29.9.17

Почему риск-ориентированный подход не работает в промышленной кибербезопасности

Вчера (28 сентября) я выступал на пленарной дискуссии конференции по промышленной кибербезопасности, устроенной Лабораторией Касперского в Санкт-Петербурге, и по ее результатам мне хотелось бы описать мысль, которую я пытался донести на мероприятии.


Идея моего пятиминутного выступления была очень простой - риск-ориентированный подход в промышленной кибербезопасности не работает. И причина тому проста - у нас отсутствует один из ключевых элементов формулы риска - вероятность его наступления. Как обычная она оценивается? Два классических подхода - оценка по фактам или оценка по ощущениям (она же экспертная). Первый метод, базирующийся на статистике, активно применяется в "офисной" ИБ, но не работает в промышленности, так как статистика инцидентов почти отсутствует или стремится к нулю. Да, у нас есть репозиторий инцидентов RISI, но даже в нем число примеров несравнимо с тем, что происходит и известно по обычным сетям. И строить на них адекватную картину не получается. Отсюда первый вывод - классическая оценка рисков по статистике (она же активно применяется и страховыми компаниями) в промышленной ИБ не работает. Пока не работает. Возможно, со временем ситуация изменится, число инцидентов будет расти (не хотелось бы), и тогда появится адекватная оценка вероятности происходящего.

Второй подход, экспертный, работает тоже из рук вон плохо, так как согласно психологии восприятия рисков человеку свойственно принижать проблемы, с которыми он не сталкивался. А мы, как уже видели выше, почти не сталкиваемся с серьезными инцидентами ИБ в своей практике, а если они и происходят, то мы считаем их случайностью. Если же инциденты случаются у наших коллег, то вступает в игру другое следствие из психологии восприятия рисков - предубеждение оптимизма, то есть классическое "с нами такого не случится" (достаточно вспомнить, сколько людей страхует свою жизнь, квартиру и т.п.). Второй вывод тоже прост - пока экспертная оценка работает тоже не очень хорошо. А тут еще и страшилки про сталелитейный завод к Германии (на конференции так никто и не назвал имени пострадавшей компании, но один человек по секрету на ушко мне сообщил, что он знает людей, которые точно знают, что произошло и где, но сам он этого не знает :-), которые только усиливает мнение бизнеса, что их стращают на пустом месте.

И вот тут мы подходим к неожиданному выводу - государство должно вмешаться и немножко порегулировать эту тему, так как бизнес сам не готов вкладывать в то, что может никогда не произойти или произойти с очень малой вероятностью. Но... не просто вмешаться, а сделать это грамотно и осмысленно. Для этого надо:

  • привлекать экспертное сообщество (из разных отраслей) до принятия каких-то управленческих решений
  • разработать понятные и дифференцированные критерии категорирования критических инфраструктур
  • разработать решения, которые учитывают отраслевую специфику
  • (самое главное) предоставить переходный период на реализацию разработанных требований (с этим у нас основная проблема и не только в промышленной ИБ). 


То есть задача государства в данном случае помочь бизнесу "войти в реку", а не бояться, толкаясь на берегу в ожидании когда "накроет". Именно помочь, а не кошмарить угрозами введения уголовной ответственности с 1-го января 2018 года (а она же вступает в силу уже через 3 месяца). И это именно тот редкий случай, когда государство должно "вмешиваться". В остальных случаях такое вмешательство с обязательными требованиями только вредит. В конце концов задача государственного регулирования заключается в том, чтобы найти баланс между интересами бизнеса, общества, граждан и государства и помочь в тех случаях, когда эти сущности не могут договориться между собой без участия властей. Поскольку пока в области промышленной ИБ бизнес не всегда видит необходимость инвестировать в защиту от того, что никогда не случалось, то государство должно предвосхитить эти инциденты, которые могут иметь катастрофические последствия, внедрив свое регулирование.

Грудь как улика или как я хотел стать цифровым охранником Пугачевой

В своей презентации по анатомии атаки я описывал различные методы, которые используют злоумышленники во время подготовки к атаке на свои жертвы. Среди прочего я упоминал и такие инструменты как FOCA или анализаторы графического формата EXIF, которые позволяют вы тягивать метаданные из различных источников и анализировать их для составления профиля атакуемой стороны. Бывает так, что во время презентации или после нее, мне задают вопросы по этим утилитам с целью понять, насколько они опасны. Например, EXIF вытаскивает из фотографий большой объем информации - не только когда и на что был сделан снимок, но и вплоть до геолокационных данных (у некоторых фотоаппаратов или смартфонов есть такая функция), что позволяет втереться в доверие, сославшись на совместный отдых в месте и времени, указанном в метаданных пользователя, неосторожно выложившего необработанные фотографии в соцсети. Но, что интересно, ровно тот же инструментарий может быть использован и в благих целях.


Например, с его помощью в 2012-м году был пойман хакер из группировки Anonymous Хигиньо Очоа (Higinia Ochoa III). Он выложил в анонимном аккаунте Твиттера ряд украденных ранее у ряда государственных структур данных с последующей публикацией фотографии девушки (точнее ее части) с соответствующим бахвальским лозунгом. Но он сделал одну маленькую ошибку - фотография, сделанная с мобильного устройства, содержала GPS-координаты места, где была сделана фотография. Дальше все было просто - агенты ФБР нагрянули к девушке, признавшей, что она знакома с Очоа, который в итоге и оказался хакером из Anonymous.


Кто поймал Очоа? Это сделали киберследователи, люди, профессия которых зачастую окутана мифами и заблуждениями. Однако, она же является и одной из самых востребованных в современном мире. По крайней мере именно так считает Агентство стратегических инициатив, которое недавно выпустило атлас новых профессий, в котором среди прочих есть и киберследователь, то есть человек, который проводит расследование компьютерных преступлений. Вот именно эти следователи и используют "хакерский арсенал" для борьбы с ними же самими.


Кто еще попал в поле зрения футурологов АСИ из нашей темы? Список следующий:
  • менеджер непрерывности бизнеса
  • дизайнер-эргономист носимых устройств для безопасности
  • проектировщик личной безопасности
  • дистанционный координатор безопасности
  • аудитор комплексной безопасности в промышленности
  • кибертехник умных сред
  • куратор информационной безопасности
  • ИТ-аудитор
  • консультант по безопасности личного профиля.
Вот последняя профессия мне запомнилась, так как несколько лет назад, во время очередного кризиса среднего возраста я думал о том, куда податься "если что" и у меня родилась идея стартапа по ИБ звезд шоу-бизнеса. Это по сути обычный компьютерный мастер, чьи объявления развешаны на столбах и подъездах, но вхожий в мир шоу-бизнеса, и обеспечивающий защиту личных мобильных и домашних устройств певцов и певиц, актеров и актрис, продюссеров, режиссеров и т.п. Заниматься защитой домашних компьютеров казалось мне делом невыгодным из-за отсутствия масштабируемости, а вот в случае с звездами отечественной эстрады можно было поднять ценовую планку на порядок выше, чем для домохозяек, и за счет этого жить достаточно неплохо. Этакий цифровой охранник, который не только обновляет антивирус, но и рекомендует пароли к соцсетям, мониторит попытки несанкционированных доступа к личной почте, защищает газовой котел с дистанционным управлением, стоящий в загородном доме и т.п. В условиях повальной цифровизации всего и всех это могло стать очень востребованной профессией (и, кстати, уже такие запросы есть).

Но сейчас я понимаю, что стать цифровым охранником Пугачевой мне наверное уже не суждено. Ведь в атласе новых профессий, который рассчитан на ближайшие 15-20 лет, есть такая замечательная роль как ИТ-проповедник (думаю и ИБ тоже), которая мне подходит лучше всего :-) 


ЗЫ. Если отбросить в сторону шуточную сторону этой заметки, то атлас интересен именно тем, что показывает, что может быть интересно в дальнесрочной перспективе. Я ссылку на него скинул своему сыну, чтобы он мог уже сейчас понять, что будет востребовано через 10 лет, когда он закончит ВУЗ. Именно через 10 лет, а не сейчас, когда он строит планы на то, кем он хочет стать (конечно, как папа :-) Так что если у вас есть дети 13-17-летнего возраста им этот атлас будет полезно полистать. Ну и просто студентам и будущим абитуриентам это может быть полезным при выборе своего пути. А то бывает обидно, когда человек проучился 4 или 6 лет, а потом оказалось, что ему выбранная профессия не нравится или она уже перестала быть актуальной.

28.9.17

Мои презентации с InfoSecurity Russia

Решил выложить свои презентации с InfoSecurity Russia, где я выступал в двух ролях - спикера и модератора. На круглом столе по межсетевым экранам задавался вопросом, почему у разных производителей разное толкование термина NGFW и какими возможностями может обладать данный тип защитных средств. Именно может, а не должен, так как нужны ли они все или нет, зависит от потребителя. Задача вендора всего лишь правильно описать свой функционал, чтобы не было сюрпризов, когда у четырех производителей написано про контроль приложений, но один трактует это как функцию прокси для  протокола FTP, второй умеет распознавать прикладные протоколы, но не умеет смотреть внутрь них и инспектировать на предмет отдельных команд, третий это может, а четвертый еще и предлагает возможность распознавания собственных приложений, написанных заказчиков. И все это "контроль приложений".



На круглом столе "SOC vs SIEM" мы в течение двух часов обсуждали различные практические вопросы построения SOC и использования в них различного инструментария, в том числе решений класса SIEM, IRP, SOAR и т.п. Сопровождал дискуссию я презентацией, в которой были некоторые факты и цифры, которые многие фотографировали, а потом просили выложить слайды.


Чеклист "Настоящий ли ты безопасник?!"

Вчера, сидя в аэропорту, я столкнулся с замечательной иллюстрацией к моей заметке про пиджаки и джинсы, которая вызвала определенную реакцию в Facebook (около 200 комментариев) и других социальных сетях. Аудитория разделилась на три части - две из них предсказуемо вставли в абсолютно противоположные позиции, утверждая, что пиджаки|джинсы хороши|плохи. Третья категория уловила основной посыл, связанный не с тем, какое образование должно быть у тех, кто занимается ИБ, а с тем, как человек думает, в том числе и в обычной жизни.

И вот яркая ситуация. Ожидая рейса в Питер на конференцию Лаборатории Касперского по промышленной ИБ, серфил в Интернете на стоящем в зале ожидания компьютере. И тут всплывающее уведомление о приходе новой почты... Что за фигня, подумал я. Зашел в почтовый клиент... а там личная переписка женщины! Она, видимо, ожидая свой рейс, решила почитать почту на mail.ru и подключила к почтовому клиенту свою учетную запись. А вот отвязать ее она забыла и теперь на совершенно посторонний компьютер в аэропорту приходит вся ее личная переписка. Судя по заголовкам писем там и какие-то счета, и нумерологические прогнозы, и медицинские анализы. И совсем свежие сообщения о замене пароля в учетной записи Apple ID...


У автора почтовой учетки на компьютере в аэропорту совершенно отсутствует сознание безопасника и совершенно не важно, какое у нее образование - военное, гражданское, гуманитарное или техническое. Уже сидя в самолете позволил себе набросать простенький чеклист, ответив на 10 вопросов которого вы сможете понять, можете ли вы считать себя настоящим безопасником:

  1. Всегда ли вы кладете ли смартфон на столе экраном вниз?
  2. Блокируете ли вы дома ноутбук/компьютер, когда отходите от него?
  3. Выкладываете ли вы фотографии своих детей в соцсетях?
  4. Проходите ли вы тесты в Facebook?
  5. Чекинитесь ли вы в соцсетях?
  6. Вы играли в покемонов на режимном объекте?
  7. Вы входили в личную почту с чужого компьютера?
  8. Вы настраивали получение одноразовых кодов по SMS на тот же телефон, с которого вы ходите в Интернет-банк?
  9. Вы делились своим персональным компьютером|смартфоном|паролем с близкими людьми?
  10. Вы не прочитали все заметки в блоге Лукацкого?

ЗЫ. Уходя из зала ожидания, попробовал удалить учетную запись с компьютера, но не смог - не хватало прав. Поэтому просто написал владелице учетной записи письмо с описанием ситуации и с рекомендацией поменять пароль.

26.9.17

Страшный и ужасный... Лукацкий

В году этак 97-м я выиграв честные выборы на роль модератора эхи RU.SECURITY в ФИДО, стал нести светлое, доброе, вечное в массы. И случилось так, что как-то я написал про систему защиты "Кобра" (кто еще помнит такое название?), основная идея которой базировалась на применении технологий потокового шифрования в качестве основного механизма защиты. При этом авторы "Кобры", братья Молдовян, создали свой собственный алгоритм, запатентовали его, и применяли для решения задач ИБ, что вызвало вполне очевидную негативную реакцию ФАПСИ, которое считало, что разрабатывать СКЗИ можно только на базе отечественных ГОСТов и никак иначе. На что братья Молдовян отвечали, что они выпускают не СКЗИ, а СЗИ от НСД (то есть уходят под ФСТЭК, а не ФАПСИ) и поэтому вольны самостоятельно определять, что и как делать. При этом ФСТЭК дистанцировалась от этого конфликта, заявляя, что при сертификации "Кобры" они оценивают механизмы защиты от НСД, а не стойкость криптографии и иные свойства криптографических преобразований. Вот об этой системе (а у нее и преемницы были - "Спектр", "Щит-РЖД", "Аура") и я написал в RU.SECURITY, за чем и последовала реакция ФАПСИ, сотрудники которого решили пожаловаться моему руководству в "Информзащите". Мол, приструните своего не в меру ретивого сотрудника, который "рекламирует" продукты, вызывающие отторжение у регулятора. С благодарностью вспоминаю Володю Гайковича и Петра Ефимова, который прикрыли меня и дали понять регулятору, что в RU.SECURITY я выступаю не как сотрудник лицензиата ФАПСИ, а как частное лицо (тогда еще не стал модным термин "независимый эксперт"). Так я столкнулся первый раз с давлением на меня за мои заметки.


Еще один случай произошел, когда я уже перешел в Cisco. В 2009-м году на РусКрипто я выступал с докладом про мифы отрасли ИБ (она включала выдержки из книги "Мифы и заблуждения информационной безопасности", опубликованной мной на портале bankir.ru, по заказу которого она и писалась). Одним из таких мифов, который я развенчивал, являлось утверждение некоторых производителей средств защиты информации (и западных и отечественных) о том, что они работают не для того, чтобы зарабатывать деньги и извлекать прибыль из своей деятельности, а чтобы помогать своим клиентам сделать мир безопаснее. Ну вот на примерах я это и развенчивал. Удивительно то, что после этой презентации в адрес руководства российского офиса Cisco было направлено письмо, подписанное генеральными директорами двух российских ИБ-вендоров, которые требовали меня наказать за то, что я, якобы, подорвал веру в отрасль ИБ и опорочил честные имена компаний-бессеребренников. Эти альтруисты, торгуя своими продуктами, настаивали, что они делают это ради мира во всем мире, а не для своей выгоды. И вместо того, чтобы вступить со мной в диалог или просто поговорить в частном порядке (тем более, что мы были знакомы), была сотворена кляуза на руководство офиса. Тогда в блоге и появился disclaimer, говорящий о том, что все, написанное в блоге или в презентациях, является моим частным мнением, если это не оговорено особо. Это было в 2009-м году.

И вот опять... Не буду называть имен, но ситуация схожая. За один из моих постов в Фейсбуке упомянутые в нем лица решили... нет, не извлечь уроки и исправить описанную ситуацию. И не поговорить со мной, чтобы можно было прийти к некоему консенсусу. Да, они решили пожаловаться на меня руководству офиса. Хотя после истории с одним СМИ, журналист которой, скопировав мой частный комментарий из ФБ и опубликовав его от имени Cisco, я добавил disclaimer и в Facebook, четко указав, что все, написанное там, является моим частным мнением, которое может не совпадать с мнение работодателя. Но нет... Надо обязательно настрочить кляузу.


Чего люди хотят достичь этим? Что я удалю текст с личной страницы? Что я стану закрывать глаза на описанные проблемы? Что я стану хорошо относиться после этого к авторам жалобы? Не понимаю, честно. Зачем портить себе карму?..

ЗЫ. Решил для вот таких вот эмоциональных и неоднозначных заметок использовать тег "поибешечки". Когда-то была идея замутить проект с таким именем, в рамках которого вести видеоблог и беседовать с друзьями, коллегами, соратниками на околоИБшные темы в неформальной обстановке. Но не взлетело - времени нет на такие видеоподкасты, а хорошее имя пропадает. Задействую сюда...

ЗЗЫ. И еще раз напоминаю, что все написанное в этой, а также иных заметках, отражает мое личное мнение. Всем мира и добра!

ЗЗЗЫ. А вообще история не стоит и выеденного яйца. На фоне того, как и что я говорю про ту же Цифровую экономику, регуляторов и иже с ними, та заметка в ФБ - это такая ерунда. Но никто не жалуется (к счастью). Хотя за глаза и "поливают" меня :-) Помню, после гораздо более жесткой критики меня пригласил к себе Роскомнадзор и в сотрудничестве родилось несколько полезных документов. Да и с ФСТЭК ситуация похожая - уж как я их критиковал; а сейчас чуть ли не лучшие друзья :-) Шутка :-) 

22.9.17

Пиджаки vs джинсы. В ИБ стало много посторонних...

Описанные в заметке рассуждения давно витали в моей голове, но только на прошедшем в пятницу BIS Summit оформились в некий набор тезисов, который я и хотел выплеснуть на страницы блога. Я прекрасно понимаю, что за данные мысли, возможно, на меня обидятся некоторые мои коллеги и друзья, но в последнее время я уже и так наговорил столько всего и наступил на мозоли стольким людям и организациям, что одной заметкой больше, одной меньше, не критично. Итак, мой тезис простой - в профессии ИБ стало слишком много посторонних!

Несмотря на то, что у нас (и в России, и в мире) ощущается явная нехватка специалистов по информационной безопасности, а Наталья Касперская даже предлагает вводить специальный реестр выпускников ИБ-специальностей и не выпускать их за границу, чтобы не утекали мозги, я вижу, что попадание сторонних людей в профессию только вредит ей. На BIS Summit Рустем Хайретдинов поделился наблюдением, что раньше в отрасли были преимущественно выходцы из спецслужб и иные "погонщики" (от слова "погоны"), которых многие молодые специалисты называют "пиджаками". Молодежь же Рустем назвал "джинсами" и отметил, что их в отрасли становится все больше и больше, сменяя "пиджаков". Это те люди, которые вышли из программеров, пентестеров, хакеров. И вот они начинают превалировать над теми, кто понятие "безопасность" впитывал с молоком отца со скамьи в Высшей школе КГБ, ИКСИ или ином каком закрытом ВУЗе. А еще в ИБ идут люди из ИТ, которые узнали, что в ИБ нехватка людей или что в ИБ много платят.

И вот именно эта тенденция лично меня и пугает. Обе эти категории специалистов (и "джинсы" и айтишники) не имеют сознания безопасников. У них могут быть знания и навыки, но не сознание, которое должно формироваться с самого начала профессионального образования. Как думает "айтишник" в ИБ? Я защитю (защищу) внедрю систему защиты ИТ-активов согласно лучшим практикам, подчерпнутым в ISO 27001, СТО БР, 31-м приказе ФСТЭК, и наступит мне счастье. Как думает "джинса"? Вот тут дыра, тут дыра, а тут просто дырища; поэтому надо проводить регулярные пентесты, нанять Red Team, купить сканер безопасности и анализатор кода, ну и до кучи внедрить WAF с машинным обучением. При этом данные размышления никак не связаны с безопасностью, как ни странно. Отсутствует анализ причин (root cause analysis), которые приводят к плохим последствиям, которые затыкаются различными затычками в виде бездумного применения best practices или покупкой пентестов и WAF.

Также как Роскомнадзор подменил термин "защита прав субъектов персональных данных" "защитой персональных данных", так и в нашей отрасли ИБ ее заменили "ИТ-безопасностью". Мы концентрируемся на защите информации и информационных систем, забывая про субъектов, которую эту информацию обрабатывают, сохдают, хранят, передают. Мы много говорим о культуре ИБ, не предпринимая усилий по ее формирования. Надо признать, что и регуляторы тоже не сильно напрягаются в этом направлении, только постулируя необходимость заниматься этим вопросом. Основы госполитики в области формирования культуры ИБ в СовБезе так и канули в Лету. Уровень высшего ИБ-образования уже стал притчей воязыцех. Вот и получается, что основа, фундамент ИБ разрушен, а соответствующие навыки практически утеряны. Вендорам, в целом, тоже не до формирования культуры - за нее не платят миллионов и сотен миллионов (статьи затрат по программе "Цифровой экономики" говорят именно об этом, хотя про культуру и образование эта программа и говорит очень активно).

Сюда же относится и нежелание/неумение работы с людьми. Иногда гораздо проще и дешевле поговорить с сотрудниками, чем долго и безуспешно внедрять дорогостоящие защитные технологии (они, конечно, тоже нужны, но не стоит преувеличивать их важность). Но у нас этому ИБшников не учат (ФГОСы не содержат таких дисциплин). Хотя по правде тут нужны не знания, а навыки, которые надо не преподавать, а прививать. Но кто это будет делать? Если безопасник попросится на тренинги по управлению конфликтами или на управление коммуникациями, то на него посмотрят как на сумасшедшего. Зачем тебе это? Что за чушь? В лучшем случае пошлют в Информзащиту учиться Контитенту или SecretNet'у.

И эта тенденция только нарастает, последствия чего мы и наблюдаем в последнее время. На ИБ тратяся колоссальные бюджеты, вендора разрабатывают мыслимые и немыслимые технологии искусственного интеллекта, а хакеры на порядки более дешевыми методами продолжают ломать рядовых граждан, малые и крупные компании. Больше денег на ИБ, больше взломов. Такой вот парадокс. А все потому, что сознание у современных ИБшников уже не "безопасное", а "айтишное" или "хакерское". Мы (и я не исключение) не думаем о причинах многих вещей. Мы латаем дыры, не понимая, почему они появились. Чисто айтишный подход - пропатчиться по быстрому. Мы ищем дыры и кричим о них на конференциях, забывая рассказать о том, как их закрыть (и это почему-то называют security research). Это уже хакерский подход. А где подход безопасника? А его-то и нет...

ЗЫ. Предвидя комментарий "а ты сам кто такой?", отвечу: "Не знаю". Я гражданский, хотя мне преподавали преподы из Вышки. Но я и не айтишник и не хакер. Просто 25 лет в информационной (кибер)безопасности немного дают мне права надеяться, что я все-таки больше безопасник, чем...  

20.9.17

InfoSecurity и "Три мушкетера"

Вы помните отечественный фильм "Три мушкетера" и классическую сцену дуэли, в которой подружились Атос, Портос, Арамис и д'Артаньян? Позволю себе напомнить ее:



Вот InfoSecurity и напомнило мне эту сцену, потому что те, кто придут в первый день, врядли осилят этот подвиг во второй, а уж вероятность их прихода на третий день и вовсе близится к нулю. А значит круглый стол "SOC vs SIEM", который я веду в финальный день InfoSecurity, увидят только самые стойкие посетители или те, кто придет только на него. Но это не повод впадать в уныние и проводить мероприятие спустя рукава. SOC - тема горячая. SIEMы пекутся в России как пирожки. Почему бы и не скрестить это две плохо скрещиваемые темы и не посвятить им целый круглый стол? Примерно с такими мыслями и затевалось этот формат, на который я вас и приглашаю.

Несмотря на тенденциозное, а местами и спорное название, мероприятие я вижу как вполне себе конкретное и, хотелось бы, практичное. Несмотря на наличие аббревиатуры SIEM в названии, говорить про них мы будем мало. Именно поэтому я отсекал всех SIEM-вендоров, которые горели желанием выступить в рамках круглого стола. За все SIEM будет отдуваться Илья Шабанов, на портале которого был опубликован обзор по российскому рынку SIEMов. Из «продуктового направления» мы коснемся темы SOAR и GRC, о которых будет высказываться Александр Бондаренко (R-Vision).

Представителей коммерческих SOCов, особенно хорошо разрекламированных я не стал звать. Вместо них отдуваться будет Александр Бодрик из Ангары. Причина тут простая – у Ангары это совсем новое направление и интересно услышать те проблемы, с которыми сталкивается компания, которая запускает коммерческий SOC (набор людей, ПО для SOC, лицензия ФСТЭК, процессы, KPI, ответственность, что интересует заказчиков и т.п.). К тому у Александра есть опыт работы на стороне заказчика, а также опыт проведения исследований GRC, так что дискуссия должна быть интересной.

Наконец, участие Моны Архиповой (WayRay), Алексея Качалина (Сбербанк) и Александра Бабкина (Газпромбанк) я вижу в виде тех людей, который на практике занимаются SOC, мониторингом, работой с внешними подрядчиками, которые пытаются предложить свои аутсорсинговые SOCи и т.п. Взгляд со стороны заказчика.

Презентаций не предусматриваются – будет живой диалог, с частично заготовленными вопросами:

  • Нередко между SOC и SIEM, как ядром системы мониторинга, ставят знак равенства. Однако сегодня этого недостаточно для эффективного мониторинга и, например, по версии Gartner, ядром системы монитониринга должны стать SIEM, NTA/NBAD, EDR. При этом должны быть также системы Threat Intelligence, управления инцидентами, расследования и др. Какие типы решений использует в своем SOC участники круглого стола? Могут ли они поделиться краткими наблюдениями, подводными камнями?
  • Технологии технологиями, но все-таки в триаде «Люди – Процессы – Технологии» они находятся на последнем месте, отдавая пальму первенства человеку. В Microsoft Cyber Defense Operations Center работает 50 человек, в Cisco CSIRT – 103, в Ростелекоме – 25 и идет еще набор, в Solar JSOC - 60 и также идет набор, Сбербанк озвучивает цифру в 400 человек, у ЛК – 14 человек. Сколько же нужно человек минимум, чтобы запустить свой собственный SOC?
  • Есть такая поговорка: «Если пытаться автоматизировать хаос, то получится автоматизированный хаос». Когда я слышу, что именно SOC остановил WannaCry в тех или иных компаниях, у меня возникает множество вопросов. Что надо предварительно сделать в инфраструктуре, чтобы внедрение своего или использование аутсорсингового SOC стало успешным?
  • Как запустить SOC – 5 основных шагов?
  • SOC запущен; можно ли оценить его эффективность?
  • В России бум SIEM – все крупные игроки ИБ-рынка, имеющие свою разработку, ринулись создавать свои SIEM – Эшелон, Позитив, ЦБИ, Газинформсервис и т.п. Насколько перспективна данная ниша для российских разработчиков? Будут ли заказчики использовать такие продукты, которые пока уступают своим зарубежным аналогам? Можно ли коммерческий SOC построить на базе отечественного SIEM? Чего не хватает зарубежным SIEM?

Вот такая повестка дня намечена на 21 сентября с 14 до 16 часов в Крокус-Экспо, в конференц-зале К1 павильона 1 (рядом метро, с парковкой тоже проблем не бывает).


ЗЫ. Круглый стол рассматриваю как прелюдию перед SOC Forum, который пройдет 22 ноября, и программа которого увеличивается в 1,5 раза.

18.9.17

И вновь о "Цифровой экономике" :-(

Последние две с лишним недели я занимался тем, что принимал участие в программе "Цифровая экономика", а точнее в одном из ее пяти направлений, посвященных информационной безопасности. Мне можно возразить и спросить, зачем я это делал, если ранее крайне непозитивно высказался о том, что из себя представляет эта программа. Тут надо сделать пару замечаний. Во-первых, сейчас я высказываюсь по поводу самой программы, а не работы над ней, которая ведется в Сбербанке. Про эту работу я напишу отдельно и позже, когда основная работа будет завершена и можно будет подводить некоторые промежуточные итоги. Поэтому нижеприведенный текст к Сбербанку отношения никакого не имеет. Во-вторых, я стараюсь следовать принципу, что если что-то критикуешь, то не только предлагай улучшения/изменения, но и участвуй. Например, выборы. Я знаю много людей, которые считают, что хождение на выборы ничего не изменит и лучше пожарить шашлыки на даче или сходить на день города. Я так тоже раньше считал, пока не спроецировал на выборы опыт работы над проектами документов в ЦБ, ФСТЭК, СовБезе, Госдуме, Совете Федерации. Не нравится что-то - попробуй поменять. Не получилось поменять, ты хотя бы попробовал и можешь смело и открыто высказывать свое мнение по данному вопросу, так как имеешь на это полное право. Понятно, что есть люди, которые считают иначе и думают, что могут критиковать нормативку, не участвуя в ее разработке. Ну чтож, возможно. Хотя, если возможность участвовать была, а ты ей не воспользовался, то с какого перепуга ты считаешь, что можешь потом критиковать?.. Примерно так рассуждая я и ввязался в эту программу, хотя и скептичен в ее отношении, - все-таки это далеко не первая попытка улучшить отрасль ИБ в России.

В прошлой заметке, когда я перечислял попытки реформировать ИБ в нашей стране, я упоминял форум "Интернет Экономика", который посчитал самостоятельной, хотя и некомпетентной попыткой изменения происходящего в РФ. Оказалось нет и подтверждение тому, монолог Игоря Ашманова на последнем собрании в Сбербанке, который потом был практически слово в слово озвучен в Фейсбуке. Иными словами, работа над "Цифровой экономике" ведется больше полутора лет. И, оказывается, в ней якобы принимали участие эксперты и ФСБ, и Минэка, и других игроков рынка.


Когда я услышал про ФСБ я сразу усомнился. Мне приходилось сталкиваться с юристами ФСБ, которые десятки раз вычитывают документы и врядли могли пропустить такой фрагмент как "сертифицированные криптографические алгоритмы". А этот фрагмент внесен в распоряжение Правительства. Как бы я не относился к представителям 8-го Центра, но я не верю, что они могли допустить такой ляп.


Особо интересно выглядит данная задача, установленная Правительством, на фоне того, что изменения в КоАП в части наказания за неиспользование несертифицированных средств шифрования (а не алгоритмов) уже были внесены больше года назад. Эксперты, работавшие почти 2 года (еще готовя идеи к форуму "Интернет Экономика"), видимо, оказались не в курсе внесенных изменений в законодательство.

Кстати, таких вот ляпов с установленными сроками для задач, которые уже реализованы полно. Например, п.5.11.5 требует определить перечень необходимых стандартов безопасной разработки приложений к 3-му кварталу 2018-го года, а ввести их в действие в конце 2019-го. Но дело в том, что данный стандарт был разработан еще в прошлом году, а с 1-го июня 2017-го года стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» уже вступил в силу. То есть эксперты при Правительстве ждут разработки уже разработанных и вступивших в действие стандартов. Прекрасная демонстрация уровня компетенций. Или вот еще:


Я всегда считал, что все формы денежных переводов в России покрываются национальной платежной системой, регулируемой 161-м ФЗ и перевести деньги, минуя ее нельзя в принципе. Работа через Visa, НСПК, Золотую корону, платежную систему Банка России... - все это НПС. Это уже все реализовано и не надо ждать 2024-го года, как написано в программе Правительства. Что подразумевали авторы в п.5.10.13? Отказ от наличности?

Я уже в прошлый раз писал про БКИИ, но повторюсь. Согласно экспертам Правительства к концу 2018-го года должны быть разработаны требования по безопасности КИИ. А вот само Правительство в своем плане нормотворческой деятельности определило, что эти требования должны быть разработаны к 1-му января 2018-го года. Левая рука не знает, что делает правая?


Попробуйте прочитать нижеприведенный фрагмент из распоряжения Правительства:


Вас ничего в нем не смущает? Лично я не понимаю, к чему там относится фраза "технологии искусственного интеллекта"? Она совсем не в том падеже. Вот если ее переставить после "квантовых технологий", то фраза будет звучать вполне адекватно. А тут, видимо, эксперты очень спешили или вставляли то, что вдруг вспомнили, но ошиблись с местом вставки. Да и сама фраза выедает мозг своим построением. Как можно оценивать адекватность стандартов рискам и угрозам? Может быть все-таки технологий?.. Если же посмотреть на п.5.4.7, который является развитием п.5.4.5, то в нем почему-то отсутствует виртуальная реальность. Видимо, на этапе 5.4.5 уже решили, что виртуальная реальность неадекватна рискам и угрозам и ее исключили из дальнейшего рассмотрения. Ну или надо признать, что эксперты, 1,5 года корпящие над программой "Цифровой экономики", делали свою работу спустя рукава. Ну или это были не эксперты... Правда, в п.5.4.11 виртуальная реальность вновь вернулась.

С русским языком у авторов вообще сложности. Вот этот фрагмент я не осилил:


А вот еще один фрагмент:


П.5.4.18 требует к 3-му кварталу 2020-го года разработать отечественные ОС, СУБД, офисное и иное прикладное ПО. Очень пафосная задача, которая звучит уже не первый раз в разных документах, стратегиях и доктринах. Но меня цепанула задача из п.5.4.19. Она слишком выбивается на фоне остальных стратегических задач. Почему угрозы именно для web-приложений? Почему не для ОС или СУБД? Потому что у кого-то из участников экспертной группы есть свой WAF? Не знаю. Врядли. Все-таки эксперты у нас все сплошь независимые и беспокоящиеся о национальной безопасности, а не интересах собственных компаний.

А потом читаешь вот такое:


Ну что это за целевые алгоритмы систем обработки массивов больших данных? Кстати, по тексту распоряжения встречаются то "большие данные", то "массивы больших данных", то "большие массивы данных", а то и вовсе "большие пользовательские данные". И как они отличаются (и отличаются ли?) никто не знает. На встрече в Сбербанке г-н Ашманов заявил, что не надо ничего менять в программе, над которой работали солидные люди и надо только разработать план мероприятий (видно за 1,5 года никто его так и не сделал) для всей программы "Цифровой экономики". Но вот объяснить, что имели ввиду авторы программы и распоряжения Правительства, никто так и не удосужился. Это, кстати, одна из серьезнейших проблем с реализацией всей программы - кураторы групп в Центрах компетенций сами не знают, что имеется ввиду под той или иной задачей, по своему толкуя то, что кем-то разрабатывалось 1,5 года.

Кстати, еще один удивительный момент с этой программой, над которой 1,5 года трудились лучшие умы России. Почему-то первое, с чего была начала работы в экспертных группах в Сбере, это составление списка проблем, для уже разработанных задач! Вы можете себе представить? Обычно (ну, по крайней мере, мне кажется что именно это обычно и нормально) сначала формулируются проблемы, затем способы их решения, потом конкретные вехи и планы мероприятий. В программе же цифровой, мать, ее экономики, все было сделано гораздо инновационнее - сначала разработаны задачи, которые надо решить, а потом уже началась работать над проблемами, которые должны свестись в итоге к уже разработанным задачам. Видимо эксперты так стремились утвердить задачи и бюджеты для их реализации, что забыли сформулировать проблемы, которые должны были лежать в основе всего.

А кто может мне объяснить (эксперты Правительства, увы, не смогли, так как в Центре компетенций Сбербанка они не участвуют), как онлайн-реклама и Интернет-кинотеатры относится к кибербезопасности? Я наделен богатой фантазией, но тут спасовал.


Как и спасовал, когда прочитал, что эксперты Правительства решили вновь вернуть вещное право применительно к информации, а точнее к пользовательским данным, у которых теперь появляется собственник (а не обладатель, как написано в законе "Об информации, информационных технологиях и защите информации").


Отдельно стоит отметить раздел 5.13, который целиком посвящен ЕАЭС, то есть евразийскому экономическому союзу, в который входят 5 государств, а еще 12 хотят стать его членами. Тут, видимо, у экспертов Правительства во всей красе проявился имперский синдром, когда за членов ЕАЭС все решения принимает Россия. Я еще могу поверить, что Россия продавит свои интересы в Армении, Беларуси, Казахстане и Киргизии, но вот что делать с КНР, Ираном, Индией, Турцией? Они врядли захотят "ложиться под" Россию и использовать с ней единые стандарты и отечественные антивирусы (уж Китай так точно).

Раздел 5.14 в очередной раз продемонстрировал, что программа готовилась, мягко говоря, спустя рукава. Название раздела посвящено международной ИБ, а его наполнение целиком и полностью - суверенного Рунету и невмешательству в его дела иностранных держав. Ни слова про кибертерроризм, международную киберпреступность, атрибуцию, кибервойны и т.п. При этом почти все пункты из раздела уже выполнены - в ООН внесены документы, подготовлены всяческие проекты Конвенций, Концепций и т.п., которые представлены в международных организациях.

Вновь вернусь к началу, к словам Игоря Ашманова, который написал, что регуляторы участвовали в работе над программой "Цифровой экономики". Свое сомнение про участие ФСБ я уже выше высказал. А в конце 5-го раздела наткнулся на доказательство, что и ФСТЭК врядли участвовала в этой работе. Есть там такой KPI:


Вспоминая, что такое "средство защиты информации" по версии ФСТЭК, понимаешь, что этот KPI уже достигнут, так как средством защиты является любое ИТ-решение, в котором есть механизм защиты, например, подсистема аутентификации (а это любая ОС). Получается, что любой ПК, стационарный или мобильный, подключенный к Интернет является средством защиты в трактовке ФСТЭК. Иными словами, данный KPI всегда будет равен 100%. ФСТЭК врядли допустила бы такое в документах, которые с ними согласовываются.

Что-то длинно сегодня получилось. Но зато выплеснул все, что накопилось за эти две недели погружения в программу "Цифровой экономики". Давно не наблюдал более некомпетентно подготовленного документа :-( Есть малая надежда, что хоть что-то удастся выправить в рамках Центра компетенции Сбербанка, но шансов на это не так уж и много с моей точки зрения. 

15.9.17

О стандарте ЦБ по ИБ аутсорсинга

Еще несколько лет назад тема ИБ не была в фаворе у журналистов, которые очень редко радовали читателей темой кибербезопасности. Однако время текло и тема стала не просто очень горячей, а регулярно всплывающей на первых страницах ведущих деловых изданий - Коммерсанта, Ведомостей, РБК и т.д. И это привело к тому, что качество многих статей стало очень сильно страдать. Часто материал выпускается без какой-либо проверки фактов, с приглашением непонятных экспертов, а то и вовсе с такими ляпами, что диву даешься. В качестве примера возьмем проект стандарта ЦБ по информационной безопасности аутсорсинга.

Началось все со статьи в "Известиях". Когда я ее прочитал, я выпал в осадок, так как она не просто изобиловала фактическими ошибками, а была построена на изначально неверной базе. Статья почему-то была посвящена стандарту по аутсорсингу кибербезопасности. Но дело в том, что этой теме была посвящена первая версия проекта стандарта, выпущенная в прошлом году. Текущая версия посвящена кибербезопасности аутсорсинга. Слова те же - суть совершенно иная. Я тогда смолчал, просто прокомментировал в соцсетях новости, которые опубликовали специализированные порталы по ИБ с публикацией этой статьи. Я могу понять, когда чушь пишет журналист, мало понимающий в ИБ, но такое нельзя допускать для профессионального СМИ.

Спустя две недели выходит статья в Коммерсанте и она тоже посвящена этому проекту стандарта. К журналисту у меня вопросов нет :-) Есть к эспертам, которые комментируют стандарт в статье. По их мнению есть следующие проблемы у стандарта:
  • он обязательный для банков и что-то требует
  • он развивает бюрократию, требуя разработки множества документов, которых раньше у банков не было
  • он не может быть выполнен мелкими банками, у которых всего 1-2 безопасника
  • он не устраняет риска привлечения некачественных поставщиков услуг и фирм-однодневок.
Как участник рабочей группы, которая писала этот стандарт, хотел бы дать некоторые пояснения, чтобы не возникало иллюзий по поводу этого документа. Во-первых, он не обязателен. Это не ГОСТ, на который даются ссылки из нормативных актов ЦБ. Это СТО, то есть стандарт организации, который принимается по решению самой организации. Хочет - принимает, не хочет - не принимает. Ни заставить, ни наказать за присоединение или неприсоединение к СТО нельзя. Это по сути методические рекомендации, описывающие, на что обратить внимание при обращении к аутсорсингу.

С комментарием про кучу документов я тоже не согласен. Финансовая организация (а не только банк) принимает решение о передаче существенных бизнес-функций (инкассация, ЦОД, облачные вычисления, Call Center, аутстаффинг, разработка ПО и т.п.). Это важное решение, которое может приниматься только при оценке всех существенных рисков, часть из которых касается информационной безопасности. От того, насколько качественно проведена эта оценка, зависит возможность оказания услуг клиентам и партнерам финансовой организации. Поэтому вполне логично, что надо провести достаточно серьезную работу по выбору контрагента и формализации взаимоотношений с ним. Помню, когда мы заключали договор на аутсорсинг ИБ всех промышленных площадок одной из крупнейших мировых нефтяных компаний, мы потратили 9 месяцев на согласование договора. 9 месяцев! Потому что от того, насколько качественно он прописан зависит жизнедеятельность нефтяной компании и наша ответственность.

При этом, когда мы выбираем облачного провайдера для своих нужд, а мы пользуемся услугами около 700 облачных провайдеров по всему миру, то это тоже непростая процедура, которая у нас формализована в так называемой процедуре CASPR (Cloud and Application Service Provider Remediation), состоящей из множества элементов, часть из которых требует определенной формализации и документированию:


И, кстати, такая формализация помогает уменьшить число людей, которые занимаются выбором и оценкой нового провайдера услуг. Не надо ничего придумывать, искать, тратить время - следуй методичке и выбирай между вариантами CASPR Lite, CASPR Standard и CASPR Plus.

Что же касается отсечения фирм-однодневок, то стандарт как раз и призван это сделать. Ну какая однодневка будет иметь квалифицированный персонал, лицензии, подтвержденные проекты по аутсорсингу, соответствие PCI DSS (в отдельных случаях), прохождение регулярного аудита? А все это прописано в стандарте, по которому сейчас запущена процедура голосования.

Возвращаясь к статье Известий, стандарт также упоминает про аутсорсинг ИБ, но в качестве финального раздела, который просто уточняет, на что надо смотреть, если вы решите отдать во внешние руки свои МСЭ, сканирование периметра, мониторинг и т.п. Там же приведен и набор возможных метрик для оценки своего ИБ-аутсорсера. То есть еще раз - стандарт посвящен не аутсорсингу ИБ, а вопросам ИБ при переходе на аутсорсинг. Не пользуетесь аутсорсингом, ну и не применяйте стандарт. Обратились к внешним поставщикам, стандарт дает вам набор рекомендаций и оказывает методическую помощь. Хотите - пользуйтесь, не хотите - не пользуйтесь.

Стандарт состоит из следующих разделов:

  • риск нарушения ИБ при аутсорсинге существенных функций
  • основные требования к управлению риском ИБ при аутсорсинге существенных функций
  • содержание задач и зона ответственности руководства организации БС РФ при аутсорсинге существенных функций
  • требования к проведению оценки поставщика услуг при аутсорсинге существенных функций
  • требования к содержанию соглашений на аутсорсинг существенных функций
  • мониторинг и контроль риска нарушения ИБ при аутсорсинге существенных функций
  • особенности аутсорсинга процессов ИБ
  • приложения, среди которых список практичных вопросов, которые стоит задать аутсорсеру при решении о том, стоит ли с ним работать или нет.

Вот такая картина с этим стандартом, который могут принять в ближайшее время и он вступит в действие с 1-го января 2018-го года.

14.9.17

Универсальная формуля для тех, кто хочет запретить использование той или иной ИТ/ИБ-компании

"Мы, <вставка 1>, будучу обеспекоены ростом числа <вставка2> на наши государственные информационные системы, сталкиваясь с регулярными проявлениями агрессии в киберпространстве, направленными против нашей страны, в условиях растущей значимости информационных технологий в деятельности нашей цифровой экономики, скрепя сердце и с болью в горле принимаем решение <вставка 3> продукты информационных технологий, разработанные <вставка 4> и несущие угрозу нашей национальной безопасности".

На место <вставки 1> ставится либо название государства, либо государственного органа, <вставка 2> заменяется на "кибератак" или "попыток шпионажа", на месте <вставки 3> используем глаголы "запретить", "не использовать", "временно ограничить", а на место последней вставки помещаем название страны или конкретной компании. Бинго! Теперь у нас есть универсальная формула, по которой можно запретить ИТ-продукцию... Нет, не Лаборатории Касперского в США. Если вглядеться, то это именно универсальная формула, которую могут использовать все против всех. Именно ее использовали (несколько примеров):
  • Австралия против Хуавей и ZTE в 2008-м году
  • Индия против Хуавей в 2010-м году
  • США против китайских Хуавей и ZTE в 2012-м году
  • Россия против всех иностранных ИТ-компаний в 2014-м году
  • DHS против Лаборатория Касперского в 2017-м году
  • США против Китая в 2017-году.
Ничего нового не происходит. Так было всегда и везде. Это не конфликт России и США, и не США и Китая (хотя эта тройка чаще всего фигурирует в СМИ). Такова жизнь. Поэтому Лаборатория Касперского, которой посвящено вчерашнее заявление Министерства национальной безопасности США, не является уникальным каким-то случаем. Более того, она не является первым примером противодействия американцев российским ИТ-компаниям, завоевывающим столь лакомый кусок, как североамериканский континент. Если посмотреть правде в глаза, то тремя годами ранее именно Россия фактически запретила применять все зарубежное ПО в отечественных госорганах, ударив не по США, а по частным международным компаниям, имеющим в США, Европе, Азии штаб-квартиры. Действия DHS - могут считаться всего лишь не очень расторопным ответом США. Было бы в США больше российских ИТ/ИБ-компаний (на это рассчитана Цифровая экономика, если ФСБ не будет вставлять палки в колеса при вывозе ИТ-продукции, содержащей криптографические механизмы) и запрет был бы шире. А так получилось красиво - "США против Лаборатории Касперского", которая выглядит "одним в поле воином" :-)

Хотя мне каежтся, что все-таки запрет продукции ЛК в американских госорганах - это не действия против России. Это проявление политики американской администрации в части усиления кибербезопасности Америки, о чем много говорил Трамп во время и предвыборной кампании и после нее. Например, вчера же стало известно о запрете Трампом сделки по покупке китайцами американского производителя микроэлектроники и именно по причине рисков национальной безопасности.


7.9.17

Надо ли выполнять требования по ИБ незначимым субъектам КИИ?

Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов, чтобы меньше выполнять требований по защите. Но...

Я бы хотел обратить внимание на маленький нюанс, прописанный в законе, который заключается в том, что помимо требований по безопасности, предъявляемых к объектам КИИ, есть еще требования, предъявляемые к субъектам КИИ. Так вот регулятор по БКИИ устанавливает требования по ИБ только к значимым объектам, а регулятор по ГосСОПКЕ устанавливает требования к субъектам КИИ независимо от категории имеющихся объектов.


Иными словами, независимо от того, есть у вас или нет значимые объекты КИИ (любой из трех категорий), вы должны присоединиться к ГосСОПКЕ и выполнять требования ее регулятора, то есть ФСБ. Конечно, не всех требований, а только тех, что касается ГосСОПКИ, но и это немало. Эти требования касаются трех больших блоков:
  • подключение к ГосСОПКЕ и установка соответствующих технических решений, требования к которым, как и вся нормативная база по БКИИ, должны быть разработаны до 1-го января 2018 года. Это потребует определенных финансовых вложений.
  • уведомление об инцидентах на объектах КИИ, что потребует, если этого еще сделано, перестройки процесса управления инцидентами.
  • выполнение требований по реагированию на инциденты и компьютерные атаки, которые должен разработать регулятор по ГосСОПКЕ, то есть 8-й Центр ФСБ. Тут есть свой нюанс, связанный с тем, что впрямую требование по реагированию на инциденты прописано для значимых объектов, а невпрямую (через требование содействовать должностынм лицам ФСБ предотвращению, обнаружению и ликвидации последствий атак) для всех.

Ну и безусловно, я не исключаю появления иных требований по безопасности, которые могут быть выпущены отраслевыми регуляторами в рамках своей отрасли - МинЭнерго, Минтранс, Банк России и т.п. Тут я вступаю на скользкую дорожку предположений, но они скорее всего будут привязаны к категориям значимости (не случайно же сейчас все переходят на триаду уровней значимости, классов защищенности и т.п.).


Резюмируя сию короткую заметку, хочу еще раз обратить внимание, что:

категорирован ты можешь и не быть
но с СОПКОЙ ты дружить обязан!

ЗЫ. В заметке от 30-го августа я уже давал ссылку на вебинар, который я проводил по законодательству по безопасности КИИ, и в котором рассматривал этот и другие вопросы.

ЗЗЫ. К 1-му января 2018 года должны появиться все (ну или почти все) документы по БКИИ, включая и нормативку ФСБ. Ждемс...

6.9.17

Ретроспективная безопасность: с чем ее едят?

Не секрет, что от того, насколько оперативно при расследовании инцидентов будут идентифицированы причины происходящего, точка входа инцидента, пострадавшие/задетые узлы и пользователи, зависит размер ущерб и возможности нивелировать негативные последствия от ИБ-инцидента.


Понятно, что решением данной задачи является анализ произошедших ранее событий безопасности, которые могут находиться в разных журналах регистрации или сетевом трафике (PCAP или NetFlow). Это типичная деятельность службы реагирования и (или) расследования инцидентов.

Однако у данного, лежащего на поверхности решения, есть и подводные камни. Логов накапливаются слишком много, а сетевой трафик и вовсе требует отдельного хранилища. В качестве примера приведу инфраструктуру Cisco, о которой я писал на Хабре. Ежедневно инспектируется 47 Тб трафика, а событий безопасности, которые нам приходится анализировать, ежедневно мы собираем 1,2 триллиона (!). Дополнительно в наш SOC попадает 14,7 миллионов событий NGIPS, 350 миллионов Web-транзакций и 28 миллиардов NetFlow. Вы представляете какой это колоссальный объем и как это все анализировать вручную?

Можно попробовать самостоятельно написать систему аналитики имеющихся данных. В книге "Security Intelligence" целый раздел посвящен именно этому вопросу. Но многие ли готовы заниматься этой интересной, но отнимающей много времени и требующей компетенций работой? Те, кто пишут системы защиты самостоятельно (Яндекс, Qiwi и др.), вполне способны это делать. Но что с остальными компаниями?



Можно попробовать задействовать различные инструменты системного и сетевого администрирования. Например, в системах анализа Netflow может быть подсистема визуализации информационных потоков. Так, например, выглядит функция root cause analysis в решении Scrutinizer компании Plixer.

Функция Flow Hopper в Plixer Scrutinizer
Полезный инструмент, но... он не заточен под функции безопасности. Он может показать информационные потоки, "бутылочные" горлошки, но не инциденты ИБ. Приходится снова тратить время, чтобы анализировать тысячи, десятки тысяч соединений и искать среди них аномальные и явно вредоносные. Нужен ИБ-контекст, накладывая на Netflow (или PCAPы) ИБ-алгоритмы, которые позволяют вычленять только важные для ИБ события, точку их отсчета, путь движения и т.п.

Cisco Stealthwatch
Вот так, например, выглядит функция Worm Propagation (распространение червей) в системе анализа сетевого трафика Stealthwatch компании Cisco.

Функция Worm Propagation в Cisco Stealthwatch
Стоит отметить, что такой функционал присутствует далеко не во всех решениях по анализу трафика. Они могут собирать подробную статистику по каждому соединению, узлу, пользователю, и даже выдавать соответствующую статистику и отчеты, но визуализировать взаимосвязи между событиями они могут далеко не всегда. Помимо анализа Netflow можно анализировать трафик и на лету с последующей его визуализацией. Вот так, например, выглядит функция "траектории файлов" в Cisco Firepower.



А можно ли проделать тоже самое не только на сетевом уровне, но и на отдельных узлах, визуализируя поведения вредоносного кода - запуск процессов, их инжектирование, обращение к файлам на диске, внешние коммуникации и т.п.? Да, это возможно и ряд вендоров предлагают такой функционал в своих продуктах, существенно сокращая время на расследование и последующее реагирование. Вот, например, так визуализируется последовательность действий на узле с помощью функции Root Cause Analysis в CylanceOPTICS.

Root Cause Analysis в CylanceOPTICS
А вот так аналогичная задача реализована в Cisco AMP for Endpoints:

Траектория устройства в Cisco AMP for Endpoints
У Sophos также реализована функция отслеживания источника проблемы (Root Cause Analysis):
 

А вот в Cyberbit это сделано, на мой взгляд, не очень наглядно:


Еще одним классом решений, визуализирующим последовательности событий для облегчения их анализа специалистами служб ИБ, являются песочницы. Например, в Cisco AMP Threat Grid вот так выглядит анализ процессов, с которыми работает анализируемый файл:


Вершиной пирамиды, объединяющей различные данные вместе (потоки, сетевой трафик и логи), являются различные SIEMы. Например, вот так выглядит визуализация различных, но связанных одним субъектом, событий из разных источников, отображенных на одном реляционном графе в решении Sift Security (NG SIEM для облачного мониторинга):


А вот это популярный в России ArcSight и его функция EventGraph (для мониторинга МСЭ):


Все это безусловно очень полезные инструменты, основное предназначение которых, ускорить реагирование на инциденты, не давая угрозам распространяться по сети или поворяться им через неидентифицированные точки входа. Но есть и обратная сторона медали, которая становится очевидной при практической работе с подсистемами так называемой ретроспективной безопасности. Речь идет о обогащенных данных. Дело в том, что обычно ретроспективная безопасность позволяет выстраивать цепочку однотипных событий - Netflow, логи МСЭ и сетевого оборудования, системные логи. Если же мы хотим объединить эти события вместе, а также обогатить их информацией Threat Intelligence, тут нас поджидает засада, а точнее несколько:
  • Информационная перегрузка - сложность отображения большого объема разрозненных данных.
  • Ограниченный охват - такого рода системы ретроспективной безопасности ограничены ИТ/ИБ-областью и им сложно выйти за эти рамки. С другой стороны системы ретроспективной безопасности и разработаны только для решения узкой задачи, с которой они справляются неплохо.
  • Отсутствие дружественного человеку интерфейса - пользователю приходится самостоятельно интерпретировать ряд собранных данных, что может привести к ошибкам или требует высокой квалификации персонала.
Средство визуализации разротипных данных в целях ИБ KeyLines
Решением этих проблем является применение выделенных специализированных продуктов класса Big Data Security Analytics или просто  Security Analytics, которые стали появляться на западном рынке в последние пару лет (особенно на RSAC). Но это уже высший пилотаж, доступный далеко не каждой компании, выстраивающей свои системы мониторинга ИБ; особенно в условиях импортозамещения. Поэтому остается использовать существующий функционал ретроспективной безопасности, присутствующий в решениях по ИБ, предлагаемых на российском рынке. Отечественные решения тоже подтягиваются, но пока не так быстро и их возможности пока уступают западным аналогам.

Визуализация событий в SIEM КОМРАД

5.9.17

Что странного в ИБ-направлении "Цифровой экономики"?

После предыдущей заметки стоит чуть больше коснуться последней из упомянутых в ней попыток реформирования отрасли ИБ, - программы "Цифровой экономики". Когда ее опубликовали я поначала даже не придал ей никакого значения. Ну мало ли Правительство у нас публикует документов, которые потом так и остаются красивой и популистской идеей. Но потом в Facebook был опубликован призыв Сбербанка (сейчас его, правда, удалили) к экспертам по ИБ поучаствовать в работе над программой. А потом такое предложение поступило по другим каналам. И подумалось мне, а почему бы и нет...

Не сильно задумываясь я написал по предложенному адресу запрос о включении меня во все 16 экспертных групп, которые должны за месяц (уже меньше) подготовить план мероприятий по реализации задач "Цифровой экономики", утвержденной распоряжением Правительства. Написал в четверг - на текущий момент ответы пришли только по 4 группам, а по 2-м был звонок от куратора, но без дальшейшего движения. Посмотрим, во что это все выльется, а пока парочка замечаний, которые у меня родились по факту чтения всего многообразия документов по данной теме.

Самый главное из них заключается в банальнейшем вопросе. Почему не при делах ФСТЭК и ФСБ, два основных регулятора по ИБ? Их вообще нет в списках. За центр компетенций по ИБ отвечает Сбербанк, а за рабочую группу по ИБ - Наталья Касперская. Курирует все направление Минкомсвязь (вот уж где сидят знатные специалисты по ИБ, так это там). Мой опыт участия в различных инициативах, связанные с изменением отрасли ИБ (я о них писал в прошлой заметке) говорит, что отсутствие в инициаторах ФСБ ставит крест на инициативе, какой бы классной и нужной она не была (вспомните про разницу интересов). Программа "Цифровая экономика" же упирается в Правительство, в то время как ФСБ и ФСТЭК подчиняются непосредственно Президенту и могут игнорировать все, что придумают в команде Дмитрия Медведева. Представьте, что вы отвечаете за какой-то вопрос, а его пытаются решить без вашего участия. Каковы будут ваши действия? Вы останетесь в сторонке или наложете вето на все инициативы? Я еще помню, как и почему не взлетела Стратегия кибербезопасности РФ...


Второе замечание касается уже самих задач программы и работы экспертов в экспертных группах при Сбербанке. Я только в выходные для себя понял, что задачи уже сформулированы и изменению не подлежат. Вообще! Они сформулированы в самой программе, которая уже кем-то была разработана и утверждена. Например, есть задача 5.1.2 "Разработка проектов централизованной систему мониторинга и управления единой сети электросвязи". Вот вы можете не хотеть такую систему и даже приводить доводы, что такая система не может быть построена, но ваше мнение никого не интересует. Ваша задача как эксперта - поучаствовать в разработке плана мероприятий по реализации этой задачи. Все!

Или есть задача 5.2.3 по обязательному применению на сетях связи средств защиты от DDoS-атак, фильтрации и анализа трафика, а также борьбы с противоправным контентом. И вы не можете повлиять на саму задачу - от вас ждут конкретных идей по плану мероприятий, позволяющих решить задачу (то есть считается, что с задачей вы согласны).

Или вот перл. Задача 5.11.9 "Разработка требований по безопасности КИИ". Отвечает за нее Сбербанк? С какого ...? За разработку этих требований, а также всех мероприятий, связанных с этими требованиями, отвечает регулятор в области БКИИ (скорее всего ФСТЭК). Но ФСТЭК отсутствует в списке тех, кто принимает участие в этой программе (в отличие от плана-графика подготовки нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации и федеральных органов исполнительной власти, необходимых для реализации норм Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»). Ну не странно ли это?

А 5.5.8 требует законодательного регулирования трансграничного обмена Большими данными. А вот я против этой очередной РКНовской затеи, но увы. Против быть нельзя - можно разрабатывать план мероприятий.

Наконец 5.8.9 требует законодательно обязать всех предустанавливать отечественные антивирусы на все ввозимые и создаваемые на территории ЕАЭС компьютеры. Вот я буду рад - у меня по корпоративному стандарту совершенно иные решения предусмотрены. Не то, чтобы я совсем уж против, но приобретены уже другие решения; и они же протестированы с нашей инфраструктурой. Интересно, государства ЕАЭС спросили? А если у них нет своего антивирусы? Авторы-то имели ввиду под словом "отечественные" - российские. Но российский Dr.Web или антивирус Касперского не является отечественным, например, в Казастане или Киргизии.

И вот таких вот перлов в программе "Цифровой экономики" дофига. И как с ними соглашаться, если это либо бред, либо задача в интересах вполне определенных лиц, имеющих свои коммерческие интересы? Не хотелось бы, чтобы оказалось, что план мероприятий, на разработку которого привлекают экспертов, оказался уже разработан, а вся эта работа затеяна для того, чтобы просто легитимизировать всю эту программу, которая местами мешает и блокирует развитие отрасли ИБ в России. А слухи о наличии уже разработанного плана мероприятий ходят. И вроде как уже суммы потребных денег определены и даже те, кто их получит. И в чем тогда смысл привлечения экспертов, если уже понятно, сколько, кому и на что будет потрачено?


Хотя есть еще почти непроработанные темы (это видно не только по названию задачи, но и по объему финансирования). Там, безусловно, можно попробовать достичь правильных результатов. Главное понять, что они будут. А то, по крайней мере у меня, сейчас в работе целый ряд разных проектов нормативных документов и приоритеты расставить сложно (особенно учитывая, что Сбербанк выделил на всю работу меньше месяца).

Остается только надеяться, что все будет так, как называется книжка из библиотеки Сбербанка, который и будет основным центром компетенций по вопросам ИБ в программе "Цифровой экономики".