PT Platform 187: обеспечение безопасности...: M.5 Dонтроль и...

ptsecurity.com

PT Platform 187: обеспечение безопасности объектов КИИ для небольших инфраструктур

Киреев Ильяс

Продвижение и развитие продуктов

[email protected]

ФЗ от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

187-ФЗ — вершина айсберга

”

“Субъекты КИИ - гос. органы и учреждения,

юр. лица и ИП

Объекты КИИ - ИС, ИТС, АСУ в сферах:

…3 категории значимых объектов КИИ…

Ответственность: статья 274.1 УК РФ

Невыполнение требований по обеспечению безопасности КИИ

=

Нарушение правил эксплуатации

Неправомерный доступ и воздействие на КИИ

Нарушение правил эксплуатации, если оно привело к инциденту:! до 6 лет лишения свободы

! до 8 лет в случае «группы лиц по предварительному сговору»

Невыполнение требований по обеспечению безопасности КИИ в случае

инцидента с тяжкими последствиями или угрозой таких последствий! до 10 лет лишения свободы

Порядок категорирования объектов КИИ

Решение о

начале работ по

защите КИИ

Создание

комиссии по

категорированию

Сбор исходных

данных

Выработка

перечня

объектов КИИ

Категорирование


Получение

информации о

внесении в реестр КИИ

Приказ о создании



Перечень объектов

КИИ, подлежащих


Акт

категорирования

объекта КИИ

Отправка перечня

объектов КИИ во

ФСТЭК

Отправка

результатов

категорирования в

ФСТЭК

Получение перечня


Ув

ед

ом

ле

ни

е

Внесение

данных в

реестр

Реестр

значимых


Корректно?

да

нет

Уведомление

ФСТЭК России

Субъект КИИ

до 1 года

5 дней

10 дней

30 дней

Порядок категорирования объектов КИИ

Решение о

начале работ по

защите КИИ

Создание



Сбор исходных

данных

Выработка

перечня


Категорирование


Получение

информации о

внесении в реестр КИИ

Приказ о создании



Перечень объектов

КИИ, подлежащих


Акт


объекта КИИ

Отправка перечня

объектов КИИ во

ФСТЭК

Отправка

результатов


в ФСТЭК

Получение перечня


Ув

ед

ом

ле

ни

е

Внесение

данных в

реестр

Реестр

значимых


Корректно?

да

нет

Уведомление

ФСТЭК России

Субъект КИИ

до 1 года

5 дней

10 дней

30 дней

Требования ФСТЭК России (приказ №239): базовый набор мер

АУД.1 Инвентаризация информационных ресурсов

АУД.2 Анализ уязвимостей и их устранение

АУД.10 Проведение внутренних аудитов

АУД.11 Проведение внешних аудитов


АУД.4 Регистрация событий безопасности

АУД.5 Контроль и анализ сетевого трафика

АУД.6 Защита информации о событиях безопасности

АУД.7 Мониторинг безопасности

АУД.8Реагирование на сбои при регистрации событий

безопасности

ИНЦ.1 Выявление компьютерных инцидентов

ИНЦ.2 Информирование о компьютерных инцидентах

ИНЦ.5Принятие мер по предотвращению повторного

возникновения компьютерных инцидентов

Покрытие требований ФСТЭК России
















MaxPatrol 8

















MaxPatrol 8

MaxPatrol SIEM



СОВ.1 Обнаружение и предотвращение компьютерных атак

СОВ.2 Обновление базы решающих правил

АВЗ.2Антивирусная защита электронной почты и иных

сервисов

АВЗ.3Контроль использования архивных, исполняемых и

зашифрованных файлов

АВЗ.4Обновление базы данных признаков вредоносных

компьютерных программ (вирусов)

АВЗ.5Использование средств антивирусной защиты

различных производителей

ЗИС.7Использование эмулятора среды функционирования

программного обеспечения ("песочница")






сервисов










PT Network Attack

Discovery

PT ISIM

PT Application

Firewall





сервисов









PT Network Attack

Discovery

PT MultiScanner


PT ISIM

PT Application

Firewall

Разработка ТЗ (ЧТЗ) на

создание СБ ЗО КИИ

Проектирование

системы безопасностиВнедрение средств обеспечения

безопасности ЗО КИИ

Опытная

эксплуатация

Выявление уязвимостей,

в т.ч. уязвимости кода

Приемочные испытания

или Аттестация (если ГИС)

Обеспечение

функционирования

СБ ЗО КИИ

MaxPatrol 8 PT Application

InspectorPT Application

Firewall

Продукты Positive Technologies

ФСТЭК России (приказ № 235).

Создание системы безопасности ЗО КИИ

Проектирование

системы безопасностиВнедрение средств обеспечения

безопасности ЗО КИИ

Опытная

эксплуатация

Выявление уязвимостей,

в т.ч. уязвимости кода

Приемочные испытания

или аттестация (если ГИС)

Обеспечение

функционирования

СБ ЗО КИИ

MaxPatrol 8 PT Application

InspectorPT Application

Firewall

Продукты Positive Technologies

Разработка ТЗ (ЧТЗ) на

создание СБ ЗО КИИ

ФСТЭК России (приказ № 235).

Создание системы безопасности ЗО КИИ

Реестр российского ПО и сертификаты ФСТЭК

• MaxPatrol 8

• MaxPatrol SIEM

• PT Application Firewall

• PT Application Inspector

• PT MultiScanner

• PT ISIM

• ПТ Ведомственный центр

• PT Network Attack Discovery

• MaxPatrol 8 — сертификат № 2922

• MaxPatrol SIEM – сертификат № 3734

• PT Application Firewall — сертификат № 3455

• PT MultiScanner

• PT ISIM

• PT Application Inspector

• PT Network Attack Discovery

В реестре российского ПО: Сертификаты ФСТЭК России:

coming soon

coming soon

coming soon

coming soon

coming soon

coming soon

Полезные ссылки

• Вебинар «Безопасность КИИ: что нас ждет в 2018 году»: ptsecurity.com/ru-ru/research/webinar/284799/

• Рубрика «Вопрос-ответ» в официальной группе Positive Technologiesв Facebook. Тема: 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

https://www.ptsecurity.com/ru-ru/research/webinar/284799/

https://www.facebook.com/notes/positive-technologies/%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BE%D1%82%D0%B2%D0%B5%D1%82/1848630358500723/

Задачи по 187-ФЗ

Защита от неправомерного доступа к информации,

обрабатываемой КИИ

Защита от негативных воздействий, в результате которых может быть

нарушено и (или) прекращено функционирование объекта КИИ

Восстановление функционирования объекта КИИ

Непрерывное взаимодействие с ГосСОПКА

Даже если нет значимых объектов КИИ…

Незамедлительно информировать ФСБ России об инцидентах

Оказывать содействие должностным лицам ФСБ в деятельности, связанной с предупреждением, обнаружением и ликвидацией последствий инцидентов

Обеспечивать выполнение порядка, технических условий установки и эксплуатации технических средств ГосСОПКА, если они устанавливаются на его объектах КИИ

ФСБ России: приказы в разработке

Развитием ГосСОПКА

занимается НКЦКИ —

Национальный

координационный центр по

компьютерным инцидентам

Выявление уязвимостей

Обнаружение атак

Анализ результатов

Рекомендации

ФСБ России

Повышение осведомленности персонала и пользователей

ГосСОПКА. Методические рекомендации

Анализ данных о событиях безопасности

Прием сообщений об инцидентах

Регистрация инцидентов

Реагирование на инциденты

Расследование инцидентов

Инвентаризация

Анализ угроз

PT Application

Inspector

MaxPatrol 8

MaxPatrol SIEM





ФСБ России










PT Application

Inspector

MaxPatrol 8

MaxPatrol SIEM

PT ISIM PT Application

FirewallPT MultiScanner PT Network Attack

Discovery





ФСБ России










PT Application

Inspector

MaxPatrol 8

MaxPatrol SIEM

PT ISIM PT Application

FirewallPT MultiScanner PT Network Attack

Discovery

MaxPatrol SIEM

ПТ

Ведомственный

центр





ФСБ России










Позитивная архитектура

А что делать?

Создание процессов для

мониторинга инцидентов

и реагирования занимает

значительное время

Без людей информационные

системы не работают,

ГосСОПКА – не исключение

Выбор средств защиты, их

тестирование и установка –

трудоемкий процесс

Процессы Тех.средстваЛюди

Создание систем безопасности объектов КИИ,

построение центров ГосСОПКА

PT Platform 187

Реализация основных требований 187-ФЗ и

функций центров ГосСОПКА

для небольших обособленных инфраструктур

MaxPatrol 8MaxPatrol SIEM

ПТ Ведомственный

центрPT Network Attack

Discovery

PT MultiScanner

Система контроля

защищенности

Система мониторинга

событий и выявления

инцидентов

Система выявления

вредоносного контента

Система управления

инцидентами и

взаимодействия с НКЦКИ

Система комплексного

анализа сетевого трафика

Опциональное

подключение:

+ PT ISIM

+ PT Application Firewall

+ PT Application Inspector

+ Доп. хранилище до 36 ТБ

Состав PT Platform 187

Продажи только в виде

ПАК = сервер + ПО

Для небольших

инфраструктур –

не более 250 узлов

Архитектура PT Platform 187

до 250 узлов до 100 Мбит/с до 3000 FPHвключаются в мониторинг

MaxPatrol SIEM и

MaxPatrol 8

пропускная способность

PT Network Attack

Discovery

пропускная способность

PT MultiScanner

Ограничения

3PT MultiScanner

выявляет эпидемию и

передает событие в

MaxPatrol SIEM

1Злоумышленник

рассылает письма с

вирусом-

шифровальщиком

5ПТ Ведомственный центр

оформляет карточку

инцидента и отчитывается в

НКЦКИ

2Вирус попал в

инфраструктуру4MaxPatrol SIEM

выявляет инцидент и

передает информацию в


центр

6НКЦКИ собирает информацию

и помогает в реагировании

на атаки

Сценарий использования

«Зафиксировали новую кибератаку хакерской

группировки Cobalt, также известной как Carbanak и

Anunak…»

«…злоумышленники осуществили очередную

фишинговую рассылку»

«Далее получателям предлагалось перейти по ссылке,

ведущей на страницу загрузки документа Microsoft

Office, содержащего вредоносное вложение.»

«… вооружились еще более усовершенствованным

инструментом, созданным на основе программы для

проведения тестов на проникновение Cobalt Strike»

Вектор атаки Cobalt

Источник: securitylab.ru/news/492309.php

Хакерская группировка Cobalt продолжает

атаковать

Подготовка к атаке Эксплуатация Контроль и управление

Разведка Доставка Установка Выполнение действий

Kill Chain. Цепочка атаки

Разведка

Kill Chain. Разведка

Определили цель — «Рога и Копыта»

Пассивное сканирование — жертва, помощник

бухгалтера Алексей Потапов, наименование почты

[email protected]

Активное сканирование — ничего, кроме

открытых портов электронной почты не выявило

Разведка

Kill Chain. Подготовка к атаке

Злоумышленники проводят

мероприятия по подготовке APT атаки:

1. Выбирают вектор атаки

Вектор атаки:

ФишингИнструмент:

Cobalt Strike

2. Определяют:

• инструменты

• эксплойты

• утилиты

• скрипы

4. Определяют дату и

время

3. Распределяют роли

Уязвимость:

CVE-2017-11882

Подготовка к атаке

Kill Chain. Доставка

Злоумышленники отправляют

подготовленный файл жертве


Разведка Доставка

Kill Chain. Эксплуатация

На компьютере жертвы

- эксплуатируется уязвимость

Microsoft Office CVE-2017-11882

- злоумышленники получают

удаленный доступ

Подготовка к атаке Эксплуатация


Kill Chain. Инсталляция

Злоумышленники

устанавливают

Remote Access Tool (RAT)


Разведка Доставка Установка

Kill Chain. Контроль и Управление

CC –

проникновение

на целевую

систему



Контроль и управление

Kill Chain. Выполнение действий

Компрометация

целевой

системы

Подготовка к атаке Эксплуатация Контроль и управление

Разведка Доставка Установка Выполнение действий

Identity and Access

Management

Единая система авторизации

из коробки для всех продуктов

PT Platform 187. IAM

Сведения о событиях ИБ

Требования ФСБ России (проект):

В — визуализация

Сведения о событиях ИБ

Сведения об инциденте

Сведения о состоянии защищенности

информационных ресурсов

Инвентаризационная информация

об информационных ресурсах

MaxPatrol SIEM

ПРОДУКТЫ POSITIVE TECHNOLOGIES

PT Network Attack

Discovery

MaxPatrol 8


центр








Злоумышленники отправляют

подготовленный файл жертве



Kill Chain. PT MultiScanner и PT NAD


В — выявление

Обнаружение аномалий в трафике и признаков

кибератак

MaxPatrol SIEM

Анализ и хранение копий трафика

Извлечение файлов из трафика

Уведомление о фактах обнаружения признаков кибератак


PT Network Attack

Discovery

Kill Chain. MaxPatrol SIEM














О — обнаружение

Сбор и первичная обработка событий ИБ из

различных источников

Автоматический анализ событий ИБ и

выявление инцидентов

Ретроспективный анализ

Средства ГосСОПКА

в части предоставления

детализированных данных о

конкретном инциденте


MaxPatrol SIEM

Kill Chain. Инсталляция

Злоумышленники

устанавливают

Remote Access Tool (RAT)



Kill Chain. Контроль и Управление

CC –

проникновение

на целевую

систему



Контроль и управление


Л – ликвидация и Р – реагирование

Учет и обработка инцидентов

MaxPatrol SIEM

Управление процессами реагирования на

инциденты и ликвидации их последствий

Обеспечение взаимодействия с НКЦКИ





Информационно-аналитическое сопровождение


центр



П — предупреждение

Сбор и обработка сведений об информационных

ресурсах: инвентаризационная + справочная

информация ПТ Ведомственный

центр

MaxPatrol 8

MaxPatrol SIEM

Сбор и обработка сведений о состоянии

защищенности информационных ресурсов

Учет угроз безопасности информации



обмен и информирование

Обмен не позднее 24 часов с момента обнаружения

инцидента

Один из способов организации обмена –

подключение к технической инфраструктуре НКЦКИ

Информация об инциденте направляется в НКЦКИ

незамедлительно

Реагирование силами субъекта КИИ или в рамках

регламента взаимодействия с ФСБ России


Нужен план реагирования, тренировки по

его отработке - не реже 1 раза в год


центр


Р — реагирование

Первичный анализ КИ

Проведение мероприятий в соответствии с Планом

реагирования

Запрос содействия ФСБ России в соответствии с

Регламентом взаимодействия

Восстановление функционирования и проверка

работоспособности значимого объекта КИИ


Информирование НКЦКИ не позднее 48 часов

после завершения расследования


центр





Управление

уязвимостями

Лог-менеджмент и анализ событий

Анализ сетевого трафика

Контроль конечных устройств

Ретроспективный анализ

Регистрация

компьютерных инцидентов


Ликвидация последствий

инцидентов

Доработка системы защиты

и системы мониторинга

Повышение квалификации

Взаимодействие

Повышение осведомленности

Нет процесса – нет эффективности

Процессный подход

Взаимодействие с

НКЦКИ

Соответствие

законодательству

Быстрая

инсталляция

Единая система

авторизации

Плюсы использования платформы

Краткое описание PT Platform 187:

ptsecurity.com/upload/corporate/ru-ru/products/platform-187/PT-Platform-187-rus.pdf

https://www.ptsecurity.com/upload/corporate/ru-ru/products/platform-187/PT-Platform-187-rus.pdf

Продолжим общение

Партнерский отдел:

[email protected]

Отдел продаж:

[email protected]

Чат в Телеграм:

t.me/KII187FZ

mailto:[email protected]

mailto:[email protected]

https://t.me/KII187FZ

Спасибо за внимание!

ptsecurity.ru

PT Platform 187: обеспечение безопасности...: M.5 Dонтроль и...

Documents

Transcript of PT Platform 187: обеспечение безопасности...: M.5 Dонтроль и...