17.01.2018

Об утечках через DNS, которые не ловит ни одна DLP

Наверное то есть, кто давно занимается информационной безопасностью помнят, что в 1996-м году была очень популярная вредоносная программа Loki, которая позволяла организовывать туннели внутри ICMP-протокола, обычно не контролируемого распространенными на тот момент межсетевыми экранами. Идея Loki была проста - путем обмена командами ECHO REQUEST и ECHO REPLY (то есть обычный Ping) в поле данных пакета ICMP можно было засунуть все, что угодно. Детектировать такие атаки на МСЭ почти невозможно и помогали их обнаруживать только IDS, для которых писались правила, отслеживающие длину запросов и ответов ICMP (она должна быть равна 42 байтам), а также смотрящие за тем, чтобы поле данных ICMP-пакета было пустым (с нулевой длиной). С разной эффективностью схожий метод использовался некоторыми другими вредоносными программами, которые появлялись уже позже, в 2000-х годах, и в 2010-х.

Интересной интерпретацией данного метода стала утилита PingFS, которая позволяла, по словам ее автора, создать истинно облачное хранилище данных. PingFS - это файловая система, которая хранится в самом Интернете, а не каком-то из отдельных серверов или группе серверов. Все просто - данные о файлах постоянно циркулируют между узлом и Интернет в обычных пингах (и ответах на них). Понятно, что это достаточно вырожденный случай и в реальной жизни врядли у PingFS найдется применение, исключая небольшое количество не очень больших по объему файлов - все-таки производительность такой файловой системы невысока. Да и потери пакетов могут привести к сбою в "файловой системе". Но сама идея достаточно интересна и ее подхватили и другие авторы. Например, создав DNSFS, утилиту, работающую по тому же самому принципу, но обмен происходит по протоколу DNS и данные о файлах хранятся в кэше DNS, что устраняет ряд проблем, имеющихся у PingFS.

Для работы DNSFS нужны открытые DNS-резольверы и чем их больше, тем отказоустойчивее будет схема. В принципе доступ к таким серверам должен блокироваться извне на МСЭ, но как часто бывает, многие забывают или не могут правильно настроить безопасность своей инфраструктуры и это приводит к дырам в системе защиты. Автор DNSFS с помощью утилиты masscan происканировал все доступное Интернет-пространство и обнаружил около 4 миллионов открытых DNS-резольверов (Россия на 4-м месте по их числу после Китая, США и Южной Кореи). Это позволило ему создать работающий прототип распределенной файловой системы на базе DNS, который может быть использован для различных целей, включая и вредоносные. Меня же во всей этой конструкции заинтересовала сама идея туннелирования в рамках DNS-трафика, который, в отличие от ICMP, очень часто разрешен на периметровых МСЭ, которые не умеют его контролировать.

Посмотрите на эту картинку:


Она отражает распределение длин имен субдоменов. Логично предположить, что на первом месте у нас будут субдомены длиной 3 символа (пресловутый www). А вот дальше длины субдоменов будут идти по нисходящей и мы увидим, что в обычной жизни сложно встретить субдомены длиной более 30 символов. Даже DGA-домены обычно гораздо короче. Но если задаться вопросом, а могут ли встречаться субдомены длиной более 30 или 50 или даже 100 символов, то мы увидим, что на границе в 200 символов проявляется аномалий - число субдоменов такой длины непропорционально высоко. Почему?


Ответ прост - злоумышленники используют особенности работы DNS в качестве инструмента для утечки данных (не фишинг, не DGA, не редиректы, не Fast Flux, а именно утечка), которые скрываются в названии субдомена, направленного на DNS-сервер, находящийся под контролем злоумышленников. Именно на нем происходит распознавание (часто и расшифрование) информации в пришедшем DNS-запросе. Такая вот проблемка, которая находится вне контроля абсолютного большинства современных МСЭ, даже NGFW. Да и IPS тоже не всегда способны ловить такие вещи, хотя на них можно создать правила, отслеживающие длину DNS-запроса.

В любом случае этот пример показывает, что мониторинг трафика - задача важная и опираться в ней нужно не только на привычные периметровые средства защиты, но и на иные решения, которые позволяют заглядывать внутрь различных протоколов и выявлять в них аномалии. Это и решения класса NTA, и защищенные DNS-сервера с функцией инспекции трафика, и другие типы средств контроля и защиты трафика.

ЗЫ. Если вдруг вам тема безопасности DNS интересна, то 24-го января пройдет бесплатное онлайн-мероприятие по этой теме, где будут рассмотрены различные атаки на DNS и способы их обнаружения и нейтрализации - платные и нет, коммерческие и open source.

ЗЗЫ. Да, про DLP забыл упомянуть. Так вот DLP не ловят утечки через туннелирование конфиденциальной информации в разрешенные протоколы. Вообще с туннелированием они не работают. 

16.01.2018

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть вторая, эпистолярная

Уважаемые судари и сударыни, позвольте мне продолжить обзор плана мероприятий направления "Информационная безопасность" программы "Цифровая экономика". Можно заметить по прошлой заметке, что не только сам план готовился в спешке (а это уже само по себе гарантирует не самый качественный результат - стратегические документы надо перепроверять по несколько раз, чтобы не упустить все ляпы и неточности, которые потом могут аукнуться), но и его реализация запланирована в очень сжатые сроки, что также вызывает сомнение в реализуемости всей задумки. Но отбросим скепсис и вернемся ко второй части плана, посвященной обеспечению технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики. Что меня зацепило в этом разделе:
  • К июню планируется создать проект архитектуры некой базы знаний по ИБ, которую должен вести Минобрнауки.
  • В прошлый раз я писал, что в первой части плана постоянно смешиваются понятия "массивы больших данных" и "большие данные". Во второй части добавились еще и "большие пользовательские данные", которые будут регулироваться Роскомнадзором.
  • Также до конца 2019 года планируется урегулировать вопрос обработки ПДн облачными провайдерами. За это будет отвечать... нет, не РКН, а Минкомсвязь. Стоимость разработки типовой формы соглашения между пользователем и провайдером "облачных" услуг составляет 1 миллион рублей (чтоб я так жил).
  • РКН, Минкомсвязь, ФСБ, ФСТЭК и МВД (а они-то зачем) должны создать ресурс, обеспечивающий гражданам России доступ к информации о случаях использования их персональных данных, а также возможность отказа от такого использования (судя по всему на базе ЕСИА). К концу 2020-го года его должны ввести в эксплуатацию.
  • Сколково с Минкомсвязью хотят обязать всех пользователей коммуникационных сервисов идентифицироваться. Также к пользователям приравняли и Интернет вещей, который также будет как-то идентифицироваться. Последний пункт, конечно, вызывает огромное количество вопросов. Единые правила по идентификации Интернет-вещей, произведенных разными производителями в разных странах?.. Но идея государства взять под контроль всё и всех, что и кто подключен к Интернету, очевидна.
  • К июню следующего года хотят установить обязательную установку на все ввозимые и создаваемые в РФ компьютеры отечественные антивирусы. Зачем? Кому это нужно (кроме пары отечественных вендоров)? Предвижу запросы со стороны иностранных антивирусных вендоров в ФАС и судебные иски по поводу неравных условий для работы антивирусных компаний. Зачем этот пункт вообще попал в план при и так почти полном доминировании ЛК и Доктор Веба на территории нашей страны (кстати, в первоначальном варианте стояла задача предустанавливать отечественные антивирусы на все компьютеры в ЕАЭС, а не только в России)?
  • На основе национальной электронной библиотеки (вы вообще ею пользовались когда-нибудь?) планируется создать информационную платформу онлайн-курсов по ИБ и ее наполнение (на первой стадии не менее 20 курсов). Этакая "русская ИБ Coursera". Идея неплохая, но отвечать за ее будут Минкомсвязь и Минобрнауки, "известные" на ниве ИБ регуляторы.
  • До конца года хотят сделать прототип аналога ГосСОПКИ не для субъектов КИИ, чтобы и рядовые граждане и компании могли сообщать о признаках противоправной деятельности. Ввести его в действие должны до конца 2019-го года.
  • До конца года должен быть разработан ресурс антивирусного мультисканера и проверки на наличие признаков вредоносной активности. Думаю, уже и исполнитель по данному пункту известен, учитывая что за его выбор отвечает только ФСБ (в то время как за остальные пункты данной задачи также ФСТЭК и Минкомсвязи).
  • ФСБ к концу 2020-го года хочет получить прототип национальной базы знаний индикаторов вредоносной активности. Тут у меня конечно вопросы по срокам. Гораздо более сложные задачи заявлены на конец этого или следующего годов. Тут, правда, тоже накосячили. К этому же сроку должен быть готов не только прототип и архитектура системы, но и сама система должна быть введена в эксплуатацию. Видимо, никто диаграмму Ганта не строил по данному плану и не увидел таких нестыковок. А там ведь еще и проектный офис у этой "Цифровой экономики" есть. Как же там проектами управляют? 
  • До 2024 года хотят создать сеть ргеиональные РКЦКИ в составе ГосСОПКИ (кто-нибудь вообще смотрел раздел "Ожидаемые результаты" для проекта по созданию РКЦКИ?).
  • В разделе по ИБ-образованию написаны здравые вещи, но в целом он выглядит хаотично. Как будет надергали идей из разных источников, включая неслучившие "Основы госполитики в области формирования культуры ИБ в РФ" СовБеза. Подождем, может в целевой программе "Подготовка кадров в области информационной безопасности" на 2020 – 2025 года" будет более целостный взгляд на обучение специалистов, начиная со школьной скамьи (хотя в плане говорится про возраст, начиная с 6-ти лет). В разделе по обучению есть и совсем непонятные мероприятия. Например, "внедрен пилотный многофункциональный центр". Центр чего? Какие у него задачи? Причем тут обучение? Там же в этом разделе встречается аббревиатура, которая нигде не раскрыта и встречается в единственном числе, - "МОЦ". Это явно какой-то центр. Возможно образовательный, а может и окружной. Но фиг знает...
  • В плане говорится о том, что необходимо разработать процедуру обязательной оценки соответствия (сертификации) компонентов платежной инфраструктуры, используемых для переводов денежных средств в НПС. К июлю 2019-го года. А ведь эта процедура уже есть в утвержденном ГОСТ 57580.1, а также в проекте новой редакции 382-П. И уж ГОСТ-то был принят к моменту начала работы над "Цифровой экономикой".
  • Рекомендуется (но не обязывается по тексту) перейти на отечественную криптографию в НПС. К концу 2019-го года ТК26 должен разработать рекомендации по стандартизации по этому вопросу. Дальше дело за ЦБ, который может обязать это сделать или нет.
  • В прошлой заметке я писал, что в первом разделе хотели стимулировать отечественных разработчиков софта и железа, но не производителей ИБ. Во втором разделе (почему не в первом?) решили и про них указать - это большой плюс. Много разных льготных мер хотят запустить до конца 2020-го года (но большая часть до конца 2018-го). Особенно мне понравилось два пункта - "Сформированы требования к иностранным производителям по предоставлению ими протоколов взаимодействия (API) для встраивания отечественных ИБ- продуктов в их разработки там, где это необходимо для обеспечения безопасности страны" и "Утвержден нормативно-правовой акт по внедрению пакета мер по принуждению иностранных производителей ИКТ-продуктов, использующихся на территории РФ, к встраиванию отечественных ИБ-продуктов там, где это необходимо". По принуждению...
  • А вот в чем разница между "Определение соответствия примерных основных профессиональных образовательных программ по специальностям и направлениям подготовки в области информационной безопасности целям и задачам цифровой экономики и их корректировка" и "Определение перечня профессиональных стандартов и внесение изменений в части освоения требований в области информационной безопасности". Ведь об о одном и том же, но в разных разделах и с разным финансированием.
  • Планом предусмотрено активное развитие страхования киберрисков; первоначально добровольного, но рассматривается возможность и обязательного. Особо меня зацепил вот этот пункт, в очередной раз отражающий квалификацию тех, кто готовил и принимал план - "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность ( в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем)" (выделение жирным мое). Вы помните в каком году отменили классификацию ИСПДн? Фактически в 2011-м, после принятия поправок в ФЗ-152, а формально в 2012-м, после принятия соответствующего приказа. Так, блин, о каких классах ИСПДн говорит план Правительства, утвержденный спустя 6 лет после отмены классов ИСПДн? "Ну кто так строит..." (с) Но про финансовую гарантию "хорошо" получается. Или отложи бабки на покрытие рисков (Базель II по ПДн) или сам страхуй. Если это норма пройдет, то это реально подхлестнет рынок "добровольного" страхования киберрисков, о которых очень активно недавно стал говорить Сбербанк. Кстати, в другой строке этого раздела вместо "уровень защищенности" написано "класс защищенности"...
  • Хотят создать реестр аккредитованных экспертных организаций в области компьютерной криминалистики, и систему контроля качества оказываемых ими услуг. В Фейсбуке на эту тему дискуссия была, но к единому мнению мы не пришли. У меня более пессимистичный взгляд на то, кто хочет и будет рулить этой темой, а у коллег более оптимистичный. Рад буду ошибиться. Самое интересное, что хотят нормативно закрепить обязанность привлекать эти аккредитованные организации при расследовании инцидентов. Вот это будет круто - хошь-не хошь, но привлекай их при инцидентах, что потребует отдельного бюджетирования.
  • Опять повторяется пункт (конечно же с отдельным финансированием) про "анализ перспектив развития информационных систем, выявление потребностей в недостающих средствах защиты" из первого раздела (там правда формулировка иная, но суть таже). И про безопасную разработку тоже повторяется раздел.
  • План предусмотривает внесение изменений в Уголовный кодекс Российской Федерации, касающихся расширения криминализации новых типов деяний, совершенных с использованием информационных технологий.
  • Фанфары... Теперь у нас появляется новый термин применительно в Big Data - "большие массивы данных". Ранее у нас были "массивы больших данных", "большие данные" и "большие пользовательские данные". Так вот операторы больших массивов данных должны обмениваться данными об инцидентах с НКЦКИ ФСБ. Зачем? Почему? О каких инцидентах? Кто это придумал?
  • Немало написано про продвижение российских решений по ИБ и идей по стандартизации зарубежом, но без конкретики. Также предполагается создание единых нормативных документов, стандартов и программ обучения по ИБ на уровне ЕАЭС (надо ли это странам ЕАЭС - большой вопрос).
  • Интересно, киберучения упоминаются только в рамках раздела по ИБ в ЕАЭС, но совсем не упоминается в чисто российском контекте.
  • Да-да, суверенный Интернет тоже предусмотрен в этой части (почему не в инфраструктурной?).
  • Интересно, что из финальной части целиком исчез раздел про международный обмен информацией об угрозах, атрибуцию угроз, запрет кибероружия. Вот это обидно. Мы когда на рабочей группе обсуждали это направление как раз говорили, что попытка на международном уровне договориться о суверенности Интернета - это утопия и на ее фоне надо хоть что-то полезное предложить. Но увы... Идеи экспертов не поддержали в очередной раз.
Отдельно хотелось бы пройтись вкратце по разделу финансирования. Считать чужие деньги конечно неправильно, но приятно :-) Особенно когда не можешь их найти в утвержденном бюджете РФ. Но разброс цен на выполнение работ конечно впечатляет. Например, развитие Рунета с учетом модернизации ведомственного центра ГосСОПКИ выделено за три года 0 (ноль) рублей, а на создание национального удостоверяющего центра 1 миллиард 100 миллионов рублей. Вообще, смотря на план финансирования у меня возник вопрос, что значит отсутствие выделения денежных средств на то или иное мероприятие? Что оно не будет реализовано? Что на него реализацию не надо денег? Или что деньги появятся потом, может быть, когда-нибудь? Например, выявление утечек Интернет-трафика не стоит ничего, как и создание национальной базы знаний и ее наполнение, как и строительство РКЦКИ (проектные работы по ним - 1 миллиард), как и единое пространство доверия электронной подписи в рамках ЕАЭС.

Есть в плане классное мероприятие - "создание механизма поддержки центра компетенций по импортозамещению в сфере ИКТ". На это мероприятие (не на поддержку, а на создание механизма поддержки) выделено 203 миллиона рублей. И вот таких вот статей затрат (на мой взгляд совершенно бестолковых) там немало - по 10-20 миллионов рублей тратится на определение и оценку показателей развития ИКТ, актуализацию критериев и классификатора и т.п. Интересно, что на "разработку требований к отечественным средствам ПО/железа/ИБ", "разработку предложений по стимулированию...", "анализ потребностей..." выделяется денег больше, чем на стимулирование самой разработки. На мониторинг использования в российских ЦОДах российских комплектующих и софта/железа (именно российских, что мониторится очень легко) выделено 10 миллионов, а на разработку модели ЦОДа на отечественном софте/железе/комплектущих выделено 0 рублей. Оно и понятно, мониторить использование отсутствующего своего проще, чем разрабатывать свое. На мониторинг закупок отечественного и иностранного ПО выделено 30 миллионов, а на создание базовой инфраструктуры многофакторной цифровой идентификации - 0 рублей. На разработку технологий доверенной третьей стороны на основе российской криптографии выделено 0 рублей, а на разработку проекта дорожной карты по российской криптографии в Рунете - 9 миллионов. На ресурс по оценке уязвимостей в web-приложениях выделено 441 миллионов, а на разработку различных стандартов - 0 рублей. Создание аналога ГосСОПКИ не для КИИ обойдется в 25 миллионов, а ресурса по контролю за использованием ПДн в 235 миллионов (за перве отвечает ФСБ, а за второй - Минкомсвязь, ответственное за весь план мероприятий). Ввод этих центров в эксплуатацию обойдется в 60 и 203 миллиона соответственно. На разработку отечественного ПО, акселерацию стартапов, гранты и т.п. для разработчиков отечественного софта и железа выделено около 15 миллиардов, а на разработку и совершенствование средств ИБ - 800 миллионов рублей.

Пожалуй, все с "Цифровой экономикой". Слишком велико количество ляпов в стратегическом документе такого уровня. И это все я нашел всего лишь за 3 часа чтения документа во время подготовки двух заметок. Наспех слепленный, он также будет и реализовываться. Хотя в контексте "Цифрового кодекса" вероятность его реализации уже вызывает вопросы. Но даже если что-то и будет сделано, то в первую очередь имеющее мало отношения к классической ИБ, а скорее к тому, за что отвечает Минкомсвязь. По цифрам затрат видно, что максимальные суммы выделены на понятные Минкомсвязи темы - импортозамещение, суверенитет Рунета и т.п. На классику ИБ деньги либо не выделены, либо мизерны. А некоторые основополагающие статьи затрат (например, стандартизация) не имеют бюджета вовсе. Зато на образование денег не пожалели - это плюс (если выделят и правильно потратят).


15.01.2018

FireEye покупает X15 Software

12 января FireEye анонсировала поглощение частной компании X15 Software, которая никогда не работала в сегменте ИБ, но зато разрабатывала технологии работы и анализа больших данных. Показательная сделка - ИБ-вендор начинает искать не ИБ-стартапы, а компании, которые занимаются аналитикой и которые позволят улучшить принимаемые решения в области ИБ. В видео по перспективным технологиям кибербезопасности я про это говорил; аналитика - это сегодня must have. А при большом объеме данных для анализа без Big Data не обойтись. Стоимость сделки составила около 20 миллионов долларов.

12.01.2018

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть первая, поэтическая


Посмотрите на эту фотографию. Она очень хорошо отражает то, что сегодня происходит с направлением информационной безопасности в рамках правительственной программы "Цифровая экономика". Вроде бы и можно было свернуть с имевшего в последние годы пути ведущего нас в темноту и повернуть к свету, но нет, мы упорно премся вперед, не сворачивая и залезая все глубже и глубже в непроходимые снега, где вместо движения по проторенной кем-то дорожке, мы пытаемся тропить свою собственную лыжню, которая может нас и приведет в светлое будущее, но не завтра, не всех и верится в это с трудом. И все это на фоне новостей о том, что топ-менеджеры ряда компаний отечественной ИТ-индустрии (в том числе активно участвующих в разработке "Цифровой экономики" и ратующих за цифровой суверенитет и ИТ-патриотизм) в декабре получили гражданство Мальты. Как тут не вспомнить строки из "Геофизического танго" Владимира Туриянского:

"Во дни разлук и горестных сомнений"
Как нам писал из Франции Тургенев.
Не надо слез и горьких сожалений,
Она уехала с другим купаться в Крым...

Так вот о "Цифровой экономике". 18 декабря Правительство утвердило план мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика". Я ознакомился с текстом (124 страницы мелким кеглем) и могу сказать, что мои, не раз уже высказываемые опасения оправдались. Документ получился очень сырым, а местами просто безграмотным как с точки зрения здравого смысла (но это мы оставим на совести экспертов, вносивших предложения, и экспертов, пропустивших их дальше), но и с точки зрения юридической. Попробую тезисно отметить мягко говоря спорные идеи, которые, по мнению Правительства, должны сдвинуть нашу аналоговую экономику в сторону цифровой трансформации (перечислять буду не все 124 страницы, а только то, что запало мне в мозг во время прочтения):
  • Почему-то данный план никак не синхронизирован с планом законопроектной деятельности Правительства, утвержденного двумя неделями позже. Весь план по ИБ рассчитан до 2024-го года и начинается по нему работа с 2018-го, но Правительство не планирует готовить никаких НПА по этому направлению. Почему? У меня есть ответ на этот вопрос, но я его оставлю при себе. Пусть те, кто считают, что "Цифровая экономика" действительно взлетит, и дальше остаются в шорах своей предубежденности.
  • На 3-й странице плана представлены ключевые показатели и индикаторы достижения задач, стоящих перед направлением ИБ "Цифровой экономики". Это замечательно, что в Правительство и АНО "Цифровая экономика" знают, что такое KPI. Но как можно принимать план, в котором по 25% показателей стоят прочерки? То есть показатель есть, но достигать его не надо. Эти 25% касаются закупки иностранного оборудования (то есть даже в Правительстве понимают, что отечественная индустрия "железа" не взлетит?), населения, использующего средства защиты (не знают как заставить применять отсутствующие отечественные средства защиты для частных лиц?), юрлиц, использующих НПС, субъектов, использующих стандарты безопасного взаимодействия государственных и общественных институтов (что это?).
  • Кстати, обратили внимание, в предыдущем пункте упоминалась НПС? Это вообще песня. У нас сегодня ВСЕ хозяйствующие субъекты используют НПС, так как в соответствие с ФЗ-161 "НПС - это совокупность операторов по переводу денежных средств, банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры". То есть миновать этих субъектов НПС при оплате чего-то бы-то ни было нельзя. Авторы имели ввиду (скорее всего) не НПС, а НСПК, то есть национальную систему платежных карт и карту "Мир". Но никто почему-то не стал исправлять этот ляп (хотя про него говорили на встречах в Центре компетенций).
  • Как вам фраза "рассмотрены уязвимости, связанные с киберпреступностью"?..
  • К концу 2019-года должна быть запущена в эксплуатацию централизованная система управления российскими сетями общего пользования. Хакеры всего мира (ну и спецслужбы, конечно, тоже) ждут, когда же у нас появится единая точка отказа управления, которую можно будет DDOSить, перехватывать управление и т.п. Чтобы хакеры не смогли надолго вывести ее из строя (интересно, как будут работать сети, если система управления ими выведена из строя), она должна интегрироваться с ГосСОПКОЙ. И эта централизованная система мониторинга ССОП - это не ГИС "Интернет" из законопроекта Минкомсвязи о критической инфраструктуре Рунета.
  • ГИС "Интернет" занимается совсем другим - обеспечением целостности, устойчивости и безопасности функционирования Рунета. С этой целью к концу 2020-го года должно быть создано ПО для ведения реестра маршрутов, мониторинга маршрутов, замещения корневых DNS-серверов, блокирования противоправного контента, национального удостоверяющего центра, взаимодействия с ГосСОПКОЙ. Кроме того, планируется общероссийский WAF для защиты всех сайтов в Рунете от атак (мне кажется, я даже исполнителя для последней задачи знаю, но это не тот, о ком вы подумали). Правда, последний пункт про WAF, кажется, совершенно случайно затесался в план - в списке мероприятий он есть, а в ожидаемых результатах нет.
  • К маю 2018-го года (осталось 4 месяця) Фонд "Сколково" должен разработать требования к устойчивости и безопасности сетей связи и оборудования органов государственной власти (за исключением высших органов государственной власти) и организаций различных организационно-правовых форм. Что это и как соотносится с требованиями, которые содержатся в приказе №1 Минкомсвязи или в существующих приказах ФСТЭК и ФСБ? И причем тут вообще Сколково?
  • Отечественных разработчиков компьютерного, серверного и телекоммуникационного оборудования хотят стимулировать налоговвыми льготами и таможенными пошлинами, а разработчиков средств защиты почему-то забыли. Зато последних хотят стимулировать льготными кредитами и инвестициями ВЭБа.
  • К концу 2020-го года разработчики компьютерного, серверного и телекоммуникационного оборудования должны использовать преимущественно отечественную электронную компонентную базу (где она, ау?).
  • Российские ЦОДы хотят заставить перейти на отечественное компьютерное, серверное и телекоммуникационное оборудование к концу 2019-го, а всю информационную инфраструктуру России - к концу 2024 года. Тут правда есть косяк. В разделе ожидаемых результатов написано, что надо достичь целевых показателей, а эти значения, как я указал выше, как раз и не определены (в плане стоят прочерки).
  • К концу этого года должны быть определены методология оценки рисков, методы и меры обеспечения информационной безопасности систем, реализованных на технологиях облачных, туманных, квантовых, виртуальных [забыли слово "вычислений", похоже], искусственного интеллекта и дополненной реальности, требования к стандартизации в сфере оценки рисков и обеспечения безопасности таких систем. Все это должен разработать опять Фонд "Сколково". До конца года? Требования по безопасности туманных и квантовых вычислений (по виртуализации у нас, к счастью, есть ГОСТ Р 56938-2016, разработанный в ФСТЭКоском  ТК 362, а по облакам, помимо ISO/IEC 27036-4:2016, отечественный ГОСТ находится на стадии проекта)? У нас дофига специалистов по безопасности туманных и квантовых вычислений? Про виртуальную и дополненную реальность, а также искусственный интеллект вообщу молчу. У нас интеллекта-то еще нет искусственного, а требования по его защите уже разработают в самой инновационной организации России, куда хрен доберешься. Кстати, авторы этого куска, похоже сами путаются между "виртуализацией" и "виртуальной реальностью". Они постоянно смешивают и путают эти понятия по тексту. К сентябрю 2019-го у нас должны быть разработаны стандарты ИБ по этим направлениям, а приняты они к июню 2020-го. Тогда и заживем в виртуальной реальности безопасно.
  • К маю этого года ФСБ, ФСТЭК во главе с Минкомсвязью, должны провести анализ мировых тенденций и долгосрочный прогноз развития ИТ в области ИБ (именно так - ИТ в области ИБ), а к сентябрю должен быть уже сформирован перечень перспективных технологий, которые могут надеяться на инвестиционную поддержку от российского государства. Это будет очередной foresight, который у нас так любят проводить всякие АСИ, Минкомсвязи и другие инноваторы. Почему-то эти долгосрочные прогнозы они делают раз в год, но видимо это традиция в России такая. Дороги у нас тоже раз в год ремонтируют и перекладывают асфальт и тротуарную плитку. 
  • Чтобы подчеркнуть важность процесса анализа разрыва между ожидаемым и реальным, слово "gap" в плане мероприятий написано заглавными буквами (GAP-анализ). А может это просто фирма GAP проспонсировала ее упоминание :-)
  • К июню этого года лицензиатами ФСБ (вообще странная конструкция) должен быть разработан проект плана мероприятий ("дорожная карта") "Российская криптография в российском сегменте Интернет". И вот на этой странице я понял, что скоро всем наступит давно обещанный коллапс экстаз. Российский сегмент Интернет хотят перевести на российскую криптографию, Web-сервера должны будут использовать TLS на базе ГОСТ 28147-89 в варианте "Кузнечик", а все браузеры должны реализовывать российскую криптографию. В условиях, когда разработка СКЗИ - это лицензируемый вид деятельности, а 99% браузеров у нас иностранного происхождения (Chrome, IE, Safari, Firefox), я с трудом себе представляю, как легально встроить в иностранное ПО российскую криптографию... и получить на нее сертификат ФСБ до конца 2020-го года. На все про все дается 3 года. 
  • Центр компетенций по импортозамещению в сфере ИКТ должен до конца 2020-го года запустить государственную программу Bug Bounty, где "победители получают денежные призы (гранты) за найденные уязвимости, разработчики их исправляют, а программное и программно-аппаратное обеспечение становится надежнее" (ожидаемый результат из плана Правительства).
  • К концу этого года должны быть созданы прототипы, а к сентябрю 2020-го уже финальные версии отечественных ОС, СУБД (правда, в термине "системы управления базами данных" почему-то забыли слово "данных" и получилось "системы управления базами"), офисных и иных (каких?) прикладных пакетов.  
  • С какого-то перепугу в стратегический документ попал целый раздел, посвященный уязвимостям Web-приложений. Согласно нему до июля 2018-го года не только должен быть проведен анализ уязвимостей всех web-приложений Рунета (а после июля не надо, да?), но и должен быть к концу 2019-го года создан единый ресурс по информированию и проверке угроз уровня web-приложений, находящийся под крылом ГосСОПКИ. Это аналог английского Web Check?
  • До конца 2020-го года хотят создать систему сертификации ПО, которое будет оцениваться по уровню локализации, степени правообладания и уникальности кода (ё, кто и как будет оценивать уникальность), после чего ПО будет присвоен определенный класс.
  • До конца этого года хотят определить (с помощью Роскомнадзора), как защищать массивы больших данных (видимо речь идет о Big Data), а до конца следующего года уже иметь стандарты по защите Big Data (их в мире-то еще нет, а у нас уже планы). В другом месте плана, правда, говорится, что эти стандарты должны быть готовы к марту 2019-го года. По тексту, кстати, постоянно смешивают то "массивы больших данных", то "большие данные". Сделано ли это специально или по недомыслию, не могу сказать. За разработку стандартов отвечает Сколково, а за инструментальный контроль использования Big Data ФСБ :-) 
  • С какого-то перепугу в раздел по ИБ попало регулирование онлайн-агрегаторов товаров, онлайн-рекламы, кинотеатров и средств виртуализации (что это и как соотносится с виртуальными вычислениями и виртуальной реальностью?).  И ведь на этапе обсуждения этот вопрос поднимали, что не место этой шняге в ИБ. Но нет. С упорством, достойным иного применения, эта тема теперь относится к ИБ.
  • К концу 2019-го года должны быть разработаны модели угроз и нарушителей для Интернета вещей для отраслей экономики (каких, не сказано).
  • Вместо "критической информационной инфраструктуры" План использует термин "критическая инфраструктура". Ну "экспертам" Правительства позволительно не знать уже принятого к моменту утверждения плана законодательства по КИИ.
  • К лету 2020-го года должны быть разработаны правила реагирования на инциденты безопасности киберфизических систем, включая Интернет вещей (пересекаются ли они с КИИ, ответить не могу, как и "эксперты"), а разработать их должны Минкомсвязь, Минпромторг, ФСТЭК и Роскомнадзор (ну эти-то куда). А как же ФСБ?
С русским языком по тексту тоже проблемы постоянно. Пропадают слова, меняющие смысл мероприятий дорожной карты. Например, в одном пункте написано "Утверждение национальных стандартов безопасности киберфизических систем, включая "Интернет вещей". Вроде все четко и понятно. Но сразу за ним, в итоговой строке раздела написано уже "Приняты национальные стандарты киберфизических систем, включая "Интернет вещей" (куда дели "безопасность"?), а в ожидаемых результатах опять "Национальные стандарты безопасности киберфизических систем, включая "Интернет вещей", утверждены". Тут впору вспомнить Тургенева, с упоминания которого я начинал заметку:

Во дни сомнений,
во дни тягостных раздумий
о судьбах моей родины,-
ты один мне поддержка и опора,
о великий, могучий, правдивый и свободный
Русский язык!

Не будь тебя -
как не впасть в отчаяние
при виде всего,
что совершается дома?
Но нельзя верить,
чтобы такой язык
не был дан великому народу!
Правдивый и свободный
Русский язык!

На этом заканчивается один из двух разделов Плана мероприятий по направлению ИБ в рамках "Цифровой экономики". Он посвящен обеспечению единства, устойчивости и безопасности информационно-телекоммуникационной инфраструктуры Российской Федерации на всех уровнях информационного пространства. Второй раздел, про обеспечение технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики я рассмотрю в понедельник. Там бросившихся мне в глаза мероприятий не меньше, чем в первой части, и поэтому лучше посвятить ей отдельную заметку (хотя деление на эти два раздела весьма условное).

Можно ли было родить в сложившихся условиях адекватный документ? Не знаю. Я, к сожалению, выпал из процесса на второй стадии. После сбора и составления перечня проблем, которые происходили в условиях жесточайшего цейтнота (всего за неделю надо было сформировать список проблем с ИБ в России), вторым этапом должен был стать мозговой штурм (опять за неделю) по формированию перечня мероприятий, которые бы устраняли проблемы и выводили отрасль ИБ из тьмы веков на свет. Но, блин, я эту неделю пропустил, побывав в трех командировках и не успев подготовить свои предложения (хотя часть из них я успел отправить еще на первой стадии). И после этого я уже потерял контроль над процессом - в нем участвовало уже ограниченное число лиц, а промежуточных результатов плана мероприятий Центр компетенций не рассылал (несмотря на обещания). В итоге я увидел финальную версию только в декабре, когда было уже поздно что-то менять. Да и бессмысленно, если честно. Получая информацию не только из центра компетенций, но и из других источников, уже стало понятно, что благие намерения экспертного сообщества не очень стыкуются с тем, что хотели сделать на верху "пищевой цепочки". Покаялся и ну и ладно.

Завершить столь "позитивную" заметку я бы хотел вновь строками из Владимира Туриянского:

Я устал от идиотов
От вождей и патриотов
От безумных финансистов
Демократов от сохи
От бездарных Центробанков
От рок-музыки и панков
И от суверенитета
Для республики Сахи...
Ткни любого депутата
У него ума палата
Все он знает и предвидит
Как премудрейший пескарь
Как преодолеть разруху
Как пройти водой посуху
Выясняется, что это
Бывший третий секретарь...

11.01.2018

Ландшафт технологий кибербезопасности (видео)

Я уже писал про Академию кибербезопасности Сбербанка, на которой я выступал с рассказом о новых технологиях ИБ, которые могут стать актуальными в среднесрочном горизонте планирования до 2025 года. Свою презентацию с этим обзором я уже выкладывал. Теперь пришло время для видео, которое я записал по мотивам этой презентации (с некоторыми вкраплениями технологий Cisco, которые учитывают описанные тенденции). Заняло это 1,5 часа, но возможно кому-то будет не лень это все слушать и смотреть :-)


10.01.2018

Barracuda покупает PhishLine и еще три интересных поглощения

3 января американская Barracuda анонсировала приобретение одного из игроков рынка симуляторов для социального инжиниринга и обучения по ИБ, компанию PhishLine. Финансовые условия сделки не раскрываются.

9 января Threatcare объявила о покупке Savage Security. Обе компании абсолютно неизвестны в России, но меня заинтересовало данное поглощение потому, что Threatcare работает в совершенно новом сегменте решений по автоматизации и симуляции атак, о котором только-только начинает писать Gartner и который еще совсем не сформировался.

5-го января Verizon объявила о покупке частной компании Niddel, которая занималась threat hunting'ом на базе машинного обучения для расширения сервиса MDR, который Verizon двигает в сторону своих клиентов. А другая американская компания, Cyxtera Technologies, занимающая защищенной инфраструктурой, объявила 8 января о покупке небольшой частной компании Immunity, которая основана бывшим сотрудником АНБ и занимается различными offensive-проектами - пентестами, разработкой эксплойтов, исследованиями уязвимостей и т.п. Среди прочего у Immunity есть и ряд инструментов (например, INNUENDO и CANVAS), которые также относятся к категории симуляторов атак. Тут я вижу две интересных тенденции - скупка небольших игроков рынка ИБ более крупными, "инфраструктурными" компаниями, которые расширяют свое портфолио решеними по ИБ (операторы связи - яркий представитель таких инфраструктурных компаний), и активное появление на рынке решений для автоматизации симуляции атак, позволяющих заменить немасштабируемый, но зато формализуемый труд пентестеров (я про это писал в 2016-м году).

Блиц-обзор основных ИБ-новостей за прошедшие праздники

Вообще я не хотел писать эту заметку, но несколько коллег вчера спросили меня, буду ли я по традиции делать обзор того, что произошло за новогодние праздники, чтобы понять, не пропустили ли они чего-нибудь важного, проведя время в Мексике, Тайланде, США и других прекрасных частях света, полностью дистанцировавшись от профессиональных новостей. И посколько таких запросов было больше одного, я не стал противиться и составил свой топ новостей за прошедшие пару недель, взяв за точку отсчета последнюю неделю декабря (многие уже не работали в последние пару дней). Итак мой топ таков:
  • Правительство утвердило план мероприятий по направлению "Информационная безопасность" в рамках программы "Цифровая экономика". Я уже высказывался по поводу этой программы и финальный план меня окончательно убедил, что далека она от того, чтобы хоть как-то выправить ситуацию в индустрии; скорее наоборот. Думаю, на днях более подробно распишу про этот документ.
  • В начале января стало известно о наличии в процессорах Intel, AMD, Qualcomm и др. уязвимостей, названных Meltdown и Spectre, которые позволяли красть конфиденциальную информацию с устройств, на которых можно было запустить пользовательский код (в том числе и с помощью JavaScript). Часть вендоров пользовательских и серверых ОС уже отчиталась о выходе патчей (которые могут привести либо к неработоспособности системы определенной конфигкрации, либо к некоторому замедлению работы), часть тормознула из-за новогодних праздников. В любом случае последнюю неделю разговоры в открытых и закрытых группах и чатах ведутся только об этих уязвимостях, преподносящихся как очередной (или даже более серьезный "Heartbleed"). На мой взгляд это совсем не "ужас-ужас", как говорилось в одном анекдоте. Не надо срочно бежать и менять (как иногда советуют) все уязвимые процессора на новые (кто гарантирует, что там нет этих "уязвимостей" или закладок?). На мой взгляд достаточно начать с правильной защиты пользовательских ПК - ограничение (не тупой полный запрет) работы скриптов JavaScript с помощью бесплатного NoScript или AdBlock и использование решений класса EDR (а не просто сигнатурных антивирусов). Дополнительно необходимо контролировать доступ к вредоносным сайтам, эксплуатирующим эти уязвимости (с помощью решений класса SIG, обычных URL-фильтров или DNS Firewall), а также использовать IPS, детектирующие использование указанных уязвимостей. Иными словами, старая добрая эшелонированная защита, которая помогла бы в случае с WannaCry, Neytya, Bad Rabbit и множеством других "ужас-ужасов". Гораздо более неприятная ситуация ждет производителей сертифицированных в ФСТЭК (с ФСБ не уверен, что они сильно парятся на тему уязвимостей в сертифицированных СКЗИ) средств защиты, которым придется доказывать отсутствие влияния новых уязвимостей, уже попавших в БДУ ФСТЭК.
  • Американские министерства торговли и нацбезопасности выпустили проект отчета для Президента (виданное ли дело, публиковать проекты отчетов для руководства страны?) по усилению устойчивости американской телекоммуникационной инфраструктуры и Интернет к различным распределенным киберугрозам (ботнетам и т.п.).
  • Wi-Fi Alliance  анонсировал новую версию протокола защиты беспроводных сетей WPA3, среди обновлений которого можно назвать защиту от перебора паролей при аутентификации в беспроводных сетях, а также улучшения криптографической подсистемы.
  • VirusTotal запустил новый инструмент визуализации VirusTotal Graph, позволяющий визуализировать взаимосвязи между файлами, URL, доменами и IP-адресами.
  • Министерство промышленности и информатизации Китая выпустило план действий по защите своих систем промышленной автоматизации "Industrial Control Systems Information Security Action Plan (2018-2020)".
  • Российский хакер Козловский признался в том, что это он создал WannaCry по заказу ФСБ. История с этим Козловским мутная донельзя - на его странице в Фейсбуке выложены десятки стран уголовного дела, в котором он "признается", что работал по заказу арестованных по делу о госизмене бывших сотрудников ЦИБ ФСБ Сергея Михайлова и Дмитрия Докучаева. По словам Козловского, именно он, сотоварищи, взломал американские выборы в 2016-м году. 
  • Был подготовлен законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  • Минкомсвязь подготовило проект приказа об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
  • 29 декабря Президент подписал закон об удаленной, читай, биометрической, идентификации клиентов финансовых организаций, за которым последуют и нормативные акты самого ЦБ. Банковским безопасникам стоит готовиться в этом вопросе - он может очень быстро стать актуальным, а может быть и обязательным (как "Мир", НСПК и иже с ними).
  • Директор АНБ и глава американского киберкомандования Майкл Роджерс решил уйти в отставку, что и должно произойти весной этого года. За прошедшие 4 года, что Роджерс руководил АНБ, произошло немало событий, которые, как мне кажется, и повлияли на решение об отставке. Тут и утечка арсенала АНБ через взлом The Equation Group, и противостояние с Трампом, которого Роджерс прямо обвинил в сговоре с Россией.

Вот такой новогодний топ-лист новостей по ИБ...


ЗЫ. Принятые в прошлом году и готовящиеся к принятию в этом нормативные акты можно посмотреть в одной из последних заметок блога.