SlideShare uma empresa Scribd logo

IntellectTrans-2013

Eugene Afonin
Eugene Afonin
1 de 7
Baixar para ler offline
СОЗДАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОБРАБОТКИ И КОРРЕЛЯЦИИ СОБЫТИЙ ИБ ОАО «РЖД» Глухов А.П. Зенковский А.К. Афонин Е.С. ОАО «РЖД», ЗАО НИП «Информзащита» Введение. Обеспечение безопасности информационных систем и телекоммуникационных сетей становится все более сложной задачей. Огромное количество разрушающих программных средств, средств несанкционированного доступа, а также постоянное развитие информационных систем, в том числе и АСУТП, дают основание утверждать, что борьба за информационную безопасность стала одним из важнейших направлений деятельности, как государственных учреждений, так и коммерческих организаций различного уровня. В ОАО «РЖД» деятельность по обеспечению ИБ направлена на обеспечение безопасности информации объектов инфраструктуры, а также на сохранение конфиденциальности, целостности и доступности информации, единства информационного пространства РЖД. В данном контексте нам хотелось бы рассказать о результатах проекта по созданию автоматизированной системы обработки и корреляции событий ИБ ОАО «РЖД». Ни один проект не может быть успешным без четко поставленных целей, которые были сформулированы нами следующим образом:  Выбрать для построения системы платформу, которая бы, с одной стороны, обладала богатым встроенным функционалом, чтобы минимизировать затраты на интеграцию, а с другой стороны, могла бы легко масштабироваться для работы с большими объемами данных;  Оптимизировать работу с инцидентами ИБ, особенно в контексте дефицита времени и ресурсов сотрудников, ответственных за работу с ними;  Разработать и внедрить в практику новые способы обнаружения инцидентов ИБ с помощью корреляции событий и поведенческого анализа сетевой активности. Выбор платформы. В октябре 2010 года на конференции «Инфотранс» (тогда еще Директор департамента информатизации и корпоративных процессов)
РЖД Алексей Илларионов дал следующую оценку ИТ-инфраструктуры: «В РЖД эксплуатируется один из самых крупных в стране информационных комплексов, 64 мэйнфрейма, более чем 300 корпоративных серверов, объем памяти хранилищ – более 2 ПБ, более 280 тыс. ПК. У нас 12 тыс. сотрудников занимаются информатизацией компании. Эксплуатируются более 4 тыс. информационных систем (ИС), все они имеют различный масштаб, но среди них есть беспрецедентные по размеру и не имеющие аналогов в мире». Не каждое средство защиты способно обеспечивать безопасность информации в таких непростых условиях. Поэтому выбору платформы для создания автоматизированной системы обработки и корреляции событий ИБ мы подошли очень ответственно. Продукт HP ArcSight, входящий в общий пакет решений HP Enterprise Security, существует на рынке систем мониторинга и управления событиями информационной безопасности уже более 12 лет. Являясь многолетним лидером в данной области1 , HP ArcSight используется более чем в 2000 организаций в мире. Немаловажно и то, что с 2007 уже на протяжении пяти лет, он увеличивает свою популярность и среди отечественных компаний. Обладая самым большим в индустрии количеством встроенных шлюзов для интеграции с информационными системами и средствами защиты информации (более 350 различных систем, из них SAP, Checkpoint, Cisco, Oracle), HP ArcSight действительно помогает сократить время и стоимость внедрения и дальнейшего развития. Немаловажно, что за счет активной эксплуатации на территории РФ набор успешных интеграций пополнился еще и целым рядом отечественных систем (например, Kaspersky, DeviceLock, 1С:Предприятие). В результате проведенного анализа, по совокупности характеристик нами было принято решение об использовании HP ArcSight в качестве платформы для автоматизированной системы обработки и корреляции событий ИБ. Оптимизация работы с инцидентами ИБ. Обеспечение информационной безопасности в организациях зачастую связано с различного рода дефицитами. Для примера, поговорим о двух наиболее распространенных из них: дефиците времени для выявления инцидента и дефиците ресурсов на его расследование и реагирование. Трудности при выявлении инцидентов особенно сильно проявляются в условиях больших и сложных инфраструктур, когда для проведения 1 По версии исследовательской компании Gartner Inc.
анализа нужно выполнять много ручных операций и обращений за дополнительной информацией. Это приводит к тому, что проактивной работы с инцидентами ИБ не производится, а расследование выполняется зачастую уже по факту свершившегося события. Сбор и корреляция событий в реальном времени является хорошим подспорьем в борьбе с дефицитом времени при выявлении и расследовании инцидентов. При этом система может сообщить ответственному сотруднику о возникающем инциденте оперативно, а зачастую и заранее, еще до того, как последствия инцидента приняли угрожающие размеры. Например, во многих организациях об эпидемии сетевого червя Conficker узнавали в момент отказа каналов связи, которые оказывались перегружены паразитным трафиком. При этом уже давно существуют четко сформулированные признаки, по которым можно распознать развитие эпидемии на раннем этапе и вовремя принять меры по ее локализации и устранению, не допустив при этом нарушения доступности информационных систем. Дефицит ресурсов, связанный с высокой загруженностью персонала на текущих задачах, является второй по порядку, но не по значению проблемой обеспечения информационной безопасности. Визуализация и обеспечение дополнительного контекста позволяют оператору системы экономить свое время и концентрировать усилия на самом важном, чтобы добиваться максимального возможного результата в условиях ограниченных ресурсов. Ведь два одинаковых по происхождению инцидента ИБ могут затрагивать разное количество узлов сети, пользователей или критичных информационных ресурсов. При этом время ответственного сотрудника ИБ на проведение оперативных мероприятий по локализации инцидента и организации устранения его негативных последствий может отличаться лишь незначительно. Новые способы обнаружения инцидентов ИБ - ботсети. Не менее важным результатом проекта для нас было внедрение в практику ответственных сотрудников ИВЦ новых способов обнаружения инцидентов ИБ для борьбы с новыми угрозами. Интеллектуализация и проникновение новых технологий может привести к тому, что например, зараженное почтовое сообщение или веб-страница, посещенная сотрудником, может привести к тяжелым последствиям в части управления перевозочным процессом и обеспечения безопасности движения. Для атак на АРМы, общесистемное оборудование, программное обеспечение и каналы передачи данных (то есть те самые базовые элементы, из которых строится и обеспечивается функционирование критических функций средств автоматизации и АСУТП) все более часто злоумышленниками стали использоваться ботсети (botnet).
Ботсетями называют компьютерные сети, состоящие из некоторого количества узлов (сотен единиц или сотен тысяч), находящимися под управлением скрытно установленного комплекса программ, позволяющих владельцу ботсети выполнять произвольные действия с использованием ресурсов зараженного компьютера. Наиболее типичными видами злонамеренной активности является рассылка спама, выполнение атак на отказ в обслуживании (DDoS), подбор паролей и воровство конфиденциальной информации. Важным свойством ботсетей является их устойчивость к традиционным средствам защиты, а также возросшая популярность этого инструмента атаки, которая привела к тому, что сейчас ботсети из сотен или сотен тысяч узлов стали доступны рядовым злоумышленникам за очень небольшие деньги порядка 0,5 цента за один зараженный хост. Для вовлечения АРМа в ботсеть обычно используются уязвимости ПО (браузеров, программ просмотра документов и мультимедиа) и операционных систем. В дальнейшем внутри сети предприятия распространение злонамеренного ПО может идти альтернативными путями (выявление и взлом уязвимых систем, подбор паролей, использование сетевых каталогов), которые позволяют выполнять заражение гораздо быстрее и эффективнее, а главное, автоматически и без активного участия пользователя. Обеспечение защищенности ИТ-инфраструктуры в контексте подобных угроз традиционными способами (сегментация сетей, антивирусная защита, обновление ПО и операционных систем) необходимо, но недостаточно. В условиях, когда выполнение регламентных операций на десятках тысяч узлов сети может занимать дни или недели (при обновлении узлов АСУТП зачастую больше), злоумышленники обладают существенным преимуществом при проникновении в сеть предприятия. Для понимания сценариев проникновения достаточно ознакомиться с технологиями атак (Stuxnet, Flame, duqu, «Red October»), которые позволяют обходить коммерческие средства защиты и, главное, маскироваться в дальнейшем под повседневную работу пользователя. Для борьбы с этим типом угроз в нашем проекте использовался дополнительный функциональный модуль продукта HP ArcSight под названием «Reputation Security Monitor», который представляет собой репутационную БД IP-адресов и записей DNS сети Интернет, замеченных в злонамеренной активности (например, распространении вирусов, спама, находящихся под управлением злоумышленников).
Информация из этой репутационной БД может быть использована для:  борьбы с зараженными узлами внутренней сети, когда злонамеренное ПО не определяется коммерческими антивирусами;  выявления скоординированных атак со стороны бот-сетей на сервисы доступные из сети Интернет;  использования сервисов, доступных из сети Интернет, с АРМ, находящихся под контролем злоумышленников;  посещение сотрудниками узлов сети Интернет, распространяющих злонамеренное ПО (drive-by-download). В настоящий момент, в репутационную БД входит более 93 000 IP- адресов и более 572 000 записей DNS, информация о которых обновляется каждые два часа. По количеству записей российский сегмент сети Интернет стоит на третьем месте, уступая только США и Китаю. Наполнение «Reputation Security Monitor» обеспечивается выделенным подразделением HP Enterprise Security - лабораторией сетевой безопасности DVLabs (http://dvlabs.tippingpoint.com) с использованием собственной сети сенсоров, информации от эксплуатирующихся систем предотвращения вторжений Tipping-Point и данных из открытых источников (SANS, публикации об известных атаках и пр.). Примечательно, что один из филиалов DVLabs работает в Санкт- Петербурге с 2007 года. Используя информацию из репутационной БД «Reputation Security Monitor» при корреляции событий ИБ, мы смогли добиться хороших результатов при выявлении злонамеренного ПО, которое не определяется (или временно не определяется) коммерческими антивирусами. Выявление инцидентов такого рода до внедрения автоматизированной системы обработки и корреляции событий ИБ было невозможно, а ведь наличие таких «троянских коней» внутри (!) сети предприятия несет очень серьезную угрозу доступности и конфиденциальности информации. Новые способы обнаружения инцидентов ИБ – поведенческий анализ. Как мы уже видели, для выявления инцидентов ИБ могут использоваться различные технологии – правила корреляции, отчеты, средства визуализации информации, обеспечение дополнительного контекста, репутационные базы. Однако все они в той или иной мере требуют от нас либо заранее определить признаки инцидента, либо
идентифицировать злоумышленника с использованием информации, полученной извне. Такой подход (от частного к общему) не всегда применим при выявлении особо сложных для обнаружения инцидентов ИБ, когда признаки злонамеренной активности заранее определить не представляется возможным. Поэтому не менее важным для выявления инцидентов ИБ является возможность проведения поведенческого анализа сетевой активности. Для решения этой задачи в нашем проекте использовался дополнительный функциональный модуль HP ArcSight под названием «Pattern Discovery». Его задачей является выявление повторяющихся и связанных между собой событий на основе автоматически формулируемых признаков. Этот модуль позволяет анализировать по настоящему большие объемы событий и оперативно предоставлять оператору системы для последующего анализа небольшой перечень паттернов активности. В результате их анализа, например, возможно выявлять активность злонамеренного ПО, которое пытается замаскироваться под повседневную работу пользователя ПК. Кроме того, появляется возможность выявления активности ПО, которое трудно обнаружить традиционными средствами, например, работу игровых приложений или приложений которые скрывают признаки своего присутствия в ОС. Заключение. Подводя итоги, можно отметить, что встроенные возможности платформы HP ArcSight позволили нам в краткие сроки выполнить интеграцию с более чем 13 информационными системами и системами защиты информации ИВЦ, разработать логику и реализовать более 100 правил, отчетов и графических представлений для обнаружения инцидентов ИБ. Этот функционал в руках команды квалифицированных специалистов ОАО «РЖД» позволил добиться реального улучшения показателей защищенности, обнаружить несколько инцидентов, которые невозможно было выявить имеющимися средствами защиты. Крайне важным при внедрении систем подобного рода является наличие поддержки и активного участия рядовых сотрудников, ответственных за информационную безопасность. Создание правил выявления инцидентов, получение осязаемых результатов от работы системы оказалось возможным только благодаря высокому профессионализму, глубокой вовлеченности и искренней поддержке персонала Ярославского ИВЦ Северной железной дороги и Санкт- Петербургского ИВЦ Октябрьской железной дороги. Значительная часть функционала системы была основана на предложениях, поступивших в
результате предпроектного обследования и тестовой эксплуатации системы. При этом с особой благодарностью хотелось бы отметить вклад Михаила Евелевича Бородулина, Сергея Владимировича Чернуля, а также сказать спасибо Александру Валентиновичу Гасину за общее кураторство проекта по созданию автоматизированной системы обработки и корреляции событий ИБ ОАО «РЖД». В настоящий момент, является общим мнением, что внедренное решение, выполняемые и предложенные к реализации работы по его развитию охватывают значительный объем актуальных задач по обеспечению безопасности информации объектов инфраструктуры, сохранение конфиденциальности, целостности и доступности информации, а также единства информационного пространства РЖД. Это стало возможным за счет своевременного выявления и реагирования на инциденты информационной безопасности, появления новых возможностей по корреляции и визуализации событий ИБ, созданию новых методик выявления злонамеренной активности и оптимизации работы ответственных сотрудников. Мы надеемся, что описанный опыт создания автоматизированной системы обработки и корреляции событий ИБ будет интересен для специалистов различного профиля, а также будет иметь практическую значимость в борьбе за информационную безопасность учреждений и предприятий транспорта.

Recomendados

Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Система Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияСистема Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколения
Cisco Russia
 
Вебинар: DeviceLock - экспертный взгляд на DLP-технологии
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииВебинар: DeviceLock - экспертный взгляд на DLP-технологии
Вебинар: DeviceLock - экспертный взгляд на DLP-технологии
DialogueScience
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Russia
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
КРОК
 

Recomendados

Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Система Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколенияСистема Sourcefire IPS нового поколения
Система Sourcefire IPS нового поколения
Cisco Russia
 
Вебинар: DeviceLock - экспертный взгляд на DLP-технологии
Вебинар: DeviceLock - экспертный взгляд на DLP-технологииВебинар: DeviceLock - экспертный взгляд на DLP-технологии
Вебинар: DeviceLock - экспертный взгляд на DLP-технологии
DialogueScience
 
Охват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и послеОхват всего периода атаки: до, во время и после
Охват всего периода атаки: до, во время и после
Cisco Russia
 
Межесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco FirepowerМежесетевой экран нового поколения Cisco Firepower
Межесетевой экран нового поколения Cisco Firepower
Cisco Russia
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Russia
 
Решения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакамРешения КРОК для противодействия направленным атакам
Решения КРОК для противодействия направленным атакам
КРОК
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Cisco Russia
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Cisco Russia
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Expolink
 
DLP-системы
DLP-системыDLP-системы
DLP-системы
Softline
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
Cisco Russia
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
КРОК
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Cisco Russia
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. Исследование
Cisco Russia
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
Cisco Russia
 
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Cisco Russia
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Expolink
 
Значимость интегрированной безопасности
Значимость интегрированной безопасностиЗначимость интегрированной безопасности
Значимость интегрированной безопасности
Cisco Russia
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателей
Cisco Russia
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Expolink
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
Positive Hack Days
 
Межсетевой экран Sourcefire нового поколения
Межсетевой экран Sourcefire нового поколенияМежсетевой экран Sourcefire нового поколения
Межсетевой экран Sourcefire нового поколения
Cisco Russia
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
ERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_Soft
Eugene Afonin
 
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITY
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYSOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITY
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITY
DialogueScience
 

Mais conteúdo relacionado

Mais procurados

Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Cisco Russia
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Cisco Russia
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Cisco Russia
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
Cisco Russia
 
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Cisco Russia
 
Значимость интегрированной безопасности
Значимость интегрированной безопасностиЗначимость интегрированной безопасности
Значимость интегрированной безопасности
Cisco Russia
 
Межсетевой экран Sourcefire нового поколения
Межсетевой экран Sourcefire нового поколенияМежсетевой экран Sourcefire нового поколения
Межсетевой экран Sourcefire нового поколения
Cisco Russia
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 

Mais procurados (20)

Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
 
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годОтчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 год
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиПолугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасности
 
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
Cisco. Лукацкий Алексей. "Методы современных киберпреступников"
 
DLP-системы
DLP-системыDLP-системы
DLP-системы
 
Cisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистовCisco Advanced Malware Protection для технических специалистов
Cisco Advanced Malware Protection для технических специалистов
 
Cистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасностиCистемы для управления инцидентами и событиями информационной безопасности
Cистемы для управления инцидентами и событиями информационной безопасности
 
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакПрограммы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
 
Кибербезопасность в России. Исследование
Кибербезопасность в России. ИсследованиеКибербезопасность в России. Исследование
Кибербезопасность в России. Исследование
 
Программы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угрозПрограммы-вымогатели: все, что нужно знать об этом виде угроз
Программы-вымогатели: все, что нужно знать об этом виде угроз
 
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
Выявление и нейтрализация целенаправленных атак и совершенно новых угроз с по...
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
 
Значимость интегрированной безопасности
Значимость интегрированной безопасностиЗначимость интегрированной безопасности
Значимость интегрированной безопасности
 
Контрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателейКонтрольный список для предотвращения атак программ-вымогателей
Контрольный список для предотвращения атак программ-вымогателей
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
 
внутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_finalвнутренние угрозы Ph days_26 05 2015_final
внутренние угрозы Ph days_26 05 2015_final
 
Межсетевой экран Sourcefire нового поколения
Межсетевой экран Sourcefire нового поколенияМежсетевой экран Sourcefire нового поколения
Межсетевой экран Sourcefire нового поколения
 
Практический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасностиПрактический опыт специалиста по информационной безопасности
Практический опыт специалиста по информационной безопасности
 

Destaque

ERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_Soft
Eugene Afonin
 
Вебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-системВебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-систем
DialogueScience
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
DialogueScience
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
DialogueScience
 
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компанииСоздание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
DialogueScience
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 

Destaque (12)

ERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_SoftERC_N_3_(33)_HP ArcSight_Soft
ERC_N_3_(33)_HP ArcSight_Soft
 
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITY
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITYSOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITY
SOMETHING INTANGIBLE, BUT REAL ABOUT CYBERSECURITY
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Вебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-системВебинар: Функциональные возможности современных SIEM-систем
Вебинар: Функциональные возможности современных SIEM-систем
 
Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.Стандарт PCI DSS. Особенности внедрения.
Стандарт PCI DSS. Особенности внедрения.
 
Safe inspect. Средство контроля за действиями привилегированных пользователей
Safe inspect. Средство контроля за действиями привилегированных пользователейSafe inspect. Средство контроля за действиями привилегированных пользователей
Safe inspect. Средство контроля за действиями привилегированных пользователей
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
SIEM Security Capsule
SIEM Security CapsuleSIEM Security Capsule
SIEM Security Capsule
 
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компанииСоздание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
 
QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk QRadar, ArcSight and Splunk
QRadar, ArcSight and Splunk
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 

Semelhante a IntellectTrans-2013

Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДПортфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОД
Cisco Russia
 
Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТПРешения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
КРОК
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
Cisco Russia
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
 
Устранение веб-угроз с помощью комплексных средств безопасности
Устранение веб-угроз с помощью комплексных средств безопасностиУстранение веб-угроз с помощью комплексных средств безопасности
Устранение веб-угроз с помощью комплексных средств безопасности
Cisco Russia
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Expolink
 
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекстаCisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco Russia
 
06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+
Marina_creautor
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatch
Cisco Russia
 
Краткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годКраткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 год
Cisco Russia
 

Semelhante a IntellectTrans-2013 (20)

Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угроз
 
Портфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОДПортфель корпоративных решений Cisco для защищенного ЦОД
Портфель корпоративных решений Cisco для защищенного ЦОД
 
Решения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТПРешения КРОК для информационная безопасность АСУ ТП
Решения КРОК для информационная безопасность АСУ ТП
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
 
Security of Information and Communication Systems
Security of Information and Communication SystemsSecurity of Information and Communication Systems
Security of Information and Communication Systems
 
Upd pci compliance
Upd pci compliance Upd pci compliance
Upd pci compliance
 
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
InfoWatch. Олег Коробейников. "Защита от внутренних угроз и таргетированных а...
 
Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...Решения Cisco по защите автоматизированных систем управления технологическими...
Решения Cisco по защите автоматизированных систем управления технологическими...
 
InfoWatch
InfoWatchInfoWatch
InfoWatch
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
 
Устранение веб-угроз с помощью комплексных средств безопасности
Устранение веб-угроз с помощью комплексных средств безопасностиУстранение веб-угроз с помощью комплексных средств безопасности
Устранение веб-угроз с помощью комплексных средств безопасности
 
Inforomation security Basic presentation .pptx
Inforomation security Basic presentation .pptxInforomation security Basic presentation .pptx
Inforomation security Basic presentation .pptx
 
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью CiscoПостроение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекстаCisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекста
 
06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+06 статьев-рнт- новосибирск 24-04-2013+
06 статьев-рнт- новосибирск 24-04-2013+
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatch
 
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdfАксёнов_Разработка_общей_схемы_СЗИ.pdf
Аксёнов_Разработка_общей_схемы_СЗИ.pdf
 
Краткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 годКраткий справочник по кибербезопасности Cisco за 2016 год
Краткий справочник по кибербезопасности Cisco за 2016 год
 

IntellectTrans-2013

  • 1. СОЗДАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОБРАБОТКИ И КОРРЕЛЯЦИИ СОБЫТИЙ ИБ ОАО «РЖД» Глухов А.П. Зенковский А.К. Афонин Е.С. ОАО «РЖД», ЗАО НИП «Информзащита» Введение. Обеспечение безопасности информационных систем и телекоммуникационных сетей становится все более сложной задачей. Огромное количество разрушающих программных средств, средств несанкционированного доступа, а также постоянное развитие информационных систем, в том числе и АСУТП, дают основание утверждать, что борьба за информационную безопасность стала одним из важнейших направлений деятельности, как государственных учреждений, так и коммерческих организаций различного уровня. В ОАО «РЖД» деятельность по обеспечению ИБ направлена на обеспечение безопасности информации объектов инфраструктуры, а также на сохранение конфиденциальности, целостности и доступности информации, единства информационного пространства РЖД. В данном контексте нам хотелось бы рассказать о результатах проекта по созданию автоматизированной системы обработки и корреляции событий ИБ ОАО «РЖД». Ни один проект не может быть успешным без четко поставленных целей, которые были сформулированы нами следующим образом:  Выбрать для построения системы платформу, которая бы, с одной стороны, обладала богатым встроенным функционалом, чтобы минимизировать затраты на интеграцию, а с другой стороны, могла бы легко масштабироваться для работы с большими объемами данных;  Оптимизировать работу с инцидентами ИБ, особенно в контексте дефицита времени и ресурсов сотрудников, ответственных за работу с ними;  Разработать и внедрить в практику новые способы обнаружения инцидентов ИБ с помощью корреляции событий и поведенческого анализа сетевой активности. Выбор платформы. В октябре 2010 года на конференции «Инфотранс» (тогда еще Директор департамента информатизации и корпоративных процессов)
  • 2. РЖД Алексей Илларионов дал следующую оценку ИТ-инфраструктуры: «В РЖД эксплуатируется один из самых крупных в стране информационных комплексов, 64 мэйнфрейма, более чем 300 корпоративных серверов, объем памяти хранилищ – более 2 ПБ, более 280 тыс. ПК. У нас 12 тыс. сотрудников занимаются информатизацией компании. Эксплуатируются более 4 тыс. информационных систем (ИС), все они имеют различный масштаб, но среди них есть беспрецедентные по размеру и не имеющие аналогов в мире». Не каждое средство защиты способно обеспечивать безопасность информации в таких непростых условиях. Поэтому выбору платформы для создания автоматизированной системы обработки и корреляции событий ИБ мы подошли очень ответственно. Продукт HP ArcSight, входящий в общий пакет решений HP Enterprise Security, существует на рынке систем мониторинга и управления событиями информационной безопасности уже более 12 лет. Являясь многолетним лидером в данной области1 , HP ArcSight используется более чем в 2000 организаций в мире. Немаловажно и то, что с 2007 уже на протяжении пяти лет, он увеличивает свою популярность и среди отечественных компаний. Обладая самым большим в индустрии количеством встроенных шлюзов для интеграции с информационными системами и средствами защиты информации (более 350 различных систем, из них SAP, Checkpoint, Cisco, Oracle), HP ArcSight действительно помогает сократить время и стоимость внедрения и дальнейшего развития. Немаловажно, что за счет активной эксплуатации на территории РФ набор успешных интеграций пополнился еще и целым рядом отечественных систем (например, Kaspersky, DeviceLock, 1С:Предприятие). В результате проведенного анализа, по совокупности характеристик нами было принято решение об использовании HP ArcSight в качестве платформы для автоматизированной системы обработки и корреляции событий ИБ. Оптимизация работы с инцидентами ИБ. Обеспечение информационной безопасности в организациях зачастую связано с различного рода дефицитами. Для примера, поговорим о двух наиболее распространенных из них: дефиците времени для выявления инцидента и дефиците ресурсов на его расследование и реагирование. Трудности при выявлении инцидентов особенно сильно проявляются в условиях больших и сложных инфраструктур, когда для проведения 1 По версии исследовательской компании Gartner Inc.
  • 3. анализа нужно выполнять много ручных операций и обращений за дополнительной информацией. Это приводит к тому, что проактивной работы с инцидентами ИБ не производится, а расследование выполняется зачастую уже по факту свершившегося события. Сбор и корреляция событий в реальном времени является хорошим подспорьем в борьбе с дефицитом времени при выявлении и расследовании инцидентов. При этом система может сообщить ответственному сотруднику о возникающем инциденте оперативно, а зачастую и заранее, еще до того, как последствия инцидента приняли угрожающие размеры. Например, во многих организациях об эпидемии сетевого червя Conficker узнавали в момент отказа каналов связи, которые оказывались перегружены паразитным трафиком. При этом уже давно существуют четко сформулированные признаки, по которым можно распознать развитие эпидемии на раннем этапе и вовремя принять меры по ее локализации и устранению, не допустив при этом нарушения доступности информационных систем. Дефицит ресурсов, связанный с высокой загруженностью персонала на текущих задачах, является второй по порядку, но не по значению проблемой обеспечения информационной безопасности. Визуализация и обеспечение дополнительного контекста позволяют оператору системы экономить свое время и концентрировать усилия на самом важном, чтобы добиваться максимального возможного результата в условиях ограниченных ресурсов. Ведь два одинаковых по происхождению инцидента ИБ могут затрагивать разное количество узлов сети, пользователей или критичных информационных ресурсов. При этом время ответственного сотрудника ИБ на проведение оперативных мероприятий по локализации инцидента и организации устранения его негативных последствий может отличаться лишь незначительно. Новые способы обнаружения инцидентов ИБ - ботсети. Не менее важным результатом проекта для нас было внедрение в практику ответственных сотрудников ИВЦ новых способов обнаружения инцидентов ИБ для борьбы с новыми угрозами. Интеллектуализация и проникновение новых технологий может привести к тому, что например, зараженное почтовое сообщение или веб-страница, посещенная сотрудником, может привести к тяжелым последствиям в части управления перевозочным процессом и обеспечения безопасности движения. Для атак на АРМы, общесистемное оборудование, программное обеспечение и каналы передачи данных (то есть те самые базовые элементы, из которых строится и обеспечивается функционирование критических функций средств автоматизации и АСУТП) все более часто злоумышленниками стали использоваться ботсети (botnet).
  • 4. Ботсетями называют компьютерные сети, состоящие из некоторого количества узлов (сотен единиц или сотен тысяч), находящимися под управлением скрытно установленного комплекса программ, позволяющих владельцу ботсети выполнять произвольные действия с использованием ресурсов зараженного компьютера. Наиболее типичными видами злонамеренной активности является рассылка спама, выполнение атак на отказ в обслуживании (DDoS), подбор паролей и воровство конфиденциальной информации. Важным свойством ботсетей является их устойчивость к традиционным средствам защиты, а также возросшая популярность этого инструмента атаки, которая привела к тому, что сейчас ботсети из сотен или сотен тысяч узлов стали доступны рядовым злоумышленникам за очень небольшие деньги порядка 0,5 цента за один зараженный хост. Для вовлечения АРМа в ботсеть обычно используются уязвимости ПО (браузеров, программ просмотра документов и мультимедиа) и операционных систем. В дальнейшем внутри сети предприятия распространение злонамеренного ПО может идти альтернативными путями (выявление и взлом уязвимых систем, подбор паролей, использование сетевых каталогов), которые позволяют выполнять заражение гораздо быстрее и эффективнее, а главное, автоматически и без активного участия пользователя. Обеспечение защищенности ИТ-инфраструктуры в контексте подобных угроз традиционными способами (сегментация сетей, антивирусная защита, обновление ПО и операционных систем) необходимо, но недостаточно. В условиях, когда выполнение регламентных операций на десятках тысяч узлов сети может занимать дни или недели (при обновлении узлов АСУТП зачастую больше), злоумышленники обладают существенным преимуществом при проникновении в сеть предприятия. Для понимания сценариев проникновения достаточно ознакомиться с технологиями атак (Stuxnet, Flame, duqu, «Red October»), которые позволяют обходить коммерческие средства защиты и, главное, маскироваться в дальнейшем под повседневную работу пользователя. Для борьбы с этим типом угроз в нашем проекте использовался дополнительный функциональный модуль продукта HP ArcSight под названием «Reputation Security Monitor», который представляет собой репутационную БД IP-адресов и записей DNS сети Интернет, замеченных в злонамеренной активности (например, распространении вирусов, спама, находящихся под управлением злоумышленников).
  • 5. Информация из этой репутационной БД может быть использована для:  борьбы с зараженными узлами внутренней сети, когда злонамеренное ПО не определяется коммерческими антивирусами;  выявления скоординированных атак со стороны бот-сетей на сервисы доступные из сети Интернет;  использования сервисов, доступных из сети Интернет, с АРМ, находящихся под контролем злоумышленников;  посещение сотрудниками узлов сети Интернет, распространяющих злонамеренное ПО (drive-by-download). В настоящий момент, в репутационную БД входит более 93 000 IP- адресов и более 572 000 записей DNS, информация о которых обновляется каждые два часа. По количеству записей российский сегмент сети Интернет стоит на третьем месте, уступая только США и Китаю. Наполнение «Reputation Security Monitor» обеспечивается выделенным подразделением HP Enterprise Security - лабораторией сетевой безопасности DVLabs (http://dvlabs.tippingpoint.com) с использованием собственной сети сенсоров, информации от эксплуатирующихся систем предотвращения вторжений Tipping-Point и данных из открытых источников (SANS, публикации об известных атаках и пр.). Примечательно, что один из филиалов DVLabs работает в Санкт- Петербурге с 2007 года. Используя информацию из репутационной БД «Reputation Security Monitor» при корреляции событий ИБ, мы смогли добиться хороших результатов при выявлении злонамеренного ПО, которое не определяется (или временно не определяется) коммерческими антивирусами. Выявление инцидентов такого рода до внедрения автоматизированной системы обработки и корреляции событий ИБ было невозможно, а ведь наличие таких «троянских коней» внутри (!) сети предприятия несет очень серьезную угрозу доступности и конфиденциальности информации. Новые способы обнаружения инцидентов ИБ – поведенческий анализ. Как мы уже видели, для выявления инцидентов ИБ могут использоваться различные технологии – правила корреляции, отчеты, средства визуализации информации, обеспечение дополнительного контекста, репутационные базы. Однако все они в той или иной мере требуют от нас либо заранее определить признаки инцидента, либо
  • 6. идентифицировать злоумышленника с использованием информации, полученной извне. Такой подход (от частного к общему) не всегда применим при выявлении особо сложных для обнаружения инцидентов ИБ, когда признаки злонамеренной активности заранее определить не представляется возможным. Поэтому не менее важным для выявления инцидентов ИБ является возможность проведения поведенческого анализа сетевой активности. Для решения этой задачи в нашем проекте использовался дополнительный функциональный модуль HP ArcSight под названием «Pattern Discovery». Его задачей является выявление повторяющихся и связанных между собой событий на основе автоматически формулируемых признаков. Этот модуль позволяет анализировать по настоящему большие объемы событий и оперативно предоставлять оператору системы для последующего анализа небольшой перечень паттернов активности. В результате их анализа, например, возможно выявлять активность злонамеренного ПО, которое пытается замаскироваться под повседневную работу пользователя ПК. Кроме того, появляется возможность выявления активности ПО, которое трудно обнаружить традиционными средствами, например, работу игровых приложений или приложений которые скрывают признаки своего присутствия в ОС. Заключение. Подводя итоги, можно отметить, что встроенные возможности платформы HP ArcSight позволили нам в краткие сроки выполнить интеграцию с более чем 13 информационными системами и системами защиты информации ИВЦ, разработать логику и реализовать более 100 правил, отчетов и графических представлений для обнаружения инцидентов ИБ. Этот функционал в руках команды квалифицированных специалистов ОАО «РЖД» позволил добиться реального улучшения показателей защищенности, обнаружить несколько инцидентов, которые невозможно было выявить имеющимися средствами защиты. Крайне важным при внедрении систем подобного рода является наличие поддержки и активного участия рядовых сотрудников, ответственных за информационную безопасность. Создание правил выявления инцидентов, получение осязаемых результатов от работы системы оказалось возможным только благодаря высокому профессионализму, глубокой вовлеченности и искренней поддержке персонала Ярославского ИВЦ Северной железной дороги и Санкт- Петербургского ИВЦ Октябрьской железной дороги. Значительная часть функционала системы была основана на предложениях, поступивших в
  • 7. результате предпроектного обследования и тестовой эксплуатации системы. При этом с особой благодарностью хотелось бы отметить вклад Михаила Евелевича Бородулина, Сергея Владимировича Чернуля, а также сказать спасибо Александру Валентиновичу Гасину за общее кураторство проекта по созданию автоматизированной системы обработки и корреляции событий ИБ ОАО «РЖД». В настоящий момент, является общим мнением, что внедренное решение, выполняемые и предложенные к реализации работы по его развитию охватывают значительный объем актуальных задач по обеспечению безопасности информации объектов инфраструктуры, сохранение конфиденциальности, целостности и доступности информации, а также единства информационного пространства РЖД. Это стало возможным за счет своевременного выявления и реагирования на инциденты информационной безопасности, появления новых возможностей по корреляции и визуализации событий ИБ, созданию новых методик выявления злонамеренной активности и оптимизации работы ответственных сотрудников. Мы надеемся, что описанный опыт создания автоматизированной системы обработки и корреляции событий ИБ будет интересен для специалистов различного профиля, а также будет иметь практическую значимость в борьбе за информационную безопасность учреждений и предприятий транспорта.