23.06.2017

Краткие результаты круглого стола по киберучениям

Продолжим тему двухнедельной давности про киберучения... Вчера я модерировал на конференции "ИБ КВО ТЭК" круглый стол по киберучениям и вот, что по результатам этого круглого стола я, тезисно, могу подытожить:

  • РЖД проводило киберучения (в виде "штабных учений"), но на регулярную основу эта тема еще не вышла в этой компании.
  • Многие компании еще не дозрели до киберучений (не сталкиваясь и не веря в возможность серьезных инцидентов ИБ), несмотря на проведение учений по гражданской обороне и чрезвычайным ситуациям.
  • Отдельные заказчики до сиз пор считают, что обучение по программам повышения квалификации снимает все проблемы и выпущенные по ним специалисты обладают всеми необходимыми навыками (часто люди путают знания и навыки).
  • Проводить киберучения надо для разных категорий пользователей (ибшники-технари, рядовые пользователи, линейные руководители и топ-менеджмент).
  • Форматы киберучений бывают разные - CTF, "Противостояние" (PHDays), симуляторы (как KIPS) или "штабные учения", и они рассчитаны на разные целевые аудитории. Нет одного предпочитаемого формата - каждому свое. В серьезно подходящей к этому вопросу организации должны использоваться все варианты.
Ниже фотолента, которая сопровождала круглый стол, с примерами проходивших недавно киберучений разного формата.




Концепция активной обороны (презентация)

Что-то несмотря на лето (да-да, такое вот фиговое лето) число командировок и выступлений зашкаливает и писать в блог не получалось. Но вот выдалась свободная минутка и я вернулся к эпистолярному жанру :-)  Вчера, на конференции "Информационная безопасность промышленных предприятий и критически важных объектов ТЭК" выступал с темой, посвященной концепции активной обороны, презентацию по которой и выкладываю.



ЗЫ. В ближайшем !БДИ еще и краткая статья на эту тему у меня выйдет.

13.06.2017

Впечатления от казанского IT & Security Forum

В прошлом году я уже высказывался, что про казанский ITSF, где я традиционно выступаю уже не первый год, писать и легко и сложно одновременно. С точки зрения контента я не берусь оценивать мероприятие, так как мало какие выступления смог посетить. Однако отмечу все-таки некоторые моменты. У ФСТЭК новый прекрасный (во всех смыслах) спикер :-) Елена Торбенко, которая в этом году начала активно представлять ФСТЭК на разных мероприятиях, неплохо выступила и в Казани, представив взгляд регулятора на нормативное регулирование АСУ ТП и планы по его развитию. Отрадно видеть, что регулятор внял неоднократным замечаниям о качестве выступлений своих представителей и теперь они не только могут выступать без бумажки, но и активно участвовать в секции вопросов и ответов, не уходя от них, как это бывало ранее.

ФСТЭК несет свет знаний во тьме невежества
Отдельно хотел бы отметить пару секций, которые мне довелось модерировать. Первая из них была посвящена SOCам. Дело в том, что ICL вышел в этот сегмент рынка ИБ, анонсировав днем ранее свой собственный центр мониторинга ИБ, и поэтому данная секция по сути должна была показать направление развития компетенций компании-организатора. Но чтобы не скатиться в рекламу себя любимого ICL пригласила в секцию очень много достойных людей - представителей коммерческих SOCов (ЛК, Solar Security, PT и ICL), собственных SOC (Газпром и Газпромбанк), а также регуляторов, в т.ч. и имеющих собственные центры мониторинга своей инфраструктуры (ФСБ и ЦБ). Очень представительная аудитория, которая... и сыграла злую шутку. Тупо не хватило времени на нормальную дискуссию. 9 человек на 1,5 часа. Банальная арифметика подсказывает нам, что на одного человека от силы выделено 10 минут и это если не считать подводок модератора, то есть меня, и вопросов из зала (на них вообще времени не хватило). В итоге желание организаторов дать высказаться уважаемым людям и компаниям привело к тому, что мы не смогли рассмотреть все заготовленные мной вопросы. А жаль, в таком составе не часто удается услышать людей и дать им высказаться :-(


Второй косяк произошел на второй модерируемой мной секции (с Василием Широковым из Check Point). По задумке это должен был быть круглый стол, живая дискуссия на тему нормативного регулирования кибербезопасности АСУ ТП. Но за 20 минут до начала секции я узнаю, что помимо представителей PT, ЛК и Infowatch, которые должны были участвовать в круглом столе, в программу включен доклад представителя одного из институтов при РЖД, который сломал всю изначальную задумку и дальше все пошло вкривь и вкось (так я пытаюсь оправдаться, что утром второго дня было непросто модерировать мероприятие). Мало того, что он решил начать живую дискуссию с доклада на 25 минут, так еще и посвятил он его не кибербезопасности, а рассказу про поезда без машиниста (это, типа, будущее, над которым трудится РЖД). Какое отношение эта тема имела к регулированию ИБ АСУ ТП я не понял; видимо человек был весомый и отказать ему в выступлении организаторы не смогли. По ходу он еще и дискуссию на себя перетягивал, сломав окончательно исходную задумку. И хотя народ все-таки разговорился, произошло это только к началу второго часа (а всего было выделено 1,5 часа). В целом, мне не понравилась ни секция, ни мое модерирование (надо меньше пить).


Теме АСУ ТП вообще был посвящен отдельный поток, а также ряд демонстраций в зоне выставки. У ICL это одно из ключевых направлений деятельности и поэтому они всячески подчеркивают свою компетенцию в этой области.


Зато я в восторге от мобильного приложения конференции, которое содержало всю необходимую участникам информацию.

Отдельно стоить отметить вопросы ИБ в данном приложении. Скачать приложение мог любой желающий, а вот войти в него можно было только, если вы были зарегистрированы на мероприятии. На указанный при регистрации телефон приходил одноразовый код, который и надо было ввести в приложении, чтобы начать им пользоваться. Еще одной интересной фишкой стала возможность заблокировать назойливых участников мобильного приложения (этакая защита от спамеров), которую я нигде больше не видел.

Кстати, насчет безопасности. Не перестаю удивляться тому, как устроена организация ITSF. Например, мой коллега, работающий в интеграторе (не буду упоминать имя), решил зарегистрироваться на мероприятие, но ему отказали, так как ITSF хоть и считается открытой конференцией, но регистрация на нее проходить жесткую модерацию. Никаких интеграторов и конкурентов ICL не допускает и блюдет это правило неукоснительно. Коллега решил пойти дальше и попытался зарегистрироваться от имени весомого заказчика, предварительно договорившись с ним о легенде. Но и этот фокус не прошел - ICL отсек эту попытку пробраться на мероприятие под чужой личиной. Третий раз проникнуть на ITSF был предпринят уже в день начала конференции - коллега попытался зарегистрироваться на месте под чужим именем. И эта попытка оказалась неудачной :-)

Ну и дабы пропеть еще дифирамбы организаторам покажу пару экранов своего телефона. Это организаторы пытались до меня достучаться в день мероприятия, чтобы заранее (за несколько часов до выступления) получить мою презентацию. Настойчивость поражает - около десятка звонков от "куратора зала" (а в каждом он был свой), который хотел убедиться, что я помню про свое выступление и что я заранее списал презентацию на ноутбук, с которого буду читать свой доклад. Обычно, если организаторы и звонят, то один раз и в случае недоступности успокаиваются, надеясь на сознательность докладчиков. Тут же, несмотря на режим "не беспокоить", меня все равно достали, позвонив через reception отеля на телефон в самом номере :-) До сих пор считаю организацию мероприятий со стороны ICL недосягаемой другими организаторами.

В заключении хотелось бы поместить несколько фотографий с культурной части ITSF, в рамках которой был организован концерт группы "Несчастный случай". Было прекрасно :-)


ЗЫ. Презентации с ITSF выложены на сайте.

Казань в 4 утра прекрасна в своем спокойствии

09.06.2017

Microsoft покупает Hexadite

Microsoft 8-го июня подписала соглашение о приобретении израильского стартапа Hexadite, который занимается искусственным интеллектом в области информационной безопасности. Детали сделки не разглашаются, но по слухам цена сделки составила окола 100 миллионов долларов США.

О запрете VPN (обзор пары законопроектов)

То, о чем я так долго и упорно не раз на протяжении последних лет писал, все-таки произошло, - депутаты все-таки решили окончательно вбить гвоздь в крышку того, что называлось независимый, никем неуправляемый и свободный Интернет. Три депутата (Кудрявцев, Рыжак, Ющенко) внесли в Госдуму два законопроекта - о запрете VPN, анонимайзеров и прокси, а также о штрафе за их рекламу и использование.


Как это часто бывает у людей, которые с Интернетом знакомы только по тому, что видят в браузере, DNS путают с ДПС, а VPN приравнивает к Tor, законопроект получился настолько широким, что под него может попасть все, что угодно, а именно:
  • VPN-сервисы и VPN-решения, применяемые для обеспечения конфиденциальности в сети Интернет,
  • браузеры с функцией использования динамических прокси-серверов, которые могут быть применены не только для облегчения и ускорения доступа к отдельным Интернет-ресурсам, но и для обхода блокировок, введенных властями разных стран,
  • анонимные сети Tor, I2P и др.,
  • анонимайзеры,
  • прокси-сервера,
  • CDNы, кеширующие запрещенный контент,
  • DNS-сервисы (да-да, они тоже, так как в зависимости от механизма реализации блокировок тоже могут быть использованы для доступа к запрещенным ресурсам).
Все это депутаты называют “информационно-телекоммуникационными сетями, информационными системами и программами для электронных вычислительных машин для получения доступа к информационным ресурсам, в том числе к сайтам и (или) страницам сайтов в сети “Интернет”, которые могут использоваться на территории Российской Федерации для обхода ограничения доступа“ (дальше для сокращения написания этой длинной фразы я буду использовать слово “ХРЕНЬ”, написанное прописными буквами).

Важно: могут, а не используются. Поэтому я и вынес в список выше столь широкий набор сервисов, систем и приложений, которые и не используются для обхода блокировок, но могут.

Что же говорит новый законопроект, вероятность принятия которого, достаточно высока? Во-первых, он запрещает использовать ХРЕНЬ, а также ХРЕНЬ, которая обеспечивает доступ к ХРЕНИ (например, магазины приложений для мобильных устройств, которые распространяют браузеры Opera, Chrome, Puffin, а также программные клиенты для VPN-сервисов). Операторам поисковых систем также предписано ограничивать в выдаче ресурсы, которые предоставляют ХРЕНЬ или рекламируют ХРЕНЬ, обеспечивающую доступ к ХРЕНИ.

Во-вторых, контроль ХРЕНИ возложен на регулятора, который и так занимается всякой хренью (уже с маленькой буквы), то есть Роскомнадзор, сотрудники которого настолько часто блещут своими познаниями в юриспруденции, что я, считавший раньше, что в свои 40 с гаком уже перестал удивляться, не перестаю удивляться, читая то очередное интервью руководителей РКН, то акты проверок терорганов (от слова "территориальные", а не "терроризирующие") по различным направлениям их деятельности - от контроля СМИ до проверок операторов персональных данных.

В-третьих, для обеспечения своей деятельности РКН должен создать реестр (мля, превращаемся в страну непрерывно создаваемых реестров) заблокированных на территории России информационных ресурсов (вроде у них такая система и так есть), а также разработать методику мониторинга выявления ХРЕНИ и ХРЕНИ, обеспечивающей доступ к ХРЕНИ.

В-четвертых, РКН обязан идентифицировать провайдеров хостинга ХРЕНИ, обеспечивающей доступ к ХРЕНИ, и получать от них (на руском и английском языке) список лиц, которые пользуются ХРЕНЬЮ. Это важный пункт. Он говорит о том, что в России не просто хотят блокировать использования ХРЕНИ, но и хотят выявлять всех тех несознательных граждан, которые эту ХРЕНЬ используют для доступа к запрещенной информации, подрывая тем самым национальную безопасность и обороноспособность нашей, не побоюсь этого слова, великой державы, которой доступ к сайту kinogo или LinkedIn может нанести непоправимый ущерб. Получив эту информацию, РКН требует от несознательных (или сознательных) нарушителей российского законодательства отказаться от свободного доступа к информации с помощью ХРЕНИ, а от владельцев ХРЕНИ, обеспечивающей доступ к ХРЕНИ, перестать обеспечивать этот доступ.

Наконец, РКН направляет операторам связи требование о блокировании нерадивых пользователей и владельцев ХРЕНИ в случае отказа последних от использования ХРЕНИ.

Единственный положительный момент в этом законопроекте, который (законопроект, а не момент) будет сильно мешать становлению и развитию цифровой экономики, о которой так ратуют наши чиновники во главе с Президентом России, - отсутствие необходимости блокировки ХРЕНИ, если ХРЕНЬ используется в рамках трудовых отношений. То есть представительства иностранных компаний, работающих в России, а также российские компании, имеющие представительства зарубежом, смогут использовать ХРЕНЬ в своей работе. Вспоминается история с советскими “Березками”, в которых продавались самые изысканные яства и недоступные обывателю товары, доступ к которым был разрешен только иностранцам или советским гражданам, имеющим право на выезд за границу.

Второй законопроект устанавливает административную ответственность за нарушение требований закона в виде денежного штрафа.

07.06.2017

Практические киберучения НАТО, АНБ и других

4 года назад я уже писал про киберучения и хотел бы вновь вернуться к этой теме, тем более, что совсем недавно (на протяжении последних полутора-двух месяцев) произошло несколько киберучения, в части из которых мне довелось принять участие. Про "Противостояние" на PHDays я уже писал, а вот про остальные хотел бы написать чуть подробнее.

Недавно в соседней Эстонии завершились крупные учения НАТО по кибербезопасности Locked Shield 2017, победила в которых команда Чехии. Я в этих учениях по понятным причинам не участвовал - был занят на другом мероприятии :-). В этом году 800 участников из 25 стран мира защищали различные системы - от дронов до цифровых электростанций, полностью имитируя действия настоящих защитников, противостоящих неназванному противнику, который, конечно же находится на Востоке от "прогрессивной" Европы и судя по СМИ ломает все, что движется и не движется.

Киберучения НАТО
2500 атак, 300 виртуальных систем - таков масштаб учений этого года, в рамках которых участники из различных европейских государств выступали на стороне Blue Team, то есть были защитниками своих информационных систем.


Чуть ранее закончились киберучения АНБ CDX 2017 (Cyber Defense Exercise), которые были похожи на учения НАТО, но меньше масштабом (в США это далеко не единственные киберучения). CDX рассчитан на военные и силовые структуры США - Академию береговой охраны США, Военную академию США, Королевский военный колледж Канады и т.п., которые выступает на стороне защитников - команд Blue Team. Им противостоят "Красные бригады" Red Team, команды "хакеров", осуществляющие свои атаки 24 часа в сутки, имитируя действия настоящих злоумышленников. За "красных" играют специалисты АНБ.

Киберучения АНБ
Однако в отличие от других киберучения, где команды делятся на две стороны "Силы" - Red и Blue Cell, в CDX было введено еще два типа участников. Grey Cell, то есть команда обычных рядовых пользователей, неподкованных в области ИБ, ходящих по левым сайтам, жмущих по фишинговым ссылкам, открывающим вредоносные вложения и т.п. "Серые" делают киберучения еще больше похожими на реальную жизнь. Команда "белых" наблюдает за учениями и штрафует команды за нарушения правил. В этом году выиграла команда Военно-морской академии США, которая последние годы входит в Топ лучших игроков CDX.


В учениях Cisco Cyber Range, облегченную версию которых мы проводили в конце апреля в рамках Cisco Connect, также принимает участие три команды, но вместо "серых" вводится Green Team, задача которой наблюдать за происходящим, изучая методы и нападающих и обороняющихся.


Cisco Cyber Range - это отдельный сервис, который мы предоставляем нашим заказчикам, желающим проверить свои знания и умения на практике. Это трех- или пятидневный тренинг (на московской Cisco Connect мы проводили бесплатный 4-хчасовой вариант таких "военных игр"), в рамках которого реализуется свыше 100 реальных атак и команда Blue Team противостоит им. При этом, в зависимости от длительности учений, участники могут почувствовать себя не только защитниками, но и нападающими, научиться мыслить и действовать как хакеры и понять, насколько легко или сложно проводить атаки, с которыми им приходится иметь дело на повседневной основе.

Если CDX, Locked Shield или "Противостояние" эмулируют реальную жизнь (а наша жизнь - игра) - ночные атаки, социальный инжиниринг и т.п., то Cyber Range носит явно обучающий характер. Участники получают определенные задания, которые надо решить за отведенное время. Победителем считается тот участник (мини-команда), которая быстрее и точнее всех решит поставленную задачу. Потом осуществляется переход к следующему заданию и так до конца киберучений Cyber Range, где победителем признается команда, набравшая максимальное количество баллов.

Помимо Cyber Range, сценарии которых разрабатываются под каждого заказчика, мы регулярно проводим так называемую клинику реагирования на киберугрозы (Cisco Cyber Threat Response Clinic), где за 8 часов участники становятся то на сторону хакеров, то на сторону защитников и по разработанному сценарию знакомятся с настоящим миром безопасности, пробуя реальный инструментарий злоумышленников и защитников. При этом, для лучшего усвоения материала мы облекаем это в красивую обертку - комиксы, инфографика и т.п.

Фрагмент комиксов Cisco Cyber Threat Response Clinic
Чтобы было понятно, на что похожи Cyber Range или CTR Clinic, я напишу отдельную заметку с примерами заданий. По сути Cyber Range и CTR Clinic являются промежуточными этапами перед соревнованиями уровня CDX или Locked Shield, а также они предназначены для повышения квалификации собственных сотрудников, которые может быть и не стремятся на публичные соревнования, где на тебя смотрят все вокруг.


Последним примером киберучений, в которых мне довелось поучаствовать недавно, могу назвать первые "киберигры" в Азербайджане, которые больше похожи на штабные учения, в рамках которых моделируются реальные сценарии атак и в сжатое время (4 минуты) участникам предлагается ответить как можно более полно на описываемую ситуацию. Жюри оценивает ответы и начисляет баллы командам (в последнем случае команд было две, но их может быть и больше). По сути речь идет об аналоге игр "А что если...", которые я уже несколько раз проводил в Магнитогорске, Питере и Москве (и тут). Да, это совсем не похоже на практические киберучения, описанные выше, но это не значит, что не учения и они не имеют никакого смысла. Это просто один из типов учений (которые иностранцы называет Table Top), коих всего насчитывается около десятка. И если CDX и Locked Shield рассчитаны на технарей, то штабные учения больше оиентированы на руководителей по ИБ, которые практически не работают "с консолью", а планируют деятельность своих подчиненных и своего подразделения.
Киберучения Cisco в Баку
В заключение хочу сказать, что наш опыт показывает, что геймификация позволяет существенно улучшить восприимчивость специалистов по ИБ к новым знаниям и гораздо лучше закрепляет навыки, чем обычные курсы по продуктам. Если верить современникам Конфуция, он как-то сказал: “Скажи мне – и я забуду, покажи мне – и я запомню, дай мне сделать – и я пойму”. Именно этой концепции мы придерживаемся, организуя Cisco Cyber Range или Cisco Cyber Threat Response Clinic, а АНБ и НАТО - свои отраслевые или национальные киберучения. По другому сегодня получить бесценный опыт практически невозможно (если не рассматривать вариант с отражением реальной атаки, во время которой и учиться приходиться "по живому", а не "на кошках").

05.06.2017

EDR, STAP или EVC: проблема терминологии и сертификации

Заметка, к которой я подбирался достаточно давно и вот случилось два события, которые подхлестнули мою активность в завершении материала. Во-первых, в пятницу я выступал на семинаре с темой про системы предотвращения вторжений нового поколения (NGIPS) и когда готовился, подумал, что само понятие IDS/IPS уже устарело. Это в 90-х годах прошлого века в этот термин вкладывался вполне определенный смысл - типов средств защиты было немного и поэтому никто не ставил под сомнение терминологию. А сейчас? Типов средств защиты несколько десятков. DLP - это система предотвращения атак, связанных с утечками. Антивирус - это система предотвращения вирусных атак. NTA/NBAD - это системы обнаружения аномалий (IDS или СОВ/СОА по отечественной терминологии это тоже делают.) Так что же такое тогда IPS в ее нынешнем понимании?

Второе событие также произошло на прошлой неделе. Мы получили ответ на сделанный в ФСТЭК запрос, в котором был буквально такой фрагмент: "...под средствами защиты информации понимаются, в т.ч., средства, в которых реализованы средства защиты информации". Средства - это средства, в которых реализованы средства... Эта "рекурсивная" фраза взята из закона "О государственной тайне", где она звучит таким образом: "средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации". Убрав часть текста, но сохранив смысл первоначальной версии, получился бред, который так и тянется с 1993-го года без изменений.

Непросто живется регуляторам в условиях, когда они вынуждены опираться на термины 90-х годов. У корпоративных заказчиков все проще; даже у государственных или полугосударственных. Вот, например, в России на самом высоком уровне есть мнение, что нельзя применять термин "кибербезопасность", насаждаемый нам потенциальным противником в лице США. Но это совсем не мешает даже компаниям с госучастием применять в своих корпоративных стандартах этот термин :-) или иногда подменять его термином "киберзащищенность". Регуляторы опять же вынуждены пользоваться устаревшим "защита информации".

Но вернемся к тому, что я хотел написать в заметке. К решениям класса EDR или STAP. Первая аббревиатура была введена в обиход Gartner'ом и расшифровывается как Endpoint Detection & Response. Вторая стала популярной благодаря извечному конкуренту Gartner - компании IDC. Она означает Spealized Threat Analysis and Protection. А еще есть не очень известная в России своими отчетами компания Forrester, которая использует аббревиатуру EVC - Endpoint Visibility & Control. И это помимо всяких NG Endpoint и Advanced Endpoint (так себя называют те, кто не попал в классификацию Gartner или IDC). Несмотря на разность названий, суть этих решений не сильно отличается - продвинутая защита оконечных устройств от широкого спектра угроз. То есть это не просто персональный МСЭ или антивирус, а нечто гораздо большее.


Проблема терминологии с типами средств защиты выводит нас на другую проблему - выработку требований для их сертификации. Ведь многие заказчики ориентируются только на применение сертифицированных решений (а некоторым это явно предписано и запрещено применять несертифицированное). Регулятор же выпускает РД с требованиями для, скажем прямо, не самых новых и инновационных решений по ИБ. МСЭ, IDS/IPS, антивирус, ОС... И не очень оперативно. И что делать заказчикам в такой ситуации? Шашечки или ехать?

Вот допустим есть близкий мне Cisco AMP for Endpoints, который отнесен Gartner'ом в разряд EDR, а IDC в разряд STAP. Он может блокировать сетевые соединения на узле как МСЭ типа "В". А еще он ловит известные вредоносные программы за счет встроенного антивируса. И он отражает атаки как система обнаружения вторжений. И поиск уязвимостей на узле в нем есть, что делает из него сканер безопасности. И песочница в нем тоже присутствует. Как сертифицировать продукты, которые находятся либо на стыке, либо включают в себя разные технологии? Сертифицировать по разным РД (на сканеры или песочницы их до сих пор нет)? Ну это дороговато встанет. А что делать заказчику? Брать то, что является просто антивирусом и имеет бумажку или сертифицировать решение класса EDR/STAP/EVC (без помощи вендора это будет практически невозможно), которое гораздо лучше борется с современными угрозами? Или использовать несертифицированное на свой страх и риск?

На самом деле EDR/STAP/EVC - не единственный пример - их огромное количество. Всяческие GRC, NBAD/NTA, AppSec, Threat/Security Intelligence, Security Analytics, IRP... Достаточно посмотреть на продукты, представляемые на той же RSAC или InfoSecurity Europe, чтобы понять, что мир ИБ гораздо шире, чем описывается в РД ФСТЭК или ФСБ.

И надо признать, что выходов из этой ситуации я вижу не так уж и много (если не рассматривать вариант с ослаблением требований к сертификации, что в текущей геополитической ситуации маловероятно):
  • Увеличение числа выпускаемых РД для разных типов средств защиты информации врядли сильно поможет, так как мы упираемся в "пропускную способность" регулятора и расширения спектра разных типов средств защиты.
  • Переход на модульную структуру требований по сертификации. Разделы по "доверию" вынести в отдельный документ (может быть путем модификации того же РД на НДВ или созданием нового РД на его основе), а требования к средствами защиты выносить в отдельные модули, которые будет разрабатывать попроще и побыстрее. Правда и тут возникает проблема с пропускной способностью ФСТЭК, которую можно было бы решить привлечением тех же производителей средств защиты, которые могли бы писать проекты РД (профилей) для своих решений и потом отдавать в ФСТЭК или Воронежский институт для финальной доработки, которая займет гораздо меньше времени, чем разработка РД с нуля регулятором.
  • Изменение подходов к аттестации систем, в рамках которой допускать применение несертифицированных решений при условии более глубокой их проверки с помощью пентестов, анализа защищенности или иных методов проверки. К слову сказать, все мы знаем, что сертифицированные решения не означают более защищенные. Сегодня бумага с голограммой является не более чем наследием 608-го Постановления Правительства по сертификации средств защиты гостайны 95-го года.
Что-то скатился я вновь к регуляторике, хотя начинал писать заметку про решения EDR/STAP. Ну ничего, в следующий раз напишу.

02.06.2017

"Противостояние" как отражение реалий настоящего мира ИБ

Пора написать о впечатлениях от PHDays, которые дополнят то, что я писал в прошлом году. Для меня PHDays это четыре больших возможности, о каждой из которых я скажу пару слов:

  • Возможность посоревноваться в "Противостоянии"
  • Возможность послушать
  • Возможность встретиться и пообщаться с коллегами
  • Возможность поработать (на стенд / на модерация секции / на выступлении).


Вторую возможность я в этом году упустил. Точнее я слушал всего две секции - антипленарку, где выступал и, попутно, слушал коллег с их зажигательными спичами, и секцию "(Не)безопасность Интернета вещей", которую модерировал. Остальные доклады я пропустил, хотя и хотел ряд из них прослушать вживую. Одно радует - есть записи всех потоков, которые можно просмотреть.


В этом году заглавной темой мероприятия стал Интернет вещей, преимущественно промышленный, который нам более привычно называть аббревиатурой АСУ ТП. Про него было много разных секций и докладов, которые местами шли параллельно. Это, кстати, был один из косяков организаторов - секцию по ИБ АСУ ТП поставили в параллель с "моей" про промышленный Интернет вещей, что поделило аудиторию и привело к некоторой рассинхронизации.

"Противостояние" тоже во многом было посвящено атакам и защите АСУ ТП (наряду с рядом других компонентов). С каждым годом стенд Positive Technologies становится все объемнее и интереснее, превращаясь в целый город и становясь все больше похожим на SANS CyberCity.

Возможность встретиться с друзьями и коллегами я смог реализовать в Cisco Coffee Point, которая была устроена на втором этаже, с которого открывался прекрасный вид на весь зал, на команду защитников, на стенд "Противостояния", на снующих туда-обратно людей...


Первоначально я был достаточно зол на организаторов, которые так запрятали вход на второй этаж, что найти его было очень непросто. Позже я оценил все преимущества такого варианта. Получилось тихое и спокойное место для встреч, где можно было поработать, поговорить о делах, просто пообщаться и выпить кофе.


В "Противостоянии" я не участвовал, но сама концепция мне понравилась. Она очень хорошо отражает текущее состояние отрасли ИБ в России - хакеры, защитники, SOCи. Особенно интересно было читать комментарии после окончания соревнований. У меня возникло недоумение по поводу одновременного награждения "хакеров", которые вроде сломали все, и "защитников", которые обеспечили 100%-ю безопасность. Но если вторые защитили, то как первые могли все сломать? А если первые все сломали, то что тогда защитили вторые? Например, упоминание произошедшего в рамках соревнования взлома GSM привело к заявлению одной из команд по эту сторону баррикад, что GSM не входил в scope (в область рассмотрения). Забавно, не правда ли? Хакеры ищут любую лазейку, а защитники обсуждают ТЗ, по которому работать. Еще один забавный случай произошел с взломом банка, со счетов которого сняли чуть ли не все деньги. По словам участников, его, оказывается, в ночь с первого дня на второй никто не защищал и не мониторил (хотя по комментариям других защитников банк вообще никто не защищал и в остальное время). Ну ведь до боли похоже на многие службы ИБ, которые работают только в рабочие часы и ссылаются на отсутствие своей вины во взломе того, что не входило в изначальный scope работ.


Возможно это был косяк организаторов, а возможно GSM и банк остались без контроля специально, но выглядело это все как-то не очень. На следующий год стоит, наверное, включить в список сценариев атаки со стороны инсайдеров (в этом году это частично пытались сделать "хакеры" из победившей команды "ЦАРКА"), а также иные жизненные кейсы, например, приходы регуляторов к защитникам или задержание хакеров :-) Последние два кейса мы отрабатывали в рамках киберучений в Магнитогорске. Да, это будет совсем не CTF, и даже не формат "Attacker-Defense", но зато очень близко к реальности.


Кстати, ребята из "ЦАРКИ" оказались большими шутниками. Они не только под видом представителей СМИ ходили по командам защитников и организаторам и подглядывали за происходящем по эту сторону баррикад, но и всупили в противоборство с командами хакеров, кого-то ломая, у кого-то уведя деньги, ранее украденные из банка.


Одним из провалов PHDays стало мобильное приложение, которое... не делает ничего. Я вообще не понял, зачем его делали. Возможно, идея и была какая-то, но довести ее до ума так и не смогли. Приложение только для новостей и программы мероприятия? Ну не знаю. Ни тебе собственного расписания, ни напоминалок о интересных докладах, ни возможности следить за "Противостоянием", ни материалов с докладов. Даже рекламы спонсоров и то не было.


В целом на PHDays мне понравилось, как и все предыдущие шесть раз. Живенько и незаезженно. Хотя понятно, что мероприятие уже достигло своего максимума. В первый день пришло 4 тысячи человек, а всего вроде как их там было около 6 тысяч. ЦМТ уже не справляется с такой массой людей. А иных площадок в Москве под такое количество участников и нет. Либо надо застраивать (а это дорого) ангары ВВЦ или Крокуса, либо фокусироваться, либо разносить по разным местам города (хакеры и бизнес). В общем на следующий год организаторам предстоит непростая задача. Удачи им в этом.

ЗЫ. В прошлый раз я делился своей взрослой мечтой - увидеть себя лысым. Мы с Алекссем Качалиным в прошлый раз поменялись личностями и нам это понравилось. В этом году мы решили повторить опыт. Посмотрите на меня лысого :-)


01.06.2017

Обязательство банков уведомлять об инцидентах вынесено на уровень закона

30 мая в Госдуму был внесен законопроект, который устанавливает следующие нормы (путем внесения поправок в ФЗ-161 о национальной платежной системе):
  1. При выявлении оператором по переводу денежных средств (то есть банком) признаков совершения переводов денежных средств без согласия клиента оператор обязан выполнить ряд обязательных шагов
    • Приостановить платеж
    • Приостановить использование электронного средства платежа
    • Информировать клиента о предыдущих двух шагах
    • Предоставить клиенту информацию о выявленных признаках мошенничества и рекомендации по снижению вероятности его повтора
  2. Обязательные признаки мошенничества устанавливаются Банком России (в предыдущих редакциях это мог делать и сам банк).
  3. Клиент обязан незамедлительно уведомлять банк о фактах несанкционированного доступа или утери электронного средства платежа.
  4. Между банком получателя и банком плательщика устанавливаются правила взаимодействия в случае мошеннических операций, включая и возврат незаконно списанных денежных средств.
  5. Если будет доказано, что клиент неправомерно заявил о списании средств, то все убытки для получателя несет клиент (плательщик).
  6. Все участники НПС, попадающие под действие 27-й статьи (по защите информации в НПС) теперь обязаны соблюдать нормы ЦБ в области противодействия мошенничеству, установленные Банком России (ждем этих норм после принятия законопроекта). В том числе участники НПС обязаны назначать соответствующих должностных лиц, подотчетных СВК (не ИБ).
  7. ЦБ обязуется вести базу инцидентов по мошенническим операциям и предоставлять из нее информацию участникам НПС, в названии которых есть слово "оператор".
  8. Все участники НПС, в названии которых есть слово "оператор", обязаны уведомлять ЦБ обо всех инцидентах, связанных с мошенничеством. Правила установит Банк России.
  9. Специально указано, что информация об инцидентах не относится к банковской тайне.
Также новый законопроект наделяет ЦБ правом устанавливать, по согласованию с ФСТЭК и ФСБ, обязательные для кредитных и некредитных финансовых организаций требования по защите информации, за исключением требований по защите информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами.

Ну что можно сказать? Законопроект описывает ровно то, что говорится в дорожной карте, о которой я уже писал ранее. Интересных моментов тут несколько:
  1. Роль FinCERTа возрастает еще больше. Тут и активное участие в проверках, и разработка методических рекомендаций и требований для банков, и многое другое. Кстати, недавно у этого подразделения сменился руководитель.
  2. Если сейчас обязанность уведомлять об инцидентах установлена только для АРМ КБР (в 552-П), то новые требования говорят уже обо всех видах инцидентов, связанных с мошенничеством. Учитывая оперативность, с которой мошеннические операции должны быть остановлены, срок уведомления будет тоже небольшим (возможно, те же 3 часа, как и в 552-П).
  3. Появляется база инцидентов, о которой говорили в Магнитогорске несколько лет назад. И хотя ЦБ говорит, что она будет закрытой, существует вероятность утечек из нее с последующими репутационными рисками для банков-жертв. 
  4. ЦБ утверждает, что из этой базы данные если и будут предоставляться участникам НПС, то в ограниченном объеме и, скорее всего, о дропперах. Но тут всплывает старая история про персональные данные, так как информация о человеке (даже о дроппере) относится именно к ним и на их распространение нужно согласие субъекта (под исключения данная деятельность не попадает). Но во внесенном законопроекте про это ни слова.
  5. Также в свое время планировалось вносить поправки в УК и УПК, облегчающие расследование мошеннических операций, но и про это в текущем законопроекте ни слова. Видимо не договорились между собой разные участники законодательной инициативы. Прописана только процедура разбирательств в арбитраже.
  6. ЦБ наконец-то получает право (если примут законопроект) регулировать ИБ не только в банках и НПС, но и во всех некредитных финансовых организациях. Страховые, негосударственные пенсионные фонды, микрофинансовые организации, брокеры, биржи (глубже, чем сейчас) и другие попадают под руководящую длань Банка России в полный рост.
  7. Интересная ситуация с последним пунктом про возможность установления требований по защите информации по согласованию с ФСТЭК и ФСБ. Вспоминаю историю с принятием ГОСТа по базовым защитным мерам - тогда ФСТЭК выступал явно против ГОСТа, а ФСБ - против одной из норм. При этом текст стандарта несмотря на это был утвержден на заседании ПК1 ТК122 и должен быть отправлен в Ростехрегулирование. Но если ФСТЭК и ФСБ не согласуют эти требования, то дальше что?.. По новой запускать процедуру согласования или вносить изменения задним числом уже без согласования с членами подкомитета? Тут вообще сложные материи.
Интересно будет следить за судьбой этого законопроекта.

31.05.2017

Не бойтесь лажать

Готовил заметку по прошедшему на прошлой неделе PHDays, и когда уже почти ее закончил обратил внимание, что у меня в ней 18 картинок и ни одного слова. Так не пойдет, решил я, и отложил выброс своих впечатлений от PHDays в эпистолярном жанре на страницах блога на пару дней. Но чтобы блог не пустовал я решил все-таки не обходить вниманием эти позитивные дни и выложить видео своего выступления на антипленарке, которая задумывалась организаторами (Алексей, спасибо за приглашение) как серия мотивационных коротких выступлений на свободную тему.


Когда я раздумывал над приглашением, о чем же таком мотивационном я могу рассказать, я вспомнил, что на питерском BIS Summit Рустем Хайретдинова мне сказал, что докладчик я хреновый, а приглашают меня, потому что я легенда ИБ и на меня просто идут заказчики посмотреть как на дрессированную обезьянку в зоопарке (про обезьянку в зоопарке - это уже мое дополнение, а остальные слова - истинная правда). Ну а раз я такой лажовый докладчик, то почему бы не рассказать про это на PHDays, - подумал я. В итоге в рамках мотивационного спича выбрал тему "Не бойтесь лажать или Negative Security" с рассказом о моем 25-тилетнем опыте лажания в ИБ и какие уроки я из этого извлек.

В процессе выступления опять слажал - вместо положенных 5-7 минут говорил целых 11, но я эту лажу распознал, в ней уже признался и себе и вам и, возможно, извлек некоторые уроки, хотя в последнем не уверен. Я вообще не люблю короткие презентации, а тут пришлось ужиматься уж как-то совсем по-крупному. Ну да первый опыт, можно и слажать :-)

В итоге получилось то, что вы увидите ниже:


В качестве резюме повторю то, что сказал в рамках антипленарки.

Не бойтесь лажать! Бойтесь не извлекать из этого уроков!

29.05.2017

Биометрия на марше

В последнее время вдруг очень актуальной стала тема биометрии - о ней стали говорить не только компании-производители и специалисты по безопасности, но и государство, которое даже сейчас рассматривает 3 законопроекта по данной теме:
  • Законопроект Гаттарова-Матвиенко, который вносит правки в ФЗ-152, уточняя понятие биометрических персональных данных. По версии авторов законопроекта (а мне посчастливилось входить в группу, которая писала этот законопроект) такими данными признаются те, которые используются только при автоматической идентификации субъекта. Иными словами, сличение паспорта с лицом его предоставившим на охране или копирование паспорта в рамках идентификации по 115-ФЗ не будет относиться к обработке биометрических ПДн (в случае принятия данной поправки).
  • Законопроект Аксакова, который также вносит правки в ФЗ-152, но всего одну. Аксаков предлагает разрешить обработку биометрических ПДн не только с согласия субъекта, но и его законного представителя. 
  • Законопроект по удаленной идентификации позволяет кредитным организациям использовать биометрические данные (фото, а также иные виды биометрии) при осуществлении взаимодействия между клиентами и банками. Законопроект является рамочным и просто устанавливает такую возможность, которая будет далее детализирована в нормативно-правовых актах Правительства и нормативных актах Банка России.
В принципе, биометрия действительно решает многие классические проблемы, которые находятся на стыке безопасности и бизнеса. Традиционный вариант проверки личности клиента по его кодовому слову, дате рождения и девичьей фамилии матери давно уже перестали хоть как-то защищить человека от мошенников - узнать эту информацию не представляется такой уж и большой проблемой. По данным Центра речевых технологий 65% клиентов банков не нравится процесс проверки по паролю и кодовому слову при звонках в Call Center. 49% клиентов считает, что проверка слишком долгая (от 40 до 90 секунд). 74% хотя бы раз не получили доступа к своим данным из-за того, что не прошли проверку и не смогли подтвердить свою личность стандартным способом. И биометрия может помочь во всех этих случаях, но…

Когда представители компаний, занимающихся биометрией, рассказывают о том, какие преимущества она дает заказчику, они либо совсем, либо чуть-чуть только касаются вопросов обхода биометрических систем. Причем в рассказах об угрозах разработчики приводят набившие оскомину примеры с отрезанными пальцами, записанным голосом, муляжами ладоней или 3D-масками лица. Но все они представляют только один вектор атаки - на систему сбора данных. А где остальные 12 векторов? Почему про них никто ничего не говорит, рассматривая системы  биометрии?


В условиях, когда биометрия будет насаждаться на уровне законодательных инициатив, такое пренебрежение всесторонним моделированием может сказаться крайне негативным образом на развитии в целом неплохой технологии. Ведь государство ведет речь о системе национального масштаба, где цена ошибки будет очень велика. Представьте себе, что в результате отсутствия моделирования угроз выяснится, что злоумышленник может украсть/подменить свертку биометрических данных (геометрии лица, голоса или отпечатков пальцев). И что дальше делать? По сути на этих способах будет поставлен жирный крест, так как если украденную пару логин/пароль можно легко поменять, то свои отпечатки или лицо уже не поменяешь (вариант с пластической хирургией мы, конечно, не рассматриваем).

Та же проблема и в корпоративном применении биометрии. Тот же Сбербанк заявил в прошлом году, что планирует оснащать все свои банкоматы технологией распознавания клиентов. При масштабах банкоматной сети Сбера это будет дорогостоящий и небыстрый процесс (при сроке жизни банкомата в 7 лет). И что, если выяснится, что в процессе верификации, обработки сигнала, принятия решения или хранения допущена уязвимость, которая может быть использована злоумышленниками. И тут не только пойдет речь о снижении доверия к биометрии как таковой, но и о выброшенных на ветер деньгах и времени.

Вот примерно об этом я и говорил в Казани на IT & Security Forum, который уже в 11 раз проводился компанией ICL КПО ВС.



В рамках презентации показывал несколько видео - тоже выкладываю:







18.05.2017

Основные направления регулирования ИБ в России (презентация)

Вчера выступал в Челябинске на ИТ/ИБ-форуме и делал там краткий обзор основных направлений регулирования ИБ в России. Выкладываю эту презентацию.



Обязательное согласование моделей угроз и ТЗ для ГИС (обзор ПП-555)

Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.

Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.

Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?

При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
  • выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
  • записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
  • устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
  • оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат - терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся распределить эту нагрузку между управлениями по федеральным округам, но встанет вопрос компетенций и временных затрат на такие согласования. Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление, то оно просто "умрет" под ворохом таких запросов и на выработку других документов (новых РД, методичек, новых приказов) сил у них уже не останется - все погрязнет в рутине.

Пока вопросов больше, чем ответов. Совершенствование защиты информации - это, конечно, хорошо и полезно, но вот так вот "менять коней на переправе"?.. Если же перейти из плоскости теоретической в практическую, то могу порекомендовать начать работу над моделью угроз (если у вас ее еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com.


Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!

15.05.2017

Почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ?

Пока специалисты, выйдя из отпусков и выходных, разбирается в WannaCry (вот тут можно про это более подробно почитать), решил я опубликовать философскую заметку. В продолжение темы Стратегии развития информационного общества. На самом деле речь пойдет не только о Стратегии, но и, например, о Доктрине ИБ, в разработке которой мне довелось участвовать и я даже получил благодарность СовБеза, и о проекте Стратегии кибербезопасности РФ, которая писалась в Совете Федерации, и о ряде других доктринальных и стратегических документах.

Начну с банального тезиса - в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) - есть куча приглашенных для работы над "Стратегией/Доктриной" экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает "вот эта идея прикольная, вставлю ее в финальный документ". И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу - набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как "в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности". Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.

Я всегда считал, что стратегия - это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: "Надо понимать, что стратегия определяет тактику" С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? "Пользователями Интернет в 2016-м году стали", "В России с 2014-го осуществляется подключение" и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния "как есть" в состояние "как хочется". Это и будет стратегия. Но у нас все объединяют вместе и получается...

Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что "отсутствие конкретики и показателей эффективности - это правильно". Если нет измеримой цели, то двигаться можно куда угодно - все направления будут одинаково хороши.

Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура - VSE, которая рассшифровывается как "Vision. Strategy. Execution" ("Миссия. Стратегия. Исполнение"). Циничные продавцы превратили ее в "Vision, mission и comission" ("Миссия и комиссия", то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.

Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с "Россия должна..." или "Россия может...". Я это "должна" и "может" уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.

Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.

ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).

12.05.2017

Обзор московского семинара Gartner по ИБ (часть 2)

В своей второй презентации на семинаре Gartner Антон Чувакин пытался вкратце рассказать о выпущенном недавно исследовании по SOCам (несколько десятков страниц).


Вообще у Gartner много исследований по этой теме и понятно, что за час было сложно бы рассказать обо всех из них. Да этого и не требовалось - все-таки задача семинара была совсем в другом.


Но было сделано несколько интересных замечаний, о которых мне хотелось бы поведать. Во-первых, Антон начал с фразы: "Когда я вижу, что компания продает SOC, я начинаю нервничать" :-) Таким образом Антон в очередной раз вернул многих продавцов SOCов с небес на землю, указав, что SOC - это процессы, люди и только потом технологии. Когда в 2007-м году мы в Cisco только выходили на рынок услуг по мониторингу ИБ, мы тоже говорили об этом - сначала процессы и люди, а уж потом различные продукты по мониторингу и аналитике. Да, без них сложно выстроить современный SOC, но не с них надо начинать этот длинный путь.

На семинаре специально не стали вдаваться в долгую терминологическую дискуссию, что такое SOC, сразу дав свое определение, от которого Gartner и отталкивается. Но самое главное, что надо помнить, задумываясь о SOC, - это то, что он требует определенного, и немаленького, уровня зрелости. Сегодня только ленивый не задумывается о том, что у себя в компании не назвать купленный ArcSight или скачанный OSSIM SOCом, но... повторюсь. SOC - это процессы, люди и только потом технологии. Если в компании нет процессов (или они приобретены у крупного консалтера без понимания их сути) - к SOCу компания не готова. Если в компании есть только МСЭ на периметре и антивирус на персоналках - к SOCу компания не готова. Нужно дозреть и только наткнувшись на невозможность решить возникающие проблемы текущими средствами, можно задумываться о переходе на новый уровень. Как мне кажется, с аутсорсингом та же ситуация.


Согласно подходу Gartner современный SOC базируется не только на SIEM (хотя понятно, что с него многие начинали и начинают). Сегодня SOC должен включать помимо анализа логов (с помощью SIEM), еще анализ сетевого трафика (и тут нужны решения класса NTA/NBAD/NFT), а также анализ активности на оконечных устройствах (решения класса EDR). Если же вернуться к SIEM, то по словам Антона, лучше плохой SIEM с хорошей командой, чем офигенный SIEM с плохой командой. Например, в Cisco (про наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:


и построили новую архитектуру, где в центре находится набор технологий для мониторинга - мониторинг логов на базе Splunk, мониторинг сетевого трафика на базе Cisco Stealthwatch, мониторинг активности по ПК на базе Cisco AMP for Endpoints и ряда других технологий.


При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).


На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится - отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей :-( Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.

Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим - их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.

Еще одним "откровением" стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что "выгнать" злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT, увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.

Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.

Обзор Стратегии развития информационного общества

9 мая Президент подписал Указ №203, утвердив новую Стратегию развития информационного общества до 2030-го года. Прежняя была реализована неполностью и вот новая попытка. Сложно говорить о том, насколько она будет успешной (все-таки срок стратегического планирования отодвинут до 2030 года, а это значит, что как в притче про Ходжу Насредина - "либо ишак, либо эмир, либо Ходжа". Поэтому дистанцируясь от реалий, поделюсь тезисно тем, что мне запомнилось из этого документа применительно к теме ИБ:

  • Вводится достаточно много новых терминов, имеющих более привычные нам английские аналоги - Big Data, Fog computing, Industrial Internet, Internet of Things, Cyberspace и др.
  • В отличие от прошлой стратегии в нынешней много говорят (местами завуалированно) о безопасности, включая и безопасность критической информационной инфраструктуры.
  • Вводится понятие "безопасного ПО и сервиса", под которым понимается сертифицированное по требованиям ФСБ и ФСТЭК ПО и сервис. Умолчим о том, где у нас требования по сертификации сервисов, но движение в этом направлении понятно и предсказуемо. Правда зачем нужно это понятие по тексту Стратегии непонято - оно нигде не упоминается.
  • Вводится понятие "технологически независимого ПО и сервиса", то есть такого, которое обслуживается и поддерживается в Крыму, не обновляется принудительно из-за рубежа (даже в случае наличия в нем критических уязвимостей), не управляется из-за рубежа, а также которые не передают ничего несанкционированно за пределы РФ (укол в сторону Windows 10?). Вообще про защиту от несанкционированной и незаконной трансграничной передачи информации говорится в нескольких местах. Как и в случае с понятием "безопасного ПО" термин "технологически независимое ПО" тоже непонятно зачем введен в Стратегии - он нигде не упомянут.
  • Терминология в части КИИ совпадает с законопроектом по безопасности КИИ, а значит, что упомянутые мной в декабре проблемы со списком отраслей, где могут быть критические инфраструктуры остались нерешенными и, видимо, их и оставят нерешенными (а то получится, что в законе по КИИ у нас одни отрасли, а в указе Президента - другие).
  • Иностранные технологии официальны признаны угрозой национальной безопасности и мешающими защите граждан и государства в информационной сфере.
  • Официально объявленный курс на изоляционизм и протекционизм как-то сочетается с желанием вывести отечественные технологии на мировой рынок и сделать их конкурентноспособными. То, почему это будет сделать сложно, хорошо написал Александр Чачава в своей недавней статье.
  • В очередной раз заявлено о необходимости создавать и развивать нормативную базу под ГосСОПКУ. Я про это писал пару лет назад, но с тех пор нормативки по ГосСОПКЕ у нас почти не появилось (кроме методички по созданию центров ГосСОПКИ - часть 1, 2 и 3).
  • Интернет-сайты, соцсети и мессенджеры будут регулировать еще больше.
  • Информационная инфраструктура РФ (читай, Рунет) должен централизованно мониториться и управляться. Как это сделать применительно к изначально децентрализованному Интернету не совсем понятно, но отдельные идеи в прессу просачиваются. Вполне допускаю, что Минкомсвязь вытащит из под полы проект приказа по использованию для управления магистральным оборудованием только сертифицированных по требованиям ИБ средств управления.
  • Также требуется обеспечить устойчивость, безопасность и независимость функционирования российского сегмента Интернет. Про это уже не раз Минкомсвязь выпускал нормативку, но как обычно забивал болт на контрол ее исполнения (по крайней мере РКН, который уполномочен это делать, занимается совсем другими вещами).
  • В очередной раз требуется перейти на использование отечественной криптографии при обмене не только между госорганами и муниципалами, но и с гражданами и предприятиями. Видимо прошлое поручение Президента пока не спешат реализовывать.
  • В информационной инфраструктуре необходимо заменить все импортное на свое родное, а также защитить ее с помощью ГосСОПКИ (раньше ГосСОПКУ распространяли только на критическую информационную инфраструктуру). Требование про непрерывный мониторинг и анализ угроз при наличии ГосСОПКИ, которая это и делает, не совсем понятно. Видимо, разные люди писали. На свои технологии надо также перейти в госорганах, органах местного самоуправления и компаниях с госучастием. В сетях связи должно использоваться оборудование и ПО, производство и ремонт которых (а также запчастей) должно производиться на территории России (и процессоры?).
  • В очередной раз требуется создать сугубо отечественное системное и прикладное ПО, железо и пользовательские устройства (очередной Йотафон?) и чтобы там непременно были встроенные российские средства защиты информации.
  • 31-й пункт вроде посвящен защите данных (не информации), но что хотели сказать авторы не до конца понятно, кроме общих фраз по защиту прав субъектов персданных и контроль трансграничной передачи ПДн.
  • Постулируется необходимость одновременно обеспечивать конфиденциальность пользователей и исключать их анонимность.
  • Предлагается усилить участие России в международных организациях по стандартизации.
  • Технологии ИБ должны стать одним из направлений развития отечественных ИТ. Это позитивно, но хотелось бы увидеть конкретные шаги для этого (пока ни один из регуляторов не сделал ничего для развития отрасли средств защиты информации). Про это в Стратегии написано много, но пока на уровне хотелок.
  • Говорится о трансфере иностранных технологий и применение лучшего зарубежного опыта в сфере ИТ. Интересная идея, но вот как она будет реализовываться на фоне существенного сокращения применения иностранных технологий и по сути постепенного запрета работы иностранных ИТ-компаний в России?
  • Развитие технологий удаленной идентификации и аутентификации пользователей, а также формирование трансграничного пространства доверия к электронной подписи.
  • В НПС рекомендуется применять сертифицированные средства защиты информации. Про это я уже писал в контексте новых требований ЦБ по ИБ.
  • Локализация не только ПДн, но и всей информации, которая создается и обрабатывается иностранными организациями в рамках цифровой экономики России. Это требование будет покруче ФЗ-242 по локализации ПДн россиян.
В целом Стратегия выглядит немного странновато - очень много повторов и пересечений между разделами. Такое впечатление, что документ писался разными экспертами (так оно и было на самом деле), но потом кто-то не очень сведущий в предмете регулирования свел все предложения воедино, не сильно задумываясь над конечным результатом. Главное, чтобы документ читался и в нем были правильные слова. Вот эта задача была выполнена на 100%. Подождем конкретных НПА, которые должны реализовать все указанные в Стратегии положения. В течение полугода они, как минимум, основные, должны быть приняты Правительством и ФОИВами.