Изображение: recraft
В критической информационной инфраструктуре (КИИ) каждая рабочая станция, сервер или виртуальная машина является точкой входа. Российское правовое поле задаёт рамки — базовым документом выступает Федеральный закон № 187-ФЗ «О безопасности КИИ», а конкретные организационно-технические требования закреплены двумя приказами ФСТЭК России: № 235, посвящённым созданию и эксплуатации систем безопасности значимых объектов, и № 239, определяющим состав мер по обеспечению их устойчивой работы.
Приказ № 235 обязывает субъект КИИ проектировать систему безопасности одновременно как комплекс организационных процедур и набора сертифицированных технических средств: антивирусной защиты, межсетевых экранов, систем обнаружения и предотвращения вторжений, средств контроля защищённости, управления событиями (SIEM) и защиты каналов связи. Все они должны покрывать жизненный цикл значимого объекта — от инициации и ввода до вывода из эксплуатации — и, в том числе, взаимодействовать через сформированные регламенты и управленческие роли, утверждённые руководителем организации.
Ещё один приказ № 239 дополняет эту конструкцию конкретикой: на каждой стадии жизненного цикла требуются анализ угроз, установка и настройка СЗИ, уязвимостный скан, приёмочные испытания и оценка эффективности компенсирующих мер. Ключевой тезис приказа — унификация, т. е. меры безопасности должны быть заданы в техническом задании и сопровождаться эксплуатационной документацией, а изменения архитектуры объекта автоматически запускают процедуру модернизации подсистемы безопасности и повторную оценку угроз.
Для значимых объектов I и II категорий приказ № 239 требует применять средства защиты информации не ниже 4-го и 5-го классов соответственно; причём они обязаны пройти оценку соответствия в форме обязательной сертификации, испытаний или приёмки. Таким образом, выбор EDR-/XDR-платформы для КИИ сузится до решений, имеющих действующий сертификат ФСТЭК и подтверждённый класс защиты. В логике ФСТЭК EDR и XDR напрямую попадают в категорию «средства обнаружения (предотвращения) вторжений» и «средства управления событиями безопасности». Чтобы полномасштабно соответствовать приказам, агент EDR должен не только фиксировать поведенческие аномалии, но и предоставлять телеметрию в форматах, совместимых с действующим в организации SIEM, где ведётся непрерывный автоматизированный контроль событий. XDR, в свою очередь, решает задачу корреляции инцидентов между сегментами — от ОТ-сетей до облачных сервисов — и помогает соблюсти требование к «информационному взаимодействию» значимого объекта с внешними системами, прописанное в пункте 10 приказа № 239.
Интеграция EDR/XDR в существующий стек средств защиты обычно начинается с атрибуции активов и категорирования: порядок, описанный в постановлении правительства № 127. Затем в техническом задании на модернизацию подсистемы безопасности фиксируются источники событий, протоколы передачи, классы дополнительных СЗИ (например, контроллер НСД или защита CAN-шины в ОТ-сегменте) и порядок приёмочных испытаний. На этапе внедрения критически важно обеспечить двустороннюю синхронизацию: EDR ↔ SIEM для детектирования, XDR ↔ SOAR для автоматического реагирования. Оптимизируя детектирование сложных атак, владельцы КИИ опираются на пункт 28 приказа № 239: разрешено внедрять компенсирующие меры, если базовые СЗИ не блокируют угрозу. Типовой компенсирующей мерой становится сценарий MITRE ATT&CK, реализованный в EDR-песочнице, а XDR выступает «центром тяжести», распределяя приоритеты по бизнес-контексту и обеспечивая возможность изоляции узла за секунды — то, чего требуют нормативы устойчивого функционирования.
Таким образом, российские приказы № 235 и № 239 формируют для предприятий КИИ «дорожную карту»: сертифицированные СЗИ плюс строгие процессы жизненного цикла. EDR и XDR гармонично вписываются в эту архитектуру как современные средства обнаружения и реагирования, при условии, что они сертифицированы, интегрированы с действующей системой безопасности и снабжены регламентами, отражающими требования правового поля. Именно такая связка позволяет не просто формально соответствовать букве закона, а реально снижать время обнаружения и пресекать сложные атаки до того, как они нарушат технологический процесс.
Автор: Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис».
Оригинал публикации на сайте CISOCLUB: "Внедрение EDR/XDR на предприятиях КИИ: интеграция с существующими системами и оптимизация детектирования сложных атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.