31.10.17

Сиюминутность ИБытия или анализ страхования рисков и блокчейна в исторической перспективе

В промышленности, если по крупному, можно выделить два вида технологических процессов - дискретный и непрерывный. Вот иногда смотришь на нашу отрасль ИБ и видишь, что многие оценивают происходящие на ней события дискретно - в некоторой отдельно взятой точке, в отрыве от всего того, что происходит вокруг, происходило раньше и может произойти в будущем. Такая дискретность приводит к тому, что многие события, и глобального, и национального, и внутрикорпоративного масштаба, оцениваются "здесь и сейчас", забывая сопоставлять их с тем, что уже происходило ранее. Отсюда очень часто делаются неверные выводы. Да и прогнозирование тоже оставляет желать лучшего.

Возьмем, к примеру, мою заметку на ФБ про то, что я готовлю резюме. Большинство попало в классическую ловушку сознания, посчитав, что резюме готовят только при увольнении. Чуть позже вышедшее "разоблачение", что резюме мне нужно для получения визы в США (а для спецпроверки нужно резюме и список публикаций), прочитали уже не все, не сопоставив эти два события. В итоге в среде специалистов опять пошла волна, что я ухожу из Сиско (такие "волны" конкуренты часто используют общаясь с заказчиками Сиско). Почему-то многие рассматривали заметку про резюме как законченное, дискретное событие. Отсюда абсолютно неверные выводы. Представьте, что тоже самое происходит при анализе логов для расследовании инцидентов?.. Был как-то инцидент пару лет назад в США. На одном критически важном объекте вдргу зафиксировали попытку доступа с IP-адреса, который система защиты распознала как российский. Начался шум, в СМИ просочились детали, журналисты написали очередную утку про русских хакеров. Классическая сиюминутность ИБытия. Потом выяснилось, что просто админ объекта, из отпуска полез удаленно менять конфиг (задание ему такое поступило срочно). При этом находится он в Европе и система защиты ошибочно отнесла его IP-адрес к диапазону, выделенному какому-то российскому провайдеру. Вот и весь "инцидент", который произошел из-за дискретного отношения к ИБ, отсутствия оценки происходящих вокруг событий. Неслучайно сейчас так активно развивается тема с ретроспективной безопасностью, позволяющей анализировать историческую совокупность событий с целью иентификации причин их возникновения.

Другой пример - страхование киберрисков. После статьи в Коммерсанте о готовящейся инициативе по обязательному страхованию киберрисков (по аналогии с ОСАГО), все заговорили о том, как это своевременно и нужно. Однако мало кто вспомнил, что теме страхования информационных рисков в России уже 20 лет (будет в следующем году). Еще в 1998-м году было подписано Соглашение о сотрудничестве в области страхования информационных рисков между Госкомсвязи России и страховыми организациями (№6836 от 10.11.98). Спустя месяц было Госкомсвязью было подписано Указание от 4 декабря 1998 года №121-У "О реализации соглашения о сотрудничестве в области страхования информационных рисков", в котором упоминались среди прочего уже разработанные документы, которые должны были лечь в основу нового законодательства по страхованию информационных рисков (в точ числе и обязательного). Среди этих документов:
  • Проект Концепции страхования информационных рисков
  • Проект Концепции развития системы страхования информационных рисков
  • Отчет "Анализ объема отечественного рынка информационных систем, ресурсов и технологий как объектов страхования".
  • Отчет "Анализ страхового поля по страхованию ответственности разработчиков, изготовителей и поставщиков систем автоматизации банковской деятельности, систем и средств защиты информации, информационных ресурсов и технологий, а также информационно - вычислительных и автоматизированных систем различного назначения".
  • Отчет "Анализ статистических данных по безопасности информационных систем с целью определения вероятности страховых случаев и размеров предполагаемого ущерба".
  • Отчет "Анализ методических и нормативных документов в деятельности зарубежных и отечественных страховых компаний и подготовка проектов соответствующих организационно - методических документов по страхованию информационных рисков". 
  • Проект Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан. 
  • Технико - экономическое и социальное обоснования эффективности операций по страхованию информационных рисков. 
  • Проект Методики управления информационными рисками. 
  • Проект Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования. 
  • Проект Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая.
Второй виток интереса к теме страхования информационных рисков случился 5-тью годами позже (основным застрельщиком был ВНИИПВТИ), когда возникла тема с законопроектом об обязательной гражданской ответственности государственных информационных систем. В трехглавый закон "Об информации, информатизации и защите информации" планировали внести новую статью 22.1 "Страхование информационных ресурсов, систем, технологий и средств их обеспечения" с всего двумя пунктами  (аналогичная норма должна была войти в закон "Об информационных ресурсах и информатизации в г.Москве"):
  1. Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.
  2. Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.
Позже планировалось разработать отдельный закон "Об обязательном и добровольном страховании информационных рисков", а также внести ряд поправок в нормативно-правовые акты по страхованию, банковской деятельности и т.п.

Но уже тогда стало понятно, что тема со страхованием информационных рисков (тем более обязательном) красиво смотрится на бумаге, но сложна в практической реализации. Не было общепринятых методик оценки рисков, методик оценки стоимости информации, накопленной статистики инцидентов ИБ по отраслям. Их отсутствие было основным камнем преткновения в страховых расчетах, которые бы принимались всеми сторонами. И что мы видим сейчас? Воз и ныне там - ничего из названного за 20 лет так и не появилось. Оценка рисков как была шаманством так и осталась. Считать стоимость информации не умеют (хотя методики есть). Статистика есть только у МВД, но она однобока и сложноприменима в страховом деле.

Что дает основание считать, что именно сейчас страхование киберрисков взлетит? Почему про эту тему все говорят с придыханием? То, что ее упомянули в программе "Цифровой экономики"? Так там много чего еще написано, включая и сертификацию криптографических алгоритмов, и навязывание Китаю российских антивирусов. Или то, что эту тему драйвит Сбербанк с его ресурсами. Ну возможно в узком сегменте страхование мошенничеств с платежными картами и взлетит, но что в нем нового? Я уже несколько лет страхую операции по платежным картам в своем банке (и это не Сбер).

Все-таки надо наш темп жизни играет с нами плохую шутку - мы перестаем критически оценивать все, что происходит вокруг нас. Блокчейн? Да! Давайте! Это крутая технология. Но кто-нибудь посмотреть чуть вперед и оценил, что станет с блокчейном после того, как появится реально работающий квантовый компьютер? Одно дело сиюминутные финансовые транзакции, интерес к которым угасает после их совершения. И совсем другое дело долгосрочные сделки с недвижимостью, переводы акций, кадастровые реестры и т.п. Ведь реально работающий квантовый компьютер может не только поставить крест на современном блокчейне, используюем математику, не учитывающую квантовые вычисления, но и внести анархию в сделки, которые могут быть совершены за эти несколько лет (до выхода квантового компьютера). А все потому, что сиюминутность ИБытия и дискретное мышление без оглядки на прошлое и без прогнозирования будущего. Аукнется нам еще такая близорукость...


30.10.17

Особенности построения национальных центров мониторинга киберугроз

В пятницу довелось мне выступать на алматинском Kaz'Hack'Stan, этаком казахстанском аналоге PHDays. Очень интересное мероприятие оказалось и на удивление огромное количество народу - чуть более 2000 человек. Для Алматы это очень много.


На пресс-конференции прозвучала цифра - 30 тысяч ИТ-выпускников в год и только 1% из имеет отношение к ИБ-специальностям, то есть всего около 300 человек. В ФБ прозвучала иная цифра - выпускается всего 60-70 безопасников в год, а всего ИТшников - 11 тысяч. В любом случае цифра в 2000 участников - это очень много, что не может не вызывать уважения и удивления, как организаторам это удалось.


Изначально планировалось, что я буду выступать только с одной презентацией, но так получилось, что самолет первого докладчика не прилетел вовремя и меня попросили заменить его, что я и сделал с презентацией по рынку киберпреступности с точки зрения бизнес-моделирования.

Основная же презентация была посвящена особенностям построения национальных центров мониторинга киберугроз, которые в отличие от корпоративных и ведомственных  SOCов зовутся CDC (Cyber Defense Center). Вот при них я и рассказывал в течении 30-ти минут. На самом деле тема эта гораздо более объемная, но я постарался сфокусировать внимание на некоторых ключевых моментах, с которыми приходилось сталкиваться, участвуя в проектах по построению национальных центров мониторинга киберугроз.



ЗЫ. Презентация выложена на SlideShare, который заблокирован на территории России.

24.10.17

Три мифа о специалистах SOC #socforum

В августе я ездил в США в очередной SOC Tour (есть у нас в Cisco такая практика - показывать заказчикам, как устроена ИБ внутри нашей компании) и на встрече в том числе присутствовал Гэри Макинтайр, один из гуру SOCстроительства, автор книги про создание SOCов, приложивший руку к нескольким десяткам SOCов, которые мы помогали строить нашим заказчикам по всему миру. Так вот во время дискуссии с ним он развенчал несколько заблуждений, которые приходится часто слышать о центрах мониторинга ИБ.


В SOC работают квалифицированные специалисты

Бытует мнение, что в SOC работают обычно высококлассные специалисты, охотники за угрозами, аналитики, влет идентифицирующие APT и иные сложные атаки. Увы... Это миф. Даже в Европе уровень ротации специалистов SOC достигает... 90%. 90 процентов!!! О какой квалификации можно говорить в такой ситуации? Люди просто не успевают ее получить, уходя на другое место работы. Понятно, что эта цифра касается не всех работников, но даже на первой линии SOC такой показатель говорит, что специалист может пропускать атаки ввиду своей невысокой компетенции.

Нанимать в SOC надо специалистов по безопасности

Рустем Хайретдинов в ФБ любит упоминать, что он зарекся нанимать на работу сейла безопасников. Их мозги забиты мусором, который сначала надо вычистить, а потом уже прививать что-то нужное. Гораздо проще брать сейла из смежной области, а уж особенностям рынка ИБ научить несложно. Не буду спорить с данным тезисом; тем более что в SOC ровно та же самая ситуация :-) Брать надо не безопасников, а тех, кто обладает хорошими коммуникативными навыками, так нужными при расследовании инцидентов. Если они еще и знаниями ИБ обладают, так вообще супер. Но в первую очередь смотреть надо на то, как общается человек в коллективе, особенно в стрессовой ситуации, которые в SOC происходят регулярно.

Работа аналитика в SOC очень интересна

Вообще я люблю писать и могу делать это достаточно долго (вот в выходные даже 3 статьи накатал). Но даже я устаю от этого. А теперь представьте работу аналитика, который 8 часов в день (а есть SOCи, которые используют 12-тичасовую смену) пялится в экран и пытается найти угрозы в тысячах строк логов, потоков и других источников событий безопасности (даже при высоком уровне автоматизации ручная работа еще очень нескоро уйдет из арсенала безопасников SOC). Одна из классических проблем аналитиков SOC - демотивация. Изо дня в день видеть огромное количество событий и при этом не знать, какие из них хорошие, а какие плохие. Это классическая психологическая проблема боязни совершить ошибку в ответственном мероприятии. Этот страх отвлекает аналитика SOC от смысла выполняемых действий; он фиксируется на мелочах, упуская главное. Страх сделать ошибку заставляет аналитика перепроверять свои выводы и свою работу, что приводит к лишней трате времени и сил и снижает продуктивность специалистов SOC. Возможно и отсюда тоже вытекает высокая ротация в SOCах.

Разумеется, это всё не те проблемы, которые не имеют решения. При правильном подходе из них можно выйти победителем. Главное - задуматься о них заранее, не строя неоправданных ожиданий относительно работы в SOC. Это важно знать не только тем, кто работает в SOC (иногда, общаясь с работниками SOC, слышишь от них о названных проблемах, которые они скрывают от руководства, считая, что это именно их проблемы, в которых они уникальны), но и тем, кто только планирует строить свой SOC. Лучше заранее оценивать реалии работы центров мониторинга ИБ. 

23.10.17

Booz Allen покупает Morphick

Известный подрядчик американского МинОбороны, АНБ и других спецслужб, компания Booz Allen Hamilton (Сноуден на нее работал в процессе кражи данных АНБ), объявил 20-го октября о приобретении малоизвестной компании Morphick, одного из участников обзора Gartner по рынку MDR, а также одной из нескольких компаний, аккредитованных АНБ, на проведение расследований инцидентов в целях национальной безопасности США. Размер сделки неизвестен.

20.10.17

Сколько инцидентов ИБ должен обрабатывать SOC? #socforum

На почти любых мероприятиях по SOC, и небольших, как круглый стол, который я модерировал на InfoSecurity Russia, и крупных, как SOC Forum, всегда возникают вопросы по тем или иным количественным характеристикам SOC. Сколько людей нужно в SOC? Сколько стоит строительство SOC? Сколько событий безопасности обрабатывает SOC? Сколько инцидентов ИБ попадает в SOC? И т.п. Надо сразу сказать, что эти вопросы НЕВЕРНЫ и правильного ответа на них не существует. Точнее все ответы будут правильными, так они зависят от кучи параметров - масштаба организации, покрываемой SOC области, определения инцидента и т.п. Но так как вопросы все равно возникают и будут возникать (особенно у тех, кто только подступается к теме SOC), я попробовал найти хоть какие-нибудь численные значения, на которые можно ориентироваться.

Итак:
  • Внутренняя служба реагирования на инциденты в Cisco обрабатывает около 2000 инцидентов в квартал. При этом угроз мы видим около 2.5 миллиардов, а число событий безопасности и вовсе измеряется десятками триллионов.
  • Наш внешний SOC (хотя аутсорсинговые центры мониторинга и реагирования на инциденты вообще сложно оценивать - очень уж разное у них количество заказчиков может быть) при около 200 миллиардах поступаемых событий "ужимает" их в 7 миллионов угроз, которые транслируются в 7 тысяч кейсов для наших аналитиков. Есть только цифры по двум из заказчиков, которые отдали нам аутсорсинг свою безопасность.
Количественные показатели по заказчику-банку
Количественные показатели по заказчику из промышленности
  • Австралийский центр кибербезопасности зафиксировал с 1-го января 2015 по 30 июня 2016 года серьезных 1095 инцидентов на государственные системы, то есть примерно (если считать, что распределение равномерное) по 60 инцидентов в месяц. Австралийский же CERT за год отработали 14804 инцидентов.
  • У британского центра кибербезопасности схожие цифры - 1131 инцидент в год (из них 590 серьезных).
  • Голландский центр кибербезопасности в год фиксирует около 600 инцидентов.
  • Центр киберзащиты HPE CDC, мониторящий и сеть HPE и сеть ее заказчиков, детектирует ежедневно около 5 миллионов атак и 2,5 миллиардов событий безопасности. Число инцидентов, которые обрабатываются аналитиками CDC, я не нашел. Предвосхищая вопрос, почему порядок отслеживаемых событий у Cisco и HPE отличается на порядок, отвечу, что HPE CDC мониторит только периметр (это только первая стадия трехэтапной стратегии развития HPE CDC).
  • У Solar Security средний поток событий безопасности в первом полугодим 2017-го года составил чуть больше 6 миллиардов в сутки, а событий с подозрением на инцидент было обнаружено 172 тысячи, то есть около 955 в сутки. 
  • Отечественной компанией "Перспективный мониторинг" за первый квартал 2017-го года было зафиксировано всего 137 миллионов событий безопасности, в которых было обнаружено 98 инцидентов ИБ.
  • На российские организации по словам секретаря Совета Безопасности в прошлом году было осуществлено несколько десятков миллионов атак.
Есть у меня в копилке и еще ряд цифр, но они уже носят непубличный характер и поэтому демонстрировать их я не буду. Но некоторые выводы могу сделать:
  1. Число инцидентов, которые обрабатывает SOC в год, измеряется несколькими сотнями в случае, если мы имеем дело с государственным центром мониторинга, и несколькими тысячами, если мы имеем дело с корпоративным SOC мультинациональной компании, офисы которой разбросаны по всему миру. При этом это число врядли превысит 7-8 тысяч. Поэтому у меня есть вопросы по данным Solar Security, которые за год около 350 тысяч инцидентов фиксирует.
  2. Государственные центры ИБ в первую очередь собирают данные об инцидентах, не занимаясь их мониторингом в реальном времени.
  3. Многие SOCи (что корпоративные, что аутсорсинговые) преимущественно ориентируются на мониторинг периметра, "забывая" или не имея возможности следить за внутренней сетью предприятия.
ЗЫ. Про особенности построения государственных центров мониторинга ИБ буду рассказывать 27 октября в рамках Kaz'Hack'Stan в Алматы.

19.10.17

Психологическая слепота в деятельности SOC #socforum

Посмотрите это видео:



Оно демонстрирует так называемую слепоту невнимания (inattentional blindness), которая подразумевает неспособность наблюдать какой-либо объект, появляющийся внезапно. То есть объект присутствует в поле зрения (как горилла на видео), но глаз его не видит. Я когда смотрел видео гориллу-то увидел сразу (как и смену цвета штор), а вот исчезновение девушки в черном - нет. Впервые этот опыт был проведен в 1975-м году и он показал, что около 50% (!) людей не видят гориллу. Половина людей имеет эту не физиологическую, а психологическую проблему зрения, связанную с тем, что люди слишком концентрируются на основной задаче, упуская второстепенные. Эта особенность активно применяется ворами и иллюзионистами, отвлекающими внимание в своих "фокусах". СМИ тоже активно отвлекают внимание от какого-то важного события различными вбросами.

Но слепота невнимания имеет отношение и к деятельности центров мониторинга ИБ и расследования инцидентов. Я думаю вы уже поняли куда я клоню. Речь идет о threat hunting и анализе логов, когда приходится в течении длительного времени изучать тысячи и десятки тысяч строк журналов регистрации, среди которых могут "затесаться" события, которые будут пропущены аналитиком из-за излишней фокусировке на анализе привычных/известных индикаторов компрометации или применении апробированных методов, "заточенных" под какие-то конкретные аномалии или атаки.

Посмотрите на этот фрагмент лога. Вы видите аномалию в этих 11-ти строках?


Да, вы правы. Одна строчка (6-я) выбивается из общей картины - IP-адрес источника находится в Китае. А представьте, что у вас лог содержит тысячи строк кода и только одна адресуется Китаю? Ваш глаз ее увидит (средства корреляции и визуализации событий мы пока оставим в стороне)? По этой причине у меня всегда вызывает отторжение чтение 382-П - каждый абзац начинается с практически одинаковой фразы "оператор по переводу денежных средств, оператор услуг платежной инфраструктуры, оператор платежной системы должен...", а потом вдруг раз и один из участников НПС исчезает из перечисления или, наоборот, добавляется "платежный банковский агент (субагент)".

Но вернемся к этому пакету из Китая. Какая ваша первая реакция? Китайские хакеры из PLA? Или ложное срабатывание? Все зависит от исходной гипотезы, которая высказывается аналитиком и которой ищется подтверждение или доказательство ее неверности. Излишняя фокусировка может привести к тому, что вы потратите слишком много времени на анализ ложного срабатывания и пропустите действительно что-то важное. А можете посчитать, что вы неинтересны китайцам и пропустить реальное проникновение.

Использование средств автоматизации лишь частично снижает описанную проблему. А все потому, что сегодня полная автоматизация в расследовании инцидентов невозможна и именно человек принимает конечное решение (если отбросить базовые атаки, закрываемые простыми сигнатурами IDS или антивируса). И именно человек высказывает гипотезу, которую надо доказать или опровергнуть. И если его настигает слепота невнимания, то никакое средство корреляции событий уже не поможет (по крайней мере на текущем этапе развития технологий).  Бороться с этим помогает так называемый альтернативный анализ, разработанный в ФБР и повышающий качество аналитики. Он предполагает использование различных методов:

  • Независимые группы аналитиков, использующих одинаковый массив данных, но независимо друг от друга делающих выводы относительно первоначальной гипотезы
  • "Красная ячейка". Метод получивший название по имени команды ВМС, осуществляющей спецоперации и пытающихся проанализировать уязвимости военно-морских объектов. По сути речь идет о Red Team, которая анализирует события с точки зрения атакующего в попытке понять его цели.
  • Метод "Что если" позволяет сфокусироваться на действиях, которые в реальности могут и не произойти, но могли бы.

А вот еще пример:


Я когда эту картинку увидел первый раз, я по привычке стал смотреть на заголовки пакетов, порты, флаги (может это DoS). И так поступит большинство аналитиков, которые находятся в плену своей предубежденности. Будут анализироваться номера портов, необычные флаги, странные последовательности пакетов. Но в данном случае все самое интересное скрывается в 3-й строке, завершающей процесс установления TCP-соединения. В ней размер указан отличный от 0. Именно эти 5 байт и используются для взаимодействия с командным сервером вредоносной программы, заразившей один из узлов. Обратили бы мы на них внимание или фокусировались бы на стандартном анализе заголовка TCP-пакета?

Конечно с опытом мы начинаем более внимательно относиться к таким отклонениям и замечать их. Согласно многим исследованиям опытные аналитики гораздо лучше справляются со слепотой невнимания, чем начинающиеся специалисты. Поэтому так важно при построении SOC не бросать новичка на амбразуру, а приставить к нему опытного ментора если он есть. А если нет, то отправить на обучение и проводить регулярные встречи команды аналитиков (не один же он у вас) для обмена опытом. У каждого человека свои тараканы и свои психологические особенности - один аналитик может пропускать то, что легко обнаруживает второй. Две/три пары глаз лучше, чем одна. И не забывайте обновлять правила работы средств анализа по результатам своих проб и ошибок.

ЗЫ. Напоследок еще одна задачка вам. Что вы видите на картинке? А что упускаете?



ЗЗЫ. При написании заметки использовал сайт Криса Сандерса, который много пишет про психологию в информационной безопасности и, в частности, в мониторинге ИБ.

18.10.17

Киберустойчивость, киберживучесть, кибернадежность, кибернепрерывность...

В 90-х, когда я работал админом в одном крупном ритейловом холдинге, эпидемией считалось распространение OneHalf или DIR в течение нескольких недель по всему зданию нашего офиса. И ты носился по кабинетам с пачкой трехдюймовых дискет, вылечивая пострадавшие компьютеры пользователей, которые просто обменивались игрушками на зараженных дискетах.

Шли годы, эпидемии становились быстрее и масштабнее; менялись и технологии защиты. И мы совершенно незаметно... привыкли к кибератакам, о которых ежедневно трубят СМИ. Вспомните, что было совсем недавно. Взлом Equifax и утечка данных по 140 миллионам клиентам. Взлом WPA2 и крики "ужас, ужас". Утечки данных из консалтинговых агентств "Большой четверки". Утечка из АНБ (вот уж спецслужба, держащая в страхе весь мир, превратилась в проходной двор для русских хакеров, которых никто не видел). Утечка 3 миллиардов (!) учетных записей из Yahoo. Ботнет Mirai с пропускной способностью свыше терабита в секунду. Очередной zeroday в Windows. Очередное расследование про APT. И что? А ничего. Мы свыклись с тем, что ежедневно происходит вокруг нас в мире ИБ. Атаки и уязвимости превратились в обыденность. Как ДТП, которые происходят десятками тысяч на дорогах только в России.

Возможно я не прав, но лично у меня никаких эмоций такие новости уже не вызывают. Ну взломали... Ну нашли дыру... Ну утекла база... Все это превратилось в обыденность. Значит ли, что с ней не надо ничего делать? Конечно же нет. Просто мы плавно, сами того не замечая, подошли к эпохе киберустойчивости. Я больше года назад кратко прошелся по этой теме и решил вновь вернуться к ней. И дело тут не в том, что ЦБ пишет ГОСТ по киберустойчивости. Просто сегодня мы уже не в состоянии строить информационные системы иначе. Это раньше мы пытались выстроить стену вокруг объекта защиты с помощью кучи разных технологий и решений - МСЭ, NAC, VPN, управление уязвимостями, патчинг и т.п. Но все это бесполезно - 100%-й безопасности (а многие почему-то стремятся к этому числу) достигнуть нельзя. Мы все слышали про эту аксиому (про отсутствие 100%-й безопасности), но с упорством маньяков пытается ее добиться, тратя на нее десятки и сотни миллионов рублей корпоративного или государственного бюджета. А потом нас ломают и мы стоит оплеванные перед руководством, которое с немым укором смотрит на нас и его глаза нам говорят "ну как же так-то?". А нам нечего ему противопоставить, так как мы сами обещали защитить компанию, забыв упомянув про невозможность достижения идеального результата. Более того, сам-то безопасник хоть и пытается бороться с киберугрозой и полностью ее нейтрализовать (особенно в госах, где по другому просто никак), но в душе он уже смирился, что его в любой момент могут взломать. Кстати, именно поэтому сейчас рынок переходит к модели Detection & Response (обнаружение & реагирование) и популярными становятся продукты типа EDR или аналогичные сервисы (MDR). Производители уже тоже не могут гарантировать (хотя когда они гарантировали) нейтрализации и предотвращения атак.

А вот киберустойчивость и говорит нам о том, что атак избежать нельзя, но можно с ними жить. Ведь киберустойчивость - это и есть свойство информационной системы, позволяющей ей существовать в условиях непрерывных или постоянных атак. Этот термин, который мы опять стащили у иностранцев (cyber resilience), очень похож на более привычный русскому языку термин "живучесть", который существует не только в военном лексиконе, но и в гражданском. Живучесть есть не только у судов (а именно эта ассоциация первой приходит на ум), но и у любого технического устройства. Именно этот термин подсказывает нам, что для обеспечения поставленной перед системой задач (Интернет-магазин, госуслуги, перевод денежных средств, непрерывность технологического процесса и т.п.) нам не надо пытаться защитить все - достаточно сконцентрироваться на жизненно важных для функции компонентах, обеспечивая их резервирование, дублирование, квалификация персонала, SDLC и другие задачи, которые, применительно к информационным системам, можно подчерпнуть из теории надежности.


Важно, что сейчас нет лучших практик в этой сфере (кроме, может быть, австралийцев, и то там не все публично) и не стоит их искать и на них ориентироваться. В прошлом году я уже приводил несколько примеров документов, посвященных киберустойчивости. Они все разные. И с тех пор появились новые и тоже разные. Например, Gartner в своих материалах регулярно подменяет понятия устойчивости и непрерывности бизнеса (что отчасти и неплохо). В ISO 22316 2017-го года "Security and Resilience - Organizational Resilience - Principles and Attributes" говорится тема BCM звучит не столь явно. По ISO устойчивость - это способность организации адаптироваться к изменяющемуся окружению и включает она множество совершенно различных дисциплин.

А, например, IBM (после покупки Resilient) стал использовать следующее определение: "киберустойчивость - это выравнивание возможностей по предотвращению, обнаружению и реагированию для управления, смягчения и ухода от кибератак". И это я еще не приводил определения IOSCO, SWIFT и ряда других финансовых структур, которые активно драйвят сейчас тему киберустойчивости (наш ЦБ не исключение). Важнее определения другое - поменять отношение к атакам и признаться самому себе (да и руководство к этому готовить, чтобы не было сюрпризов), что защититься от всех атак нельзя. И предотвратить их нельзя. И компрометация компании возможна. Как мне кажется, это уже половина успеха. От этого и строить свою стратегию обеспечения киберустойчивости.

4R киберустойчивости

Что она может в себя включать? Я бы выделил несколько элементов:

  • вовлечение руководства и правильные коммуникации с ним (полезно почитать рекомендации Международного экономического форума, которые указаны внизу заметки)
  • программа управления инцидентами
  • программа обеспечения непрерывности бизнеса
  • программа повышения квалификации и найма квалифицированного персонала по ИБ
  • непрерывный мониторинг ИБ (включая и третьи стороны - партнеров, контрагентов, поставщиков и т.п.)
  • программа оценки эффективности ИБ
  • страхование рисков (если вы верите в эту тему в России).
В принципе, многие из упомянутых пунктов и так реализуются многими компаниями. Вопрос только в системности такой реализации. Очевидно, что целиком и сразу перейти к киберустойчивости нельзя сложно - нужен поэтапный план с соответствующими метриками и оценкой их достижения. Например, Deloitte рисует такую картину поэтапного достижения нужного уровня киберустойчивости:




Есть и те, кто уже реализовал у себя такую программу. Например, финансовая группа KBC, которая оценивает свой уровень зрелости киберустойчивости и делает это не только для всей компании целиком, но и для отдельных подразделений. Тем самым достигается некоторая конкуренция между ними и они стремятся обойти своих коллег, достигая лучших показателей.


Красные зоны на радарной диаграмме показывают, что KBC еще есть куда стремиться.


В качестве заключения упомяну еще парочку интересных документов по киберустойчивости:

В любом случае помните, что абсолютно живучих систем не бывает.


ЗЫ. И все-таки, чтобы не считать, что нет пророков в своем отечестве, рекомендую покопать тему надежности информационных систем. Например, Липатовскую прикладную теорию надежности автоматизированных систем (он про нее много книг написал и провел лекций).

16.10.17

Хочу и буду

Не хочу отнимать хлеб у Андрея Прозорова, который активно пишет обзоры для книг, но тут не смог удержаться. Прочитал на выходных книгу психолога Михаила Лабковского "Хочу и буду". Читал я ее не в контексте информационной безопасности, но так уж часто бывает, что многие идеи перекладываю на свою сферу деятельности (помимо основного предназначения книги). И вот в этот раз я, пожалуй, вынесу на страницы блога две мысли, которые могут иметь отношение к ИБ.


Первая мысль банальна до безобразия, но вот я ее пропустил через себя, только прочтя книжку. Звучит мысль просто "Если человек чего-то не хочет, значит он не будет это делать". В самом предисловии автор приводит пример с наркоманами и алкоголиками, которых опытные наркологи отправляют домой сразу же, если видят, что они пришли не сами, а их привели жены, матери, отцы, подруги. Мотивируют это врачи тем, что человек, которого притащили на аркане, никогда не бросит пить или колоться, пока сам не решит это сделать. Это жестоко, но так и есть. Бросать курить, худеть, заниматься спортом... Все это человек не делает, пока сам не захочет. А захочет, никакая дополнительная мотивация ему не нужна. Наверное именно этим объясняется тот факт, что несмотря на большое количество материалов о том, как улучшить ИБ (и не всегда с большими затратами, а то и вовсе без них), многие специалисты по ИБ их не воспринимают. Лет 10 назад я пришел в один крупный банк и моему коллеге, человеку принимающему решения, предложил ряд решений по ИБ, которые должны были улучшить ситуацию с регулярными атаками и эпидемиями внутри финансовой организации. Он тогда мне ответил очень просто: "Меня все устраивает и я не хочу ничего менять". Я тогда еще подумал, ну как же так? Ты же специалист по ИБ, тебе платят, чтобы было лучше, чтобы атак было меньше, чтобы снижались простои и ущерб. Надо признать, что с тех пор он мало изменился :-(

И то, что так или иначе крутилось в голове и иногда проскальзывало в презентациях или заметках в блоге, сформулировалось только на выходных. Специалист по ИБ не будет воспринимать никаких новых идей, если он не хочет ничего менять в сложившемся порядке вещей. А он обычно не хочет, так как его все устраивает. Зарплата идет, за хакерские атаки не увольняют, с регуляторами налажен контакт. Тишь да гладь. Я все время удивлялся, почему казалось бы банальные мысли про то, что безопасность - это не только про угрозы, но и про содействие бизнесу, не находят своего отклика у тех, кому я эту мысль пытался доносить в своих презентациях? Почему идеи про измеримость ИБ выслушиваются, но дальше этого ничего не идет. И вот банальный ответ - не хочется. А если не хочется, то заставить человека делать что-то через палку бесполезно. Это работает очень короткое время.

Вторую мысль я подчерпнул в разделе про детей, которые не хотят учится. Психолог пишет, что происходит это по банальной причине. У современных детей перед глазами одни яркие картинки, видеоклипы, игры. Они привыкли воспринимать информацию именно так, а не так как взрослые. Не зря существует понятие "клиповое сознание". Поэтому и в школе им неинтересно. Их учат-то совсем по другому - зубрежка, доска и мел, домашка, оценки и никакого соревновательного духа. Они не воспринимают такой, привычный моему поколению формат донесения информации (у нас-то другого и не было). Отсюда вывод - программы повышения осведомленности, построенные по старым принципам обучения (часовые и нудные лекции "за партой") не дают уже того эффекта для работников молодого поколения. Им нужна совсем иная подача - ярко, коротко, с соревнованиями, доской почета, призами. Отсюда и интерес к геймификации, которая так активно внедряется в разных продвинутых программах повышения осведомленности, о которых я уже не раз писал в блоге.

Вот такие мысли... Не то, чтобы они уникальны или новы, но у меня они оформились только сейчас. По крайней мере, первая так уж точно. Вторая - это по сути классическое "говори с аудиторией на ее языке".

13.10.17

Akamai покупает Nominum

11 октября Akamai объявила о соглашении по покупке американской Nominum, занимающейся безопасностью DNS для операторов связи. Nominum конечно лидер рынка и остальное бла-бла-бла. Размер сделки не сообщается.

Целостная стратегия борьбы с вредоносным кодом (презентация)

Выступал я вчера в Воронеже на форуме по защите информации. Хорошее мероприятие, хорошая организация. Не успев на пленарку (была замена борта - отечественного СуперДжета; да-да, опять про импортозамещение), смог отчитать только одну тему - про борьбу с вредоносным кодом, но зато на час. Лучи добра организаторам - такое редко бывает; обычно 15-20 минут. Презентацию про борьбу с вредоносным кодом и выкладываю.



ЗЫ. Вообще забавно, когда в двух соседних залах проходит конференция по защите информации, где преимущественно мужики, и по защите женского здоровья (гинекологический форум), где преимущественно женщины. Такие забавные казусы происходят, когда участники ошибаются залами или стойками регистрации :-)

ЗЗЫ. А еще в Воронеже классный океанариум. Там чистые стекла, что бывает редко, и можно нормально наблюдать за морской живностью. Рекомендую!

11.10.17

Почему я боюсь биткойнов, а порнозвезда нет...

Летел я ночью из Перми и вместо того, чтобы дремать, попробовал сформулировать для себя опасения относительно всей этой шумихи про криптовалюты, о которых говорят очень много и преимущественно все эти разговоры происходят в восторженных тонах. Мол биткойны, "эфиры" и другие "койны" знаменуют собой новую веху в экономике, позволяя исключить государство из процесса денежного обмена, делая его быстрым, саморегулируемым и удобным. Вон даже российская порнозвезда предлагает депутатам свое тело (очередность зависит от количества мандатов у фракций в ГД), если они примут законы, разрешающие биткойны, тем самым сделав Россию пионером и лидером в этой сфере :-)

Порнозвезда - апологет критоэкономики
Кто-то не подвергая сомнению идею криптовалют, ищет уязвимости в различных платформах, и пугает ими общественность. У меня же подозрение вызывает вообще сама идея (блокчейн оставим в стороне пока) саморегулируемой валюты и вот почему. Сколько я не копался в различных ICO, статьях про биткойны, "эфиры" и другие криптовалюты, я так и не нашел ответов на несколько важных лично для меня вопросов:

  1. По каким правилам осуществляется конверсия криптовалюты в "настоящие" (фиатные) деньги? Это самый безобидный вопрос (ЦБ у нас тоже устанавливает курсы вают по своему разумению и может поднять или уронить его вдвое и ему за это ничего не будет), но мне он интересен, так как я не понимаю, как обычные числа (это как столбиком считать, только быстро) могут вчера стоить сто долларов, а завтра уже тысячу долларов. Не укладывается это в моей голове прикладного математика по образованию.
  2. Как вообще конвертируются криптовалюты в нечто материальное? Куча проектов, где за статьи или иной контент платят "койнами" (я уже много раз к ним подступался, но все время меня что-то останавливает). Но почему и как? Каковы гарантии, что за сделанную работу я получу свои деньги? По сути речь идет о доверии к автору площадки, что у меня, человека с профессиональной деформацией, вызывает баааальшие вопросы.
  3. Раз уж упомянул о гарантиях, то выделю это особо. Кто дает гарантии по сделкам с криптовалютами? Апологеты утверждают, что сама технология что-то там гарантирует. Но это смешно. Она гарантирует что-то, когда все хорошо. А когда все плохо? Что если конвертация из ***койнов в товар, вознаграждение или фиатные деньги не произошло? К кому мне идти жаловаться? В обычно жизни у меня есть некая сделка, регулируемая Гражданским Кодексом. Может быть даже договор (даже в виде оферты). А что у меня с криптовалютами, которые пока не признаются государством, законом, судами? На чью сторону встанет арбитраж, если я пойду доказывать, что мне что-то должны? Или кто-то будет опротестовывать сделку со мной? Да, российский суд самый гуманный и независимый суд в мире, но что-то мне подсказывает, что в случае с криптовалютами он может и вовсе отказаться от рассмотрения дела по существу. Какова вообще юридическая сила всех этих криптовалютных сделок?
  4. Какова ответственность лиц, запускающих свою криптовалюту? Есть ли она вообще? Чем биткойн отличается от МММ с его фантиками?
  5. Кто является надзорным органом, защищающим права участников обмена криптовалютами? Да, можно долго ругать ЦБ за его бюрократию и нерасторопность, но худо-будно, но он стоит на страже вкладчиков. И если какой-либо банк совершает сомнительные операции, то лицензию отзовут, а вкладчики (физлица) получат в АСВ свои деньги (может не все, но хотя бы часть). А куда жаловаться, если "обанкротится" криптобиржа или если она нарушит свои обязательства? А если у нее украдут все деньги те же хакеры? Жизнь научила меня рассматривать worst case и в данном случае у меня нет ответа, на поставленный вопрос.
  6. Чем подтверждает мое право владения криптовалютами и иными производными от них ("умные контракты" и т.п.)? Вот украли у меня "цифровой кошелек" и как мне доказать, что он принадлежал мне, если вдруг он всплывет где-то? А если у меня сделка с недвижимостью, закрепленная умным контрактом? Я уверен, что он будет жить 10-20-50 лет? Честно говоря нет. У нас даже с долговременным хранением электронных документов не могут решить вопрос, а тут какие-то саморегулируемые криптовалюты.
Как гарантировать?... Тут стюардесса объявила, что мы идем на снижение и я уже отвлекся от размышлений о криптовалютах, занятый более приземленными вопросами - погодой в Москве и как долго я буду стоять в обычной пробке на выезде из Шереметьево-D, где 9 потоков сливается в два? Уже приехав домой, я решил выложить свои вопросы в виде заметки в блог. И хотя она впрямую не относится к информационной безопасности (а я про такие темы тут обычно не пишу), все-таки я решил ее оставить. В конце концов, схожие вопросы возникают, пусть и не так остро, и применительно к блокчейну, который находит свое применение в кибербезопасности, например, в обмене информацией об угрозах. О последней теме у нас пойдет дискуссия на модерируемой мной секции Future SOC конференции SOC Forum, которая пройдет 22-го ноября в Москве. Кстати, если вы хотите попасть на мероприятие, то вы можете зарегистрироваться бесплатно с промокодом 114LUK.

ЗЫ. А биткойнов я так и боюсь - уж слишком я консервативен и профессионально деформирован. Что не отменяет, конечно, возможности инвестиций в этот высокорискованный актив; при условии оценки всех рисков и ответов (как минимум для себя) на озвученные в заметке вопросы.

ЗЗЫ. Много лет назад, еще до появления биткойнов, писатель Тобиас Хилл написал роман о любви "Криптограф", в котором как раз шла речь о математике, придумавшем криптовалюту, в которой, в итоге оказалась брешь, и весь мир встал на краю экономической катастрофы.


ЗЗЗЫ. Возможно, на все эти вопросы уже есть ответы. Тогда буду рад за ссылки на них. Пока же останусь при своем скепсисе относительно этой новомодной технологии, с которой все носятся как с писанной торбой.