Журнал "Директор по безопасности" Февраль 2020 | Page 21
ЕСТЬ РЕШЕНИЕ
Пока в Ледовом
дворце горит свет –
мы спокойны
Рассказ о том, как мы построили
самый оперативный Центр
Мониторинга
ФЕДОР ПИСАНЕНКО,
начальник отдела сетевой безопасности
В
марте 2019 года в Красноярске
проходило крупное междуна-
родное событие: XXIX Всемир-
ная зимняя универсиада. Но наших
специалистов привела на него не
большая любовь к спорту, а необходи-
мость обеспечить защиту автоматизи-
рованных систем энергетического шта-
ба универсиады (состоящего из двух
крупных энергетических компаний
региона), который отвечал за беспе-
ребойное снабжение электроэнергией
объектов мероприятия. Актуальность
процессов обеспечения безопасности
объектов топливно-энергетического
комплекса многократно возросла в
эпоху цифровизации. Этому, безуслов-
но, способствует мировой опыт: до
сих пор ярким примером последствий
недостаточного внимания этой теме
остается кибератака на электроэнерге-
тический сектор Венесуэлы, в резуль-
тате которой практически вся страна
на полтора дня погрузилась во тьму.
Соответственно, при подготовке к уни-
версиаде не было сомнений по поводу
необходимости привлечения квалифи-
цированных кадров для построения
системы защиты.
В ноябре 2018 года наши сотруд-
ники отправились в Красноярск для
проведения первоначального обсле-
дования. В результате оперативного
аудита и оценки рисков было принято
решение развернуть на базе энерге-
тического штаба полноценный центр
мониторинга информационной без-
опасности на время проведения уни-
версиады. Для реализации задачи был
рассмотрен широкий спектр средств
защиты информации. При выборе
предпочтение отдавалось решениям
отечественных производителей, а так-
же средствам, опыт работы с которы-
ми уже был у сотрудников заказчика.
Проект защиты сети заказчика
предполагал несколько эшелонов без-
опасности. Наши аналитики спрогно-
зировали многократные атаки типа
«отказ в обслуживании» в первые дни
универсиады (и, кстати, оказались
очень даже правы – в день открытия
универсиады запросы на адреса энер-
гоштаба исчислялись сотнями тысяч).
В связи с этим было выбрано реше-
ние для защиты веб-приложений от
DDoS-атак, которое стало внешней
границей сети заказчика.
Следующим эшелоном защиты вы-
ступал межсетевой экран, параллель-
но с которым был расположен шлюз
виртуальной защищенной сети. Про-
граммно-аппаратные комплексы для
организации VPN были установлены в
головном офисе и на подстанциях.
В головном офисе, в районных элек-
трических сетях и в филиалах были
также внедрены и настроены системы
обнаружения вторжений.
Все события безопасности было
решено пропускать через систему
SIEM (security information and event
management) и Threat-Intelligence-
комплекс с дополнительным внедре-
нием системы оценки защищенности.
Отдельное внимание было уделе-
но защите почтового сервера. До про-
ведения работ по подготовке к уни-
версиаде на объектах энергетического
штаба для защиты почтового сервера
применялось специализированное
средство, но в качестве дополнитель-
ной меры безопасности было при-
нято решение о внедрении мощного
sandbox-решения.
Все вышеперечисленные средства
защиты информации были установ-
лены и настроены нашими специ-
алистами в сжатые сроки в тесном
взаимодействии с сотрудниками энер-
гоштаба.
Построение центра мониторинга
включает в себя три направления:
Программно-техническое обеспе-
чение, о котором мы уже рассказали
выше. По факту, этот пункт является
самым простым и понятным;
Организационное обеспечение
включает в себя наличие всех регла-
ментов работы центра мониторинга;
Кадровое обеспечение подразу-
мевает наличие необходимого числа
квалифицированных сотрудников на
каждой линии технической поддержки.
Последние два пункта как раз и
представляют наибольшую сложность,
потому что в России до сих пор не
хватает практики и реальных кейсов
в этом вопросе. Наши эксперты до на-
чала универсиады разработали доку-
ментацию, описывающую все детали
деятельности центра мониторинга,
взаимодействие участников процес-
са, разделение зон ответственности и
всевозможные регламенты проведе-
ния мониторинга.
Мы искренне считаем, что одной
из наших сильных черт является боль-
шой штат квалифицированных ин-
женеров, поэтому вопрос кадрового
обеспечения центра мониторинга мы
также смогли закрыть собственными
силами. На территории энергоштаба
было выделено аппаратно-оборудо-
ванное помещение для процесса мо-
ниторинга первой линией техниче-
ской поддержки в режиме 24/7.
Стоит также рассказать про сам
процесс мониторинга. Мониторинг
осуществлялся в отношении корпора-
тивных и технологических сетей и ин-
формационных систем организации.
В рамках мониторинга информаци-
онной безопасности рассматривались
события, связанные с попытками воз-
действия на сети и системы организа-
ции из внешних информационных и
инфор-мационно-телекоммуникаци-
онных систем и сетей. Сбор и анализ
событий, связанных с нарушением по-
литик безопасности сотрудниками ор-
ганизации, в рамках мониторинга не
производился.
Процесс мониторинга производил-
ся на специально выделенных авто-
матизированных рабочих местах со-
трудниками первой линии. Средства
защиты, используемые для анализа
событий и корреляции событий ин-
формационной безопасности, а также
для анализа информации о текущем
состоянии средств защиты.
SIEM-система использовалась для
анализа и корреляции событий ин-
формационной безопасности, полу-
ченных от средств защиты. При обна-
ружении инцидента информационной
безопасности специалист первой ли-
нии мониторинга осуществлял про-
смотр подробной информации об ин-
циденте и событиях, связанных с этим
инцидентом. Далее этот специалист
регистрировал обращение в автома-
тизированной системе учета заявок
и обращений. Дальнейшим разбором
инцидента занимался специалист вто-
рой линии мониторинга, который при
необходимости подключал экспертов
третьей линии поддержки.
Производился разбор связанных
событий, после этого формирова-
лась карточка инцидента, содержащая
следующую информацию: описание
инцидента, рекомендации по устра-
нению, список пораженных узлов (со-
держит поля, заполняемые исполни-
телем организации для устранения
инцидента), сработавшее правило,
а также идентификатор инцидента.
Карточка инцидента отправлялась от-
ветственному персоналу организации
(лица, ответственные за сопровожде-
ние систем) для применения реко-
мендаций по устранению.
После обработки карточки инци-
дента ответственным персоналом ор-
ганизации производилась отправка
заполненной карточки специалисту
первой линии мониторинга, который
анализировал полученные данные и
принимал решение о закрытии инци-
дента. Первичные обращения пользо-
вателей информационных систем, ре-
сурсов организации поступали также
в первую линию Центра мониторинга.
Наши сотрудники, которые высту-
пали в качестве экспертов второй и
третьей линий поддержки, находились
частично в головном офисе заказчика
в Красноярске и частично в собствен-
ном офисе в Новосибирске. Для по-
следних было организовано VPN-под-
ключение до автоматизированной
системы учета заявок, чтобы мини-
мизировать время реагирования на
инциденты. И вторая, и третья линии
центра мониторинга работали в ре-
жиме 24/7 без выходных на все время
проведения универсиады.
Специально для этого выпуска
наши инженеры, которые участвовали
в работе центра мониторинга, подели-
лись своими впечатлениями от нового
для них направления деятельности:
«За три месяца до начала универ-
сиады мы начали подробно изучать
стек технологий, с которыми предсто-
яло работать. Большинство уже было
знакомо: либо проходил раньше обу-
чение от разработчика, либо сталки-
вался с продуктом в других проектах.
Но тесная работа с таким набором
в рамках центра мониторинга мне
предстояла впервые. В центре мони-
торинга я выступал в качестве экспер-
та второй линии поддержки и работал
удаленно из Новосибирска. Не скажу,
что было прям очень тяжело, но ре-
шать нетривиальные задачи приходи-
лось часто. Ночные смены давались
с трудом из-за непривычного режи-
ма сна и отдыха, но хакеры, видимо,
предпочитали спать по ночам, и ча-
стота инцидентов была значительно
ниже, чем днем. Было очень приятно
ощущать себя причастным к такому
мощному проекту!»
– Долматов Вадим, инженер отдела
интеграции систем защиты информа-
ции.
«Этот проект стал для меня самой
длительной командировкой за всю
мою трудовую практику – в Красно-
ярске я провел три с половиной неде-
ли. Сначала я участвовал в настройке
средств защиты, а затем контролиро-
вал их бесперебойную работу и обе-
спечивал третью линию мониторинга
«на месте». Тяжелее всего пришлось в
первый день проведения универсиа-
ды – мы сами не до конца понимали,
чего стоит ожидать, но были готовы
ко всему. Хоть развернутая система
безопасности и регистрировала не-
значительные инциденты уже несколь-
ко дней, но буквально за пару часов
до открытия все сенсоры начали раз-
рываться от входящих атак. Естествен-
но, мы мобилизовали все ресурсы,
местные специалисты тоже принима-
ли активное участие. Важной задачей
было выявление действительно зна-
чимых инцидентов из общего потока,
оперативная регулировка правил на
SIEM’е и разбор инцидентов».
– Артем Береговой, главный специ-
алист отдела сетевой безопасности.
Подводя итоги, хочется отметить,
что разработанные процессы были
успешно реализованы. Система за-
щиты отработала также успешно,
проблем во время эксплуатации об-
наружено не было. Самое большое
количество заблокированных событий
пришлось на попытки эксплуатации
различных уязвимостей веб-прило-
жений. Странами-источниками вы-
ступали США, Россия, Китай, Польша,
Нидерланды. Система защиты отрази-
ла крупную DDos-атаку в первые дни
универсиады, а с помощью системы
проактивного обнаружения угроз и
работы наших специалистов в центре
мониторинга удалось предотвратить
реализацию нескольких уязвимостей
нулевого дня, обнаружить и обезвре-
дить вирусы-шифровальщики и бан-
ковские вирусы-похитители.
В итоге, комплекс мер, принятых со-
трудниками энергетического штаба
совместно с нашими специалистами,
позволил обеспечить эффективную
защиту электроэнергетического секто-
ра при проведении XXIX Всемирной
зимней универсиады.
Система защиты
отразила крупную
DDos-атаку в первые дни
универсиады, а с помощью
системы проактивного
обнаружения угроз
и работы наших
специалистов в центре
мониторинга удалось
предотвратить реализацию
нескольких уязвимостей
нулевого дня