«Спектр – 2023»: информационная безопасность и инструменты борьбы с киберугрозами
Во второй день работы форума «Спектр – 2023» директор ЦМУ ССОП рассказал об актуальных подходах к обеспечению информационной безопасности и создании инструментов борьбы с киберугрозами.
ЦМУ ССОП выполняет ряд приоритетных задач по поддержке работоспособности замещающей инфраструктуры, совместно с операторами связи быстро реагирует в случае аварий на сетях связи. Всего за последний год зафиксировано 750 таких инцидентов, из них 80 крупных. Вместе с регуляторами Центр проводит мониторинг информационной безопасности и при выявлении угроз направляет операторам связи уведомления с информацией о способах их устранения. В этом году операторы получили около 620 таких уведомлений и устранили угрозы.
По словам Сергея Хуторцева, ЦМУ ССОП значительно расширил возможности мониторинга, собирает больше информации о маршрутизации, о трафике операторов связи, что помогает более оперативно устранять различные инциденты на сетях связи.
«Один из инструментов, который мы создали, – сервис «Мониторинг сбоев». Он подразумевает значительную активность пользователей, которые заходят на сайт и оставляют жалобы на сбои в работе сервисов, которыми они пользуются. В этом году мы планируем добавить на портале несколько новых функций: оценка безопасности настройки почтовых и веб-серверов. Это публичные функции, ими смогут воспользоваться все желающие и удостовериться в выполнении базовых корректных настроек своих устройств. Еще одним улучшением сервиса «Мониторинг сбоев» станет добавление автоматического мониторинга интернет-ресурсов и сервисов именно с технологической точки зрения – маршрутизации, трафика, доступности самого сервиса. Это поможет пользователям оценить работоспособность сервиса и качество услуг оператора связи», – рассказал Сергей Хуторцев.
Существенное развитие функционала в этом году получила система АСБИ (Автоматизированная система «Безопасный интернет»). Суммарный трафик, проходящий через ТСПУ, превышает 100 Тбит/с. Всего оборудование установлено на более 1,1 тыс. узлов связи и покрывает 100% трафика.
В рамках противодействия угрозам ограничивается доступ к более 590 тыс. информационных ресурсов, 2 тыс. фишинговых сайтов, 200 анонимным почтовым сервисам, 167 VPN-сервисам, 84 приложениям и 20 центрам управления и распространения вредоносного ПО.
Еще одна приоритетная задача ЦМУ ССОП – противодействие угрозам в телефонных сетях связи. Для ее решения созданы и функционируют две системы: «Антифрод» для борьбы с механизмами подмены номера и КСИМ для мониторинга актуальности абонентских баз данных для предотвращения продажи и использования серых сим-карт.
«Сейчас к системе «Антифрод» подключено 190 операторов связи. У них было достаточно много времени для подключения. Надеюсь, что до конца года большую часть операторов мы сможем также подключить к системе. В части контроля корректности абонентских баз мы получили от операторов информацию о 97% их активной абонентской базы, проверили данные и совместно с операторами устраняем выявленные неточности в сведениях», — прокомментировал директор ЦМУ ССОП.
Сергей Хуторцев назвал несколько систем, созданием которых сегодня занимается Центр. Первая – GeoIP, база данных, учета, географической принадлежности IP-адресов.
«Сейчас наиболее распространенными являются зарубежные базы данных. Они используются операторами связи, владельцами информационных систем при защите от компьютерных и DDoS-атак, при фильтрации по географическому принципу. В этих базах сегодня содержится много неточностей, в том числе некорректная информация о наших новых регионах. Из-за этого возникают ситуации, когда российские граждане не могут получить доступ к государственным сервисам, российским информационным ресурсам. Все это стало поводом для создания централизованного сервиса, который бы комплексно решал вопрос наличия доверенности и корректной информации о географической принадлежности IP-адресов», – поделился Сергей Хуторцев.
В последнее время фиксируется большое количество компьютерных атак на инфраструктуру РФ, которые приводят к компрометации ресурсов и утечкам персональных данных российских граждан. Основные причины, по которым атаки достигают своей цели, – это халатность администраторов ресурсов, необновленные версии используемого ПО, а также уязвимости оборудования и программного обеспечения. Последние учения показали, что из 40 млн интернет-адресов в российском сегменте около 11 млн потенциально уязвимых. Для решения этой проблемы планируется создание системы, которая на постоянной основе будет сканировать безопасность всех российских интернет-адресов, выявлять угрозы и совместно с операторами связи, владельцами информационных систем, хостинг-провайдерами предпринимать комплекс мер по устранению угроз. Система уже в процессе создания. Завершение работ планируется в 1-м квартале 2024 года.
Для противодействия DDoS-атакам ЦМУ ССОП также создает специализированную систему. В 2022 и 2023 годах более 1,1 тыс. ресурсов поставлено на мониторинг и защиту, выявлено и заблокировано около 10 тыс. DDoS-атак, из них более 180 крупных, которые организованы на ключевые государственные ресурсы и инфраструктуру банковского сектора и транспорта. Национальная система защиты от DDoS-атак подразумевает эшелонированную защиту, модернизацию ТСПУ для отражения объемных атак, будут созданы два центра глубокой очистки трафика с пропускной способностью до 400 Гбит/с каждый.
«Мы сделали систему мониторинга, которая объединяет информацию с ТСПУ и от владельцев информационных систем, и от операторов связи. Эти пользователи предоставляют нам сведения об атаках, а сами, подключившись к системе, смогут использовать возможности ТСПУ для блокировки атак на свой пул адресов. Такие масштабные атаки достаточно простые, оператор может самостоятельно их установить и заблокировать», – пояснил директор ЦМУ ССОП.
Запуск всех систем повысит качество услуг связи для населения, обеспечит надежную и бесперебойную работу российских информационных ресурсов и сервисов, будет комплексно противостоять киберугрозам и различным видам атак.