК потребуется отправлять заявки на обновление лицензии (включение нового вида деятельности) и при этом придется предоставить свидетельства выполнения новых требований (квалификация, процессы управления ИБ)
Подробнее о ПП 541 можно почитать у Лукацкого и Агеева.


ЦБ РФ выступал с докладами на параллельно идущих секциях, соответственно послушать мне удалось только один из них.
·         FinCERT рассматривается как ведомственный центр ГосСОПКА, в область действия которого попадают все кредитно-финансовые организации
·         FinCERT также рассматривает возможность взаимодействия с другими SOC напрямую – можно обращаться
·         Для того чтобы сделать его обязательным принимается новое положение Банка России (прошло все экспертизы и сейчас на согласовании в Минюсте)
·         Именно для кредитно-финансовой сферы время реагирования очень важно, поэтому вводятся обязательный срок информирования – не позднее 3-х часов после выявления инцидента. Срок очень короткий, поэтому банкам придется внедрять какие-то системы автоматизации либо хорошо выстраивать свои процессы, чтобы успевать вовремя проинформировать FinCERT
·         Примеры атак, для которых важен срок оповещения. Благодаря своевременным действиям FinCERT уже удалось предотвратить хищения на сумму около 0.57 млрд рублей
·         Для того чтобы оптимизировать работу по регистрации, анализу, реагированию и уведомлению об инцидентах ЦБ РФ видит необходимость перейти от пересылки информации по электронной почте к работе в некой информационной системе, с личными кабинетами для банков и вероятно API для обмена информацией.





PS: Так как был на форуме первый раз, напишу пару впечатлений о самом форуме. Организован на хорошем уровне – стандарт для Авангарда.
Лично мне пришлось пропустить несколько интересных докладов из-за того, что все сессии шли параллельными потоками: регуляторы или практики; эффективщики или практики или вендоры. Но думаю, что многим посетителям так наоборот было удобнее.
Также отмечу отсутствие зарядных будок для мобильных устройств, кофе-брейки вместо полноценного обеда, постоянные толпы народа в фойе – все это помогло сделать, отрыв от полезного контента минимальным.  
Показательно то, что SOC форум посетило более 1000 человек, хотя ещё недавно тема Security Operation Center была уделом избранных из 10-15 корпораций.  Неужели они все планируют строить SOC? Ведь практики рассказали, что для этого нужны огромные средства, несколько лет, а в итоге команда штатных экспертов будет составлять от 10 до 20 человек? Скорее всего в регионах никто не сможет позволить себе подобное – и единственным вариантом присоединится к коллективному разуму по ИБ будет использование аутсорсинговых услуг внешних SOC-ов.



пятница, 11 ноября 2016 г.

СОИБ. Анализ. Обмен информацией о компьютерных инцидентах

Александр Бондаренко недавно призывал ИБ специалистов обмениваться полезной для ИБ информацией. Но это пока негде. Да и самостоятельно принять решение об обмене могут только коммерческие компании. Последнее время приходится общаться с гос-ами. Что делать им? Например, в последнее время, участились инциденты заражения криптолокерами в гос. учреждениях. Хотелось бы, чтобы кто-то консолидировал эту информацию, провел анализ и донес опять же для гос-ов рекомендации по предотвращению. Сейчас такой организации или органа нет.   
                                               
В одной из предыдущих статей я писал про законопроект по информированию гос. органов о компьютерных инцидентах. Даже отправлял вопрос по этому поводу.





Ответ от ФСБ России я получил – там ГосСОПКА, ну вы, наверное, все уже слышали про неё. Но это на практике пока больше одностороннее взаимодействие. Двухстороннее тоже предполагается.  Но чтобы понять в каком формате и какие выгоды нужно создавать региональный, ведомственный или корпоративный центр ГосСОПКА. 

Вот и думают сейчас в региональных гос. органах – нужно создавать что-то свое для обмена информацией об инцидентах (на каком основании) или подождать пока придет из законодательства требование / сверху указание?  

Надеюсь, что мы узнаем побольше информации о ГосСОПКА на предстоящем SOC-Forum 2.0.

А между тем у европейских коллег эта тема идет полным ходом.  В рамках NIS Directive, о которой я писал ранее, уведомление и обмен информацией об инцидентах вменен в обязанность и не только гос-ам, а всем операторам жизненно важных услуг и провайдерам цифровых услуг, создается выделенная сеть для центров реагирования на инциденты (CSIRT Network), уже выпущена целая куча документов, связанная с управлением и обменом информацией.  


Вот и совсем свежая Стратегия Евросоюза по реагированию на инциденты и сотрудничеству при противодействии кибер угрозам (Strategies for incident response and cyber crisis cooperation). Предусматривает такие пути развития как:
·         Сотрудничество и управление противодействии кибер угрозам
·         Взаимопомощь в отражении атак и усилении системы защиты
·         Учения (упражнения) по обработке инцидентов (центры и организации)
·         Обучение центров реагирования  


Кстати вчера прошел интересный вебинар R-Vision по управлению инцидентами. Полностью поддерживаю мысль докладчика, что существующих инструментов (таких как SIEM) недостаточно для дальнейшей работы с инцидентом, анализа, подготовки отчета и обмена информацией. Для решения этих задач они разрабатывают R-Vision  IRP. Наша команда docshell также разрабатывает функции управления и обмена информацией об инцидентах ИБ в рамках последнего решения Управление ИБ.

В общем - законодательные инициативы и наличие готовых современных решений, это всё что необходимо для успешного развития темы связанной с инцидентами ИБ.


понедельник, 7 ноября 2016 г.

СОИБ. Анализ. Жертвы DDoS атак из сервиса vDOS

Наверное, многие слышали о мощных DDoS атаках в сентябре на ресурсы исследователя ИБ Брайана Кребса. История началась, когда в конце июля 2016 года Брайну удалось получить лог 150 тыс. заказов онлайн сервиса vDOS и другую информацию, благодаря которой были найдены и арестованы два владельца этого сервиса из Израиля.

База с перечнем заказов vDOS также была опубликована и некоторое время доступна для скачивания. В предисловии к базе было написано
“These are all the DDOS victims that were logged in the VDOS database dump. The news on their site claims: ‘not a DDoS service. You are prohibited from stressing internet connections and/or servers that you do not have ownership of or authorization to test. Abuse of our services or use in violation of our terms of service will result in being banned from our services. There shouldnt be an issue when it comes to spending slightly more than they used to.’  Decide for yourself. ”

 То есть, vDOS официально представлялся как сервис для нагрузочного тестирования администраторами своих ресурсов или пентестерами при проведении официальных работы. Но технически ничего не мешало злоумышленникам использовать его для проведения атак. Думаю, многим было бы интересно посмотреть, как всё-таки использовался данный сервис и проводили ли с его помощью атаки на ваши интернет ресурсы в 2016 году?

В базе содержались записи типа “16391012,'hukarion','Launched a stress test on 188.114.13.228:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:30','Google Chrome v47.5.2526.111 on windows',0”
С именами столбцов: `ID`, `Username`, `Action`, `IP`, `Date`, `platform`, `hidden`

Немного улучшил исходную базу в целях удобства анализа: Выделил в отдельные столбцы IP адрес цели атаки, продолжительность атаки, тип атаки.

Технически сервис ограничивал время тестирования одного сайта за один запрос не более чем 3600 секунд или 1 час. Но в зависимости от тарифа, на который был подписан пользователь, можно было генерировать несколько параллельных запросов или каждый час создавать новый и тем самым продлевать атаку.  В итоге – суммарное время нагрузки сайта, этот один из наиболее важных показателей, который отделяет тест от атаки. В отдельном столбце вынес суммарное время атаки по одному IP.  

Из 56011 уникальных IP адресов, нагрузка на 11040 IP адресов продолжалась строго более 3600 секунд или 1 часа. Согласитесь, что даже вовремя пентеста, врядли для заказчика будет приятной недоступность сайта более одного часа. Для 1228 IP адресов атаки продолжались более 8 часов. Максимальная суммарная нагрузка на один IP 30 дней.  

Базу в таком виде выкладываю по ссылке.

База позволяет проводить довольно интересный анализ действий заказчиков атак. Так если вы обнаружите, что ваш сайт был атакован с использованием сервиса vDOS, можно посмотреть логин “пользователя сервиса – заказчика атаки”, кого ещё он атаковал, в какое время подключался, какие типы атак использовал, посмотреть цепочку атаки.  По моим наблюдением подавляющее большинство пользователей сервиса vDoS использовали прокси-сервера и более 5 различных адресов. Стал бы администратор сайта скрывать свой IP при тестировании своего ресурса?
Наиболее интересным было бы посмотреть на какие российские сайты проводились DDoS атаки. К сожалению, не всегда возможно точно определить целевой домен, так как несколько сайтов может размещаться на одном IP (на одном хостинге), некоторые сайты меняют адреса со временем (переезжают на другой хостинг). Но думаю, что по информации о хостинге, подвергавшемся атаке, провайдере интернет или домене второго уровня уже может дать достаточно информации владельцам ресурсов, которые знают, когда именно на них проводили атаку.
  По ip адресам целей атак (атаки на которые длились более часа) восстановил доменные имена способом, описанным в предыдущей статье, выбрал домены *.ru (всего 122) и отфильтровал атаки только по ним в отдельную базу – проверяйтесь.



Кстати, vDOS это не единственный подобный сервис. Их существует большое количество, а после закрытия vDOS их количество только увеличилось.

Развивая аналитику из текущей статьи, можно сказать что в сервисах (DDoS Botter / IP Stresser) в среднем: 19% атак длятся более часа, а 90% пользователей скрывает свой ip-адрес.   

PS: небольшой анализ базы vDOS для Ростовской области проводил Сергей Сторчак

PPS: прошу отметится интересны ли подобные статьи на этом блоге?