CC BY
88<Тешетневс^ие чтения. 2016
УДК 004.056.5
О СОВЕРШЕНСТВОВАНИИ ИНФРАСТРУКТУРЫ SOC MSSP
В. Г. Жуков, М. Н. Жукова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: zhukov.sibsau@gmail.com
Рассматриваются возможные направления совершенствования инфраструктуры оперативного центра информационной безопасности провайдера управляемых сервисов безопасности в соответствии с концепцией сетецентрической войны.
Ключевые слова: защита информации, управляемые сервисы безопасности, SOC, MSSP.
ON THE IMPROVING THE SOC MSSP INFRASTRUCTURE V. G. Zhukov, M. N. Zhukova
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: zhukov.sibsau@gmail.com
The research considers some possible directions to improve the infrastructure of information security operation center of managed security services provider in compliance with the concept of network-centric warfare.
Keywords: information security, managed security services, SOC, MSSP.
На сегодняшний день применение мер по защите информации (ЗИ) в информационных системах (ИС) органов государственной власти, промышленных предприятиях военной и ракетно-комической отраслей регламентированы нормативными и методическими документами регулирующих и/или надзорных органов. Однако среди мер, регламентированных, например, приказами ФСТЭК России № 17, 21, 31, присутствуют такие технологически сложные меры, обязательные для исполнения, как, например, регистрация событий безопасности, обнаружение вторжений, контроль (анализ) защищенности информации, анализ угроз безопасности информации и рисков от их реализации, выявление инцидентов и реагирование на них и др., требующие значительного ресурсного и финансового обеспечения, которого в общем случае у большинства организаций нет.
Возможным выходом из сложившейся ситуации будет принятие решения о передаче перечисленных мер по ЗИ во внешнее управление (аутсорсинг) провайдеру управляемых сервисов безопасности (MSSP, Managed Security Services Providers). Так, Gärtner определяет управляемые сервисы безопасности (MSSs, Managed Security Services) как «удаленный мониторинг или управление функциями системы обеспечения информационной безопасностью (ИБ) с помощью удаленных сервисов, предоставляемых в рамках SOC (Security Operation Center), а не силами специалистов организации на местах» [1]. Передача сложных мер по ЗИ в SOC MSSP для осуществления дистанционного внешнего управления является общепризнанной мировой практикой. Так, Gartner, Inc прогнозирует ежегодный рост рынка аутсорсинга ИБ на 15,4 %
до 2019 года [1]. Таким провайдером, например, может быть Федеральная служба охраны (ФСО), осуществляющая администрирование сети RSNet (Russian State Network), в которой находятся такие домены, как gov.ru, kremlin.ru и government.ru. Также возможно привлечение частных компаний, имеющих соответствующие лицензии на осуществление деятельности по ЗИ на территории Российской Федерации [2]. Но наиболее вероятным кандидатом на роль MSSP является государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), полномочия по созданию которой возложены на 8 центр ФСБ России [3].
Согласно [4, п. 2], «...система представляет собой единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.», и, таким образом, для формировании структуры системы целесообразно воспользоваться концепцией сетецентрической войны [5], суть которой применительно к ИБ сводится к повышению возможностей структурных единиц (от специалистов по ЗИ разных уровней, аналитиков SOC, вплоть до подразделений и частей кибервойск) в современных информационных войнах за счёт достижения инфокоммуникационного превосходства путем объединения участников действий в единую сеть. В соответствии с данной концепцией можно сформулировать основные направления совершенствования инфраструктуры SOC MSSP, обеспечивающие эффект сетецентричности:
Методы и средства защиты информации
1) увеличение как количества датчиков (сенсоров) средств ЗИ, так и самих средств в каждой контролируемой ИС, что приведет к совершенствованию по внутренним данным;
2) развитие системы ЗИ от автономного управления каждым экземпляром средства ЗИ в сторону централизации управления средствами ЗИ одного класса и создания в будущем унифицированного интерфейса управления всей системой ЗИ, что приведет к совершенствованию по управлению;
3) увеличение количества контролируемых ИС, что приведет к совершенствованию по информационному географическому покрытию: чем больше поставщиков данных о зарегистрированных событиях и инцидентах ИБ, тем полнее и точнее общая картина ИБ на контролируемом участке сети (системы систем), тем больше контекста для анализа и, как следствие, больше шансов на оперативное выявление сложных векторов атаки и создание превентивных сценариев реагирования для узлов, которые еще не стали объектами информационных атак;
4) увеличение количества центров обработки данных, образующих распределенный SOC MSSP и их связности на уровне субъекта РФ, федерального округа и РФ в целом, что приведет к совершенствованию по оперативности и доступности;
5) увеличение количества подключений в рамках информационного взаимодействия с другими MSSPs и внешними источниками данных Threat Intelligence (уязвимости, угрозы, нарушители, инциденты и др.) с различным контентом и геолокацией, что приведет к совершенствованию по внешним данным и их гетерогенности;
6) увеличение количества моделей (категориальная, толковательная, умозрительная и стереотипная) и методов анализа данных, что приведет к совершенствованию по функционалу и информационным технологиям, в том числе и интеллектуальным; такого же эффекта отчасти можно достичь путем применения более сложных функционально распределенных многокомпонентных средств ЗИ - межсетевые экраны, системы обнаружения вторжений, SIEM системы нового поколения;
7) увеличение количества параллельных действий (минимизация последовательных цепочек) как на очень низком, операционном, уровне, так и на высоких (тактическом и стратегическом), для обеспечения деятельности по обеспечению ИБ.
Конечно, бесконечное увеличение невозможно, так как независимо от того, горизонтальное или вертикальное масштабирование используется, добавление каждого дополнительного (нового) элемента и его интеграция в инфраструктуру имеет вполне определенную стоимость. При этом не стоит забывать про то, что каждое последующее улучшение дороже предыдущего и в какой-то момент при фиксированном бюджете становится экономически необоснованным, т. е. затраты на улучшение систем или системы систем путем добавления узлов или технологий превышают их суммарную полезность. Также невозможно бесконечно увеличивать параллельные действия на разных уровнях обеспечения деятельности по ИБ, так как увеличение объема решаемых задач приводит к увеличению доли
параллельно выполняемых действий, но последовательно выполняемых действий, таких как ввод/вывод, менеджмент потоков, точки синхронизации, избежать все равно не получится - реальное увеличение ограничивается «эффектом очередей», обусловленным необходимостью строгого выстраивания и позиционирования ресурсов в процессе выполняемых действий.
Таким образом, предложенное совершенствование SOC MSSP будет представлять итеративный цикличный процесс развития по спирали, приводящий к повышению уровня защищенности контролируемых ИС с каждой последующей итерацией.
Библиографические ссылки
1. Magic Quadrant for Managed Security Services [Электронный ресурс]. URL: https://www.gartner.com/ doc/reprints?id=1-2X0FZEY&ct=160125&st=sb (дата обращения: 24.08.2016).
2. Коломыченко М. Операция «частные руки» // Коммерсантъ. 2016. № 153, 23 авг. С. 10.
3. О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации : Указ Президента РФ от 15 января 2013 г. № 31с. [Электронный ресурс]. URL: http://pravo.gov.ru/proxy/ips/? docbody=&nd= 102162702 (дата обращения: 31.03.2016).
4. Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации : утв. Президентом РФ 12 декабря 2014 г. № К 1274 [Электронный ресурс]. URL: http://www.fsb.ra/files/PDF/Vipiska_iz_koncepcii.pdf (дата обращения: 31.03.2016).
5. Савин Л. В. Сетецентричная и сетевая война. Введение в концепцию. М. : Евразийское движение, 2011. 130 с.
References
1. Magic Quadrant for Managed Security Services. Available at: https://www.gartner.com/doc/reprints?id=1-2X0FZEY&ct=160125&st=sb (accessed: 24.08.2016).
2. Kolomychenko M. [Operacija "chastnye ruki"]. Kommersant. 2016, No. 153, Р. 10 (In Russ.).
3. Decree President of the Russian Federation "About creation of the state detection, prevention and response system to cyber attacks on information resources of the Russian Federation" of January 15, 2013 №. 31с. Available at: http://pravo.gov.ru/proxy/ips/?docbody= &nd=102162702 (accessed: 31.03.2016). (In Russ.)
4. The concept of state detection, prevention and response system to cyber attacks on information resources of the Russian Federation : approved by the President of the Russian Federation December 12, 2014 № 1274 K Available at: http://www.fsb.ru/files/PDF/Vipiska_iz_ koncepcii.pdf (accessed: 31.03.2016). (In Russ.)
5. Savin L. V. Setecentrichnaja i setevaja vojna. Vve-denie v koncepciju [Network-centric and network war. Introduction to the concept]. Moscow, Evrazijskoe dviz-henie, 2011. 130 p.
© Жуков В. Г., Жукова М. Н., 2016
