воскресенье, 26 марта 2017 г.

ИБ. Некоторые моменты создания ведомственных и корпоративных центров ГосСОПКА

Недавно прошел двухсерийный вебинар Positive Technologies посвященный их опыту создания центров ГосСОПКА. С видео и основными тезисами из вебинара можно ознакомится по ссылке

Тут же хотелось бы обсудить некоторые интересные цитаты и идеи.
1. На вебинаре ФСТЭК и ФСБ показаны как противопоставляющие и дополняющие друг друга.
·         ФСТЭК дает базовые требования. ФСБ дает дополнительные требования”
·         ФСТЭК требует защиты критических систем – ГИС. ФСБ требует защищенности объекта в целом
·         ФСТЭК наказывает за формальное несоблюдение требований. ФСБ наказывает за пропущенные атаки и инциденты
Может быть это такое желание у PT, но на практике мы не сталкиваемся с подобным. За инциденты никто не наказывается. Проверок ИБ со стороны ФСТЭК и ФСБ фактически не проводится, а если проводится, то и тот и другой регулятор выделяют в нарушения - только обязательные требования.
И при правильном подходе, требования ФСТЭК к ГИС – это не базовые меры. Если мы правильно подошли к моделированию угроз, выбору мер защиты, выбору мер усиления – то в итоге получили все необходимые меры защиты.  
Те требования, которые приходят с ГосСОПКА скорее связаны с обменом информацией в области ИБ и исходят из аксиомы, что сообщество или группа служб ИБ смогут более эффективно обеспечивать защиту чем одна отдельная служба ИБ.  

2. В качестве одной из обязательных функций центра ГосСОПКА называется анализ угроз. Давайте посмотрим, что PT подразумевает под этим:
·         Что может делать нарушитель
·         Какие следы он может оставить
·         Как обнаружить эти следы
·         Что делать если обнаружили
·         Чем можем пожертвовать
·         Кто может помочь
Согласитесь, что довольно странный анализ угроз. Наверное, ЭТО надо было назвать «планированием реагирования на атаки» или чем-то другим?

3. “Корпоративный или ведомственный центр ГосСОПКА работает не на ФСБ России, он работает на свое ведомство или корпорацию и решает их задачи”
Этот ответ на вопросы слушателей неоднократно повторялся на вебинаре. Все так. Только напомню, что основная идея ГосСОПКА – обмен информацией и коллективное более эффективное противодействие атакам.

4. Предлагается персонал центра ГосСОПКА разделить на 3 линии.
·         Первая линия –взаимодействие с пользователями, прием заявок, регистрация инцидентов, типовые действия по инструкции
·         Вторая линия – квалифицированные, но типовые действия по реагированию
·         Третья линия – руководство и эксперты
Откуда ведомству или корпорации взять персонал. Предлагается не набирать 1-2 линию в Москве - большие запросы по зарплате, ведомства ограничены в окладах, толковых спецов быстро перекупят конкуренты.
PT говорят, что центр ГосСОПКА территориально не привязан к объектам защиты.  Предлагают набирать 1-2 линию в регионах, в которых есть хорошие ВУЗы, выпускающие ИБ специалистов, такие как Екатеринбург, Челябинск и другие.
Так что, центры ГосСОПКА - добро пожаловать в Краснодар. Тут несколько ВУЗов выпускают ИБшников.  
Экспертов предлагают на первое время брать на аутсорсинг во внешней организации, например, в том же PT. А своего достаточно иметь только Руководителя центра ГосСОПКА.

5. На этом вебинаре PT публично упомянули новое решение – PT Ведомственный (Корпоративный) Центр. В результате создается впечатление что именно по материалам PT были разработаны недавние требования ФСТЭК к оборудованию SOC.



9 комментариев:

Anton Shipulin комментирует...

Вебинара два, а в посте встроен только первый...

Сергей Борисов комментирует...

Да ещё и не на той площадке запостился. Сейчас перенесу на proib

Сергей Борисов комментирует...

Перенес пост в видео. А тут просто обсуждение некоторых интересных или нестандартных идей

malotavr комментирует...

1. Натер мозоли на языке, повторяя, как попугай: "Не противопоставляют, а решают непересекающиеся зхадачи, и потому дополняют друг друга".

2. "Может быть это такое желание у PT, но на практике мы не сталкиваемся с подобным.". Во-первых, ФСТЭК уже несколько лет, еще при Федичеве активно пинал проверяемых за "чисто бумажную безопасность". Даже пентестеров к проверкам привлекал и привлекает. Во вторых, ты и не можешь столкнуться с практикой от ФСБ, потому что для нее пока нет нормативной базы - она должна быть основана на ФЗ "О безопасности критически важной инфраструктуры", который еще не принят, и подзаконных актов к нему. Тем не менее, регулятор предупреждает: его политика будет именно такой, готовьтесь.

3. "Согласитесь, что довольно странный анализ угроз". Ну не могли авторы методических рекомендаций написать прямым текстом: "Парни, та порнография, которую вы почему-то называете "разработкой модели угроз", для практической защиты от компьютерных атак на фиг не сдалась. Делайте вот так". Поэтому они написали коротко - "Делайте вот так" :) Кажется это кому-то странным или нет - делать надо вот так :)

4. "Только напомню, что основная идея ГосСОПКА – обмен информацией и коллективное более эффективное противодействие атакам.". Основная идея ГосСОПКА - научить тех, кто обязан защищаться от компьютерных атак, наконец-таки научиться защищаться от компьютерных атак :) Это - официальная позиция регулятора, ответственного за создание ГосСОПКА, если что. "Обмен" и "коллективное более" - просто вспомогательные инструменты, помогающие решать эту задачу.

5. "В результате создается впечатление что именно по материалам PT были разработаны недавние избыточные требования ФСТЭК к оборудованию SOC."

Вот так, да? Тут, значит, как тот Ролан, грудью встаешь на пути отдельных несознательных личностей, которые на совещании во ФСТЭК пытаются впихнуть в этот перечень еще и IDM, и тебя же подозревают в лоббировании решений компании :) Скажи спасибо, что благодаря моим героическим усилиям, кроме IDM, в перечень не попали еще несколько интересных разновидностей средств защиты :) На днях еще одно совещание, постараемся убрать из перечня еще несколько пунктов.

Andrey Prozorov комментирует...

C исключением пунктов главное не переусердствовать и не выкинуть случайно WAFы и сертифицированные сканеры с SIEM ;)))

Andrey Prozorov комментирует...

А так, спасибо PT за вебинары. Первое публичное и хотя бы немного конкретное про ГосСОПКА.

Сергей Борисов комментирует...

Дмитрий, да кстати спасибо за вебинары.
Эти несколько тезисов я выбрал, так как не для не для всех они очевидны, а значит есть о чем подумать и пообсуждать. В целом на вебинаре было много полезной информации...

malotavr комментирует...

> значит есть о чем подумать и пообсуждать

Само собой :) Тема вообще неоднозначная, Лютиков, например, насчет раздела про анализа угроз еще жестче высказывается. Но авторы так видят :)

malotavr комментирует...

> случайно WAFы и сертифицированные сканеры с SIEM

Да в том-то и фигня :) Ну сколько в РФ этих несчастных лицензиатов? Было бы ради чего стараться. А скажут - скажут - что это злобный вендор использовал административный ресурс, чтобы каждый лицензиат прикупил себе немножко сертифицированного XSpider'а с лицензией на пару IP-адресов :)