Взаимодействие с НКЦКИ при помощи Kaspersky Threat Management and Defense

Взаимодействие с НКЦКИ при помощи Kaspersky Threat Management and Defense

Согласно Федеральному закону от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» владельцы объектов, соответствующих критериям для включения в критическую информационную инфраструктуру (КИИ), обязаны предоставлять сведения о кибератаках и других подобных происшествиях в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), а также в Центральный банк РФ (если субъект КИИ осуществляет деятельность в банковской сфере и в иных областях финансового рынка) в требуемые сроки и в требуемом формате. Рассмотрим использование решения Kaspersky Threat Management and Defense для взаимодействия с НКЦКИ.

 

 

 

  1. Введение
  2. Способы направления уведомлений о компьютерных инцидентах в НКЦКИ
  3. Предпосылки использования Kaspersky Threat Management and Defense для информирования НКЦКИ
  4. Взаимодействие с НКЦКИ при помощи Kaspersky Threat Management and Defense
  5. Выводы

 

Введение

Кроме предотвращения сложных и комплексных компьютерных атак, решение Kaspersky Threat Management and Defense (TMD) позволяет эффективно оптимизировать ресурсозатраты на процессы расследования и обработки инцидентов, а также предоставления данных о них. Общий обзор решения и описание его составляющих (первая и вторая части) уже публиковались на Anti-Malware.ru, поэтому мы сосредоточимся на частной задаче: использовании Kaspersky TMD для того, чтобы повысить эффективность взаимодействия с НКЦКИ.

Согласно исследованию «Лаборатории Касперского» под названием «Прогнозы по продвинутым угрозам на 2020 год», сложность методов проведения атак будет только расти, в то время как оценить квалификацию злоумышленников и то, какими ресурсами они пользуются, становится всё затруднительнее. Киберпреступники применяют новые и нестандартные методы изоляции, которые реализованы в известном офисном программном обеспечении и других продуктах, являющихся мишенью целевого фишинга. Усложняются и методы вывода данных с заражённых устройств. В целом атаки становятся сложно детектируемыми, особенно в отсутствие грамотно согласованных современных средств обеспечения ИБ.

Таким образом, защита инфраструктуры организации только посредством существующих превентивных технологий или инструментов, не связанных между собой, приводит к ряду последствий:

  • нехватке ресурсов для сведения воедино информации об инциденте и соответствующей экспертизы, что приводит к потере осведомлённости, а также к снижению скорости и качества реакции на инцидент;
  • отсутствию интеграции между средствами защиты;
  • перегрузке ИТ- и ИБ-служб, несогласованности их действий, что ведёт к неэффективному использованию человеческих ресурсов.

Исходя из вышесказанного, перед организациями стоит задача построить единую долгосрочную стратегию обеспечения информационной безопасности, нацеленную на защиту информационных активов как на уровне рабочих станций, так и на уровне всей сети организации, а также на закрытие вышеуказанных недостатков. В этом может помочь комплекс взаимосвязанных технологических средств, экспертных сервисов и образовательных тренингов «Лаборатории Касперского» под названием «Kaspersky Threat Management and Defense» (далее — «Kaspersky TMD»), позволяющий эффективно противодействовать комплексным атакам посредством своевременного обнаружения действий злоумышленников и оперативного реагирования на них. Данное решение учитывает специфику различных отраслей и обеспечивает соответствие нормативам внешних регулирующих органов, требованиям 187-ФЗ, стандартам банковской отрасли; также оно даёт возможность автоматизировать процесс передачи информации в НКЦКИ (посредством специальных файлов в формате JSON) и убедиться в полноте отправляемых данных.

 

Способы направления уведомлений о компьютерных инцидентах в НКЦКИ

Передача информации о компьютерных инцидентах между субъектами КИИ и НКЦКИ осуществляется напрямую или через Центр ГосСОПКА.

Согласно приказу ФСБ России от 24 июля 2018 г. № 368, регламентирующему порядок обмена информацией о компьютерных инцидентах, направление уведомлений и запросов в НКЦКИ выполняется с помощью почтовой, факсимильной, электронной, телефонной связи или с помощью технической инфраструктуры НКЦКИ (при наличии подключения к ней). В последнем случае обмен осуществляется посредством JSON-файлов, где хранятся различные параметры компьютерных инцидентов в определённом формате.

Перечислим основные нормативные правовые акты ФСБ России, имеющие отношение к взаимодействию между субъектами КИИ и НКЦКИ:

 

Рисунок 1. Техническая инфраструктура НКЦКИ

 Техническая инфраструктура НКЦКИ

 

Стоит отметить, что обмен информацией с НКЦКИ запускается не только в случае обнаружения компьютерного инцидента, но и при выявлении:

  • признаков компьютерного инцидента (направляется дежурной службой НКЦКИ в адрес субъекта КИИ);
  • компьютерной атаки (направляется субъектом КИИ в адрес НКЦКИ);
  • уязвимостей (направляется субъектом КИИ в адрес НКЦКИ);
  • признаков уязвимостей (направляется дежурной службой НКЦКИ в адрес субъекта КИИ).

Базовые категории и типы событий, по которым инициируется взаимодействие, представлены в таблице 1.  Данные взяты из статьи «Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах», ссылка на которую содержится на сайте НКЦКИ.

 

Таблица 1. Категории и типы событий, возникновение которых инициирует информационное взаимодействие с НКЦКИ

Категория события (международное обозначение)

Тип события (международное обозначение)

Заражение вредоносными программами (malware) Внедрение в инфраструктуру объекта КИИ модулей вредоносных программ (malware infection)
Распространение вредоносных программ (malware distribution) Использование контролируемой инфраструктуры объекта КИИ для распространения вредоносных программ (malware command and control)
Попытки внедрения модулей вредоносных программ в контролируемую инфраструктуру объекта КИИ (infection attempt)
Нарушение или замедление работы контролируемой инфраструктуры объекта КИИ (availability) Компьютерная атака типа «отказ в обслуживании», направленная на контролируемую инфраструктуру объекта КИИ (dos)
Распределённая компьютерная атака типа «отказ в обслуживании», направленная на контролируемую инфраструктуру объекта КИИ (ddos)
Несанкционированный вывод контролируемой инфраструктуры объекта КИИ из строя (sabotage)
Непреднамеренное отключение контролируемой инфраструктуры объекта КИИ (outage)
Несанкционированный доступ в систему (intrusion) Успешная эксплуатация уязвимости в контролируемой инфраструктуре объекта КИИ (application compromise)
Компрометация учётной записи в контролируемой инфраструктуре объекта КИИ (account compromise)
Попытки несанкционированного доступа в систему или к информации (intrusion attempt) Попытки эксплуатации уязвимости в контролируемой инфраструктуре объекта КИИ (exploit attempt)
Попытки авторизации в контролируемой инфраструктуре объекта КИИ (login attempt)
Сбор сведений с использованием информационно-коммуникационных технологий (information gathering) Сканирование контролируемой инфраструктуры объекта КИИ (scanning)
Прослушивание сетевого трафика в контролируемой инфраструктуре объекта КИИ (traffic hijacking)
Социальная инженерия, направленная на компрометацию контролируемой инфраструктуры объекта КИИ (social engineering)
Нарушение безопасности информации (information content security) Несанкционированное разглашение информации, обрабатываемой в контролируемой инфраструктуре объекта КИИ (unauthorised access)
Несанкционированное изменение информации, обрабатываемой в контролируемой инфраструктуре объекта КИИ (unauthorised modification)
Распространение информации с неприемлемым содержимым (abusive content) Рассылка спам-сообщений с контролируемой инфраструктуры объекта КИИ (spam)
Публикация в контролируемой инфраструктуре объекта КИИ запрещённой законодательством РФ информации (prohibited content)
Мошенничество с использованием информационно-коммуникационных технологий (fraud) Злоупотребление при использовании инфраструктуры объекта КИИ (unauthorized purposes)
Публикация в контролируемой инфраструктуре объекта КИИ мошеннической информации (phishing)
Уязвимость (vulnerability) Наличие уязвимости или недостатков конфигурации в инфраструктуре объекта КИИ (vulnerability)

 

Предпосылки использования Kaspersky Threat Management and Defense для информирования НКЦКИ

Решение Kaspersky TMD нацелено на интеграцию с текущей стратегией организации по противодействию угрозам информационной безопасности, но с его внедрением формируется новая, более целостная стратегия обеспечения ИБ, которая, как правило, включает три этапа. Первый этап нацелен на блокирование максимального количества угроз в автоматическом режиме и состоит в оценке и усилении существующих превентивных технологий. Второй этап предназначен для автоматизации передовых средств обнаружения и защиты и представляет собой построение максимально эффективной системы защиты от передовых угроз. Третий этап формирует экспертизу в области ИБ для комплексной защиты информационных активов и заключается во внедрении концепции SOC, постоянном мониторинге и максимальной осведомлённости о событиях в сети.

Если организация придерживается стратегии обеспечения информационной безопасности, основанной на Kaspersky TMD, то это предоставляет ей следующие преимущества:

  1. Обнаружение и предотвращение угроз и атак. Автоматическое выявление значительного числа некритичных угроз, проверка сети на наличие индикаторов компрометации, а также сопоставление полученных результатов с ретроспективными данными и информацией, собираемой в режиме реального времени, позволяет более эффективно отслеживать целевые атаки и реагировать на них.
  2. Повышение эффективности реагирования на инциденты и подготовки информации об инциденте для отправки в НКЦКИ. Переход на централизованный сбор и хранение данных упрощает работу специалистов по информационной безопасности и повышает эффективностьрасследования и реагирования на инциденты, что ведёт к остановке распространения угроз, быстрому восстановлению работоспособности ИТ-инфраструктуры, а также к сокращению общих трудозатрат на реагирование и подготовку информации о компьютерных инцидентах в требуемом формате и объёме для отправки в НКЦКИ.
  3. Прогнозирование угроз. Сопоставление результатов внутренних расследований с актуальными данными об угрозах, которыми оперирует «Лаборатория Касперского», позволяет своевременно принимать меры, необходимые для эффективного отражения текущих атак, прогнозировать развитие будущих кибернападений и планировать противодействие потенциальным угрозам

 

Взаимодействие с НКЦКИ при помощи Kaspersky Threat Management and Defense

Независимо от типа обнаруженного события любой из видов уведомлений в НКЦКИ должен сопровождаться техническими сведениями, позволяющими вырабатывать эффективные решения при реагировании на компьютерный инцидент или в процессе локализации компьютерной атаки. Приведём список основных элементов, из которых состоят технические сведения об инцидентах, атаках и уязвимостях, формируемые на основе работы компонентов Kaspersky TMD при минимальном взаимодействии со специалистом по информационной безопасности, и раскроем их содержание.

  1. Текущее состояние и общие характеристики компьютерного инцидента, атаки или уязвимости:
  • характер уведомления;
  • категория и тип события;
  • дата и время выявления события;
  • дата и время восстановления штатного режима работы контролируемой инфраструктуры после компьютерного инцидента, атаки или уязвимости;
  • состояние работ по реагированию на компьютерный инцидент;
  • оценка последствий компьютерного инцидента или компьютерной атаки;
  • необходимость привлечения сил ГосСОПКА;
  • ограничительный маркер на распространение сведений из карточки компьютерной атаки;
  • регистрационный номер уведомления о компьютерном инциденте, атаке или уязвимости, который присваивается дежурной службой НКЦКИ;
  • связь с другими уведомлениями о компьютерном инциденте, атаке или уязвимости.
  • Общие сведения о контролируемом объекте КИИ, на котором выявлены компьютерный инцидент, атака или уязвимость, а также о его владельце:
    • наименование контролируемого объекта КИИ;
    • категория значимости объекта КИИ или её отсутствие;
    • целевая функция или сфера деятельности объекта КИИ;
    • наличие или отсутствие подключения к сетям электросвязи;
    • местонахождение объекта КИИ;
    • наименование субъекта КИИ, которому принадлежит объект;
    • наименование субъекта, сообщившего о компьютерном инциденте, атаке или уязвимости.
  • Технические данные об объекте КИИ, на котором выявлены компьютерный инцидент, атака или уязвимость:
    • IPv4-адрес (IPv6-адрес) и подсеть сетевых адресов контролируемого объекта КИИ;
    • доменное имя и URL-адрес контролируемого объекта КИИ;
    • адрес электронной почты, зарегистрированный в контролируемом объекте КИИ;
    • номер атакованной автономной системы (ASN).
  • Технические данные об источниках вредоносной активности, связанные с компьютерным инцидентом или атакой:
    • IPv4-адрес (IPv6-адрес) и подсеть сетевых адресов источника вредоносной активности;
    • доменное имя и URL-адрес источника вредоносной активности;
    • адрес электронной почты источника вредоносной активности;
    • номер подставной автономной системы (ASN);
    • информация о модулях вредоносного программного комплекса.

     

    Вышеуказанные сведения составляют основу тех данных, которые направляются в НКЦКИ в виде JSON-файлов. Также при выявлении компьютерного инцидента или проводимой атаки Kaspersky TMD подготавливает файлы экспорта обнаружений, которые позволят с минимальными потерями времени приступить к реагированию на инцидент. В них содержатся:

    • имя рабочей станции, на которой выполнено обнаружение,
    • время обнаружения,
    • категория обнаруженного объекта,
    • IP- и URL-адрес отправителя и получателя пакета данных,
    • UserAgent рабочей станции с компонентом EndpointSensors (устанавливается на рабочие станции и осуществляет постоянное наблюдение за процессами, открытыми сетевыми соединениями и изменяемыми файлами),
    • URL-адрес посещённого веб-сайта,
    • MD5- и SHA256-хеши, а также полное имя обнаруженного объекта,
    • параметры командной строки;
    • адрес электронной почты отправителя и получателей сообщения, в котором обнаружен объект;
    • имя домена, в котором выполнено обнаружение.

     

    Выводы

    Взаимодействие субъектов КИИ с НКЦКИ в рамках соблюдения Федерального закона №187-ФЗ подразумевает обмен информацией об обнаружении компьютерных инцидентов, компьютерных атак, уязвимостей и признаков всего перечисленного. Оно направлено на выработку эффективных решений по реагированию на опасные события в области ИБ и на их ликвидацию вместе с регулирующим органом, в данном случае — с НКЦКИ.

    В дополнение к основной функциональности по защите от комплексных угроз решение Kaspersky TMD оптимизирует затраты на процессы расследования и реагирования, что становится возможным благодаря автоматизации большинства процессов, централизованному хранению данных и быстрому доступу к ним. Комплекс выступает в роли точки подключения к технической инфраструктуре НКЦКИ для автоматизированного взаимодействия в рамках обмена информацией, а также в качестве места сбора данных для ретроспективного анализа в случае компьютерного инцидента и для предоставления сведений по запросу НКЦКИ.

    Таким образом, использование решения Kaspersky TMD позволяет избежать проблем, связанных с подготовкой информации об инцидентах, атаках или уязвимостях для направления уведомлений в НКЦКИ, и даёт возможность сосредоточиться на расследовании инцидента, не задумываясь о нюансах обмена данными.

    Полезные ссылки: 
    Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

    RSS: Новые статьи на Anti-Malware.ru