Днес, в навечерието на деня на Форума SOC в Астана, бих искал да споделя впечатленията си от документа за 66 tistranichnogo озаглавен "Насоки за създаване на ведомствени и корпоративни центрове за държавни откриване, предотвратяване и ликвидиране на последствията от кибер атаки срещу информационните ресурси на Руската федерация", разработен от Националният координационен център за компютърни инциденти (NKTSKI), която управлява със създаването и функционирането на GosSOPKI. Имам в ръцете на документ, просто уточнява как да създавате корпоративни и ведомствени центрове на националната система за откриване на атаки.
Аз не се боя всички 66 страници на документа; Само докосване на това, което, след три чаши червено вино, аз забелязах, в равнина, летящ по маршрута "Москва - Астана". Аз трябва да кажа, че по-горе документ не дава отговор на всички въпроси, които могат да възникнат, когато създавате своя собствена SOCA. Това е по-скоро концепция, която след това ще бъде разширен и допълнен. В ръководството за обучение много препратки към бъдещите документи, наредби, интерфейси за взаимодействие, които ще бъдат разработени само с развитието на GosSOPKI. Друга особеност на ръководствата е kantselyarizm. Места трябва да бродят из нововъведена и не е непосредствено разбираемо. Само след многократно внимателен прочит (и три чаши червено не се улесни задачата), можете да разберат, че тук става дума UEBA (потребителското поведение лице анализ) и тук на NBAD (основано на мрежата за откриване на аномалия), и тук на Сием.
Ясно е, че основната задача GosSOPKI, както е видно от името му, е борбата срещу компютърните атаки, които по време на документа, осеяни с компютърни инциденти и заплахи. Всеки от тях има собствено определение на термините, но понякога ми се струва, че те са объркани. Инцидентът - нарушение на функционирането на информационната инфраструктура на обекта, които могат да бъдат причинени от нападението, а може би не нападение. Атака - значително влияние с цел нарушаване на сигурността (между другото, вентилатор и случайни атаки идват на вниманието на документа или не?), Както и заплахата - набор от условия и фактори, които създават риск от нарушаване на сигурността. Ако абсолютно опростена заплахата - е нещо, което може да се случи, нападението - какво се е случило, но инцидентът - когато всичко това доведе.
Например, насоките казват, че случаят на употреба (в документ, наричан "типичен инцидент") ще се определя по време на разработването на GosSOPKI, които ще бъдат дадени препоръки за отговор на тях. Той също така ще идентифицира типа атаки, които ще се определят от документите, които ще бъдат подробно описани процедурата за действията на МОК и на персонала в резултат на атаките (ако приемем, че тя е по-популярното название "Playbook", но това vkusovschina). В ръководствата на 8 глава ясно да идентифицира 4 групи от инциденти и тяхното съдържание (списък по някаква причина е затворен и не разширяема). С този списък имах въпроси. Защо конвенционален вирус изравни с APT? Защо ботнет контролния център, свързани с инцидента, но не и да атакува? Или едно и също количество спам? Или груба сила парола? Ако следвате условията, тя все още не е инцидент, а именно атаката. Аз преработен този раздел, въз основа, никоя от съществуващите класификации на атаки.
Между другото, аз не знам дали съвпадението, но преди няколко дни, на Министерството на отбраната на Казахстан сайт е хакнат. И това (втори) атака (инцидент), има ясно и накърняване на репутацията (ако не е имало проникване), списъкът на инциденти на ръководства не NKTSKI включена. Не се счита за сериозен проблем? Или забравен, тъй като руските сайтове отдавна не са се обезобразява?
Вторият не е съвсем ясно за мен това нещо е включването на динамичен IOC (дори може да се актуализира веднъж на ден), за да статични документи и по-съобразени с центъра на главата GosSOPKI. Тук, между другото, също - в текста, посочен центъра на главата и главният център GosSOPKI. Отначало си помислих, че е печатна грешка, но след това осъзнах, че това е различни центрове - един основен, а другият родител :-) Но това не е сериозна пречка и могат да бъдат коригирани в бъдещите версии на препоръките, които, според мен, ще бъде по- да се промени.
Има 7 защитни мерки, прилагани GosSOPKOY:
PS. Като цяло, в документа се оказа добра, но тя ще трябва да се приспадне няколко пъти със свежи очи. Тогава щеше да е по-малка от тази, за която хваща окото.
Свързани статии