30.12.2015

[ВИДЕОПОЗДРАВЛЕНИЕ] С наступающим Новым годом!

Ну вот и подошел к концу 2015-й год. Думаю, что это моя финальная заметка в нем и завтра я уже не буду донимать вас своими размышлизмами и новостями из мира информационной безопасности. Этот год был непростым, но насыщенным. 80 с лишним перелетов, 128 дней в командировках, 240 заметок в личном, корпоративном блоге и на Хабре, 25 статей в журналах, около 100 выступлений, 40 записанных роликов на личном и корпоративном каналах YouTube. Так он выглядел лично для меня с точки зрения того, чем я занимаюсь и чем мне нравится заниматься. Надеюсь, что следующий год будет тоже интересным и не менее насыщенным (только вот командировок надо бы поменьше :-)



ЗЫ. У нас в компании мы тоже записали новогоднее поздравление от команды по ИБ Cisco :-)

29.12.2015

Краткие итоги года уходящего в контексте отечественной ИБ

29-е декабря... Резать оливье на стол еще рано. Самое время подводить итоги года уходящего и свести воедино те тенденции, которые по моему мнению были отмечены в России, Пожалуй, самое главное наблюдение, которое я сделал по итогам года, - это наличие некоторой передышки в нашей отрасли. Ничего неординарного не происходило и сделанные мной в декабре 2014-го года прогнозы в иллюстрациях Васи Ложкина в целом оправдались. Если же коснуться частностей, то я выделил бы следующее:

  • Сноуден где-то админит (вот так и в АНБ он админил по-тихому) и уже мало кому интересен. Я все больше склоняюсь к мысли, что во многом это был чей-то проект, чем реальная утечка секретных данных. Если критически оценивать все, что наговорил Сноуден, то либо его откровения уже были известны, либо к моменту опубликования "сенсации" устарели, либо вовсе не подтвердились, оттянув зато на себя усилия исследователей.
  • Регуляторы мало что выпустили из новых нормативных и нормативно-правовых актов. Мы реализовывали то, что было сделано ФСТЭК, ФСБ и ЦБ в 2014-м году. ФСТЭК вообще ничего не выпустила, готовясь к "наступлению" в следующем году, когда свет увидит и новая редакция 17-го приказа и ряд других документов. ЦБ только ввел в действие новую редакцию 382-П и пару новых РС - остальное также планируется в 2016-м году. И только ФСБ успела порадовать своей малоприменимой обычными операторами ПДн методичкой по моделированию угроз ПДн и новыми, но закрытыми требованиями к СКЗИ.
  • Тема SDLC, так активно начатая в 2014-м году, постепенно отошла на задний план. Разработка ГОСТ по безопасной разработке практически завершена, но до ее принятия еще не менее года. Планы ЦБ по выработке требований по оценке соответствия банковских и платежных приложений пока неясны и, видимо, как и в случае с FinCERT, будет задержка с их реализацией.
  • А вот тема государственных CERTов стрельнула. Это и ЦБшный FinCERT, и ФСБшная ГосСОПКА. О них говорили много и подробно и в следующем году эта тенденция сохранится.
  • РКН в теме персональных данных не сильно светился, сконцентрировав свои усилия на закручивании гаек в Интернет. Оно и понятно. 242-ФЗ был принят, но ему надо было дать "прижиться" в России. Вот в следующем году тема ПДн с практической точки зрения (проверки) должна вновь выйти на первые полосы. Пока же РКН только запугивал операторов ПДн, преимущественно иностранных и их Интернет-отрасли. В никакой серьезной нормотворческой деятельности по "нашей" теме РКН замечен не был. Как и в защите прав субъектов ПДн тоже не сильно преуспел.
  • Импортозапрещение на марше и продолжает наращивать свой потенциал. Правда, 2015-й год также прошел в некотором ожидании. Власти делали много популистских заявлений, но никаких конкретных действий по поддержке отечественной ИТ/ИБ-индустрии не предпринимали и только в конце года приняли ряд нормативных актов по ограничению приобретения иностранных технологий при госзакупках. Заказчики тоже были в ожидании - то ли запреты отменят, то ли иностранные продукты запретят окончательно. В следующем году им придется принимать уже какие-то решения. Отечественные производители же постарались в этом году форсировать свои разработки и выпустили на рынок множество обновленных (местами серьезно) продуктов. Иностранным игрокам (причем всем) становится тяжелее и кто-то даже уходит с рынка или начинает сокращать персонал. В следующем году эта тенденция усилится.
  • Тема безопасности критических инфраструктур не взлетела и, как я уже писал, скорее всего не взлетит.
  • Продолжилось урезание свобод простых граждан и юридических лиц, зачастую подаваемое под соусом борьбы с терроризмом. Не стану говорить, что этой проблемы (терроризма) не существует, но временами под этим флагом проводились немного не те законы и вводились не те ограничения. Думаю в следующем году ситуация продолжит нарастать (это общемировая тенденция).
  • Начались разговоры о централизации государевых ИТ-активов. Тут и вам и "гособлако", и единый выход в Интернет через ФСО. Как это все будет реализовано станет понятно дальше.
  • Начали писать новую Доктрину ИБ, но опять в полузакрытом режиме и что будет на выходе, и когда, совсем непонятно.
  • Вопреки отдельным заявлениям, рынок ИБ в финансовом исчислении стагнирует. Непростая экономическая ситуация, скачки на валютном рынке и падение цен на нефть приводят к тому, что в стране с сырьевой экономикой на инновации денег начинают тратить меньше. Это заставило многих игроков пересмотреть свои подходы по продвижению решений, а заказчики стали более осмотрительно тратить свои бюджеты. Цены, несмотря ни на что, возросли. Кто-то это связывает с уменьшением конкуренции; кто-то с падением цены на нефть; кто-то с падением курса рубля. Но результат налицо - даже отечественные игроки подняли цены на свою продукцию или сделают это в самое ближайшее время. Зато возросло число стартапов по ИБ, которые пытаются лавировать между различными препонами и найти для себя возможности для закрепления в этой непростой сфере. 
  • Активного перехода на сервисную модель в ИБ пока не произошло, хотя о ней говорят все чаще. Думаю, что все просто были в ожидании лучшего, которое пока так и не наступило. И переходный период постепенно заканчивается, заставляя всех пересматривать свои стратегии развития, в том числе обращаясь к аутсорсингу, облакам и иным способам переложить ряд ИБ-функций на чужие плечи.
  • Нестабильность будущего приводит к жестким конкурентным войнам, не всегда честным. Фраза "только бизнес - ничего личного" все чаще ставится в главу угла. Компании с отсутствием четко очерченного будущего и живущие сиюминутными потребностями начинают метаться, делая хаотические движения и заявления, временами гадя своим же бывшим партнерам и контрагентам. "Каждый за себя" - таким был девиз для некоторых интеграторов, производителей и поставщиков ИБ-услуг.
  • Изменения на рынке труда тоже идут достаточно активно. Кого-то увольняют, кто-то уходит сам, у чьего-то работодателя отзывают лицензию, кому-то сокращают зарплату... Но это была прогнозируемая ситуация, которой кто-то смог воспользоваться, а кто-то нет.

Вот такой short-лист того, что я бы хотел отметить в уходящем году. Эти же моменты будут влиять и на год наступающий, но про прогнозы я буду поговорю отдельно, посвятив им отдельную заметку, а может быть даже и видео-презентацию.

Планы Правительства на год грядущий

Правительство опубликовало план своей законопроектной деятельности на 2016-й год. 57 законопроектов должно подготовить Правительство за 52 недели следующего года. По "нашей" теме там всего 3 пункта:
  • Введение административной ответственности за нарушения при выдаче простой электронной подписи. С этой темой сталкиваюсь редко, поэтому прокомментировать не могу.
  • Внесение очередных изменений в закон "О связи", что знающие люди характеризуют как очередную попытку государства что-то запретить или закрутить гайки в Интернет.
  • Внесение изменений в ФЗ-152 "О персональных данных" и вот эта поправка, внесение которой в Госдуму запланировано на июнь этого года, вызывает мой живейший интерес. 
Называется этот законопроект "О внесении изменений в Федеральный закон "О персональных данных" в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных". Если вдумчиво прочитать это длинное название, то получается, что про проект Постановления Правительства, о котором я писал в мае, можно забыть и в Правительстве решили не сильно заморачиваться, просто дав право самому Роскомнадзору определять свои права и обязанности.

По сути ровно это сейчас и происходит - РКН работает по своему Административному регламенту, а проект Постановления Правительства его повторял по многим пунктам. Видимо решили не дублировать и исключить лишний нормативно-правовой акт. Иных причин для внесения в ФЗ-152 я не вижу - про надзор там и так написано, а переписывать в текст ФЗ весь проект Постановления Правительства никто не будет. Так что ждем очередных новаций... 

Остается только один вопрос - насколько законно проведение проверок РКН с 1-го января в отсутствие Постановления Правительства, которое должно было прийти на смену ФЗ-294 и из под которого РКН вышел с 1-го сентября 2015-го года?

28.12.2015

О планах ФСТЭК по нормотворчеству

Недавно ФСТЭК опубликовала выписку из плана своей нормотворческой деятельности на 2016 год и, и в году прошлом, у представителей отрасли посыпались вопросы: “А почему в плане нет, того о чем говорил Лютиков в феврале?”, “А где документ такой-то?”, “А почему план такой куцый?” На мой взгляд ответ очевидный - лучше пусть поощрят за перевыпуск документов, чем накажут за невыполнение плана. Поэтому многих документов в плане просто нет, а сами документы при этом находятся в достаточно высокой степени готовности. Возьмем, к примеру, руководящие требования по сертификации. В плане ФСТЭК упомянуто только три таких документа, имеющих в условиях импортозапрещения первоочередное значение - требования к операционным системам, базам данных и обновленный документ по межсетевым экранам. Но в нем, например, нет требований к антивирусам для промышленных систем и требований для промышленных МСЭ. А они уже готовы.

Планируемые руководящие документы ФСТЭК (по публичным данным)
Вторая причина “куцести” плана в том, что он касается только нормативно-правовых актов. Те же методические указания не относятся к этой категории и поэтому в плане не числятся.

Планируемые методички ФСТЭК (по публичным данным)
Ну и наконец третья причина заключается в том, что часть документов уже разработана и отправлена в Минюст на согласование, например, по защите от утечек по техническим каналам. Поэтому их нет смысла указывать в плане на год грядущий (в плане на год уходящий их также не было).
Планы ФСТЭК по защите от утечек по техническим каналам (по публичным данным)

О новых требованиях ФСБ к СКЗИ

Из нескольких источников довелось мне услышать о новых требованиях ФСБ к средствам криптографической защиты, выпущенных относительно недавно. Как обычно документы непубличные и в полном объеме их мало кто видел (как обычно - выписки из выписок). Сразу скажу, что я их тоже не видел и поэтому просто пересказываю появившиеся новации, о которых будут рассказывать на грядущей “РусКрипто”, и о которых стоит как минимум знать, входя вооруженным знанием в год гримасничающего животного.


Но для начала давайте вспомним, как СКЗИ сертифицировались раньше? Все было очень просто. Были самостоятельные средства криптографической защиты, были библиотеки, и были средства шифрования в конкретной среде функционирования, когда оценивался сразу целый комплекс факторов (нечто сродни аттестации). Большинство использовало либо криптопрошные библиотеки, встраивая их в свои решения, либо применяло уже готовые программные или программно-аппаратные средства шифрования.

Но в конце 2013-го года произошел некоторый сдвиг и в 8-м Центре решили поменять парвила игры, мотивируя это тем, что многие нарушают правила использования криптобиблиотек (++я про это писал++), не согласовывая их встраивание в свои продукты и продвига их при этом как вполне легальное средство защиты информации криптографическими методами. Поэтому 8-й Центр объявил о том, что он прекращает сертификацию криптобиблиотек. Сказано - сделано. Криптобиблиотеки больше не сертифицируются и больше нельзя встроив ее в какую-либо прикладную систему, считать решение соответствующим законодательству (там, где требуется именно оценка соответствия в форме обязательной сертификации).

И вот новый шаг, который делает 8-й Центр, видимо, под влиянием внешней геополитической ситуации, а также роста различных угроз. ФСБ будет теперь сертифицировать СКЗИ только в контексте среды функционирования. Вот хотите вы поставить криптошлюз на виртуальную платформу, будьте добры сертифицировать и ее тоже. Хотите вы в промышленный контроллер вставить плату шифрования, будьте добры подавать на сертификацию весь контроллер. По сути, речь идет о гораздо более сложной форме оценки корректности встраивания, которая раньше применялась к криптобиблиотекам, а сейчас сразу к целому продукту.

Это был краткий пересказ очередных изменений, вышедших из под пера 8-го Центра ФСБ. Можно было бы сказать, что речь идет о серьезном ужесточении процесса сертификации СКЗИ и еще большем сокращении и так небольшого числа сценариев, где возможно было применения сертифицированной криптографии. Но делается это, как очевидно, в интересах национальной безопасности и роста обороноспособности страны. Мы же не будем отрицать, что число террористов и экстремистов, да и просто недругов России, возрастает. Вот это асимметричный ответ на растущую угрозу.

Возможно я неправ и только сгущаю краски… Допускаю такой вариант. Все-таки документов, о которых идет речь, пока никто не видел и приходится довольствоваться слухами. Тем же, кого эта тема действительно интересует, я могу порекомендовать посетить РусКрипто 2016, на которой представители 8-го Центра планируют приоткрыть завесу тайны и рассказать, в каком же направлении будет двигаться перо (так и хочется добавить “гусиное”) одного из регуляторов рынка ИБ, роль которого нельзя недооценивать.

24.12.2015

О сертификации средств защиты, уязвимостях и отзыве сертификатов

Спустя месяц после назначения в Juniper нового главного безопасника (Security CTO), этот производитель объявил об обнаружении в коде своей операционной системы ScreenOS неавторизованного фрагмента, который позволял злоумышленнику получать административный доступ к средствам сетевой безопасности NetScreen, а также расшифровывать VPN-трафик. В российском Twitter разгорелся некоторый флейм на эту тему, который можно кратко описать несколькими тезисами:
  • Это проделки АНБ (сразу становится понятно, кто это заявил - у человека это, видимо, идея-фикс).
  • На эту версию выдан сертификат ФСТЭК.
  • Система сертификации ФСТЭК - полное гуано, если пропускает такие вещи.
  • Надо срочно отзывать сертификат ФСТЭК.
  • ФСТЭК активно отзывает сертификаты на средства защиты с уязвимостями (этот бред заявил тот же некомпетентный человек, что и про АНБ все время пишет).
Я вообще небольшой сторонник пока еще действующей концепции сертификации ФСТЭК, но хотелось бы прокомментировать высказанные тезисы, так как они базируются на полном непонимании того, что и как делает ФСТЭК в части оценки соответствия средств защиты.

Во-первых, если посмотреть, что понимается под сертификацией средств защиты информации по требованиям безопасности информации, то согласно 199-му приказу ФСТЭК (тогда еще Гостехкомиссии, как предшественницы ФСТЭК) от 1995-го года (а свежее ничего до сих пор нет), под ней "понимается деятельность по подтверждению характеристик средств защиты информации требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России)". Иными словами, при сертификации не ищутся уязвимости - она всего лишь подтверждает функционал продукта и его соответствие требованиям регулятора. Все! Ничего больше при сертификации не делается.

Можно спорить, насколько это правильно или нет, но ФСТЭК работает именно так. А если подумать, то такой подход вполне логичен, так как обнаружить все уязвимости при сертификации невозможно и защищенность продукта характеризуется не числом дыр в нем, а умением производителя устранять их, наличием выстроенного процесса. К сожалению, процесс устранения уязвимостей в продуктах ФСТЭК не оценивает. Да и непонятно вообще как это делать, по каким критериям? Ответом мог бы послужить метод V-RATE, разработанный в институте Карнеги-Меллона еще в конце 90-х годов (я про него писал уже ровно 4 года назад), но за пределами США он как-то не очень распространился; да и не об этом сейчас.

Отсюда, кстати, вытекает и банальная мысль, что если функционал NetScreen соответствует РД на межсетевые экраны, то сертификат продолжает действовать и отозвать его не так просто, как заявляют не очень компетентные в этом вопросе люди. В 199-м приказе Гостехкомиссии всего 5 оснований для отзыва сертификата и наличие уязвимости в сертифицированном продукте к ним не относится. Поэтому в России почти и нет случаев отзыва сертификатов на средства защиты.

Но функциональность - это только одна сторона медали. Помимо функциональности продукта, необходимо учитывать и еще два аспекта - доверие к процессу разработки и среду функционирования, в которой будет эксплуатироваться средство защиты. Про среду функционирования мы сейчас опустим, а вот про доверие поговорим чуть глубже. Мы, как специалисты, прекрасно понимаем, что продукт может обладать заявленными функциями, но при этом содержать еще и недекларированные возможности, нарушающие его защищенность. И пример с Juniper как раз это и иллюстрирует. И вот как раз для таких случаев в 1999-м году ФСТЭК выпустила РД по недокументированным (недекларированным) возможностям. Интересная деталь - он называется "Часть 1". Значит подразумевалась и часть 2, но, увы, за 16 лет никакой второй части так и не появилось. И вот то, что произошло с Juniper могло бы быть обнаружено в рамках сертификации на отсутствие НДВ (с оговорками на происхождение Juniper), но... NetScreen на эту сертификацию не подавался, так как она не является обязательной для МСЭ (исключая тему гостайны). А раз таких требований не предъявлялось, то и проблема в сертифицированном изделии не была выявлена (вопрос, а смогли бы эксперты испытательной лаборатории ФСТЭК это выявить, я оставлю за кадром). Опять к ФСТЭК никаких претензий. В действующем правовом поле, конечно. Потому что вопрос оценки продукции на отсутствие НДВ, на мой взгляд, все-таки должен быть включен в основную для средства защиты сертификацию, но подходить к этому надо дифференцированно, а не только с точки зрения предоставления исходных кодов.

Но очевидно, что проблема-то существует. И в динамично изменяющемся мире вопрос доверия к недоверенным элементам и их производителям становится все более острым. ФСТЭК в 2004-м году к этой теме подступилась, но увы... так и не довела ее до ума. Сейчас она вновь вернулась к этому вопросу, меняя подходы к сертификации, к обновлению сертифицированных решений, к управлению уязвимостями в них, к процессу безопасной разработки. Но процесс этот небыстр и требует ломки не только в самой ФСТЭК, но и во всей отечественной ИБ-отрасли.

Если же вновь вернуться к ситуации с недокументированными возможностями в Juniper, то стоит обратить внимание, что речь идет о VPN-функциональности, которая по российскому законодательству к ФСТЭК никакого отношения не имеет вовсе. Когда-то ФСТЭК пыталась войти в эту реку и даже проекты РД на VPN разработала, но смежники из 8-го Центра ФСБ замкнули все вопросы с VPN все-таки на себя. Поэтому ФСТЭК при сертификации средств защиты с криптографическими подсистемами в них не лезет... а в ФСБ NetScreen не подавался и подаваться не мог в принципе, так как согласно 608-му Постановлению Правительства по обязательной сертификации средств защиты информации, шифровальные средства должны использовать только рекомендованные в ФСБ криптоалгоритмы, а это ГОСТ. Поэтому закладка в Juniper могла и дальше оставаться незамеченной, находясь вне зоны ответственности ФСТЭК и ФСБ.

Это, кстати, демонстрирует еще одну проблему с сертификацией средств защиты в России, - несогласованность действий между регуляторами, имеющими собственные системы оценки соответствия средств защиты. Живут они как кошка с собакой и несмотря на явную необходимость договориться, сделать этого не могут. И это приводит к "забавным" коллизиям. Например, МСЭ с функциями СКЗИ производитель заявляет как имеющий сертификат ФСБ и ФСТЭК одновременно (иногда еще и МинОбороны фигурирует), а на деле оказывается, что в органы по сертификации подавались разные версии продуктов. Одна версия имеет сертификат ФСТЭК, вторая, отличная от первой, - имеет только сертификат ФСБ. И синхронизации между ними при несовпадении сроков сертификации в разных системах сертификации нет.

Вот как-то так...

23.12.2015

Принцип Питера и будущее российской ИБ

Вчера, в рамках форума "Интернет Экономика", прошла встреча Президента Путина с "первыми лицами Интернет-индустрии", каждый из которых представил свой взгляд на то, как должен развиваться Интернет и околосвязанные темы в России в ближайшем будущем. Когда я читал различные отзыва коллег в Facebook, я думал, что они несколько утрируют и не всегда точно передают смысл сказанного. Но, когда на сайте Президента выложили стенограмму встречи, я ужаснулся.


За "Интернет-безопасность" выступала Наталья Ивановна Касперская, инвестирующая финансовые средства в различные успешные и не очень компании, которые занимаются информационной безопасностью в разных ее проявлениях (АСУ ТП, телефоны в защищенном исполнении, анализ кода, борьба с APT, контроль утечек, защита ПК и т.п.). И вот именно Наталья Касперская, давно и прочно участвующая в различных властных комитетах, рабочих группах и т.п. структурах, говорила "за отрасль". Что же она предложила:

  • Плач Ярославны про импортозапрещение повторять не буду - он мало поменялся. Основной посыл - запретить иностранное ПО, обучение иностранным технологиям и дать денег и преференций отечественным ИТ-компаниям.
  • Законодательно регулировать некую новую сущность под названием "личные данные", которые, по мнению Касперской, "не персональные". Ну, ёшкин кот, это уже столько раз обсуждали, что просто стыдно, что такой бред звучит на столь высоком уровне и Президент ему внимает и соглашается подумать (надеюсь, это "согласие" у него уже автоматическое и сама инициатива дальше форума никуда не пойдет). Вот кто может объяснить, что такое личные данные, которые не попадают в персональные? Как можно расширить понятие "любая информация, относящаяся"? Куда уж шире? Сначала Щеголев  (по весне) заявляет, что термин "персональные данные" очень узок и надо его расширить, чтобы Facebook, Apple и Twitter не ушли от наказания за использования геолокационных данных своих пользователей. Потом Жаров (глава РКН) берет под козырек и соглашается подумать над этим "ценным предложением" (к счастью, дальше обещания дело не пошло). Теперь вот Наталья Ивановна Касперская, услышав от какого-нибудь своего советника (хотя все понимают от какого) эту чушь, повторяет ее Президенту. Тут не понятие "персональные данные" надо расширять, и не новый закон для "личных данных" вводить, а с правоприменительной практикой разобраться. Это будет гораздо эффективнее и полезнее.
  • Создать еще одну СОПКУ, но для мониторинга информационных или "репутационных" угроз. По сути, Наталья Ивановна хочет, чтобы государство дало денег на использование ее одного из стартапов по мониторингу репутации в Интернет в государственном масштабе. Похвальная бизнес-инициатива, только интересы отрасли тут причем?
  • Заставить все иностранные Интернет-компании передавать свои сертификаты государству. Тут, конечно, надо разбираться, что же имела ввиду бизнес-леди? То ли речь о депонировании ключей, то ли об узаконенной MITM-атаке (по примеру Казахстана, который это захотел с 1-го января у себя ввести). На информационную безопасность граждан и общества это влияет мало, но спецслужбам такая идея понравится.
И это все предложения по части информационной безопасности. Все!.. У нас, значит, больше нет иных проблем в отрасли, только эти. Почему-то про "План мероприятий (дорожная карта) "Комплекс мер по повышению информационной безопасности государства, бизнеса и гражданского общества", который готовился в Институте развития Интернет (ИРИ), ни слова Президенту не сказали. А ведь там как раз и были включены чаяния отрасли. И среди пресловутого импортозапрещения были и такие темы как повышение осведомленности граждан в области ИБ, и модернизация требований к криптографической защите информации, и регулирования облаков, и совершенствование законодательства по ПДн (но не так, как говорила Касперская), и борьба с киберпреступностью, и работа с кадрами, и страхование, и развитие центров мониторинга киберугроз, и многое другое (всего 21 предложение).

Одна надежда, что в работу пойдет именно "дорожная карта"...

22.12.2015

Мир не такой, каким кажется. Точнее угрозы...

Длинного текста не будет. Просто решил поместить две картинки (а то, блин, потеряются), которые очень хорошо иллюстрируют психологию восприятия рисков человеком, что можно и должно применять при моделировании угроз информационной безопасности. 

Первая картинка иллюстрирует распространенное заблуждение относительно опасности акул для человека. После фильма "Челюсти" эта тема стала притчей во языцех и акулы рассматриваются как одно из самых опасных животных (рыб). Это ощущения. Реальность другая - статистика говорит, что гораздо опаснее акул коровы, медузы и муравьи. А уж бегемоты и комары - это вообще ходячая/летучая смерть человеческая.


Аналогичная картина и с авиаугрозами. Реальная вероятность попасть в авиакатастрофу гораздо ниже той же смерти в автоаварии или даже смерти в московском метро, в котором ежегодно погибает около 150 человек.


Не могу сказать, что открыл Америку, но иногда, при моделировании угроз стоит помнить о том, что наши ощущения могут сильно отличаться от реальности.

Что сбылось из ИБ-предсказаний на 2015-й год?

Помните, в начале года я свел воедино полторы сотни различных предсказаний от российских и западных экспертов по ИБ, от СМИ и производителей решений по защите информации? Стоит посмотреть на то, что из этого сбылось, а что так и осталось несбывшейся "мечтой".

Начнем с отечественных прогнозов, которых было немного, а в этом году что-то их пока и вовсе нет:
  1. Рост APT? Да. Согласно статистике Лаборатории Касперского число целевых атак в этом году явно увеличилось.
  2. Безопасность КВО? Увы, нет. Законопроект подвис в воздухе и шансов на его реализацию все меньше и меньше. А учитывая возросшую активность по ГосСОПКЕ, могу предположить, что эта тема так и не всплывет, если не произойдет чего-то неординарного (а в это я верю с трудом). Тема с АСУ ТП от ФСТЭК при этом продолжится, но не так активно, как могла бы при наличии отдельного закона по безопасности КИИ.
  3. Безопасность мобильного доступа и BYOD? Ну как-то так... Явных рывков, но и явного отступления назад по данному направлению я не отметил в уходящем году.
  4. Закручивание гаек в Интернет? Скорее да, чем нет.
  5. Импортозапрещение? Безусловно да.
  6. Развитие DLP? Тоже да. Новые решения у Инфовотча, у Солара, у Серчинформа... Причем действительно новые функции, связанные с управлением событиями, расследованиями и т.п.
  7. Интернет-мошенничество? Тоже да. Нашумевших краж было немало, например, случай с казанским Энергобанком, о котором на днях написал Банк России.
  8. Атаки на банкоматы и PoS-терминалы? И это тоже да. Из последнего - вредоносный код Pro PoS и новая схема кража денег из банкоматов.
  9. Угрозы со стороны спецслужб и государства? Тут сложнее. Вроде как про это стали говорить чаще, но каких-то явных доказательств нет. В общем, помечу это как прогноз с непонятной судьбой.
  10. 242-ФЗ? Ну а куда без него. Это было предсказуемо. Многие компании реализовали проекты по переносу баз с персональными данными в Россию.
  11. ИБ виртуализации и облаков? Тут как с мобильностью и BYOD - ничего конкретного, ни позитивной, ни негативной динамики.
Итак, каково резюме? 7 явных совпадений с данными в конце прошлого года предсказаниями, один явный провал, остальное - ни шатко, ни валко. Вполне себе неплохой результат :-) А вот о прогнозах на следующий год мы поговорим в рамках вебинара BISA 25 декабря. Я выделил один тренд (такого условие вебинара - "один эксперт = один тренд"), который не попал в вышеприведенный перечень из 11-ти пунктов и который, на мой взгляд, незаметно, но очень серьезно может повлиять на ИБ в России.

По западным прогнозам ситуация схожая. Информационная безопасность Интернета вещей и промышленных систем находится на подъеме (достаточно хотя посмотреть на вчерашние новости про атаки иранских хакеров на нью-йорскую дамбу и элекростанцию), как и ИБ облаков (достаточно посмотреть, сколько компаний в этой области купила Microsoft в уходящем году). Прессинг со стороны регуляторов растет не только в России (кстати, отечественные эксперты не упоминали этот тренд), но и в мире. Тут и применение Васенаарских соглашений в США, и отмена SafeHarbor, и согласование на уровне Совета Европы новой директивы по персональным данным.

А вот рост числа уязвимостей в open source решениях и открытых протоколах не оправдался. Видимо этот тренд возник на фоне скандала с уязвимостями Shellshock, POODLE и т.д. и за их пределы не вышел - таких же громких дыр в 2015-м году больше не находилось. С темой Visibility & Analytics в контексте ИБ тоже все позитивно. Тут вам и CERTы во всем их многообразии, и SOCи, и GRC-решения, которые победно шествуют не только по миру, но и в России тоже добрались. Два заключительных "зарубежных" тренда - рост числа атак на медицинские системы и рост числа программ-вымогателей, - также успешно состоялись.

В целом можно отметить, что принцип Дельфи, который в том числе лег и в основу новой методики моделирования угроз ФСТЭК, сработал и в данном случае. При небольшом числе российских экспертов, делающих прогнозы на год грядущий, их результативность гораздо ниже прогнозов иностранных, данных гораздо большим числом экспертов, производителей и СМИ.

21.12.2015

Своя ИБ-игра

А я продолжаю тему геймификации информационной безопасности. Во время посещения Cisco SecCon в ноябре этого года мне понравилась идея с проведением "Своей игры" по информационной безопасности и я уже тогда подумал, что стоит ее воплотить в жизнь и у нас. Задумано - сделано. Сработал первый прототип. Еще докрутить надо немного и, в принципе, готово.


За основу брал шаблон в PowerPoint, что означает, что игра полностью отчуждаема и может быть запущена на любом компьютере. Ну и вопросы в нее можно загружать свои, что дает возможность репродуцировать ее под разные задачи и темы. Количество игроков/команд - до 8. Автоматический подсчет баллов тоже реализован.

Первая демонстрация будет на Уральском форуме по банковской ИБ в Магнитогорске, во время "практического дня", который я традиционно модерирую. В отличие от прошлогодних киберучений, в которых было всего две команды по 5 человек и многие зрители, как мне показалось, скучали, в этот раз в игру может быть вовлечено гораздо больше человек. Если взять, что в команду может входить 5-6 человек (больше уже нет смысла), то можно задействовать до 40-50 человек (хотя есть вариант и на большее число команд, но уже без автоматизации с подсчетом баллов).

ЗЫ. На категории тем пока не обращайте внимания - они еще будут пересматриваться. Не так просто выбрать 12 тем по безопасности; да еще и по 5 вопросов нарастающей сложности для них подобрать.

20.12.2015

Qihoo 360 Technology продана частным инвесторам

В Китае есть две крупнейших Интернет-компании - Baidu и Qihoo (она же Qihoo 360 Technology). Первая сначала стала Интернет-компанией, а затем стала выпускать антивирус. Вторая наоборот - начала с средств защиты для персональных и мобильных устройств, а позже стала предоставлять услуги доступа в Интернет. Qihoo почти неизвестна в России, а в Китае ее продукцией пользуется свыше 500 миллионов пользователей ПК и свыше 800 миллионов пользователей мобильных устройств, что является достаточно весомым показателям.  И вот именно по Qihoo 18-го декабря было объявлено, что ее покупает группа частных инвесторов за 9,3 миллиарда долларов.

18.12.2015

Об уведомлении РКН о местонахождении баз данных ПДн

1-го декабря Минюст зарегистрировал приказ Минкомсвязи №315 от 28-го августа 2015-го года о внесении изменений в Административный регламент РКН в части местонахождения баз данных персональных данных. Теперь в уведомлении в РКН добавился соответствующий раздел:


РКН по своей привычке немного переосмыслил то, что написано в Административном регламенте, попутно уравняв термин "база данных" и "центр обработки данных", и в электронной форме уведомления, размещенной на сайте РКН, это добавление выглядит так:


Никакого справочника ЦОДов, как могло бы показаться, на сайте РКН нет. Требования указывать право собственности на ЦОД в обновленном Административном регламенте тоже нет. Если вы используете чужую площадку, то РКН потребует еще и "настучать" на вашего контрагента.


Еще одной новацией новой формы электронного уведомления является необходимость указывать каждую ИСПДн, которая у вас есть. Меня это тоже смущает, так как ни в законе, ни в форме уведомления, утвержденной Минкомсвязи и являющейся приложением к Административному регламенту, нет ни слова про необходимость указывать все свои ИСПДн. РКН опять действует вне сферы своей компетенции.

Вторым приложением к приказу Минкомсвязи разработано информационное письмо о внесении изменений, которое по логике вещей должно стать основанием для отправки в РКН соответствующих уведомлений. Однако, хочу вернуться к своей сентябрьской заметке, посвященной этому вопросу.

Я уже тогда писал, что повторное уведомление шлется только в двух случаях, прямо предусмотренных законом - прекращение обработки ПДн и изменений сведений в первичном уведомлении. Ни тот, ни другой случай не стыкуются с местонахождением базы данных ПДн. Поэтому мои рекомендации остались неизменными - формально вы не обязаны отправлять повторное уведомление в РКН по факту нахождения своих ПДн. Это необходимо делать только тем операторам, которые будут отправлять свое первое уведомление после 1-го декабря 2015-го года.

Если же вы решите, несмотря на то, что это не является необходимым, направить в РКН информационное сообщение согласно 2-му приложению к 315-му приказу, то предварительно уточните физический адрес местонахождения своих баз данных с ПДн. Вспоминая совершенно идиотскую трактовку этого термина, которую, да-да, незаконно, использует РКН, под "базу данных" попадает любая табличка в Excel или Word, хранящуюся на компьютере. Отсюда вытекает два замечательных следствия:

  1. Вам придется указывать адреса ВСЕХ своих офисов, в которых ведется обработка ПДн.
  2. Вам придется уточнить адреса всех площадок, включая облачные, используемые вашими контрагентами/обработчиками ПДн. Да-да. По всем своим привлеченным обработчикам вам тоже придется это сделать, ведь это обязанность оператора ПДн.
Про мобильные устройства (лэптопы или смартфоны), хранящие базы данных с ПДн, даже думать не хочется. Какой адрес указывать у них? ГЛОНАСС? GPS? "Порт приписки"?


Ну и в заключении очередной факт, показывающий как РКН относится к реальной защите прав субъектов ПДн. Все, что вы внесете в электронную форму уведомления, включая и ПДн ответственных за обработку, будет передано по открытым каналам связи (даже без HTTPS). Все в соответствие с буквой закона. А вот дух закона уполномоченный орган по защите прав субъектов ПДн волнует мало.


16.12.2015

LookingGlass покупает Cyveillance

11 декабря американская LookingGlass, занимающаяся аналитикой в области угроз (threat intelligence) заявила о приобретении за 50 миллионов долларов другого игрока этого рынка - компании Cyveillance. Надо отметить, что для LookingGlass - это уже третье поглощение за этот год. 2-го марта 2015-го года она приобрела поставщика DPI-платформы CloudShield, а 21-го июля 2015-го года компанию Kleissner and Association, занимавшуюся мониторингом ботнетов.

10.12.2015

Крупные мероприятия по ИБ в России на 2016 год

Следуя давней традиции, составил очередной перечень крупных мероприятий по информационной безопасности на 2016 год. Причина публикации одна - чтобы организаторы не делали ошибок, ставя в один день в одном городе по несколько мероприятий по ИБ. Понятно, что каждый считает свое "детище" уникальным, а все остальные позорищем, недостойным даже упоминания, но, васаби вам в чай, думайте не только о себе. Ничего уникального нет - деля одну дату с другими конференциями и выставками, вы делаете себе только хуже.



Все прошлогодние тезисов остаются в силе - повторять их не буду. Произошло только одно изменение - появился календарный сервис по ИБ - risc.events, который представляет собой удобную площадку по поиску ИБ-конференций и ИБ-семинаров. У него есть и иное отличие - туда попадает абсолютно все мероприятия, включая и вендорские, и нишевые, и совсем маленькие. 

09.12.2015

Яндекс покупает Agnitum

И хотя на официальном сайте Яндекса этой новости пока нет, на roem.ru уже написали, что он купил питерского разработчика средств защиты - компанию Agnitum, известную своим решением Outpost Firewall и Outpost Antivirus, которые встроены в виде движка в ряд отечественных и зарубежных средств защиты информации (например, в Security Studio от Кода безопасности). Ни размер сделки, ни иные детали не сообщаются. Известно только, что покупали не саму компанию, а технологии. Вопрос с разработчиками остается открытым - им всего лишь предложено перейти в Яндекс.

Продвижение мероприятий по ИБ в социальных сетях: до, во время и после

Часто посещая разные города и регионы России я сталкиваюсь с тем, что специалисты ничего не знают о ряде интересных мероприятий по ИБ, которые проходят в Москве, в Питере, в Казани, в Сочи, и в других регионах. Связано это, на мой взгляд, с низкой эффективностью коммуникаций, особенно в Интернет, которыми многие организаторы мероприятий не пользуются. Не пользуются по разным причинам - не умеют, не хотят, бояться негатива, не знают как подступиться, считают, что эффективность таких каналов продвижения невысокая…

Демотиватор к РусКрипто
Вот о последнем факторе я бы и хотел поговорить. Вообще, темой Интернет-маркетинга я занимаюсь уже лет 15. В самом начале 2000-х годов я руководил отделом Интернет-маркетинга (а также Интернет-решений и Интернет-проектов) в Информзащите. Мы тогда запускали абсолютно новый сайт и передо мной стояла задача не только руководить процессом его создания, но и процессом привлечения на него аудитории. С этого момента можно сказать, что я и погрузился в тему продвижения в Интернет. Поэтому накопилось некоторое количество идей, которые я с разной успешностью реализовывал.

Визитки из прошлой жизни :-)
Одной из таких идей стало применение модели информационной безопасности “ДО - ВО ВРЕМЯ - ПОСЛЕ” (BEFORE - DURING - AFTER), которую Cisco стала продвигать в своих решениях по ИБ, в контексте мероприятий по ИБ. За последний год я опробовал ее в разных вариантах и могу сказать, что эффект есть и эффект явно положительный. По крайней мере число посетителей тех мероприятий или секций, которые я таким образом "продвигал", возрастало.

Первым опытом стала секция по импортозапрещению на последней РусКрипто, подогревать интерес к которой я стал, выпуская различные демотиваторы. А благодаря подключившемуся к процессу Жене Родыгину, эта тема надолго захватила внимание аудитории, которая жаждала воочию увидеть битву импортозаместителей с импортозамещаемыми (первые предсказуемо проиграли :-).

Серия демотиваторов к РусКрипто
Вторым опытом стал подогрев вопросов применения центров мониторинга ИБ и управления инцидентами ИБ, которая стала заглавной темой недавно прошедшего SOC Forum. Многие высказывали предположение, что я написал 16 заметок про SIEMы, CERTы и SOCи ради приза в виде Apple Watch :-) Это не так. Я начал писать про SOCи раньше опубликования информации о конкурсе и правил участия в нем. Мне просто было интересно, можно ли подогреть тему так, чтобы на самом мероприятии был аншлаг. Не знаю, можно ли отнести зашкалившее число участников SOC Forum к моим заслугам, но по отзывам коллег, многие из них пошли на мероприятие благодаря именно заметкам в моем блоге, которые предшествовали форуму. Многие хотели услышать и поучаствовать в тех дискуссиях, которые заочно велись в Facebook’е. В любом случае число участников SOC Forum было высоко (в конкурсе я, кстати, со своими 16-тью заметками первого места не занял - получил спецноминацию).

Серия демотиваторов к РусКрипто
Наконец, третьей попыткой (и также удачной) стало проведение потока по информационной безопасности на московской Cisco Connect. В этом случае мы явно взяли модель “ДО - ВО ВРЕМЯ - ПОСЛЕ” на флаг и разделили все выступления на три больших блока. ДО самой Cisco Connect мы сделали несколько онлайн-семинаров по вводным темам ИБ от Cisco. ВО ВРЕМЯ конференции мы, уже опираясь на уже рассказанные базовые вещи, смогли не тратить на них время, погрузившись в детали конкретных продуктов и технологий. А ПОСЛЕ мероприятия мы запланировали глубокие, детальные 4-хчасовые онлайн-семинары по темам, получившим максимальный отклик на самом Cisco Connect. Тем самым нам удалось раздвинуть временные границы конференции от двух дней до полутора-двух месяцев, в течение которых подогревается интерес к технологиям ИБ Cisco.

Фрагмент сообщения с ссылками на онлайн-семинары "ДО" Cisco Connect

К чему собственно эта заметка? К тому, что в условиях серьезной конкуренции между ИБ-мероприятиями (например, 3-го декабря было 3 разных мероприятия по ИБ в Москве и одно в Казани) выигрывать будет тот, кто сможет эффективно использовать Интернет-коммуникации для продвижения своего события и поддержки его основной темы или тем в постонно подогретом состоянии. Вероятность отхватить основую целевую аудиторию в этом случае будет гораздо выше, а значит все будут довольны (и организаторы, и спонсоры). Главное, конечно, с контентом самого мероприятия не напортачить, но про это я уже писал неоднократно.

07.12.2015

Есть ли жизнь после увольнения?

В один теплый осенний день, когда стало понятно, что моим оптимистичным оценкам по поводу скорого отказа от стратегии государства российского на импортозамещение не суждено было сбыться, я задумался над классическим вопросом, который время от времени настигает почти каждого: "А что, если завтра уволят?" На самом деле этим вопросом я задался достаточно давно, подготовив план действий на так называемый worst case, то есть худший сценарий развития событий. А так как в последнее время многие из моих коллег и друзей столкнулось с этим вопросом воочию, то решил я выложить некоторые размышлизмы на эту тему. Авось, кому-то и будет полезно.

Итак, сначала я выделил дюжину основных направлений, куда может (не факт, что должен, и не факт, что пойдет) пойти специалист по информационной безопасности. Сразу надо сказать, что все это достаточно условно и возможность уйти в одно из этих направлений очень сильно зависит от множества условий (менталитет, возраст, амбиции и т.п.). Врядли человек, 10 или 20 лет, отработавший руководителем ИБ, пойдет эксплуатировать средства защиты (хотя все возможно). Да и с молодежью тоже не все просто - очень часто приходится сталкиваться с тем, что человек поруководивший около года одним человеком уже претендует на роль руководителя департамента ИБ (а уж если человек еще и MBA прошел, то это вообще труба - невовремя пройденный MBA только вредит). Итак, вот моя дюжина:
  1. Разработка. Не секрет, что многие специалисты по ИБ в бытность свою начинали программистами (я тоже так начинал в одном из московских ящиков, программируя на ассемблере средство криптографической защиты). Если бытность эта была не так давно или в процессе основной работы навыки кодера утрачены не были, то можно попробовать вернуться к истокам и второй раз войти в ту же реку (кто вообще придумал глупость, что дважды в одну реку войти нельзя?). 
  2. Консалтинг / интеграция. Это одно из самых очевидных и зачастую популярных направлений. В него можно идти отовсюду - от заказчика, от вендора, от другого интегратора. Но и консалтинг/интеграция тоже бывают разные. Тут вам и разработка архитектуры, и проведения аудита, и пентесты, и разработка бумажек, и юридические (околоюридические) консультации, и мониторинг ИБ. 
  3. Продажи. Можно пойти в продавцы. Не знаю, не пробовал. Это особый склад характера, но многие открывают себя заново именно в этой сфере. 
  4. Обучение. Обучать, конечно, нужно уметь, но... дело это наживное и приходит с опытом. Чем больше опыта ИБ за спиной у человека, ищущего работу, тем более интересным он может быть докладчиком/преподавателем. И в отличие от 5-10-летней давности, сегодня ситуация с возможностью учить на порядок лучше. Есть учебные центры, которые готовы брать интересные (это ключевое слово) курсы. Есть тот же Интуит или иные онлайн-площадки, где можно предложить уже разработанные или будущие курсы.
  5. Писатель. С писателем ситуация аналогичная преподаванию. Возможно это даже две стороны одной медали. Мне можно возразить, что много на этом не заработаешь, но я склонен подисскутировать на эту тему. Можно писать статьи, можно целые книги. Ценник разный, время подготовки публикации разное. Но это одна из возможностей, которой не стоит пренебрегать в отдельных случаях. Опять же по-моему опыту скажу, что писать научиться можно. Можно научиться писать быстро и хорошо. Первые мои статьи я вымучивал неделями; сейчас на материал по известной мне теме уходит часа 3-4 (на 10-12 тысяч знаков). При знании английского языка горизонты расширяются еще больше. 
  6. Юридическая поддержка. Как бы не спорили и не ругали тему "бумажной" ИБ, но она по-прежнему в цене. И чем больше наши законодатели и регуляторы выпускают нормативных актов, тем больше потребности в грамотной юридической поддержке ИБ. Немногие безопасники будут самостоятельно вникать во все хитросплетения нашего законодательства, а вот заплатить человеку сведущему вполне готовы.
  7. Аналитики ИБ. Это специфический вектор для продолжения своей карьеры. Таких людей сегодня катастрофически не хватает, но и не каждый безопасник готов сходу пойти на эту работу. Тут нужно уметь наблюдать и подмечать то, что не лежит на поверхности. Расследовать инциденты, анализировать вредоносное ПО, анализировать атаки... Нужно повышение квалификации, чтобы свой опыт трансформировать в эту сферу. Но учитывая рост интереса к таким специалистам, можно успеть занять нишу, в которой будут скоро толкаться все (или почти все).
  8. Эксплуатация СЗИ. Эта работа востребована как никогда, но желающих пойти на такие должности немного. Оставлю это направление без комментариев.
  9. Регулятор. Да-да, можно попробовать пойти к регулятору - в ФСТЭК, ЦБ, РКН, ФСБ... Сам не пробовал и не знаю, насколько это легко и насколько это возможно. Очевидно, что для молодежи этот путь гораздо менее тернист, чем для поколения более зрелого. Но учитывая все возрастающую роль органов исполнительной власти и все большую информатизацию, проверяющих, регулирующих и обеспечивающих национальную безопасность будет не хватать.
  10. Организатор мероприятий. Хороший тамада для свадьбы или конферансье для концерта всегда был на вес золота. В области информационной безопасности ситуация аналогичная - не хватает хороших специалистов, способных сформировать хорошую программу мероприятия, найти для него какие-нибудь фишки, найти спикеров и заставить их делать что-то в правильном направлении, а еще и промодерировать мероприятие. Такие люди могут быть востребованы на рынке, емкость которого, правда, не очень большая. Сюда же попадают и те, кто проводит мероприятия, находя правильных спикеров и правильную аудиторию и сводя их вместе.
  11. Та сторона баррикад. Без комментариев, но примеры, когда человек официально работает и пентестером ("белой шляпой"), и взломщиком ("черной шляпой") в нашей отрасли не так уж и редки. Разумеется, это удел молодежи, у которой границы этического поведения немного сдвинуты или вовсе размыты, но бывает, что и у более старшего поколения ориентиры пошатываются.
  12. Стартап. Помню, на эту тему хороший доклад делал Рустем Хайретдинов на Уральском форуме в Магнитогорске. Поэтому не буду повторять его тезисы относительно разработки нового продукта. Поверну по другому. Продукт бывает не только средством защиты информации, о чем рассказывал Рустем. Это может быть интересный курс, онлайн-площадка для проведения мероприятий или курсов, аналитика, сайт, социальная сеть для безопасников, игра и т.п. Я уже писал про геймификацию в ИБ и могу еще раз повторить - в России катастрофически не хватает хороших игр по ИБ. А за них, я уверен, будут платить корпоративные заказчики или организаторы мероприятий. Пример той же Лаборатории Касперского, которая продает лицензии на свою игру по промышленной ИБ, только подтверждает это. 

Я за 23 года в ИБ из всего вышеперечисленного пробовал почти все; кроме 7-го, 9-го, 11-го и 12-го пунктов. Поэтому могу сказать, что это не высосанные из пальца направления карьерного компаса, - это все вполне осуществимые вещи, которые могут приносить определенный доход. Не факт, что такой же доход, что и на прошлом месте работы. Но может быть и обратная ситуация. Возможно именно выйдя в чистое поле может открыться второе дыхание... Кто знает...

Все перечисленные выше варианты трудоустройства (или фриланса) явно не совпадают с тем, что называет специалистом по информационной безопасности Минтруд и о для кого он пишет и утверждает свои профстандарты. Но в конце концов так ли важно, выполняете ли вы требования непонятно кем написанного стандарта? Главное, чтобы работа приносили удовольствие, пользу и доход. А все остальное уже и не важно.

04.12.2015

10 новостей по ИБ последних десяти дней

Прошло почти две недели с момента последней заметки и отрасль ИБ успела порадовать целым сонмом интересных новостей, каждая из которых достойна отдельного описания, но я ограничусь только их перечислением:
  • ФСБ запретила школьникам-иностранцам участие в олимпиаде по криптографии. Хотя если быть точнее, запретил посещение здания Академии ФСБ, в котором эта олимпиада проходила. На мой взгляд, это косяк организаторов, то есть ФСБ, которая могла бы подумать заранее о том, чтобы ограничить участие только гражданами РФ и включить это в правила, или поменять место проведения (например, в близлежащий МИРЭА). А школьников жалко - их "любовь" к конторе теперь будет долгой. Да и сама процедура ожидания была не из приятных (я этим летом так "попал" на действующей базе ВВС США, куда я приехал посмотреть авиационный музей, и где меня мариновали люди в штатском, около получаса проверяя мои документы, а потом отказав в посещении без объяснения причин).
  • Минэкономразвития объявило конкурс на создание ведомственного центра ГосСОПКА (выиграл Positive Technologies обошедший Информзащиту). Тема с ГосСОПКОЙ стала набирать обороты, а Positive явно выбивается в ее авангард.
  • PCI Council выпустил руководство по управлению инцидентами. Ничего сверхестественного - по-простому, без детализации. По сути, документ для "чайников".
  • Казахстан обязывает всех пользователей Интернет использовать новый корневой сертификат. Кто-то называет это узаконенной атакой "Человек посередине", а кого-то волнуют чисто технические вопросы, как будет терминироваться SSL-трафик масштаба всей страны (где такую железку взять)?
  • Adobe объявил о выпуске нового решения Adobe Animate для поддержки HTML5, по сути объявив о завершении эры насквозь дырявого Adobe Flash. Сам Flash, конечно, будет еще существовать, но все меньше и меньше ему будет уделяться внимания и разработчиками сайтов, и самим производителем.
  • Центр компетенций НАТО (они заявляют, что они аффилированная с НАТО, но независимая организация) по кибербезопасности выпустил книгу про кибервойну России и Украины. Примечательно, что среди авторов книги нет ни одного россиянина.
  • 8-ка выпустила новые требования к СКЗИ (пока закрытые) и планирует подготовить открытые требования к СКЗИ. На ближайшей РусКрипто им будет посвящен отдельный доклад. 
  • ТК26 создал новую рабочую группу по разработке аналога стандарта EMV, а так же других карточных стандартов необходимых для устойчивого функционирования национальной системы платежных карт. А про эту работу планируется выступление на Уральском форуме в Магнитогорске.
  • Подготовка проекта рекомендаций по стандартизации Банка России "Обеспечение длительного архивного хранения электронных юридически значимых документов с сохранением свойств аутентичности, целостности, достоверности, пригодности для использования и юридической значимости".
  • Ну и чтобы добить до десяти. Порадовало увеличившееся число отечественных SIEMов, которые внезапно проявились на небосклоне импортозапрещения. К уже имеющимся добавились CorReactive и LightSIEM

23.11.2015

Впечатления от межбанковской конференции по ИБ в Казахстане

На днях я где-то прочитал, что сравнивать новую и предыдущую модели iPhone достаточно сложно - ну чуть быстрее, ну чуть красивее, ну чуть ярче... Но в целом все также хорошо. Поэтому я не буду рассказывать о том, как была организована межбанковская конференция по ИБ в Алматы, на которой я выступал в пятницу. Про мероприятия, которые организует местный Profit, я уже писал и добавить мне особо нечего. А вот про контент скажу. Тем более, что мероприятие было интересно сравнивать с нашим Уральским форумом, который, как и конференция в Алматы, организовывался национальным регулятором.


Я не буду подробно останавливаться на всех прозвучавших докладах, тезисно коснусь только запомнившихся мне выступлений и тем:

  • Нацбанк Казахстана к 2017-му году планирует пройти сертификацию на соответствие стандарту 27001. Правда, не было озвучено какой из процессов будет подан на сертификацию. Но все равно, амбициозный проект. Вслед за Нацбанком, могу предположить, потянутся и другие банки, для которых национальный регулятор станет примером и ориентиром.
  • Нацбанк, признавая устаревание действующих документов по ИБ, сейчас пересматривает всю свою нормативную базу в этой области.
  • Помимо обновления собственных документов, Нацбанк предпринимает ряд шагов по улучшению уровня защищенности казахстанских банков. Особенно интересно среди них выглядит переход на сервисную модель ИБ, учитывающую лучший мировой опыт и такие практики как ISO 9001, ISO 20000 (ITILv3), ISO 27001 и ISO 21500 (PMBOK). 
  • Помимо этого Нацбанк Казахстана подготовил ряд законопроектов, которые похожи на то, что в свое время затевал наш Банк России в связи с законом "О национальной платежной системе". В частности в законе о Нацбанке устанавливаются полномочия об установлении требований по ИБ для казахстанских банков. Банки обязаны обеспечивать бесперебойность осуществления своих операций (в законопроекте это называется беспрерывность). И банки будут обязаны направлять в Нацбанк информацию о мошеннических действиях в ДБО. 
  • Как и его российский "коллега", казахстанский Нацбанк планирует создать собственный центр реагирования на компьютерные инциденты (CERT), в который будет стекаться вся информация об инцидентах от банков и правоохранительных органов. В Казахстане уже действует свой CERT.KZ (некий аналог ФСБшного GOV-CERT.RU), о деятельности которого также рассказывалось на конференции. С ним должен интегрироваться и создаваемый Нацбанком центр реагирования.

  • В августе в СМИ прошла информация о том, что прокуратура Казахстана, переняв опыт южнокорейских коллег, сформирует собственное подразделение, занимающееся пентестами собственных систем. Больше информации об этой инициативе я нигде не нашел, а на форуме в Алматы неоднократно, в том числе и представителями Нацбанка, упоминался центр анализа и расследования кибер-атак (ЦАРКА), который занимается как раз "этичным хакингом", пентестами и тому подобными вещами, в том числе и в интересах государственных служб Казахстана.

Пожалуй и все. Про технологические доклады спонсоров говорить особо не буду - скоро презентации выложат на сайте и можно будет с ними познакомиться. Как и с презентациями по вопросам электронной подписи (их было несколько), от которых я далек и поэтому не смогу особо ничего прокомментировать или рассказать.

20.11.2015

Как оценить эффективность SOC?

А вот теперь можно поставить и точку в длинной дискуссии о SOC и поговорить о том, что происходит, когда SOC выбран или построен, запущен и даже приносит первые плоды. Пора оценить эффективность SOC.

Я не буду сейчас вдаваться в вопрос, что такое эффективность и можно ли измерять ее деньгами или только немонетарными метриками. Это вопрос отдельный и непростой. Лучше сразу обратиться к вопросу измерения. Оно может разбиваться на две больших части - эффективность процессов ИБ, реализуемых в SOC (число отраженных инцидентов в их числе или в предотвращенных потерях, устраненных уязвимостей и т.п), и эффективность самого SOC (число сотрудников, оперативность реагирования и т.п.). Если мы строим SOC собственный, то нас должны, в первую очередь, интересовать метрики первой категории. В случае с аутсорсинговым SOCом, заказчика также интересуют первый вид измерений, а его владельца, как правило, второй.

Универсального перечня метрик для SOC не существует и каждая организация выбирает свой набор - в зависимости от задач, сервисов, уровня зрелости. В любом случае не стоит измерять просто число проанализированных событий в пересчете на аналитика SOC. Выглядит красиво, но никакой ценности для конечного результата не имеет. Также как и отношение числа "сырых" к числу скоррелированных событий.


Почему эти показатели не очень интересны? А они условны и ничего не говорят о реальном уровне защищенности организации. Более того, причиной изменения этих значений может быть куча разных причин. Вот пара примеров, которые я привожу в рамках курса по измерению эффективности.


Гораздо более интересны различные временные параметры. Например, время отклика на события из сферы действия того или иного сервиса SOC (инцидент, уязвимость) - время обнаружения, время реагирования, время устранения. Также может быть интересно среднее время реагирования на инцидент (с привязкой к приоритету инцидента). Но в последнем случае стоит обратить внимание, что сотрудники SOC могут подгонять свои показатели деятельности под целевое значение.

Например, стоит задача - оценить время реагирования на звонок об инциденте. За снижение этого времени аналитик SOC может быть поощрен. В самом худшем случае сотрудник будет класть трубку сразу после звонка. В этом случае время реагирования будет минимальным, а премия максимальной. Если поощрять аналитиков за число разрешенных инцидентов, то сотрудники будут самостоятельно пытаться закрыть инцидент, не эскалируя его правильному специалисту. В итоге увеличивается время реагирования, длительность звонков и ожидания клиентов на линии, доступных аналитиков становится меньше – удовлетворенность клиентов становится ниже.

Но время - не единственное, что может быть интересно и нужно измерять. Например, соотношение открытых и закрытых инцидентов. Или стоимость инцидента (расследование, восстановление, общение с прессой, юридические издержки и т.п.). Или уровень терпимости к рискам - тоже очень интересная метрика, по которой нельзя оценивать сам SOC, но которую он может генерить для более высокоуровневых измерениях.


Если SOC среди услуг по реагированию на инциденты предлагает функции реконфигурации средств защиты, сетевого оборудования, ОС, СУБД и т.п., то их можно оценивать следующим образом:

  • Число авторизованных изменений в неделю
  • Число актуальных изменений, сделанных за неделю
  • Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений (в среднем - 30-50%; у лидеров - менее 1% от общего числа изменений)
  • Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным
  • Число срочных изменений
  • Процент времени, затрачиваемого на незапланированную работу (в среднем - 35-45%; у лидеров - менее 5% от общего числа изменений)
  • Число необъяснимых изменений (вообще, это основной индикатор уровня проблем в данной сфере).

Наверное, эту тему можно продолжать бесконечно. Особенно, если SOC рассматривать именно как центр управления всей ИБ, а не только реагирования на инциденты. В таком случае метрик может быть огромное количество и задача создателей/заказчиков SOC выбрать для себя те, которые лучше соответствуют поставленным на конкретный интервал времени задачам.

В заключение приведу еще один набор метрик оценки эффективности SOC, которые предлагает HP в рамках предоставления своих услуг. Местами спорные метрики, но если они устраивают все стороны (и заказчиков, и поставщиков), то почему бы и нет?..


ЗЫ. Видимо, это будет моя последняя заметка по результатам посещения SOC Forum. Все, что так или иначе меня интересовало или заинтересовало я уже выплеснул на "страницы" блога и даже немного за его пределы. Поэтому стоит финализировать эту SOC-серию списком всех заметок:

19.11.2015

Экономика SOC или то, о чем на SOC Forum так и не поговорили

Вот про что на SOC Forum почти не говорили, так это об экономике центров мониторинга и реагирования на инциденты. Хотя эта тема очень тесно переплетена с вчера мной рассмотренной про дилемму выбора между собственным и аутсорсинговым SOCом. Вот ею мы и поставим точку в этой долгой эпопее под названием Security Operations Center. Хотя, скорее всего, это будет многоточие...

Итак, есть уже упомянутое коллегами исследование, в котором делается пример расчета бизнес-кейса выбора между SIEM и MSSP. Вообще странная постановка вопроса, не правда ли. Как можно сравнивать продукт и компанию? Ведь MSSP - это провайдер услуг управляемой безопасности. Но даже если заменить MSSP на аутсорсинговый SOC, а SIEM на локальный SOC, то и тут данное исследование не сильно помогает. По сути он пытается вас привести к мысли, что надо идти в аутсорсинг. Но вчера мы уже поняли, что очевидного ответа тут нет. Тут надо все взвешивать. А для этого надо понимать статьи затрат, из которых будет складываться бюджет SOC.

От чего зависит этот бюджет? Как минимум от трех факторов:
  • Собственный или внешний SOC
  • Сервисы, предоставляемые SOCом
  • Время работы SOC (5 х 8 или 24 х 7).
При этом сами статьи затрат меняются не сильно. Просто в случае собственного или аутсорсингового SOCа значения отдельных статей затрат будет нулевыми. Соответственно, часть из этих затрат будут одноразовыми и понадобятся только при создании SOC или заказе соответствующих услуг, а часть будут постоянными или требуемыми время от времени, но точно не одноразовыми. Итак, сходу приходят в голову следующие статьи затрат:
  • Программное обеспечение
    • SIEM и поддержка на него
    • Дополнительный инструментарий и поддержка на него (зависит от сервисов)
    • Коннекторы и поддержка на них
    • Разработка специфических коннекторов
    • Разработка дополнительного инструментария
    • Средства защиты самого SOC
    • ПО Service Desk
    • Разработка портала/сайта/раздела и поддержание его
  • Аппаратное обеспечение
    • Сервера под SIEM, дополнительный инструментарий и Service Desk и поддержка на него
    • Рабочие станции аналитиков и поддержка на них
    • Оборудование для проведения расследований и поддержка на него
    • Источники бесперебойного питания и поддержка на них
  • Хранилище данных
    • Сервера и сетевая инфраструктура под основное хранилище
    • Резервное хранилище
    • Носители информации
  • Услуги
    • Внедрение SIEM и дополнительного инструментария
    • Подписка на источники Threat Intelligence
    • Поддержка инфраструктуры (резервирование, обновление ПО, управление патчами, защита и т.п.)
    • Услуги центров компетенций / внешних консультантов
    • Услуги внешних SOC
    • Аттестация / сертификация / другой compliance (ФЗ-152, СТО БР ИББС и др.)
  • Помещение
    • Физическая безопасность (видеонаблюдение, замки, сейф, шредер, ВОХР/ЧОП и т.п.)
    • Плазмы для визуализации
    • Телефония
    • Электричество
    • Аренда помещения
    • Услуги связи
    • Резервный канал связи
    • Комната отдыха
    • Поддержка в адекватном состоянии (вентиляция, уборка и т.п.)
  • Люди
    • Группа аналитиков и инженеров
    • Группа реагирования на инциденты
    • Группа проведения расследований
    • Обучение персонала SOC
    • Командировки на место инцидента
  • Разное
      • Разработка регламентов.
     Дальше все "просто". В зависимости от ваших задач и ресурсов вы осмечиваете каждую из статей затрат и сравниваете "итого". При этом делать это стоит в некоторой среднесрочной перспективе. Очевидно, что в первый год свой собственный SOC потребует немалых капитальных затрат. Поэтому его выгода по сравнению с аутсорсингом будет видна только через несколько лет (и то не всегда).

    Но статью бюджета - это только одна часть экономики SOC, затратная. А что у нас с доходной частью? Зачем нам SOC с точки зрения экономики? Тут мы вновь вторгаемся в непростую тему финансового обоснования ИБ. Как много у нас было / может быть инцидентов? Во сколько нам обходилось раньше управление ими? А во сколько может обойтись в будущем при нашей стратегии развития? В какую сумму нам обошлись простои от прошлых инцидентов? Возможно у нас были прямые потери (кражи, мошенничество)? На какую сумму? Можем ли мы это посчитать? Если да, то у нас перед глазами будет две важных части, которые позволят не только ответить на вопрос: "Нужен ли нам SOC?", но и сделать обоснованный выбор между собственным и аутсорсинговым SOCом.

    18.11.2015

    Свой SOC или аутсорсинговый? А может быть государственный?

    На SOC Forum Олеся Шелестова в своей второй презентации должна была привести некоторые интересные цифры, до которых, она к сожалению, не до дошла, потратив все время на демонстрацию своего решения. А цифры были достаточно интересные и я позволю себе их привести. Только один источник для SIEM/SOC обладает следующими временными характеристиками:

    • До 15 секунд на аутентификацию
    • 5-15 секунд на открытие журнала событий (от себя добавляю - если речь идет о логах, а не о потоках)
    • 2-7 минут на беглый обзор лога за сутки с помощью парсера.

    В одной из прошлых заметок я приводил статистику Cisco и Symantec по числу используемых в одной организации средств защиты различных вендоров - от 54 до 75. У того же JSOC 82 разных системы ИБ в эксплуатации. И это только средств защиты, которые могут быть разбросаны по всей сети не в единственном экземпляре. То есть источников, с которых можно брать данные для анализа и реагирования может быть ооооочень много (посмотрите, как пример, на Cisco). Будете ли вы вручную анализировать эти события? Вопрос “а зачем это все анализировать вообще?” я оставлю за рамками сегодняшней заметки; как и вопрос “что делать, если SOC не показывает ни одного инцидента?”. Вроде бы как становится понятно, что нечто для мониторинга нам нужно.

    Будет ли это SIEM или SOC - не суть важно; с терминами все равно полная неразбериха. Например, представители “Перспективного мониторинга” считают, что настроенный и поддерживаемый SIEM, сопровождаемый регламентами реагирования на инциденты, - это и есть SOC. А вот в презентации “Инфосистемы Джет” SIEM рассматривается только как один из инструментов SOC, который выполняет гораздо больше функций, которые не все могут покрыты даже самым разрекламированным SIEMом. Ну да и фиг с ним. SOC, SIEM, CERT, СОПКА… Примем как аксиому, что нечто для мониторинга и реагирования нам нужно. Вопрос в другом. Нам нужен свой SOC (будем его для краткости называть так) или аутсорсинговый? Или вообще понадеяться на государственный (FinCERT и ГосСОПКА)? Ситуацию с запретом на внешний SOC по требованиям регулятора я не рассматриваю. Исходим из того, что мы стоим на распутье - свой или чужой?

    Задумываясь о своем центре, попробуйте ответить себе всего на два следующих вопроса:

    • У вас есть сотрудники, обладающие компетенциями и знаниями для работы в своем SOC?
    • У вас есть ресурсы для разработки архитектуры, документов и процессов своего SOC?

    Если на оба вопроса ответ отрицательный, это еще не значит, что вам надо бросать эту затею и идти за помощью к внешнему поставщику услуг. Не случайно тот же Positive Technologies на SOC Forum вышел с идеей внешнего центра компетенций (PT ESC), который может взять на себя часть задач как у аутсорсинговых SOCов, так и у собственных, не обладающих еще полным набором компетенций и знаний. Денег они, конечно, вам не дадут, но экспертизой поделятся.

    Но не стоит думать, что я подвожу вас к мысли об аутсорсинге SOC. Это не так. В каждом случае это выбор делается только вами и на основе ваших текущих исходных данных и планов развития. С внешними аутсорсинговыми SOCа (и тем же центром компетенций PT ESC) тоже не все так просто и очевидно. Поэтому вам стоит задаться такими вопросами:

    • А как будете оценивать квалификацию внешнего SOC и компетенцию его сотрудников? А какова ротация кадров во внешнем SOC?
    • А SOC может вам предоставить копию своих регламентов для изучения?
    • А у SOC есть резервный канал и резервная площадка? А как докажут? “Зуб даю” тут не прокатит.
    • Как давно выбираемый SOC в бизнесе? Как у них с репутацией?
    • SOC готов вас свести с заказчиками, похожими на вас? А как долго они сами пользуются услугами SOC?
    • А что будет после завершения контракта с SOC?
    • Какие гарантии дает и какую ответственность несет SOC, если что-то пошло нет так (не увидел атаку, не смог среагировать, заблокировал не того)?
    • Вообще рекомендую посмотреть мой чеклист по выбору облачного провайдера с точки зрения безопасности. Любому аутсорсинговому партнеру можно задать вопросы оттуда и внешний SOC не исключение.

    Поскольку универсального ответа по вынесенному в заголовок вопросу нет, я попробовал подготовить небольшую обзорную табличку с критериями, на которые стоит обратить внимание, задумавшись о SOCе.


    А может податься в государственный CERT или ГосСОПКУ? Нууууу… Этот вопрос вообще не имеет отношения к вынесенному в заголовку. Строя свой или покупая услуги чужого SOC вы решаете свои задачи. Государственный центр мониторинга решает только свои. Вам он ничего не должен, не обязан, не гарантирует, и ни за что не отвечает. Не путайте свои интересы и интересы государства. Работа с государственными центрами имеет свои задачи и свою область применения - не смешивайте ее с темой SOC (если вы не госорган, конечно, но и тут есть нюансы).



    А вот над вопросом использования гибридного SOC стоит подумать более  серьезно. Но уже не сейчас :-)