Решение

В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies, которые позволяют выполнить основные законодательные требования по защите значимых объектов КИИ, предотвращать и выявлять атаки и автоматизировать взаимодействие с ГосСОПКА.


Подходит распределенным инфраструктурам

Решение позволяет выстраивать иерархическую систему безопасности для централизованного мониторинга и управления ИБ.

Состав решения и покрываемые требования

1. MaxPatrol 8

MaxPatrol 8 — система контроля защищенности и соответствия стандартам ИБ всей IТ-инфраструктуры. MaxPatrol 8 проводит непрерывный технический аудит безопасности и позволяет отслеживать динамику состояния защищенности.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АУД.1. Инвентаризация информационных ресурсов. Продукт идентифицирует активные сетевые узлы объектов КИИ и инвентаризирует аппаратное и программное обеспечения ОКИИ. Инвентаризация запускается по расписанию.
  • АУД.2. Анализ уязвимостей и их устранение. Продукт автоматизирует процесс управления уязвимостями АСУ, ИС и ИТС.
  • АУД.7. Мониторинг безопасности. Продукт контролирует работоспособность ПО и СЗИ и соответствия их параметров параметрам в эксплуатационной документации.
  • АУД.10. Проведение внутренних аудитов. Продукт контролирует внутренние параметры ПО на соответствие требованиям отраслевых и международных стандартов. Этот контроль используется в ходе внутренних аудитов АСУ, ИС и ИТС.
  • АУД.11. Проведение внешних аудитов. MaxPatrol 8 сканирует IT-инфраструктуру в режиме черного ящика.
  • ПЛН.2. Контроль выполнения мероприятий по обеспечению защиты информации. Продукт формирует дифференциальные отчеты по результатам сканирований объектов КИИ для отслеживания устранения уязвимостей.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 10. Структурное подразделение по безопасности, специалисты по безопасности должны выявлять уязвимости в значимых объектах КИИ.
  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

2. MaxPatrol SIEM

MaxPatrol SIEM — система мониторинга событий ИБ и выявления инцидентов. В систему регулярно передаются практические знания экспертов Positive Technologies о новых видах атак и способах их выявления, что позволяет детектировать самые актуальные угрозы.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АУД.1. Инвентаризация информационных ресурсов. Система собирает и обрабатывает данные обо всех элементах IT-инфраструктуры — активах. На основе данных строится и постоянно обновляется топология сети.
  • АУД.2. Анализ уязвимостей и их устранение. MaxPatrol SIEM выявляет уязвимости из базы данных CVE. Для обнаруженных уязвимостей в автоматическом режиме проводится оценка степени риска на основе правил CVSS.
  • АУД.4. Регистрация событий безопасности. MaxPatrol SIEM анализирует события ИТ и ИБ.
  • АУД.5. Контроль и анализ сетевого трафика. Компонент NAD-сенсор в составе продукта анализирует трафик и выявляет атаки в трафике.
  • АУД.6. Защита информации о событиях безопасности. Хранимая в базе данных информация о событиях доступна только ограниченному кругу лиц, успешно прошедших аутентификацию.
  • АУД.7. Мониторинг безопасности. MaxPatrol SIEM формирует актуальную сводную информацию о событиях, инцидентах, уязвимостях активов. Также в продукте реализован мониторинг состояния источников событий ИБ.
  • ИНЦ.1. Выявление компьютерных инцидентов. Система выявляет инциденты с помощью правил обнаружения и индикаторов компрометации. База знаний постоянно пополняется. Правила также можно создавать самостоятельно с помощью конструктора правил.
  • ИНЦ.2. Информирование о компьютерных инцидентах. Информация об инцидентах отображается на дашборде MaxPatrol SIEM. Можно настроить отправку уведомлений на эл. почту.
  • ИНЦ.3. Анализ компьютерных инцидентов. О каждом инциденте собирается информация о типе атаки, степени опасности, связанных активах, событиях ИБ, что позволяет провести более подробный анализ.
  • ИНЦ.4. Устранение последствий компьютерных инцидентов. Данные в MaxPatrol SIEM позволяют оценить последствия инцидента и дать предложения по минимизации нанесенного ущерба.
  • ИНЦ.5. Принятие мер по предотвращению повторного возникновения компьютерных инцидентов. Продукт позволяет выявить проэксплуатированные уязвимости и недостатки конфигураций активов, сформировать предложения по проведению мер для недопущения их повторного использования.
  • ИНЦ.6. Хранение и защита информации о компьютерных инцидентах. Хранимая в базе данных информация об инцидентах доступна только ограниченному кругу лиц, успешно прошедших аутентификацию.
  • УКФ.4. Контроль действий по внесению изменений. MaxPatrol SIEM выявляет и учитывает любое изменение состава ПО на сетевом узле, включение нового сетевого узла в IT-инфраструктуру или его исключение.
  • ПЛН.2. Контроль выполнения мероприятий по обеспечению защиты информации. Продукт позволяет оценить проведенные работы по минимизации риска возникновения подобных инцидентов и по предотвращению возможности эксплуатации выявленных уязвимостей.
  • ДНС.6. Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения. Продукт позволяет провести анализ нештатных ситуаций за счет выявления проэксплуатированных уязвимостей и недостатков конфигураций активов, сформировать предложения для недопущения их повтора.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

3. PT Network Attack Discovery

PT Network Attack Discovery — система поведенческого анализа сетевого трафика для выявления и расследования сложных сетевых атак. Обнаруживает действия атакующих в реальном времени и в ретроспективе.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АУД.5. Контроль и анализ сетевого трафика. PT NAD определяет более 100 сетевых протоколов, 9 протоколов туннелирования и разбирает 35 наиболее распространенных из них до уровня L7 включительно. Собирает тысячу параметров о сессиях и строит модели сетевых узлов. Это помогает специалисту по ИБ получить полное понимание происходящего в сети.
  • СОВ.1. Обнаружение и предотвращение компьютерных атак. PT NAD использует поведенческий анализ трафика, профилирование на основе машинного обучения, статистический анализ сессий, собственные правила детектирования угроз, индикаторы компрометации и ретроспективный анализ. Все это помогает обнаружить сетевые атаки на ранних, подготовительных этапах — и в случаях, когда злоумышленник уже проник в инфраструктуру.
  • СОВ.2. Обновление базы решающих правил. Правила обнаружения угроз и индикаторы компрометации от PT Expert Security Center поступают в PT NAD ежедневно.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

4. PT MultiScanner

PT MultiScanner — многопоточная система защиты от вредоносного ПО с «песочницей».

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АВЗ.2.   Антивирусная защита электронной почты и иных сервисов. Продукт проводит антивирусное сканирование, репутационный и поведенческий анализ файлов. Он проверяет файлы из электронной почты, файловых хранилищ, сетевого трафика и из других источников.
  • АВЗ.4.   Обновление базы данных признаков вредоносных компьютерных программ (вирусов). Базы всех сторонних антивирусных решений в PT MS, репутационные списки обновляются автоматически, как только появляются обновления.
  • АВЗ.5.   Использование средств антивирусной защиты различных производителей. PT MS поддерживает четыре основных антивирусных решения и еще четыре дополнительные системы от различных производителей.
  • ЗИС.7.  Использование эмулятора среды функционирования программного обеспечения («песочница»). PT MS выполняет динамический анализ файлов с помощью «песочницы». Можно выбрать образ виртуальной среды с предустановленной ОС и определенным набором ПО, в которой файл будет анализироваться.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

5. PT Application Firewall

PT AF — система защиты, которая обнаруживает и блокирует веб-атаки, включая атаки из списка OWASP Top 10 и классификации WASC, L7 DDoS и атаки нулевого дня.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • УПД.2. Реализация политик управления доступом. Используя идентификатор пользователя на странице аутентификации веб-приложения и уникальный идентификатор сессии, PT AF позволяет управлять доступом к защищаемым объектам.
  • УПД.4. Разделение полномочий (ролей) пользователей. Используя идентификатор пользователя на странице аутентификации веб-приложения и уникальный идентификатор сессии, PT AF позволяет разделять полномочия различных пользователей.
  • УПД.6. Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему. PT AF защищает веб-приложение от атак методом перебора, в том числе по словарю.
  • УПД.9. Ограничение числа параллельных сеансов доступа. После успешной аутентификации можно провести проверку количества активных идентификаторов сессии, присвоенных пользователю. При превышении разрешенного количества одновременных сессий в доступе может быть отказано.
  • УПД.10. Блокирование сеанса доступа пользователя при неактивности. Анализ идентификаторов сессии позволяет PT AF контролировать интервалы неактивности и прекращать дальнейший доступ к защищаемым объектам для сессий, в которых превышен допустимый интервал неактивности.
  • УПД.11. Управление действиями пользователей до идентификации и аутентификации. PT AF позволяет запретить доступ субъектам, не прошедшим процедуры идентификации и аутентификации.
  • УПД.12. Управление атрибутами безопасности. Идентификаторы сессии, характеризующие пользователей при их взаимодействии с информационной системой, используются в PT AF для управления доступом к защищаемым объектам.
  • УПД.14. Контроль доступа из внешних информационных (автоматизированных) систем. По идентификатору сессии определяются идентификаторы пользователя и его групп. К идентификаторам могут применяться списки управления доступом, после чего будет принято решение о разрешении или запрете доступа.
  • АУД.2. Анализ уязвимостей и их устранение. PT AF позволяет выявлять уязвимости ПО и компонентов, неправильную конфигурацию веб-приложения в пассивном режиме анализа трафика.
  • АУД.3. Генерирование временных меток и (или) синхронизация системного времени. Каждому событию безопасности присваивается метка времени, соответствующая моменту прохождения HTTP-запроса через PT AF.
  • АУД.4. Регистрация событий безопасности. PT AF может отображать полный список событий безопасности и сводную информацию в виде графиков, гистограмм и карт.
  • АУД.6. Защита информации о событиях безопасности. Данные о событиях безопасности доступны только администратору PT AF.
  • АУД.7. Мониторинг безопасности. PT AF отображает информацию о результатах обработки трафика в режиме реального времени.
  • АУД.9. Анализ действий пользователей. С помощью семантического анализа данных PT AF выявляет моменты выполнения отдельных действий пользователей в веб-интерфейса. Такие события позволяют администратору PT AF следить за их действиями.
  • АУД.11. Проведение внешних аудитов. Механизм PT WebEngine позволяет проводить сканирование серверов на предмет определения актуальности проводимой атаки в отношении подобных приложений.
  • АВЗ.1. Реализация антивирусной защиты. PT AF проверяет загружаемые файлы с использованием встроенных средств антивирусной защиты.
  • АВЗ.2. Антивирусная защита электронной почты и иных сервисов. Продукт обеспечивает антивирусную защиту для протоколов передачи файлов, использующих в качестве транспорта протокол HTTP.
  • АВЗ.4. Обновление базы данных признаков вредоносных компьютерных программ (вирусов). По умолчанию используется антивирус ClamAV, базы которого обновляются автоматически. Также можно интегрировать PT AF с другими потоковыми антивирусами по протоколу ICAP.
  • АВЗ.5. Использование средств антивирусной защиты различных производителей. Для интеграции с PT AF есть дополнительный модуль для мультивендорного потокового антивирусного сканирования.
  • ОЦЛ.3. Ограничения по вводу информации в информационную (автоматизированную) систему. PT AF позволяет ограничить возможности ввода данных для определенных пользователей в определенные элементы управления веб-интерфейса.
  • ОЦЛ.4. Контроль данных, вводимых в информационную (автоматизированную) систему. PT AF выявляет отдельные синтактические и семантические ошибки при вводе данных пользователями, в том числе при отсутствии такого контроля непосредственно в информационной системе.
  • ОЦЛ.5. Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях. PT AF выявляет отдельные синтактические и семантические ошибки при вводе данных пользователями, в том числе при отсутствии такого контроля непосредственно в информационной системе.
  • ЗИС.6. Управление сетевыми потоками. PT AF обеспечивает возможность мониторинга всего трафика с целью выявления атак и (при обнаружении) их блокирования.
  • ЗИС.22. Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами. Встроенный модуль отслеживания сессий позволяет проводить тщательную идентификацию пользователей, по нескольким критериям определяя кражу выданных cookie, попытки их подделки.
  • ЗИС.26. Подтверждение происхождения источника информации. С помощью информационной панели в PT AF можно проводить анализ географии атак.
  • ЗИС.33. Исключение доступа через общие ресурсы. В PT AF есть функция выявления отдельных видов взаимодействия, которые могут быть запрещены локальными нормативными актами.
  • ЗИС.34. Защита от угроз отказа в обслуживании (DoS-, DDoS-атак). PT AF защищает веб-приложение от атак типа «отказ в обслуживании», связанных с использованием уязвимостей веб-интерфейса защищаемой информационной системы.
  • ЗИС.35. Управление сетевыми соединениями. PT AF обеспечивает возможность мониторинга всего трафика с целью выявления атак и (при обнаружении) их блокирования.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

6. PT ISIM

PT ISIM — система непрерывного мониторинга защищенности сети АСУ ТП и обнаружения кибератак на ее компоненты.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • ИАФ.2. Идентификация и аутентификация устройств. PT ISIM в автоматическом режиме идентифицирует сетевые узлы промышленной сети по их логическим и физическим адресам. Оператор PT ISIM авторизует новый узел и (или) разрешает обнаруженное соединение.
  • АУД.1. Инвентаризация информационных ресурсов. PT ISIM позволяет проводить инвентаризацию и контролировать целостности промышленной сети.
  • АУД.4. Регистрация событий безопасности. PT ISIM выявляет информацию о событиях ИБ, анализирует их и связывает зарегистрированные события в логические цепочки.
  • АУД.5. Контроль и анализ сетевого трафика. PT ISIM непрерывно контролирует и исследует трафик промышленной сети. Копия перехваченного трафика сохраняется в формате PCAP на жестком диске сервера PT ISIM.
  • АУД.7. Мониторинг безопасности. PT ISIM позволяет обеспечить пассивный мониторинг промышленной сети, чтобы исключить нежелательное воздействие на технологический процесс.
  • СОВ.1.  Обнаружение и предотвращение компьютерных атак. PT ISIM детектирует атаки на компоненты АСУ. Цепочки событий ИБ в PT ISIM позволяют наглядно представить развитие инцидента и в нужный момент принять меры по предотвращению угрозы.
  • СОВ.2.  Обновление базы решающих правил. Доставка обновлений в базу правил может осуществляться автоматически и вручную. База содержит несколько сотен сигнатур и правил обнаружения различных атак на АСУ разных производителей.
  • ИНЦ.1. Выявление компьютерных инцидентов. В процессе анализа трафика PT ISIM выявляет аномальное поведение узлов промышленной сети.
  • ИНЦ.2. Информирование о компьютерных инцидентах. В интерфейсе PT ISIM есть раздел «Зафиксированные инциденты», куда попадают все выявленные угрозы. Для оперативного информирования можно настроить отправку почтовых уведомлений.
  • ИНЦ.3. Анализ компьютерных инцидентов. PT ISIM позволяет управлять инцидентами: просматривать детальную информацию, группировать инциденты по типам, фильтровать их, присваивать им статус и проводить ретроспективный анализ.
  • ИНЦ.5. Принятие мер по предотвращению повторного возникновения компьютерных инцидентов. Результаты анализа инцидента в PT ISIM могут быть использованы при разработке мер по предотвращению повторного возникновения аналогичных инцидентов.
  • УКФ.4. Контроль действий по внесению изменений. Отчеты в PT ISIM позволяют получить полную картину изменений в конфигурации инфраструктуры АСУ и правилах взаимодействия.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры. Сертификат соответствия ФСТЭК России №4182.

7. PT Application Inspector

PT Application Inspector — инструмент для выявления уязвимостей и ошибок в приложениях, поддерживающий процесс безопасной разработки. Необходим, если в компании используется самописное ПО или есть доступ к исходному коду веб-приложений.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 10. Структурное подразделение по безопасности, специалисты по безопасности должны выявлять уязвимости в значимых объектах КИИ.
  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

Приказ ФСТЭК России от 25.12.2017 № 239:

  • Пункт 12.6. Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.

8. ПТ Ведомственный центр

«ПТ Ведомственный центр» — система управления инцидентами и взаимодействия с НКЦКИ в двустороннем формате.

Покрываемые требования:

Федеральный закон от 26.07.2017 № 187-ФЗ:

  • Статья 10, п. 2. Одна из основных задач системы безопасности значимого объекта КИИ — непрерывное взаимодействие с ГосСОПКА.
  • Статья 9, п. 2. Субъекты КИИ обязаны незамедлительно информировать об инцидентах ФСБ России.

Приказ ФСБ России от 24.07.2018 № 367:

  • Перечень информации, представляемой в ГосСОПКА.

Приказ ФСБ России от 24.07.2018 № 368:

  • Приложение 1, п. 6. Уведомления и запросы направляются посредством использования технической инфраструктуры НКЦКИ при наличии подключения к ней.

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • ИНЦ.2. Информирование о компьютерных инцидентах. Продукт выводит информацию об инцидентах на дашборд и создает карточки инцидентов в формате, соответствующим требованиям НКЦКИ.
  • ИНЦ.6. Хранение и защита информации о компьютерных инцидентах. Хранимая в базе данных информация об инцидентах доступна только ограниченному кругу лиц, успешно прошедших аутентификацию.

Мы собрали в одном файле список требований закона № 187-ФЗ, приказов ФСБ № 367 и 368, приказов ФСТЭК № 235 и 239, которые вы можете выполнить с продуктами Positive Technologies.

Посмотреть

Выявляет целевые атаки

Решение позволяет выстроить эффективную систему выявления и предотвращения целевых атак за счет оперативного выявления признаков атак как на периметре, так и в инфраструктуре, ретроспективного анализа и постоянного расширения знаний о способах детектирования угроз, передаваемых экспертами в продукты.

Преимущества

Если вы субъект КИИ, изучите подробный план, который поможет вовремя выполнить все требования по защите объектов КИИ.

Подробнее

Упрощает расследования

Хранение сырого трафика, сбор детальной информации об IT-активах, реконструкция сессий, ретроспективный анализ и возможность детализации данных об атаках позволяют эффективно провести расследование.

Пример архитектуры решения

Пример архитектуры решения

При многоуровневой инфраструктуре продукты Positive Technologies выстраиваются в иерархию. На нижних уровнях, где нет компетентных специалистов по ИБ или недостаточен объем бюджета на ИБ, устанавливаются сенсоры для сбора и передачи информации в крупные филиалы. Специалисты по ИБ в филиалах выявляют и расследуют атаки и отправляют данные об инцидентах в головную организацию, где консолидируется информация об инцидентах во всей компании и осуществляется взаимодействие с главным центром ГосСОПКА.

Поддержка экспертами PT Expert Security Сenter

Специалисты центра безопасности PT Expert Security Center дополняют команду ИБ при недостатке экспертизы или полностью берут на себя задачи по выявлению атак на значимые объекты КИИ, реагированию на них и взаимодействию с НКЦКИ.

Если у вас небольшая инфраструктура или на первом этапе достаточно отслеживать события на наиболее важных узлах, вам подойдет программно-аппаратный комплекс PT Platform 187. Он включает пять продуктов, которые помогают выполнить основные требования 187-ФЗ, и позволяет подключить к мониторингу 250 сетевых узлов. Со временем область мониторинга можно расширить.

Узнать больше