Документ описывает создание автоматизированной системы обработки и корреляции событий информационной безопасности в ОАО 'РЖД'. Основное внимание уделяется выбору платформы hp ArcSight, оптимизации работы с инцидентами и внедрению новых методов обнаружения угроз, таких как поведенческий анализ и использование репутационной базы. В результате проекта достигнуты улучшения в показателях безопасности и выявлении инцидентов, что подтверждает важность вовлечения специалистов и адаптации системы к актуальным угрозам.

1. СОЗДАНИЕ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
ОБРАБОТКИ И КОРРЕЛЯЦИИ СОБЫТИЙ ИБ ОАО «РЖД»
Глухов А.П. Зенковский А.К. Афонин Е.С.
ОАО «РЖД», ЗАО НИП «Информзащита»
Введение.
Обеспечение безопасности информационных систем и
телекоммуникационных сетей становится все более сложной задачей.
Огромное количество разрушающих программных средств, средств
несанкционированного доступа, а также постоянное развитие
информационных систем, в том числе и АСУТП, дают основание
утверждать, что борьба за информационную безопасность стала одним из
важнейших направлений деятельности, как государственных учреждений,
так и коммерческих организаций различного уровня.
В ОАО «РЖД» деятельность по обеспечению ИБ направлена на
обеспечение безопасности информации объектов инфраструктуры, а также
на сохранение конфиденциальности, целостности и доступности
информации, единства информационного пространства РЖД.
В данном контексте нам хотелось бы рассказать о результатах
проекта по созданию автоматизированной системы обработки и
корреляции событий ИБ ОАО «РЖД». Ни один проект не может быть
успешным без четко поставленных целей, которые были сформулированы
нами следующим образом:
 Выбрать для построения системы платформу, которая бы, с
одной стороны, обладала богатым встроенным функционалом,
чтобы минимизировать затраты на интеграцию, а с другой
стороны, могла бы легко масштабироваться для работы с
большими объемами данных;
 Оптимизировать работу с инцидентами ИБ, особенно в
контексте дефицита времени и ресурсов сотрудников,
ответственных за работу с ними;
 Разработать и внедрить в практику новые способы
обнаружения инцидентов ИБ с помощью корреляции событий
и поведенческого анализа сетевой активности.
Выбор платформы.
В октябре 2010 года на конференции «Инфотранс» (тогда еще
Директор департамента информатизации и корпоративных процессов)

2. РЖД Алексей Илларионов дал следующую оценку ИТ-инфраструктуры:
«В РЖД эксплуатируется один из самых крупных в стране
информационных комплексов, 64 мэйнфрейма, более чем 300
корпоративных серверов, объем памяти хранилищ – более 2 ПБ, более 280
тыс. ПК. У нас 12 тыс. сотрудников занимаются информатизацией
компании. Эксплуатируются более 4 тыс. информационных систем (ИС),
все они имеют различный масштаб, но среди них есть беспрецедентные по
размеру и не имеющие аналогов в мире».
Не каждое средство защиты способно обеспечивать безопасность
информации в таких непростых условиях. Поэтому выбору платформы для
создания автоматизированной системы обработки и корреляции событий
ИБ мы подошли очень ответственно. Продукт HP ArcSight, входящий в
общий пакет решений HP Enterprise Security, существует на рынке систем
мониторинга и управления событиями информационной безопасности уже
более 12 лет. Являясь многолетним лидером в данной области1
, HP
ArcSight используется более чем в 2000 организаций в мире. Немаловажно
и то, что с 2007 уже на протяжении пяти лет, он увеличивает свою
популярность и среди отечественных компаний. Обладая самым большим
в индустрии количеством встроенных шлюзов для интеграции с
информационными системами и средствами защиты информации (более
350 различных систем, из них SAP, Checkpoint, Cisco, Oracle), HP ArcSight
действительно помогает сократить время и стоимость внедрения и
дальнейшего развития. Немаловажно, что за счет активной эксплуатации
на территории РФ набор успешных интеграций пополнился еще и целым
рядом отечественных систем (например, Kaspersky, DeviceLock,
1С:Предприятие).
В результате проведенного анализа, по совокупности характеристик
нами было принято решение об использовании HP ArcSight в качестве
платформы для автоматизированной системы обработки и корреляции
событий ИБ.
Оптимизация работы с инцидентами ИБ.
Обеспечение информационной безопасности в организациях
зачастую связано с различного рода дефицитами. Для примера, поговорим
о двух наиболее распространенных из них: дефиците времени для
выявления инцидента и дефиците ресурсов на его расследование и
реагирование.
Трудности при выявлении инцидентов особенно сильно проявляются
в условиях больших и сложных инфраструктур, когда для проведения
1
По версии исследовательской компании Gartner Inc.

3. анализа нужно выполнять много ручных операций и обращений за
дополнительной информацией. Это приводит к тому, что проактивной
работы с инцидентами ИБ не производится, а расследование выполняется
зачастую уже по факту свершившегося события. Сбор и корреляция
событий в реальном времени является хорошим подспорьем в борьбе с
дефицитом времени при выявлении и расследовании инцидентов. При
этом система может сообщить ответственному сотруднику о возникающем
инциденте оперативно, а зачастую и заранее, еще до того, как последствия
инцидента приняли угрожающие размеры. Например, во многих
организациях об эпидемии сетевого червя Conficker узнавали в момент
отказа каналов связи, которые оказывались перегружены паразитным
трафиком. При этом уже давно существуют четко сформулированные
признаки, по которым можно распознать развитие эпидемии на раннем
этапе и вовремя принять меры по ее локализации и устранению, не
допустив при этом нарушения доступности информационных систем.
Дефицит ресурсов, связанный с высокой загруженностью персонала
на текущих задачах, является второй по порядку, но не по значению
проблемой обеспечения информационной безопасности. Визуализация и
обеспечение дополнительного контекста позволяют оператору системы
экономить свое время и концентрировать усилия на самом важном, чтобы
добиваться максимального возможного результата в условиях
ограниченных ресурсов. Ведь два одинаковых по происхождению
инцидента ИБ могут затрагивать разное количество узлов сети,
пользователей или критичных информационных ресурсов. При этом время
ответственного сотрудника ИБ на проведение оперативных мероприятий
по локализации инцидента и организации устранения его негативных
последствий может отличаться лишь незначительно.
Новые способы обнаружения инцидентов ИБ - ботсети.
Не менее важным результатом проекта для нас было внедрение в
практику ответственных сотрудников ИВЦ новых способов обнаружения
инцидентов ИБ для борьбы с новыми угрозами. Интеллектуализация и
проникновение новых технологий может привести к тому, что например,
зараженное почтовое сообщение или веб-страница, посещенная
сотрудником, может привести к тяжелым последствиям в части
управления перевозочным процессом и обеспечения безопасности
движения. Для атак на АРМы, общесистемное оборудование, программное
обеспечение и каналы передачи данных (то есть те самые базовые
элементы, из которых строится и обеспечивается функционирование
критических функций средств автоматизации и АСУТП) все более часто
злоумышленниками стали использоваться ботсети (botnet).

4. Ботсетями называют компьютерные сети, состоящие из некоторого
количества узлов (сотен единиц или сотен тысяч), находящимися под
управлением скрытно установленного комплекса программ, позволяющих
владельцу ботсети выполнять произвольные действия с использованием
ресурсов зараженного компьютера. Наиболее типичными видами
злонамеренной активности является рассылка спама, выполнение атак на
отказ в обслуживании (DDoS), подбор паролей и воровство
конфиденциальной информации.
Важным свойством ботсетей является их устойчивость к
традиционным средствам защиты, а также возросшая популярность этого
инструмента атаки, которая привела к тому, что сейчас ботсети из сотен
или сотен тысяч узлов стали доступны рядовым злоумышленникам за
очень небольшие деньги порядка 0,5 цента за один зараженный хост.
Для вовлечения АРМа в ботсеть обычно используются уязвимости
ПО (браузеров, программ просмотра документов и мультимедиа) и
операционных систем. В дальнейшем внутри сети предприятия
распространение злонамеренного ПО может идти альтернативными
путями (выявление и взлом уязвимых систем, подбор паролей,
использование сетевых каталогов), которые позволяют выполнять
заражение гораздо быстрее и эффективнее, а главное, автоматически и без
активного участия пользователя.
Обеспечение защищенности ИТ-инфраструктуры в контексте
подобных угроз традиционными способами (сегментация сетей,
антивирусная защита, обновление ПО и операционных систем)
необходимо, но недостаточно. В условиях, когда выполнение
регламентных операций на десятках тысяч узлов сети может занимать дни
или недели (при обновлении узлов АСУТП зачастую больше),
злоумышленники обладают существенным преимуществом при
проникновении в сеть предприятия. Для понимания сценариев
проникновения достаточно ознакомиться с технологиями атак (Stuxnet,
Flame, duqu, «Red October»), которые позволяют обходить коммерческие
средства защиты и, главное, маскироваться в дальнейшем под
повседневную работу пользователя.
Для борьбы с этим типом угроз в нашем проекте использовался
дополнительный функциональный модуль продукта HP ArcSight под
названием «Reputation Security Monitor», который представляет собой
репутационную БД IP-адресов и записей DNS сети Интернет, замеченных
в злонамеренной активности (например, распространении вирусов, спама,
находящихся под управлением злоумышленников).

5. Информация из этой репутационной БД может быть использована
для:
 борьбы с зараженными узлами внутренней сети, когда
злонамеренное ПО не определяется коммерческими
антивирусами;
 выявления скоординированных атак со стороны бот-сетей на
сервисы доступные из сети Интернет;
 использования сервисов, доступных из сети Интернет, с АРМ,
находящихся под контролем злоумышленников;
 посещение сотрудниками узлов сети Интернет,
распространяющих злонамеренное ПО (drive-by-download).
В настоящий момент, в репутационную БД входит более 93 000 IP-
адресов и более 572 000 записей DNS, информация о которых обновляется
каждые два часа. По количеству записей российский сегмент сети
Интернет стоит на третьем месте, уступая только США и Китаю.
Наполнение «Reputation Security Monitor» обеспечивается
выделенным подразделением HP Enterprise Security - лабораторией сетевой
безопасности DVLabs (http://dvlabs.tippingpoint.com) с использованием
собственной сети сенсоров, информации от эксплуатирующихся систем
предотвращения вторжений Tipping-Point и данных из открытых
источников (SANS, публикации об известных атаках и пр.).
Примечательно, что один из филиалов DVLabs работает в Санкт-
Петербурге с 2007 года.
Используя информацию из репутационной БД «Reputation Security
Monitor» при корреляции событий ИБ, мы смогли добиться хороших
результатов при выявлении злонамеренного ПО, которое не определяется
(или временно не определяется) коммерческими антивирусами. Выявление
инцидентов такого рода до внедрения автоматизированной системы
обработки и корреляции событий ИБ было невозможно, а ведь наличие
таких «троянских коней» внутри (!) сети предприятия несет очень
серьезную угрозу доступности и конфиденциальности информации.
Новые способы обнаружения инцидентов ИБ – поведенческий
анализ.
Как мы уже видели, для выявления инцидентов ИБ могут
использоваться различные технологии – правила корреляции, отчеты,
средства визуализации информации, обеспечение дополнительного
контекста, репутационные базы. Однако все они в той или иной мере
требуют от нас либо заранее определить признаки инцидента, либо

6. идентифицировать злоумышленника с использованием информации,
полученной извне.
Такой подход (от частного к общему) не всегда применим при
выявлении особо сложных для обнаружения инцидентов ИБ, когда
признаки злонамеренной активности заранее определить не представляется
возможным. Поэтому не менее важным для выявления инцидентов ИБ
является возможность проведения поведенческого анализа сетевой
активности.
Для решения этой задачи в нашем проекте использовался
дополнительный функциональный модуль HP ArcSight под названием
«Pattern Discovery». Его задачей является выявление повторяющихся и
связанных между собой событий на основе автоматически формулируемых
признаков. Этот модуль позволяет анализировать по настоящему большие
объемы событий и оперативно предоставлять оператору системы для
последующего анализа небольшой перечень паттернов активности. В
результате их анализа, например, возможно выявлять активность
злонамеренного ПО, которое пытается замаскироваться под повседневную
работу пользователя ПК. Кроме того, появляется возможность выявления
активности ПО, которое трудно обнаружить традиционными средствами,
например, работу игровых приложений или приложений которые
скрывают признаки своего присутствия в ОС.
Заключение.
Подводя итоги, можно отметить, что встроенные возможности
платформы HP ArcSight позволили нам в краткие сроки выполнить
интеграцию с более чем 13 информационными системами и системами
защиты информации ИВЦ, разработать логику и реализовать более 100
правил, отчетов и графических представлений для обнаружения
инцидентов ИБ. Этот функционал в руках команды квалифицированных
специалистов ОАО «РЖД» позволил добиться реального улучшения
показателей защищенности, обнаружить несколько инцидентов, которые
невозможно было выявить имеющимися средствами защиты.
Крайне важным при внедрении систем подобного рода является
наличие поддержки и активного участия рядовых сотрудников,
ответственных за информационную безопасность. Создание правил
выявления инцидентов, получение осязаемых результатов от работы
системы оказалось возможным только благодаря высокому
профессионализму, глубокой вовлеченности и искренней поддержке
персонала Ярославского ИВЦ Северной железной дороги и Санкт-
Петербургского ИВЦ Октябрьской железной дороги. Значительная часть
функционала системы была основана на предложениях, поступивших в

7. результате предпроектного обследования и тестовой эксплуатации
системы. При этом с особой благодарностью хотелось бы отметить вклад
Михаила Евелевича Бородулина, Сергея Владимировича Чернуля, а также
сказать спасибо Александру Валентиновичу Гасину за общее кураторство
проекта по созданию автоматизированной системы обработки и
корреляции событий ИБ ОАО «РЖД».
В настоящий момент, является общим мнением, что внедренное
решение, выполняемые и предложенные к реализации работы по его
развитию охватывают значительный объем актуальных задач по
обеспечению безопасности информации объектов инфраструктуры,
сохранение конфиденциальности, целостности и доступности информации,
а также единства информационного пространства РЖД. Это стало
возможным за счет своевременного выявления и реагирования на
инциденты информационной безопасности, появления новых
возможностей по корреляции и визуализации событий ИБ, созданию
новых методик выявления злонамеренной активности и оптимизации
работы ответственных сотрудников.
Мы надеемся, что описанный опыт создания автоматизированной
системы обработки и корреляции событий ИБ будет интересен для
специалистов различного профиля, а также будет иметь практическую
значимость в борьбе за информационную безопасность учреждений и
предприятий транспорта.