30.10.2015

Обзор игры Kaspersky Industrial Protection Simulation

С месяц назад я уже писал про различные стенды по информационной безопасности промышленных систем, которые могут использоваться для демонстраций/симуляций тех или иных ситуаций по данному вопросу. Про симуляторы тоже писал. В первой заметке я приводил фотографию игры-симулятора от Лаборатории Касперского. И вот теперь настал черед рассказать о ней подробно.

Игровое поле KIPS
Это бизнес-игра (ее еще называют аналогом "Монополии", хотя я с этим не совсем согласен), задача которой эмулировать задачи, стоящие перед специалистами по информационной безопасности промышленных систем. В легкой игровой форме команда из нескольких человек (хотя возможно и одному играть) должна решить несколько реальных задач и выполнить определенный сценарий, взятый из реальной жизни.

Пример сценария
 Однако правильнее эту игру использовать в конкурсах, в которых участвует несколько команд (например, безопасники против асутпшников или специалисты разных филиалов одной организации). Тогда появляется элемент соревновательности и игра становится более зрелищной и занимательной.


Игра состоит из нескольких раундов, на каждом из которых надо тратить деньги и время, решать конкретные задачи, покупать какие-то решения. При этом основная задача - заработать деньги на конкретном критически важном объекте и при этом его защитить. В текущей версии 5 раундов по 10, 7, 5, 3 и 2 минуты соответственно.


Существует уже, как минимум, две версии игры. Одна была разработана в позапрошлом году и представляла собой эмуляцию водоочистительного завода. Ее, кстати, лицензировал SANS, ISA  и ряд других организаций для целей обучения своих сотрудников или обучения в рамках продаваемых курсов обучения (тот же SANS). Вторая версия была представлена вчера в рамках конференции Лаборатории Касперского по промышленной ИБ. На ней эмулировалась работа газотурбинной электростанции комбинированного цикла. При этом, помимо промышленного сегмента, учитывается также и компьютерная сеть, наличие Интернет и ряд других важных элементов.


В рамках каждого хода используются карты действий, как раз и реализующие ту или иную реакцию команды - использование сетевых инструментов, антивирусов, управления и т.п. Каждая карта имеет еще и различные ограничения - ценовые (сколько стоит то или иное действие), временные (сколько необходимо потратить времени на то или иное действие), негативные (действие влияет на получаемый доход), зависимые (одно действие зависит от другого) и т.п. Такая вариативность делает KIPS более сложной игрой, чем "Монополия" (хотя и играется она быстрее).


Каждая команда получает iPad с установленным приложением игровой консоли, которое позволяет отслеживать различные параметры игры. Это приложение, связано с серверной частью, которое отражает статус игры и показатели каждой из участвующих команд.


Игра отчуждаема от Лаборатории Касперского и может быть приобретена по отдельной лицензии. Вам будет представлен полный набор всех материалов (на выбранном языке), а также предоставлен доступ к серверной части. Лицензирование идет по числу одновременно участвующих команд и числу игры, которые могут быть сыграны в течение года.


Мне игра понравилась. Хорошая задумка, хорошая реализация. Отчуждаема. Может быть использована в рамках обучения или в рамках какой-либо конференции. Очень полезная штука. Если целиком загнать ее в компьютер (планшет) и предложить выбор защищаемых объектов в разных отраслях (транспорт, трубопроводы, сталелитейный цех, управление движением и т.п.) и с разными сценариями, то будет вообще супер. А как вариант, можно и Lite-версию для одиночного использования выпускать. В этом случае игра еще и полезную задачу повышения осведомленности будет решать.

ЗЫ. Детали по игре могут быть найдены здесь, а ролик YouTube по ней - здесь.

29.10.2015

McAfee продает StoneSoft и закрывает еще ряд линеек

Не успела отгреметь новость о закрытии McAfee (она же Intel Security) направления по защите электронной почты, как появились свежие новости о том, что Intel Security (она же McAfee) попутно закрывает и еще несколько линеек решений по информационной безопасности. Итак, McAfee с 2016-го года также прекращает продажи еще ряда своих продуктов. В частности на сайте McAfee я нашел упоминания по следующим наименованиям:

  • McAfee Endpoint Protection Advanced for SMB
  • McAfee SaaS Endpoint Protection
  • McAfee Security for Business
  • McAfee Quarantine Manager
  • McAfee OneTime Password
  • McAfee Cloud Single-Sign-On
  • McAfee Enterprise Mobility Management
  • McAfee Network Threat Response
  • McAfee Vulnerability Manager
  • McAfee Asset Manager.
Помимо закрытия ряда продуктовых линеек, Intel Security приняла решение о продаже своего бизнеса межсетевых экранов и МСЭ следующего поколения (NGFW) поставщику оборонного ведомства США, компании Ratheon. Речь идет о решениях бывшей компании Stonesoft, купленной McAfee несколько лет назад. Ratheon известна не только своими ракетными комплексами Patriot, но и тем, что весной этого года, купила известного поставщика средств контентной фильтрации Websense. В России, правда, Ratheon по понятным причинам никак не представлен.

ФБР рекомендует откупаться от вымогателей. Так ли глуп этот совет?

На прошедшем на днях в Миннеаполисе Cyber Security Summit 2015 заместитель руководителя регионального подразделения ФБР по борьбе с киберпреступностью Джозеф Бонаволонта заявил, что они не всегда способны бороться с современными криптолокерами (мошенническим ПО, ransomware) и поэтому они предлагают пользователям соглашаться на выплату запрошенной вымогателями суммы.

Выступление представителя ФБР
Интересная позиция органа, призванного бороться с киберпреступностью. Однако не такая уж она и нелогичная. ФБР одно, а киберпреступников много. Они еще и маркетинговые исследования проводят на тему "Каков порог, выше которого жертва не будет готова платить, а обратится в правоохранительные органы". Мы такое обнаружили в первом полугодии текущего года.


На "Коде информационной безопасности", рассказывая про эту проблемы (презентация тут), я спросил у аудитории, кто готов обращаться в отечественные правоохранительные органы по данной теме, если столкнется с вымогателем. Леса рук не наблюдалось :-( Хорошо, если 1-2% слушателей подняли руки. О чем это говорит? Об эффективности наших правоохранителей? Об эффективности судов? О доверии к ним?

Леса рук не наблюдается

Масла в огонь подлили коллеги из "Доктор Веб" (аналогичную сентенцию высказывали и в Лаборатории Касперского), которые подтвердили, что они не всегда могут (да по сути и не обязаны) найти способ борьбы с криптолокерами. Ведь если файлы зашифрованы и автор вредоносного ПО не напортачил в коде, ни расшифровать файл, не дешифровать его без ключа не получится. Противостояние брони и снаряда... и не в пользу брони, в отличие от других направлений ИБ :-(

Выступление "Доктор Веб" на #codeIB
Отсюда вопрос. Если пользователи пренебрегают правилами личной кибергигиены, если антивирусные компании не всегда могут помочь своим клиента, если правоохранительные органы не в состоянии вернуть зашифрованные данные гражданам, то может быть представитель ФБР не так уж и не прав? Ведь мне, как рядовому пользователю, не важна поимка преступника, в чем заинтересован следователь ОВД. Мне не важен приговор, что важно судье. Мне не важна скорость лечения или рейтинг "100% вылечивание" как антивирусной компании. Мне нужно вернуть данные и все! И если с меня просят не так уж и много денег, то может проще заплатить и через пару часов уже получить ключ для расшифрования?

С другой стороны и ключ шифрования я могу не получить, и деньги потерять. Да, они могут быть небольшими (маркетинговые исследования киберпреступники ведь не зря проводят), но все-таки это деньги. Да и стимулирует киберпреступников такая безоговорочная выплата на дальнейшие подвиги. Получается, что ты сам из своего кармана оплачиваешь разработку вредоносного ПО, более совершенного, чем предыдущие его разновидности...

Вот и выбирай при такой дилемме. И рецептов тут единых нет. Каждый выбирает для себя... 

28.10.2015

Cisco покупает Lancope

Вчера, 27-го октября компания Cisco объявила о прибретении американской компании Lancope, занимающейся технологиями мониторинга аномальной активности и исследования угроз. Размер сделки составил 452 миллиона долларов. Решение отчасти предсказуемое, учитываемое давнее сотрудничество между двумя компаниями и тот факт, что решения Lancope уже больше двух лет продавались под торговой маркой Cisco Cyber Threat Defense.

Как ФСБ меня дураком назвала - часть третья, возможно заключительная

Вчерашняя заметка в ТАСС об ответе ФСТЭК на запрос депутата Костунова по поводу защиты персональных данных на сайтах госорганов наделала немного шума. Еще бы - в одном материале намешали в кучу и 21-й и 17-й приказы ФСТЭК, и 260-й Указ Президента, и 378-й приказ ФСБ вместе с ПКЗ-2005... Попробуем разобраться и понять, что же имел ввиду депутат и что ему ответили.

Не видя исходного запроса Костунова сложно понять, что он спросил, но судя по всему, он заинтересовался тем, как персональные данные граждан России защищаются в рамках оказания государственных или муниципальных услуг. Свой запрос он направил в ФСТЭК, что само по себе удивительно, так как обычно депутаты не всегда знакомы с этой аббревиатурой, считая, что безопасностью, включая и информационную, у нас в России занимается ФСБ. Но запрос ушел в сторону ФСТЭК и ФСТЭК ответила... Ответ их был достаточно интересен. Если верить  ТАСС, то ФСТЭК ни слова не сказав про незащищенность госорганов сайтов, переведя стрелки в плоскость незащищенности персданных в процессе передачи данных. По сути, ФСТЭК переложила всю ответственность на 8-й Центр ФСБ, который и отвечает у нас за вопросы шифрования персональных данных.

Зная про "любовь" двух ведомств друг к другу, такой ответ ФСТЭК, да еще и публичный (было очевидно, что депутат обязательно доведет его до СМИ), выглядит это немного странно. Раньше регуляторы не любили выносить сор из избы и старались все свои конфликты или иные несогласия не выносить на публику. Можно, конечно, предположить, что это пир во время чумы, то есть во время административной реформы, во время которой ФСТЭК прекратит свое существование. Но это будет совсем уж конспирологическая версия. Да и что гадать; правды мы все равно не узнаем.

Возможно просто ФСТЭК больше нечего было сказать. Ведь то, что сайты, и не только госорганов, уязвимы известно давно. Та же Positive Technologies выпускает ежегодные свои отчеты по защищенности веб-приложений и положительной динамики в них не наблюдается. То есть дыры есть и через них можно проникнуть на сайт в том числе и госоргана и украсть персданные граждан. Почему тогда ФСТЭК не упоминает про защиту сайтов, сославшись только на свой 17-й приказ? Тут все просто. Слишком много разных требований ложится на сайт госоргана с точки зрения информационной безопасности. Я уже как-то писал про это. И писали эти требования не только в ФСТЭК, но и в ФСБ, Минкомсвязи, Минэкономразвития... А как известно у семи нянек дитя без глазу. По сути, никаких специальных документов по защите сайтов госорганов и органов местного самоуправления в России до сих пор не принято и каждый защищает их во что горазд.

Дальше больше. ФСТЭК упоминает про майский Указ Президента о госсегменте сети Интернет, управляемом ФСО. Я про него тоже уже писал. Почему-то ФСТЭК и депутат Костунов считают, что реализация этого приказа должна улучшить состояние защищенности персональных данных россиян. Но это так только в случае передачи этих данных между госорганами или от госоргана до "гособлака", о котором я писал недавно (и то, при соответствующей модели нарушителя). К сайту госоргана этот шифрованный канал никакого отношения не имеет. На сайте-то у нас данные не шифруются (если только не на уровне СУБД). И уж тем более странно было читать высказывание депутата про якобы вытекающее из приказа ФСТЭК №21 и Указа Президента №260 шифрование от сайта госоргана до компьютера или мобильного устройства гражданина. В документах этого нет.

Я скажу больше. Госорганы как черт от ладана бегут от использования сертифицированного шифрования при защите персональных данных граждан. Три года назад я уже пытался выяснить этот вопрос в госорганах, направив соответствующие запросы в ФСТЭК, Роскомнадзор, Правительство, ФСБ и другим. Самым корректным был ответ от Минпромторга, который я не ленюсь демонстрировать до сих пор. В отличие от ответов РКН (слайды 28 и 29) на запросы субъектов ПДн относительно отсутствия шифрования на сайте РЖД и госуслуг, ответ Минпромторга полностью логичен и юридически корректен. Ну а то, что при этом нарушается дух закона о персональных данных, ну так это давно уже никого не волнует. Особенно орган по защите этих самых прав, который сам первый и не соблюдает законодательство по персданным, не защищая то, что ему отправляют граждане через форму обращения.

Что касается уравнивания сайта и государственной информационной системы, которое сделал депутат Костунова, то я это оставлю на его совести. Он, видимо, считает, что они равнозначны, следуя общепринятой позиции. Вот тут, как мне кажется, депутатам бы и поработать - давно уже пора внести ясность в этот термин и дать пояснения по нему. Почему бы все информационные системы в госорганах не отнести к ГИС?.. Было бы гораздо проще. Но нет...

Депутат вышел на ФСТЭК (!) и Минэкономразвития (!!) с инициативой по введению обязательного шифрования персданных россиян при общении с госорганами. Ну а так, как эта тема явно уйдет в ФСБ, а 8-й Центр этой уважаемой структуры уже неоднократно высказывался, что они против отказа от поголовной сертификации СКЗИ и против разделения криптографии на гражданскую и государственную, то в интересах государства требование шифрования ПДн от граждан до сайтов госорганов у нас может перерасти в более жесткую форму 378-го приказа ФСБ с его обязательной сертификацией СКЗИ. И вот тогда мало не покажется. Шутки про создание шифроргана в отдельно взятой квартире уже не будут казаться такими уж и шутками.

Зато требования 8-го Центра по решеткам или ставням на окнах помещений, в которых ведется обработка ПДн, сразу снизят преступность в стране. И это единственный позитивный момент в этой заметке :-)

27.10.2015

Тематические мероприятие по ИБ на примере SOC Forum

11-го ноября в Москве пройдет одно очень интересное мероприятие - SOC-Forum по построению центров мониторинга ИБ. Вообще, это мероприятие отличается от всего того, что было в индустрии ИБ-мероприятий за последнее время. Если оглядеть все основные мероприятия, которые проходят в России, то мы увидим, что организаторы проводят, как правило, сборные солянки, в которых читается сразу много разных, зачастую совсем разных, тем. Такое растекание мысли по древу позволяет организаторам привлечь совсем разных спонсоров, но с точки зрения контента не позволяет глубоко погрузиться ни в одну из тем. Исключения бывают, но они только подтверждают правило.

Поэтому на общем фоне SOC-Forum выделяется очень даже недурно. Более того, это совсем новая тема для отечественного рынка. PKI Forum проходит уже не первый год. РусКрипто - тоже. Магнитогорский форум по банковской ИБ, "Безопасность КВО ТЭК", Антифрод... Мероприятия тематические, но уже не новые. Но именно сфокусированность собирает на них постоянно большую аудиторию. И вот SOC Forum, посвященный построению или обращению к услугам центров мониторинга ИБ (Security Operations Center).

Коллеги уже пишут об интересной программе и непременном желании посетить мероприятие. Тут я соглашусь. Помимо предсказуемых докладов про SIEM (который неравнозначен SOC, но об этом в следующей заметке) будут выступать организаторы собственных центров мониторинга ИБ - РЖД, ЦБ, Газпромбанк, Solar Security, PT Security, "Перспективный мониторинг" и другие. Так что глазу зацепиться в программе есть где.

Кстати, идея с SOC Forum'ом не нова. Американский институт SANS уже проводил весной этого года такое мероприятие. Правда, у них оно называлось SOC Summit :-) Мероприятие не бесплатное (как и почти все, что делает SANS), но зато и не зависящее от спонсоров, со своим программным комитетом и жестким отбором докладов и докладчиков. Длилось оно два дня, а цена участия составляла полторы тысячи американских долларов. Как это часто бывает, конференции предшествовала неделя обучения, на которой можно было выбрать (за отдельные деньги) один из четырех курсов, глубоко погружающих в тематику мониторинга ИБ, обнаружения вторжения, расследования и реагирования на инциденты и др. И нельзя сказать, на чем SANS зарабатывает больше - на курсах или на конференциях. Как участник обоих типов мероприятий, могу сказать, что на курсах обычно сидит человек 20-25 (а параллельных курсов - 4-5), а на конференции - человек двести. Пятидневный курс стоит 5000+ долларов, а конференция - 1500 долларов (покупка того и другого дает скидку). Каждый выбирает для себя.

Что получится из бесплатного и однодневного SOC-Forum мы еще увидим. А большую часть материалов двухдневного и платного SOC Summit можно найти по ссылке. Нельзя сказать, что там раскрывается тайна, стоящая полторы тысячи долларов (все-таки не стоит забывать и про живое общение), но материалы интересные.

Но вернемся к тематическим мероприятиям. Они новы, они интересны, они помогают раскрыть тему с разных сторон, а не пробегаться по верхам. Они привлекают аудиторию (что видно по SOC Forum), что, в свою очередь, привлекает спонсоров. Хотя спонсоры на бесплатном мероприятии - это все-таки палка о двух концах. Тот же SANS проводит именно сфокусированные на одной теме конференции/саммиты:

  • Безопасность промышленных систем
  • Расследование инцидентов и реагирование на них
  • Threat intelligence
  • Тесты на проникновение
  • ИБ здравоохранения
  • Security Leadership Summit (для CISO)
  • и другие.

На мой взгляд именно за такими мероприятиями ближайшее будущее.

ЗЫ. Я, кстати, тоже выступаю на SOC Forum - в пленарке и с рассказом о том, какую и откуда брать информацию об угрозах, используемую в SOC.

О феномене отечественных мероприятий по ИБ

На позапрошлой неделе я с разницей в один день побывал на двух региональных мероприятиях по ИБ - VI форуме "Информационная безопасность 2015", проводимом челябинской компанией Аста74, и уже 11-м региональном роадшоу "Код информационной безопасности" в Казани, проводимом екатеринбургской Экспо-Линк. Потом было участие в алматинском Profit Security Day.

С одной стороны у них была схожая организация, несколько потоков (исключая мероприятие Profit), подарки для участников, нормальные обеды, нормальное место проведения. С другой - совершенно разный контент. Мероприятие Аста74 - это почти полное отсутствие рекламных/спонсорских докладов и много экспертных выступлений. Код ИБ - это по сути выставка, где роль стенда выполняет 20-30-минутный доклад, в котором представитель спонсора должен успеть рассказать о своих новинках, местами стараясь даже облечь это во все в красивую обертку (либо хороший докладчик, либо некоторая аналитика, либо практика). В Челябинске помимо докладов были и панельные дискуссии, а точнее секция вопросов и ответов. В Казани были только доклады. Мероприятие в Казахстане представляло собой золотую середину - всего было в меру - и спонсоров, и экспертов, и рекламы, и аналитики с практикой.

Мероприятия "Кода ИБ" и Profit были бесплатными для заказчиков; у Асты конференция была платная, хотя размер регистрационного взноса был и не очень значительным (менее 100 долларов США). Но везде были полные залы. Везде! Что, собственно, меня и удивляет и удручает одновременно. Удивляет тот факт, что люди по-прежнему готовы идти и тратить свое время на выслушивание рекламных докладов от местами скучных докладчиков, плохо разбирающихся даже в своих продуктах и услугах. Понятно, что дареному коню в зубы не смотрят и бесплатное участие подразумевает возможность в любой момент свалить. Понятно, что если за участие не платит заказчик, то банкет должен оплатить спонсор, который за свои деньги хочет рекламировать себя, а не рассказывать какую-то там аналитику или практику (тем более, что часто выступают сейлы, которые ни первое, ни второе часто не знают).

Удручает же тот факт, что многих это, похоже, устраивает. Сиюминутное мероприятие, сиюминутная аудитория, сиюминутные спонсоры, сиюминутные темы. Нет ни долгосрочного (и даже среднесрочного) планирования. Нет желания делать что-то интересное, окромя быстрого зарабатывания денег. По сути современная индустрия ИБ-мероприятий схожа с самим рынком. Всем нужны быстрые деньги - никто не готов вкладываться в что-то долгоиграющее и растянутое по времени. Причин тут много. А вдруг не стрельнет, а вдруг обойдут конкуренты, а вдруг украдут идею, а вдруг не успею, а вдруг я завтра обанкрочусь... Да мало ли разных "а вдруг"?..

Временами такая логика понятна. Как минимум, с точки зрения организатора или спонсора. В текущих условиях организатору слишком рискованно вкладываться в сложные проекты. Спонсорам (по себе знаю) тоже не хочется делать что-то сложное. Лучше что-то проходное и типовое. Помните, какие стенды обычно на ИБ-выставках или в фойе конференций? Типовые! Креатив требует ресурсов (не всегда финансовых, но часто), которые вкладывать в проходные мероприятия не хочется. Набрать визиток, сгенерить лидов и вуаля - KPI по мероприятиям выполнен. Девиз "здесь и сейчас" как никогда подходит для такой ситуации.

И вот тут бы участникам/слушателям мероприятий взять и проголосовать "ногами" и не ходить на такие мероприятия. Но нет... Ходят. В регионах ходят, потому что информационный голод (семинары и конференции не в региональных столицах и даже в них проходят не часто). В обеих столицах ходят по разным причинам - "потусить", "встретиться с коллегами", "а на работе все равно делать нечего". Правда, не всегда ходят люди, принимающие или хоть как-то влияющие на решения, но организаторы этот факт нередко умалчивают, а спонсоры оценивают мероприятия по числу полученных визиток или занятых в зале мест.

Итог неутешителен. Все неудовлетворены. Слушатели - контентом и голимой рекламой. Спонсоры - отдачей после мероприятия. Организаторы - снижением числа спонсоров и слушателей. В отдельных случаях, они даже нагоняют курсантов/студентов чтобы сформировать массовку и совсем уж не ударять лицом в грязь перед спонсорами, которые купились на велеречивые посылы.

При этом мероприятий меньше не становится. Наоборот. Их число только растет. Ситуации, когда в день может пройти два, а то и три, мероприятия, встречаются все чаще. Предложенные мной 2 года назад критерии выбора мероприятий по ИБ как нельзя приходятся кстати.

ЗЫ. К мероприятиям конкретного производителя все это не относится. Оно обычно строится немного по иным канонам и люди прекрасно знают, зачем они туда идут и что хотят получить.

Впечатления от Profit Security Day

У всех разное хобби. Кто-то пишет о книгах, кто-то вспоминает прошлое, кто-то бегает, кто-то офигенно жарит стейки... А я вот регулярно пишу про мероприятия по информационной безопасности - фишки, косяки, интересные моменты. И вот новый обзор. Теперь уже алматинского Profit Security Day, проведенного на прошлой неделе в южной столице Казахстана у подножья Алатау.

Мероприятие было очень и очень недурным. Если сравнивать его с прошедшим весной более официальным IDC IT Security Roadshow, то оно мне показалось более живым, более насыщенным. Может быть дело в программе, в которой было меньше спонсоров (хотя они и присутствовали) и больше живых дискуссий?

Несмотря на конец дня конца рабочей недели зал полон
А может в организаторах, которые с душой подошли к организации мероприятия? Например, вот такие "средства защиты" выдавались всем участникам:

Универсальное средство защиты "От сглаза"
DLP-система от утечек
Персональный Mini Firewall (раньше такие были у Касперского)

Антивирус с обновлениями безопасности
Защита от электромагнитного излучения (ЭМИ) 
Вот так с определенной долей юмора компания Profit сделала свое мероприятие запоминающимся. Я в России уже и не припомню, когда организаторы добавляли забавные ингредиенты в свои программы. На Security Day программа показалось мне сбалансированной - и заказчики, и спонсоры, и независимые эксперты.

Не буду подробно рассказывать обо всех выступлениях, мне запомнилось три из них. Первое - от Константина Цоя из авиакомпании Эйр Астана. Во-первых, интересно, что в Эйр Астана ИБ подчиняется авиационной безопасности. Не вспомню с ходу ситуацию, чтобы ИБ была не под ИТ, не под безопасностью или не под генеральным директором. А тут, получается, тот редкий случай, когда ИБ не укладывается ни в один из трех самых распространенных сценариев. Второе изумление в докладе Константина у меня вызвал рассказ про способ резервирования, в качестве которого используются... самолеты. Да-да, такой вот нестандартный вариант. Когда Google рассказывает о плавучих ЦОДах - это нормально. Когда Cisco рассказывает о ЦОДах на колесах - это нормально. Но вот резервирование самолетами по причине дороговизны каналов связи от Алматы до Астаны - это было интересно. Хотя понятно, что для авиакомпании, у которой по 6-7 рейсов в день между двумя городами, это действительно логично.


К слову сказать, именно краткая заметка про способ резервирования Эйр Астаны вызвал фурор на Facebook. Ее "лайкнули" свыше 300 раз, а перепостили несколько десятков раз. За все время моего нахождения на FB, такой реакции не заслуживал ни одна моя заметка.

Второй запомнившийся доклад был от представителя Konika Minolta. И хотя он был на 100% рекламным, я его выделил самой темой. В последнее время очень часто производители принтеров, сканеров, копиров и МФУ стали говорить о безопасности. Ricoh, Konika Minolta. Canon, HP... Все они стали оснащать свою продукцию различными механизмами защиты - встроенными МСЭ, системами аутентификации (в т.ч. и двухфакторной), защитой от несанкционированного доступа к напечатанным или сканируемым документам и т.п. Правда, на вопрос о защите от подмены firmware принтера, представитель вендора ничего сказать не смог, как и понять, о какой угрозе я вообще говорю. Но сама тема защиты принтеров (как яркого представителя Интернета вещей) достаточно интересна.


Третье выступление касалось опыта применения DLP в Евразийском банке. Очень интересный с практической точки зрения доклад от Оксаны Пиргалиной, безопасницы Евразийского банка (а с директором ИТ-безопасности этого банка, Алексеем Каном, у нас была интересная дискуссия в пленарной части мероприятия).


Судя по краткому видео-репортажу с мероприятия, оно понравилось не только мне :-)

  

ЗЫ. Кстати, вопреки распространенному мнению, что "Алма-Ата" переводится как "отец яблок", это не так. На самом деле "ата" - это "дед", а не "отец". Но и переводить "Алма-Ату" как "Дедушка яблок" тоже неверно. Правильно - несуразное "Яблоко-Дед". Словосочетание это ("Алма-Ата"), хоть и привычное для советского уха, но неверное по сути. Оно не является производным от "Алматы", не имеет никакого иного адекватного обоснования. По сути, это навязанное в 1921-м году русскими коммунистами название.

26.10.2015

McAfee закрывает часть продуктовых линеек, а Thales покупает Vormetrics

Пока одни компании занимаются поглощением своих небольших коллег (в прошлую пятницу я написал про три из таких поглощения), кто-то объявляет о прекращении продаж и развитии своих линеек в области безопасности. Вот, например, Intel Security (она же в девичестве McAfee) объявила о закрытии линейки McAfee Email Security по защите электронной почты (включая и облачный сервис по защите e-mail), а также решения по защите оконечных устройств. Но есть и те, кто готов вкладывать в безопасность. Например, французская Thales объявила 19-го октября о приобретении за 400 миллионов долларов калифорнийской Vormetrics, занимающейся решениями по защите данных. 

23.10.2015

Thoma Bravo и Silver Lake покупает SolarWinds

Инвестиционные фонды Thoma Bravo и Silver Lake 21-го октября объявили о приобретении за 4,5 миллиарда долларов компании SolarWinds, занимающейся решениями по ИТ-менеджменту.

Thoma Bravo покупает DigiCert

Известный на рынке поглощений и слияний в области ИБ инвестиционный фонд Thoma Bravo 22 октября объявил о завершении приобретения DigiCert, мирового лидера (ну а как без этого) в области удостоверяющих центров и управления сертификатами. Детали сделки не разглашаются.

HP TippingPoint продали в TrendMicro

Слухи месячной давности подтвердились - HP TippingPoint все-таки продали японской компании TrendMicro за 300 миллионов долларов. Событие это произошло 21-го октября. На фоне сделки Dell/EMC за 67 миллиардов и Western Digital/SanDisk за 19 миллиардов, 300 миллионов - это очень немного. Особенно на фоне того, что 3Com покупал TippingPoint в 2005-м году за 442 миллиона, а сам 3Com продался HP за 2,7 миллиарда долларов (за столько, кстати, Cisco купила Sourcefire).

Меня в это сделке удивляет даже не то, что данный бизнес продали в полтора раза дешевле, чем он стоил 10 лет назад. Получается, что даже если представить, что компания за это десятилетие вообще не развивалась и поэтому не росла в цене, то все равно, падение в цене продажи означает, что HP хотела просто избавиться от этого актива. И вот тут вторая странность. Ведь HP с 1-го ноября выделяет свой корпоративный бизнес в отдельную компанию - HP Enterprise. Безопасность названа одним из 4-х направлений развития новой структуры. И тут продажа бизнеса, который, по идее, должен наоборот развиваться и в него должны инвестироваться средства. Но...

Давайте вспомним мою заметку четырехлетней давности. Я тогда предрекал непростую судьбу TippingPoint в стенах HP, который постепенно уходил из аппаратного бизнеса в сторону софта. И вот опасения подтвердились. Сначала 4 года в роли "ISS внутри IBM", теперь продажа дешевле покупки. Кстати, HP заявила уже о том, что сетевая безопасность для нее перестает быть предметом инвестиций - в этом направлении HP планирует сотрудничать со своими партнерами, одним из которых станет видимо Trend Micro, с которой HP ведет совместный бизнес с 2004-го года.

Для Trend Micro это совершенно новый бизнес, под который создают даже отдельное подразделение - Network Defense. Раньше TM преимущественно занималась защитой серверов и пользовательских компьютеров и устройств, защитой облаков и виртуализации. По оценкам IDC доля Trend Micro в России составляет около 3% рынка ИБ.

Управление TP до окончания процесса слияния будет осуществляться независимо, после чего компания полностью вольется в состав Trend Micro. Сам бренд TippingPoint после завершения поглощения также прекратит существовать. Так что будет интересно посмотреть как приобретение TippingPoint скажется и на портфеле, и на бизнесе этой японо-американской компании?

19.10.2015

Cisco Security Ninja или как вовлечь 20 тысяч сотрудников в процесс безопасного программирования?

Неделю назад, рассказывая о геймификации, я уже упоминал о программе Cisco Security Ninja, которая позволила вовлечь в процесс изучения основам безопасного программирования 20 тысяч (!) сотрудников Cisco. Я обещал, что еще расскажу о ней, что я и делаю в виде большой заметки на Хабре.

16.10.2015

Rapid7 покупает Logentries

13 октября американская Rapid7, известная своими решениями по анализу и обработке данных с точки зрения безопасности, приобрела примерно за 68 миллионов долларов (а Dell купил EMC в 1000 раз дороже) компанию Logentries, занимающуюся машинным поиском данных.


4-я тенденция с трудно предсказуемым результатом?!

Не успели остыть чернила в заметке про три ИБ-тенденции с труднопредсказуемым результатом, как узнаешь, что наши законодатели не дают расслабиться ни на минуту. Очередная административная реформа, о которой речь ходила давно, наконец-то обрела некоторую форму, о которой вчера написали РБК. В одном из вариантов предлагается сократить число министерств с 21-го до 15-ти, а также упразднить 11 федеральных агенств.


Какое это имеет отношение к нашей сфере деятельности? Самое прямое. Если верить материалам РБК, то предлагается образовать такое укрупненное министерство, как, например, Министерство экономики, инфраструктуры, информатизации и инноваций. При этом Минкомсвязи может быть упразднено. Аналогичная судьба может постигнуть и ФСТЭК, которой в новой структуре в неизменном виде места не нашлось. Зато нашлось место Федеральной службе по техническому, экспортному контролю и финансовому мониторингу.

Надо сказать, что это не первый раз, когда ходят слухи о скорой кончине Минкомсвязи и ФСТЭК. Последний раз это происходило ровно три года назад, когда Путиным была затеяна очередная административная реформа, направленная на снижение числа чиновников, и приведшая только к их увеличению. Повторять то, что я писал тогда не буду - те тезисы можно транслировать и на текущую ситуацию.

Что еще интересного в проекте новой структуры Правительства? РКН остается в неизменном виде, но выходит из под подчинения Минкомсвязи. По сути он получает свободу, которую так жаждал долгие годы, постоянно конфликтуя со своим старшим братом. ФСБ может стать министерством и получить в подчинение Службу внешней разведки (станет федеральным агентством), Федеральную службу охраны (станет также агентством) и фельдъегерскую службу (станет агентством связи и фельдъегерской деятельности). Здравствуй снова КГБ?!

Но как обычно подождем финального варианта. Все-таки силы и течения внутри чиновничей братии существуют разные и любые благие намерения разбиваются о реальность. Ждемс...

14.10.2015

Что стоит организаторам мероприятий по ИБ включить в памятку спикеру и участнику?

Решил я вновь вернуться к вопросу организации мероприятий по ИБ; с точки зрения спикера и участника. Уровень мероприятий за последние несколько лет вырос, но все равно - от организатора к организатору ситуация может меняться и не всегда мероприятие организуется на должном уровне, что портит итоговое впечатление. Один из таких моментов - работа со спикерами и участниками.

Мне достаточно часто приходится выступать и я заметил, что нередко организаторы "забивают болт" на то, чтобы сообщить спикерам и участникам важные для них моменты. Хорошей практикой является подготовка специальной памятки, в которой все вопросы учтены и на них даны полные ответы. Что лично мне бы хотелось видеть в такой памятке? Сразу отмечу, что писать буду только о том, о чем я еще не писал:
  • про памятку модератору я писал тут и тут.
  • про обязательные элементы мероприятия, о которых стоит упомянуть в памятке для спикера, написано тут.
  • про райдер спикера, об элементах которого также стоит упомянуть в памятке, написано тут.

Вот краткое перечисление интересующих меня и ранее неучтенных вопросов:
  1. Место проведения мероприятия
    • Адрес и карта
    • Как добраться на общественном (включая дорогу пешком от метро или иной остановки) и личном автотранспорте?
    • Что с парковкой и сколько она стоит?
    • Как добраться от железнодорожного вокзала (вокзалов) или аэропорта (аэропортов)? Это важный момент для иногородних спикеров и участников, которым нужно планировать свой маршрут и время на дорогу. Идеально, если в памятке будет телефон/телефоны недорогих такси с указанием стоимости проезда.
    • Если речь идет об иногородних участниках и они будут проживать в гостинице, то к предыдущим двум пунктам добавляется часть связанная с дорогой до гостиницы и от гостиницы до места проведения мероприятия.
  2. Питание
    • Все знают, что с питанием на многих мероприятиях бывает беда. Особенно на крупных выставках-конференциях. Хотелось бы понимать, где можно поесть в самом месте проведения мероприятия или в ближайшей округе.
  3. Достопримечательности
    • Как это не парадоксально, но иногда хочется отвлечься от мероприятия и провести с пользой те редкие свободные часы, что выдаются до или после выступления. Поэтому идеально, если бы в памятку были включены достопримечательности в шаговой доступности от места проведения или проживания (с указанием их на карте). Для иногородних участников/спикеров это бывает очень полезно.
  4. Организационные вопросы
    • Где отметить командировочное?
    • Контакты организаторов для решения различных вопросов. Особенно важно для масштабных мероприятий.
    • Брать с собой блокнот и ручку или выдадут на месте?
    • Где по окончании мероприятия можно скачать презентации (если они будут доступны, о чем тоже стоит упомянуть) и фотографии?
    • Когда начнется регистрация (если она предусмотрена)?
    • Нужны ли для регистрации какие-нибудь документы (удостоверение личности и/или квитанция об оплате)?
  5. Интернет-освещение мероприятия
    • Для лучшего освещения мероприятия (а многие спикеры и участники - активные Интернет-пользователи) стоит указать официальный хештег мероприятия. Он должен быть один!
  6. Зона курения.
    • Сам не курю, но кого-то этот вопрос может волновать.
Вот как-то так. Не могу сказать, что открыл Америку, но иногда бывают неприятные сюрпризы, когда ты ждешь вполне очевидных и уже привычных вещей от организаторов, а они даже про них не подумали. Впечатление от этого снижается и организаторы не получают ту позитивную обратную связь, на которую могли бы рассчитывать. Именно мелочи часто формируют это впечатление. Также отмечу, что такие памятки - это не блажь спикера/участника. Они серьезно облегчают жизнь самих организаторов, которым не надо отвлекаться, чтобы по сто раз отвечать на типовые вопросы.

Одной из памяток, которая мне понравилась в последнее время, стала памятка для спикеров на BIS Summit 2015. А как участнику мне понравилась памятка SANS для слушателей курса по промышленной ИБ ICS515. В последней вообще порекомендовали взять свитер или кофту, так как в месте проведения обучения используется кондиционер, который может некомфортно охладить помещение. Они же порекомендовали использовать сумку/чемодан на колесиках, чтобы утащить после курса все учебники, симулятор CybatiWorks и другие объемные вещи.

Фрагмент памятки спикерам на BIS Summit 2015

ЗЫ. Очевидно, что для участников и спикеров должны быть разные памятки (но с пересекающимся контентом).

13.10.2015

Dell покупает EMC

Dell объявила вчера, 12-го октября, о намерении приобрести EMC за рекордную в истории ИТ-отрасли сумму в примерно 67 миллиардов долларов США. Я, если честно, не понимаю смысла этой сделки за такую сумму. Но считать чужие деньги - дело неблагодарное, поэтому оставим его за скобками. Гораздо интереснее, что будет с бизнесом безопасности EMC, которое развивалось в первую очередь в рамках подразделения RSA Security? Dell не новичок на этом рынке. Они уже сделали немало приобретений - SecureWorks, Quest, Credant Technologies, SonicWall. И вот теперь EMC/RSA. Аналитики достаточно позитивно оценивают перспективы вливания RSA в Dell. Все-таки между их портфелями решения достаточно мало пересечений. Но в любом случае будем посмотреть...


Три ИБ-тенденции с трудно предсказуемыми последствиями

За последнюю неделю стало известно о двух важных событиях, которые могут изменить облик рынка отечественной ИБ в ближайшие годы. Первое событие - это проект новой Доктрины информационной безопасности, о которой написал "Коммерсант" и текст которой уже выложен в Интернет, на одном из белорусских (!) блогов. Я бы сейчас вообще не стал обсуждать этот документ - над ним еще предстоит большая работа, так как ряд вещей там вызывает немалые вопросы, а ряд важных тем вообще не нашла отражения. Поэтому предсказывать конечный результат пока не буду. Но то, что этот документ, после 15-тилетнего затишья может задать новые вектора развития для отечественной отрасли ИБ/ИТ - это точно. Правда, понятны эти вектора будут не раньше следующего года. Все-таки принятие документа запланировано на 2016-й год, а его реализация может начаться не раньше конца 2016-го - начала 2017-го года. Это если все будет развиваться оптимистично и найдутся ресурсы для выполнения всего того, что будет написано в итоговом варианте Доктрины. Но в любом случае это знаковое событие, наряду с принятием в прошлом году основ госполитики в области международной ИБ и начала пересмотра стратегии нацбезопасности, которые зададут тон в том числе и в области ИБ на ближайшие годы.



Второй событие произошло 7-го октября, когда премьер-министр Медведев подписал распоряжение об утверждении Концепции перевода государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных (ЦОД). Как написано в документе: "Цель концепции — централизовать инфраструктуру ЦОД и увеличить объем облачных технологий, используемых в информационно-коммуникационной деятельности органов власти. Это позволит более эффективно решать задачи информатизации государственного управления, оптимизировать расходы всех уровней бюджетной системы РФ и повысить устойчивость функционирования и безопасность государственных информационных ресурсов".

Очевидно, что такая централизация поменяет ландшафт в сегменте защиты информации в государственных и муниципальных информационных системах (если, конечно, дело сдвинется дальше концепции). Текущее положение дел в области ИБ госорганов не выдерживает никакой критики - не хватает персонала, не хватает ресурсов на реализацию всех тех требований, которые выпустила ФСТЭК за последнее время. Поэтому централизация всех государственных информационных ресурсов в одних руках (Ростелекома?) - это позитивный знак, но... ФСТЭК, видимо, придется ускорять процесс выпуска документов, посвященных ИБ облачных инфраструктур и услуг аутсорсинга. Ведь в случае централизации информация будет храниться уже не в госорганах, а по текущим документам ФСТЭК основной акцент делается на том, что именно госорганы владеют защищаемой информацией и именно на них ложится основной груз защиты. В новых условиях парадигму придется менять.

Кстати, создание центрального ЦОДа продолжает курс, взятый в майском Указе Президента Путина на унификацию доступа всех госорганов в Интернет через специальный сегмент, управляемый ФСО. По нему тоже есть ряд вопросов, особенно в контексте защищенного подключения к ресурсам этого ЦОДа с помощью СКЗИ. Будет ли это единый поставщик СКЗИ или в ЦОДе будет кластер из разных СКЗИ?.. Предположу, что на рынке СКЗИ может развернуться нешуточная борьба между двумя основными поставщиками этих решений.


Третье событие с одной стороны мало освещается в отечественной прессе, а с другой - оно может также оформить еще один вектор в области отечественной информационной безопасности. Речь идет о скором (я надеюсь) принятии новых европейских требований по защите прав субъектов персональных данных. Их должны были принять еще в прошлом году, но сдвинули на год в связи с большим количество разногласий между странами - члена Совета Европы. Как только новые требования примут, Россия, если останется к тому моменту в Совете Европы, должна будет гармонизировать свое законодательство с европейским. С нашими депутатами произойдет это нескоро, но изменения неизбежны. И, как в и предыдущих двух случаях, сложно сказать, как это скажется на нашей отрасли. Но то, что тектонические сдвиги произойдут, это скорее всего. Ведь ФЗ-152 касается абсолютно всех и поэтому стоит ждать очередной волны интереса к этой теме.

ЗЫ. В контексте "Гособлака" мне интересно как согласятся на такую централизацию госкорпорации и компании с госучастием, которые уже вложили миллиарды в свои собственные ЦОДы.

12.10.2015

LogMeIn покупает LastPass

9 октября американский SaaS-поставщик LogMeIn объявил о намерении приобрести сервис управления паролями и аутентификацией LastPass. Размер сделки - около 125 миллионов долларов.

Впечатления от продвинутого курса по промышленной безопасности SANS ICS515

Почти месяц я делился впечатлениями от курса SANS ICS410 по промышленной ИБ. В конце прошлой заметки я написал, что планирую рассказать о прохождении обучения по более продвинутой программе, предусмотренной следующим курсом SANS ICS515.


Программа

Программа оказалась очень насыщенной. Она мне понравилась гораздо больше первого курса. Я уже приводил иллюстрацию уровней зрелости или уровней безопасности промшленной сети. Она как раз хорошо отражает программу курсов SANS. Первые два уровня - архитектурный  пассивный был раскрыт в ICS410. А третий и четвертый уровни как раз рассматривались на ICS515.


Иными словами, если в первой части говорилось о различных встроенных и наложенных средствах и мерах защиты, то вторая была посвящена активному вовлечению человека в процесс мониторинга промышленной сети, реагирования на инциденты, а также исследований и анализа угроз.



Почти все примеры демонстрировались на основе свободного ПО - Snort, Volatility, Redline, Wireshark, SGUIL, ELSA, Network Miner, FTK Imager, pdf-parser, pdfid и др. Коммерческое решение было одно - CyberLens от Dragos Security (то, что автором CyberLens являлся автор курса Роберт Ли, ничего не значит :-). Тема коммерческих решений вообще была не раскрыта, что мне не очень понятно. Было бы логично сравнить возможности коммерческих и бесплатных решений. По словам инструктора разницы никакой, кроме производительности, удобства, гарантии и поддержки. Хотя я с этим не соглашусь - разница в функциональности тоже есть.

Возможно дело в том, что чем выше подниматься по уровням, описанным выше, тем дороже будет обходиться защита. И увеличивать ее стоимостью коммерческих решений инструктор, видимо, не посчитал нужным. Хотя на мой взгляд автоматизация, которую предлагают коммерческие решения, может компенсировать затраты на них. Хотя, надо признать, никто не производил таких расчетов.



Пятый, последний день запомнился тем, что у нас не было никакой теории и занятий вообще. Нам озвучили два кейса, которые надо было решить, ответив на 50 вопросов в контексте проведения расследования инцидентов на промышленный объект. На все было выделено 8 часов, которые должны были показать, насколько слушателями был усвоен материал и насколько хорошо мы до этого отработали 16 лабораторных работ.

Лабораторные работы

Помимо программы очень насыщенной и интересной оказалась программа лабораторных работ, которые были совершенно разноуровневые - от умения использовать Shodan до работы с Raspberry Pi,

Набор для лабораторных работ на базе Raspberry Pi 2

от анализа сетевого трафика до анализа дампов памяти,

Анализ PDF-файла на предмет вредоносного содержания

от анализа вредоносного кода до визуализации карты промышленных устройств, от создания индикаторов компрометации до создания сигнатур для систем обнаружения вторжений.

Графический интерфейс SGUIL для Snort

Ну и конечно же платформа CybatiWorks, о которой я уже писал.

 Инструктор

Преподавал у нас Роберт Ли, человек известный в области промышленной ИБ, автор множества презентаций, а также ряда книг и курсов в SANS. До основания компании Dragos Security, он служил в ВВС США офицером по кибервойнам. Возможно с именно этим связана определенная  русофобская риторика в рамках курса. По несколько раз на дню звучали примеры об угрозе со стороны России и, немного, Китая.


Но в остальном инструктор оказался вполне себе на высоте. Он еще и оказался автором ежедневных комиксов по информационной безопасности "Little Bobby".

Один из комиксов Little Bobby

Сюрприз

Помимо пятидневного тренинга в середине организаторами был устроен сюрприз; даже два. Первый - часовой доклад на тему "5 лет после Stuxnet. Что изменилось, что нет и что нас ждет впереди?" Делал его Томас Брандстеттер, один из основателей небольшой немецкой консалтинговой фирмы, занимающейся промышленной ИБ. Не могу сказать, что доклад поразил меня - многие вещи были уже известны. Но поскольку доклад читался не только для нашей группы, но и для двух других, проходивших обучение по базовым темам промышленной ИБ, возможно он кому-то и понравился.

Вторым сюрпризом стал поход в близлежащий бар, где организаторы, оплатившие выпивку, дали возможность всем слушателям пообщаться в неформальной обстановке. Очень интересная задумка. Конечно, она имеет смысл только для длинных курсов (более 3-х дней). Такое отвлечение в середине обучения не только помогает расслабиться от насыщенной программы, но и предметно обсудить с коллегами по курсу уже усвоенный материал; обменяться мнениями. Тем более, что курс собрал публику со всей Европы (как минимум, были немцы, голландцы, норвежцы) и из разных компаний, занимающихся консалтингом, разработкой, эксплуатацией решений в сфере промышленной ИБ.

Резюме

В целом хочу отметить, что курс мне понравился. Мои опасения про сложность лабораторных работ (особенно для "бумажного" безопасника :-) не оправдались. Очень хорошее сочетание теории и практики. Что-то я точно возьму в свой курс по промышленной безопасности; он нуждается в пересмотре. В любом случае накопилось много мыслей и идей, которые я буду потихоньку выплескивать на страницы блога.

09.10.2015

Последние изменения в законодательстве о персональных данных (презентация)

Вчера на "Коде информационной безопасности" в Самаре выступал на тему последних изменений в законодательстве о персональных данных. Выкладываю презентацию.



08.10.2015

Зачем ИБ-специалистам запрещают читать ИБ-блоги или парафраз о кейс-чемпионате по ИБ

Вчера мне рассказали историю о том, как в одной весомой организации ИБ-специалистам служба ИБ запрещает читать блоги по ИБ. На самом деле ситуация чуть шире - всем запрещено читать любые блоги. Ну а поскольку ИБ-специалисты - это часть "всех", а ИБ-блоги - часть "любых" блогов, то безопасники попали "под раздачу" вместе со всеми. Мотивация очевидна - на работе надо работать. На мой вопрос - а как же получение новых знаний, ответ был таков: "Мы раз в год проходим повышение квалификации". Раз в год! За этот год и угрозы уже поменяются, и регуляторика, и появятся новые решения и подходы в области ИБ.

Очень хорошо этот пример ложится на тему вовлеченности в процесс обучения и погружения в информационную безопасность, которую я начал в понедельник. ИБ через игры мы уже посмотрели. Симуляторы ИБ тоже. Пора рассмотреть еще один интересный способ - это кибер-учения по ИБ, которые дают возможность в такой быстро меняющейся сфере как ИБ, проверять свои знания на практике.

Про киберучения я уже писал не раз. И даже организовывал нечто похожее - в Магнитогорске на Уральском форуме по банковской ИБ и в Питере на мероприятии RISC. Для RISC это не первый раз, когда в игровой форме происходит погружение в ИБ и изучение практических кейсов, ежедневно возникающих в деятельности специалистов по защите информации. Речь идет о кейс-чемпионате, то есть командных соревнованиях, которые позволяют в короткие сроки отработать практические навыки в сфере нашей деятельности.

В отличие от ИБ-игрищ и киберучений, ориентированных на действующих безопасников, мероприятие RISC предназначено для студентов ВУЗов, которым еще только предстоит уйти в большое плавание и понять на практике, что многое из того, чему учат в институтах, не совсем применимо в реальной жизни. И если концепция CTF подразумевает получение студентами (преимущественно) технических навыков в области ИБ, то кейс-чемпионат позволяет получить навыки организационно-управленческие.

В прошлом году RISC уже проводил свой первый чемпионат, в котором приняло участие 38 команд из 11-ти ВУЗов. В этом году чемпионат должен стать еще более массовым. Ведь это ново и очень интересно. А главное полезно; как для участвующих студентов, так и для СМИ и спонсоров. Каждый получает что-то свое. Студенты - практику в режиме "блиц". СМИ - совершенно новый формат мероприятий, которых еще не было. Спонсоры - будущую целевую аудиторию, упоминания в прессе и возможность предложить свой кейс. И это не говоря уже о живой атмосфере, которой часто так не хватает на фоне официоза и генералов, которые сопровождают другие мероприятия в нашей области.

С рассмотренными в прошлом году кейсами можно ознакомиться на сайте мероприятия. Кейсы нынешнего года будут не менее интересны. Поэтому рекомендую тем, кто хочет принять участие, поторопиться - регистрация на кейс-чемпионат закроется 26-го октября.

ЗЫ. Ну а завтра я завершу краткий цикл заметок, посвященных вовлеченности и геймификации процесса обучения вопросам ИБ, рассказом о киберучениях, проводимых в этом году в США, Европе и НАТО.

07.10.2015

Впечатления от CybatiWorks

CybatiWorks - это мобильная платформа (существенно меньше Tofino SCADA Security Simulator) для изучения вопросов кибербезопасности промышленных систем, которая состоит из следующих основных частей:

  • Виртуальные машины с операционными системами Kali Linux, REMnux Linux и Security Onion для проведения оценки защищенности и расследований промышленных приложений и устройств. В рамках курса ICS515 нам также предоставляли ПО для Windows, с помощью которого мы проводили расследование инцидентов на узлах АСУ ТП в промышленных сетях. Насколько я понял, в CybatiWorks оно не входит.
  • ПО OPC-сервера, HMI и других промышленных приложений, например, RSLogix (ПО для программирования контроллеров).
  • Информационные материалы по вопросам промышленной ИБ.
  • Платформа Raspberry PI и общедоступные промышленные компоненты, имеющие интерфейсы ввода/вывода и позволяющие загружать на них соответствующую логику.
  • Модель "светофора", на которой эмулируется работа реальной системы управления технологическими процессами. Вообще помимо "светофора" платформа Cybati может комплектоваться и другими "физическими" компонентами, включая и контроллеры MicroLogix или Siemens или Allen-Bradley.



Модель светофора выбрана не случайно. С одной стороны она компактна (это вам не стенд с цифровой подстанцией и не модель железной дороги), а с другой на ее основе можно тестировать вполне реальные сценарии (достаточно посмотреть вокруг и увидеть, что аналогичные системы у нас управляют автомобильным транспортом на дорогах, движением электропоездов и самолетов и т.п.


ПО, установленное на виртуальной машине, позволяет формировать нужную логику для контроллера, передающего команды на "светофор", тем самым изучая, как можно вмешаться в логику технологического процесса.


При этом, с помощью ПО, входящего в состав Kali и Security Onion, возможно проведение атак на элементы симулятора, а также мониторинг трафика в промышленной сети и обнаружение атак на нее.


В состав дистрибутива входит множество различных сценариев изучения промышленной ИБ - от детских занятий до проведения полноценных CTF, от базовых примеров использования платформы до прохождения целых миссий по промышленной ИБ и зарабатыванием баллов.


Также в дистрибутив включено несколько интересных компонентов:

  • описание кейсов и инцидентов на промышленные системы
  • отчеты Threat Intelligence по известным хакерским кампаниям (хотя, возможно, это уже добавили в рамках ICS515)
  • описания промышленных протоколов
  • куча сетевых дампов с трафиком промышленных систем и атаками для самостоятельного изучения
  • и т.д.



Среди прочего, в CybatiWorks входит модуль The Brain, содержащий "карту памяти" (mind map) по вопросам промышленной ИБ - куча ссылок на различные стандарты, рабочие группы, решения, кейсы и т.п.


Для запоминания терминов по ИБ и промышленным системам в платформу включено два словаря и специальное ПО Anki для их запоминания.


Также в CybatiWorks входит интересный инструмент для моделирования атак - ADTool с кучей уже созданных примеров, на базе которых можно создавать свои "деревья атак" и мер по их нейтрализации.


Пока не до конца разобрался со всем тем, что есть в CybatiWorks. Но потенциал у нее богатый. Куча пока еще не изученного ПО, используемого в целях повышения защищенности промышленных сетей. Например, Firewall Builder для облегчения процесса создания правил для МСЭ на базе iptables, ASA/PIX, pf, ACL на маршрутизаторах и т.д.


Вообще, интересная штука оказалась эта CybatiWorks. На ее основе строятся почти все учения в области промышленной кибербезопасности в последнее время. Тот же GridEx в США, в рамках которого эмулируются и отражаются атаки на электроэнергетику. Про эти учения я еще напишу отдельно. Ну а в заключении дам ссылку на сайт Cybati - https://cybati.org.

Симуляторы для изучения вопросов промышленной кибербезопасности

Продолжая тему вовлечения в рамках обучения и повышения осведомленности по вопросам информационной безопасности, давайте посмотрим, как это можно осуществить в части промышленной ИБ. Почему промышленной? Потому что это сейчас горячая тема, которая начинает набирать обороты, но при этом обеспечение промышленной ИБ отличается от корпоративной. Отличается как подходами, так и объектом защиты. Итак, как можно не просто погрузиться в теорию, но и получить практику промышленной ИБ? Не ломать же реальную промышленную сеть или АСУ ТП. И стенды, о которых я уже писал, есть не у всех. Что же делать?

Если не рассматривать вариант "ничего не делать", то остается три варианта:
  • приобрести симулятор АСУ ТП и дополнить его частью по ИБ
  • построить симулятор по ИБ АСУ ТП самостоятельно
  • приобрести готовый симулятор по ИБ АСУ ТП.
Начнем с первого варианта. У него есть как преимущества, так и недостатки. К первым относится наличие уже готового решения, позволяющего эмулировать серьезные системы управления технологическими процессами. Ко вторым - привязка к конкретному вендору АСУ ТП и определенные финансовые затраты. Примером такого решения является DeltaV Simulate от Emerson или SimSci от Schneider Electric. Есть еще онлайн курсы E-Learning Online SCADA Training, в рамках которых слушателям предоставляются диски с ПО АСУ ТП. Ну а с частью по ИБ все просто - Metasploit, Wireshark, nmap и множество других инструментов, используемых для различных задач безопасности.

Второй вариант дешевле первого с точки зрения капитальных затрат, но сложнее в реализации. Приходится использовать сразу несколько симуляторов, работающих вместе, - сетевых, АСУ ТПшных и по ИБ. К первым относятся NS2, NS3, OPNET и OMNeT+. Ко вторым - CitectSCADA, VTB, PSCAD/EMTDC, PSLF, Simulink и другие. Часть из них распространяется по лицензии, часть распространяется свободно. Часть по ИБ была описана выше. Дальше остается все это интегрировать в единый комплекс и начать с ним работать. Но есть одно большое "но". Симулятор ведь нужен для того, чтобы изучать на нем вопросы безопасности АСУ ТП. Но если мы способны построить симулятор сами, то зачем нам изучать его? Наши знания и так достаточны. Парадокс :-)

Возможно, идеальным был бы третий вариант, - купить готовый симулятор по ИБ АСУ ТП. Но тут нас подстерегает еще одна сложность. Как оказалось, таких решений почти нет на рынке, несмотря на их востребованность. Как нет? Есть же Toffino SCADA Security Simulator, скажете вы... Да, есть.


Штука интересная. Включает в себя промышленный контроллер (PLC), HMI, демонстрационную панель, Tofino Security Appliance, нетбук с программным обеспечением и руководством для проведения различных сценариев для различных отраслей - энергетика, водоснабжение, нефтехимия и трубопроводный транспорт. Все хорошо в симуляторе Tofino, если бы не тот факт, что Tofino прекратила продажи этого решения.

На протяжении последних лет неоднократно предпринимались попытки создать аналогичные симуляторы. Например, в Университете Джексонвиля в США. На данную разработку даже были выданы гранты, но в коммерческом варианте решений так пока и не появилось.



И что же нам остается? По сути только одно решение - от компании Cybati. С ним мне довелось работать очень плотно, в рамках курса по промышленной ИБ от SANS (SANS ICS515), и поэтому про него я расскажу подробно... но в следующей заметке.


Что в сухом остатке?  Есть растущая необходимость в промышленной ИБ. Есть нехватка специалистов. Есть потребность в квалифицированном обучении. Нужны практические работы. А вот симуляторов для всего этого не хватает :-(