Центр кибербезопасности CSS Кибервойск Норвегии
В продолжение темы:
После того, как в прошлогоднем материале о Кибервойсках Норвегии (Cyberforsvaret) было произведено перераспределение геральдических символов оставался "бесхозным" один герб. Тогда по зрелому размышлению ваш покорный слуга своим волюнтаристским решением закрепил его за новым Центром кибербезопасности CSS, как казалось, весьма обоснованно - второй после самих CYFOR, он еще с середины 2000-х появился сначала в синем цвете у Центра передового опыта по системам управления FK KKIS, потом перешел по наследству Командованию передового опыта и трансформации CKT, где его вместе со всеми остальными Кибервойсками перекрасили в пурпур. А после очередного реформирования он отчего-то бесследно исчез. Казалось бы, такой раритет не должен был пропасть втуне, оставалось только дождаться подтверждения умопростроений и заключений. Но вот в сети появились новые фотографии, и оказалось, что всё пошло насмарку. Норги всех обманули - на снимках видны нашивки с совсем другими геральдическими щитами:
Пост контроля и анализа центра кибербезопасности CSS
Центр кибербезопасности CSS (Cybersikkerhetssenteret) отвечает за мониторинг безопасности ИКТ-инфраструктуры вооруженных сил и систем связи военного назначения для выявления несанкционированного проникновения в них, изолирования кибератак, а также принятия необходимых оперативных контрмер по сохранению целостности и обеспечению восстановления ИКТ-систем. Кроме того, центр CSS несет ответственность за анализ и экспертизу инцидентов в киберпространстве, направленных против вооруженными сил. Дислоцируется в военном лагере "Йостадмуен" (Лиллехаммер).
К задачам центра кибербезопасности (ЦКБ) относятся:
• контроль функционирования и защита компьютерных систем подразделений ВС Норвегии в стране и за рубежом;
• экспертиза киберинцидентов;
• разработка средств и методов защиты военных ИКТ-систем;
• подготовка специалистов по противодействию информационным угрозам;
• проведение компьютерных операций (эксплуатационных, оборонительных, наступательных).
История центра начинается в 2005 году.
Когда в 1990-х годах произошел развал ВС Норвегии, после него с 2000-го в военном лагере "Йостадмуен" на обломках бывшего учебного полка связи оставался Учебный центр войск связи сухопутных войск SBUKS. Его совсем было тоже собрались приговорить вслед за самими войсками связи норвежской армии, но передумали и чуть погодя взяли за основу для создания нового Центра передового опыта систем управления и связи вооруженных сил FK KKIS. В августе 2005-го его официально открыли, объявив достигнувшим начальной оперативной готовности, после чего SBUKS всё-таки окончательно расформировали. Завершающие оргштатные мероприятия по FK KKIS продолжались до конца года, и именно тогда в составе центра сформировали Группу компьютерных операций CNО (Сomputer Network Operations enheten) численностью аж целых 19 человек, но пока еще не очень-то понимали, что с ней делать. Сначала на ее базе хотели впоследствии развернуть новый отдельный Центр передового опыта по информационным системам и безопасности FOKIS (Forsvarets kompetansesenter for informasjonsforvaltning og sikkerhet), однако эти планы так и остались нереализованными, потому что началось формирование Объединенного командования INI, и у начальства появились новые идеи.
А параллельно с 2008 года в Отделе контрразведки штаба обороны FSA (Forsvarets sikkerhetsavdeling) проводились мероприятия по созданию ЦКБ МО Норвегии.
Просто интересный факт: 1 января 2009 года Отдел FSA переименовали в Службу безопасности FOST (Forsvarets sikkerhetstjeneste). Однако уже 13 ноября того же года главнокомандующий генерал Харальд Сунде объявил, что в соответствии с проектом новых инструкций министерства обороны название FOST должно быть изменено обратно на FSA, в связи с тем, что ее юрисдикция ограничивается только вооруженными силами. Требование выполнили в 2011 году.
В FSA ЦКБ поначалу называли аббревиатурой SBKI (Senter for beskyttelse av kritisk infrastruktur - центр защиты критической инфраструктуры), а располагался он в этот период в гарнизоне "Колсос" (Kolsås), где за годы Холодной войны норвежские гномы вырыли целый подземный город.
Пост контроля и анализа центра SBKI в Колсосе. На рабочем столе экрана компьютера ещё заставка с гербом FSA (FOST)
В ходе проведения оргштатных мероприятий по созданию Командования INI в его состав с 1 января 2011 года передали из FSA ЦКБ с изменением его обозначения на FSKI (Forsvarets senter for beskyttelse av kritisk infrastruktur) и передислокацией в военный лагерь "Йостадмуен", где для размещения центра в 2010-2011 годах завершили дооборудование построенного в начале 2000-х здания №26 - учебного корпуса U2 (Undervisningsbygg).
Bilde © Gulesider / Forsvaret
Несмотря на официальное наименование, аудитории военного училища радиоэлектроники занимают лишь некоторые его помещения, а бóльшая их часть досталась другим подразделениям Кибервойск. При этом у здания не менее двух подземных этажей. Именно там и произошло объединение ЦКБ FSKI, переданного из Отдела FSA, с выведенной из состава Центра FK KKIS Группой компьютерных операций CNO в составе Отдела защиты критической инфраструктуры BKI (Beskyttelse av kritisk infrastruktur) Службы INI OPS. В кратком виде все предшествующие и последующие преобразования и переименования можно представить так:
2005-2010 - FK KKIS/CNO
+
2008-2010 - FSA/SBKI → FOST/SBKI → FSA/SBKI
январь 2011 - INI/FSKI
август 2011 - INI/INI OPS/BKI
сентябрь 2012 - CYFOR/INI OPS/BKI
октябрь 2013 - CYFOR/CTO/BKI
… (?) 2017 - CYFOR/CSS
Нет смысла рассказывать о каждом из них, потому что с 2011-го внутри Отдела, а потом Управления защиты критической инфраструктуры BKI практически ничего не менялось, за исключением глубокого удовлетворения от осознания ЧСВ, когда в 2016-м НАТО признало киберпространство четвертой полноправной сферой применения ОВС Альянса, наравне с землей, морем и воздухом.
Когда в 2017-м началась очередная эпопея реформирования Кибервойск первым делом распустили многострадальное Командование CTO (ex-INI OPS), после чего ранее вполне себе самодостаточное и даже несколько обособленное Управление защиты критической инфраструктуры BKI сразу отправилось в автономное плавание в качестве отдельного ЦКБ CSS.
Из видимых изменений в глаза сразу бросается повышение уровня штатной категории должности начальника Центра с подполковника/капитана 2 ранга (Nivå 4) на одну ступень (Nivå 3). Начальник CSS теперь является одним из заместителей начальника Кибервойск. Количество персонала в ЦКБ можно оценить примерно в 40-50 человек, из которых до 10 гражданских - в 2014-м их было ровно 29, а потом где-то в 2016-2017 гг. общая численность слегка подросла, но об этом ниже.
По наследству от BKI центру CSS досталась организация из двух отделов:
• отдел компьютерной защиты с постом контроля и анализа;
• отдел компьютерных операций с мобильной группой быстрого реагирования.
Отдел компьютерной защиты CND (Computer Network Defense) - основное подразделение ЦКБ. Общая численность персонала отдела около 25 человек, включая гражданских.
Часть из них занимаются разработкой методик исследования кибератак или нарушений кибербезопасности, которые применяются на практике при восстановлении работоспособности ИКТ-сетей и систем. В дальнейшем полученные результаты являются основой для проведения экспертиз инцидентов (см. ниже).
Пост контроля и анализа (Deteksjon og analyse operasjonsenter) является основным подразделением отдела CND. Он представляет собой операционный центр на подземном этаже здания №26 и его открытие в 2012 году стало громким событием, оно широко освещалось в СМИ Норвегии, поэтому в сети достаточно фото изнутри.
На посту организовано круглосуточное дежурство. Поначалу расчет дежурной смены состоял из пяти человек - четыре оператора, причем половина из них были гражданскими. Каждый сидел за своим автоматизированным рабочим местом (АРМ), кроме старшего смены, которому отдельного стола не досталось.
Можно заметить, что на общие экраны кроме технических данных транслируются передачи новостных каналов для получения всей возможной дополнительной информации об обстановке. В определенных случаях это может помочь в анализе и прогнозировании ситуации.
Из помещения обеспечивается прямая закрытая телефонная и компьютерная связь со Штабом обороны, штабом Объединенного оперативного командования и со штабами видов вооруженных сил ВС Норвегии.
Доступ в данное помещение имеют только сотрудники с высшей формой допуска уровня NАТО Cosmic Top Secret . Вход по специальным электронным идентификационным картам с видео-фейсконтролем.
Но потом пришел 2014-й, и поток открытой информации практически иссяк. Поэтому сложно точно сказать, когда пост контроля и анализа ЦКБ подвергся кардинальной реконструкции. В 2016-м материалы по ЦКБ сопровождали снимками, как начальник Кибервойск позирует с премьер-министром в 2014 году еще на старом посту (фото выше справа), а в июне 2017-го журналистам издания Verdens Gang впервые продемонстрировали уже новый облик:
Начальник центра капитан 1 ранга Кйетиль Утне (kommandør Kjetil Utne) на посту контроля и анализа
Два самых верхних снимка с новыми нашивками тоже оттуда, но сделаны примерно через год-полтора. Как видите, отличия существенные. Дежурная смена увеличилась до пяти человек, и все они теперь военные. Старший наконец-то обрел свое личное рабочее место. Более того, теперь без проблем можно разместить за отдельными АРМами еще четверых операторов на случай введения режима усиления.
При этом сам принцип построения рабочего пространства остался неизменным. На мониторах АРМ и общих экранах при помощи специализированного программного обеспечения (ПО) отображается информация о текущем состоянии компьютерных сетей ВС Норвегии, цифровых систем связи и передачи данных. А один из общих экранов на стене транслирует телепрограммы.
Для сбора сведений о потенциальных угрозах ИКТ-системам используются специализированные сетевые датчики (блоки сигнализации, сенсоры). Каждый такой датчик представляет собой программно-аппаратное средство, дистанционно-управляемое специалистами ЦКБ, и предназначенное для решения двух основных задач:
• сбор, регистрация, анализ и хранение данных;
• оповещение об инцидентах, связанных с кибербезопасностью.
Используются два типа сетевых датчиков:
1. IDS-сенсор (Intrusion Detection System англ., система обнаружения вторжений) используется для сигнализации об известных типах угроз. Датчик автоматически сканирует проходящий через него поток данных в поисках сигнатур известных вредоносных программ (вирусы, интернет-черви, троянские программы и т.п.). При выявлении совпадений подается сигнал тревоги.
2. Traffik-sniffer (т.е. нюхач трафика) используется для сигнализации о возможных угрозах и скрытых угрозах неизвестного типа. Датчик анализирует и фиксирует метаданные трафика, то есть основные параметры входящей и исходящей информации, циркулирующей в сети (объемы передаваемой информации и используемые протоколы, маршруты, адреса, порты и устройства производимых соединений). Датчики второго типа постоянно формируют пакеты данных о трафике (переданный объем информации, конкретная информация о сессии).
При выявлении совпадений с известными небезопасными IP- и http-адресами, ранее уже использовавшимися злоумышленниками, подается сигнал тревоги. Кроме этого, выводы о вредоносной активности могут быть сделаны на основании подозрительных и необычных моделей трафика (резкий необоснованный рост объемов передаваемой и принимаемой информации, установление связи с нетрадиционными абонентами и т.п.).
Текущий анализ полученных от сенсоров данных производится автоматически. При срабатывании какого-либо из датчиков любого типа, соответствующий пакет данных, который лежит в основе сигнала тревоги, передается в ЦКБ и автоматически обрабатывается за время не более пяти минут. После этого немедленно производится сигнализация в виде цветной линии на одном из общих экранов ЦКБ. Затем ситуацию начинает детально изучать один из дежурных операторов. В случае если данных для анализа недостаточно, он может запросить с датчика дополнительные пакеты данных на центральный сервер внутренней закрытой сети ЦКБ.
Пакеты хранятся в запоминающем устройстве сенсора в течение нескольких суток. По завершении данного срока пакет либо удаляется, либо по команде дежурного оператора передается для хранения на центральный сервер закрытой сети ЦКБ, откуда может быть в любое время извлечен для углубленного ретроспективного анализа. В случае фактического инцидента информация досконально изучается в ходе проведения его экспертизы.
На основании этих данных в близком к реальному масштабе времени могут быть выявлены факты кибератак (проникновение вредоносных программ, попытки несанкционированного доступа, создание бот-сетей, спам и DDoS-атаки, и т.п.). Это позволяет специалистам ЦКБ контролировать текущее состояние интернет-сетей, оперативно формируя цельную и всеобъемлющую картину о режиме кибербезопасности во всем секторе компьютерных сетей МО Норвегии.
Датчики обоих типов устанавливаются перед брандмауэрами серверов локальных сетей. Их совокупность образует сенсорную сеть, постоянно транслирующую информацию в ЦКБ, где она отображается при помощи соответствующих программно-аппаратных средств на посту контроля и анализа.
Структура сенсорной сети
Экспертиза инцидентов. Специалисты ЦКБ разрабатывают методики исследования кибератак, или нарушений кибербезопасности, которые применяются на практике при восстановлении работоспособности ИКТ-сетей и систем, а в дальнейшем полученные результаты являются основой для проведения экспертиз инцидентов. Они имеют целью сбор, анализ и закрепление доказательств с последующей передачей их правоохранительным органам.
Экспертизы проводятся по трем основным направлениям: техническая, программная и юридическая. За две первых отвечает ЦКБ, а сотрудники Отдела контрразведки FSA штаба обороны ВС Норвегии проводят юридическую экспертизу и собственное расследование для преследования и возможного привлечения виновных к ответственности. Если дальнейшие процессуальные действия выходят за пределы юрисдикции вооруженных сил специалисты Отдела FSA передают собранные данные партнерам в структурах национальных и международных правоохранительных органов.
В своей деятельности ЦКБ CSS тесно сотрудничает с другими ведомствами и структурами Норвегии, также отвечающими за национальную кибербезопасность. К ним относятся:
1) Разведывательная служба ВС Норвегии NIS (Norwegian Intelligence Service)
2) Департамент кибербезопасности NorCERT (Norwegian Computer Emergency Response Team & Cybersenter) управления национальной безопасности NSM (Nasjonal sikkerhetsmyndighet), отвечающий за кибербезопасность гражданских организаций (см. ниже)
3) Полиция безопасности PST (politiets sikkerhetstjeneste)
4) Центр информационной безопасности Норвегии NorSIS (Norsk senter for informasjonssikring), созданный под эгидой Министерства государственного управления и реформ (Fornyings- og administrasjons-departementet) для консультирования по вопросам кибербезопасности всех норвежских частных, общественных и государственных организаций, а также отдельных граждан.
5) Конфедерация совета безопасности NSR (Næringslivets sikkerhetsråd).
На международном уровне организовано сотрудничество ЦКБ CSS с соответствующими структурами ООН, Евросоюза и НАТО, включая ЦКБ Альянса NCIRC в г. Монс (Бельгия) и Центр передового опыта НАТО по вопросам киберзащиты CCD-COE (NATO Cooperative Cyber Defence Center Of Excellence) в г. Таллин (Эстония).
Пара примечаний.
1. Сначала про центр в Таллине. Конечно, можно прикалываться над горячими и быстрыми эстонскими парнями и девчатами. Но нужно помнить, что у них еще в советские времена был высокопрофессиональный институт кибернетики Таллинского технического университета, и очень многие его компетенции удалось не только сохранить, но и существенно приумножить. В военной сфере именно это и позволило им создать и аккредитовать в НАТО свой Центр ещё когда о кибербезопасности много говорили, но до внедрения на практике мало что доходило. Нельзя не напомнить, что хорошим пинком в правильном направлении стала массированная кибератака неизвестных хакеров в 2007 году, блокировавшая работу правительственных, новостных и банковских сайтов Эстонии. Правительство тогда приняло Стратегию кибернетической безопасности на 2008-2013 годы, предполагавшую не только научные разработки, но и изменения в системе образования, законодательстве etc. После этого у них и появился CCD-COE, который сейчас пользуется заслуженным авторитетом среди партнеров и союзников по Альянсу. Достаточно сказать, что за все время регулярного проведения с 2012 года учений по кибербезопасности ОВС НАТО Locked Shields эстонская сборная всегда входит в тройку призеров, при том, что количество участвующих стран и организаций c 2018 года перевалило за 30.
2. А в Норвегии в департаменте кибербезопасности NorCERT управления национальной безопасности NSM с 1 ноября 2019 года развернут еще один центр кибербезопасности NCSC (Nasjonalt cybersikkerhetssenter). Прообраз его Operasjonssenteret NorCERT был создан еще в начале 2010-х в Bryn (пригород Осло).
Снимки 2013 года
Теперь ЦКБ NorCERT переехал в самый центр норвежской столицы - на набережную Лангкая рядом с крепостью Акерсхюс.
Структура построения рабочего пространства ЦКБ здесь ровно та же самая:
Что же до харда и софта, то для NorCERT была создана отдельная сенсорная сеть, аналогичная по архитектуре и назначению сети ЦКБ CSS ВС Норвегии, но для обеспечения кибербезопасности компьютерных сетей гражданских структур страны.
Два этих центра, военный и гражданский, образуют национальную систему VDI (Varslingssystem for digital infrastruktur) раннего предупреждения, идентификации, классификации и обмена данными об атаках, направленных против цифровой инфраструктуры Норвегии. Собственные ЦКБ есть еще и у некоторых крупных компаний, в частности, у Telenor. Но в VDI он не входит.
ЦКБ Telenor в Arendal
Да что там говорить, даже между CSS и NCSC полноценное взаимодействие еще не налажено. Идеальным было бы их полноценное объединение и параллельное функционирования с возможностью замены друг друга. Но по ряду причин это невозможно, включая и различия в правовом статусе сотрудников министерства обороны и обычных граждан. Тем не менее, в соответствии с военным бюджетом Норвегии на 2020 год планируется продолжить дальнейшее расширение сотрудничества между Кибервойсками и Управлением национальной безопасности NSM, а основным направлением такой деятельности является именно создание объединенного координационного ЦКБ FCKS (Felles cyberkoordineringssenter).
Отдел компьютерных операций CNO (Сomputer Network Operations) - второе подразделение ЦКБ FSS. В основном, он предназначен для проведения оборонительных операций (усиление возможностей отдела компьютерной защиты) и эксплуатационных операций (наращивание ИКТ-инфраструктуры на отдельных участках), но также способен проводить и наступательные операции в киберпространстве (как утверждается, ограниченно).
Основным содержанием деятельности отдела является использование мобильных систем ЦКБ. Численность личного состава до 20 человек. Так как их обязанности связаны с оперативным применением технических средств в условиях учений, операций и военных действий, большинство штатов отдела комплектуется военнослужащими.
Мобильная группа киберсил быстрого развертывания (mobile utrykning cyberkrig-enheten или mobile datanettverksforsvarskapasiteten enheten) предназначена для создания, наращивания или/и восстановления локальных компьютерных сетей военного назначения в отсутствие или при недостатке соответствующей инфраструктуры (в том числе, в полевых условиях), с последующим обеспечением их функционирования и безопасности. В случае необходимости группа может ограниченно решать задачи мобильного поста анализа и контроля.
По запросу гражданских ведомств возможно решение аналогичных задач и в интересах их структур при возникновении значительных проблем с основными системами, в частности, в результате террористических актов или крупномасштабных хакерских атак. Например, в соответствии со сценарием учения Хемверна/Кибервойск Норвегии Hovedstad/Cyberdown (FOA-3/2013) по запросу специалистов департамента NorCERT управления нацбезопасности NSM мобильная группа обеспечивала поддержание работоспособности столичного отделения телекоммуникационной компании Telenor в Форнебю (Осло), ИКТ-системы которой условно были условно выведены из строя в результате масштабной хакерской атаки
Вверху - микроавтобус мобильной группы с полуприцепом спешит на помощь, внизу - группа на учении Hovedstad/Cyberdown
Максимальная численность группы 10 военнослужащих - по количеству мест в кабинах трех автотранспортных средств. При этом штатных водителей не предусмотрено, эти обязанности по совместительству исполняет назначенный личный состав основных специальностей группы.
Внедорожник Toyota Land Cruiser Prado предназначен для перевозки 4 пассажиров и решения обеспечивающих задач в районе предназначения.
Два микроавтобуса Mercedes-Benz Sprinter, в кабине каждого размещается по три человека. Машины используются для хранения и перевозки расходных материалов, запасов и имущества группы (антенные системы беспроводного доступа, кабеля ВОЛС), а также буксировки двух полуприцепов, в которых смонтирована основная аппаратура, включая малогабаритный сервер, системы электропитания, вентиляции и др.
Автотехника постоянно базируется в подземном гараже здания №26 военного лагеря "Йостадмуен". Для обеспечения быстрого развертывания все имущество группы заблаговременно заскладировано там же, рядом с автомобилями, включая две палатки, спальные мешки и коврики, полевые рационы питания на шесть суток и т.п. В шкафчиках находится полевая форма одежды по сезону, рядом хранится табельное оружие и боеприпасы личного состава.
Подземный гараж с транспортными средствами и имуществом группы демонстрируют коллегам из Великобритании
На позиции в районе предназначения операторы размещаются за АРМ в салонах автобусов, в случае быстрого реагирования, либо разворачивают системы в палатке при продолжительном развертывании. Вторая палатка предназначена для отдыха личного состава.
Мобильная группа регулярно привлекается к участию в проведении крупных учений на территории Норвегии. На снимке автомобили группы с антеннами беспроводного доступа на учении ОВС НАТО Cold Response
К сожалению командование Кибервойск Норвегии категорически отказывается делиться подробностями своих успехов в защите ИКТ-систем вооруженных сил, за исключением того, что ежегодно они фиксируют несколько тысяч киберинцидентов, включая и серьезные хакерские атаки, при этом их изощренность постоянно растет. Считается, что количественные показатели и подробности этого процесса могут помочь злоумышленникам скорректировать свою тактику, повысив ее эффективность.
(вместо заключения следует)