20.07.2017

Security Foresight: темная сторона искусственного интеллекта

Про искусственный интеллект в ИБ я уже писал год назад, а сейчас мне бы хотелось обратиться к другой стороне медали - использованию искусственного интеллекта в деятельности киберпреступников. Эта тема мало поднимается в открытой прессе и мало кто из специалистов пока задумывается о ней, предпочитая изучать, как ИИ может помочь делу ИБ. На прошедшем в мае семинаре Gartner я спросил у Антона Чувакина, сталкивались ли они с запросами своих клиентов, которые бы интересовались нелегальным применением искусственного интеллекта. Антон тогда ответил, что даже просто использованием ИИ в ИБ у них поинтересовался за все время всего один клиент, а уж про темную сторону ИИ не спрашивал никто и никогда. Это показательный пример, когда специалисты по ИБ думают о "сиюминутных" задачах, не желая посмотреть "за горизонт".


А смотреть есть куда. В кибербезопасности часто используются технологии так называемого двойного назначения. Криптография используется и защитниками и хакерами. Поиск уязвимостей применяется при взломе и при пентесте. Фишинг используется злоумышленниками для компрометации пользователей, а безопасниками для их же обучения и проверки способности противостоять атакам. Вообще киберпреступники перенимают все лучшее из нашего мира и ИИ не исключение. Например, можно установить на компьютере жертвы относительно простого агента, изучающего переписку пользователя в электронной почте, соцсетях или мессенджерах. После небольшого периода обучения вредоносное ПО сможет маскироваться под жертву и от ее имени рассылать сообщения по всем ее контактам, которые и не заподозрят ничего. По работе сообщения будут официальными, друзьям или членам семьи - менее формальными (кстати, голосовые сообщения тоже можно будет подделывать без проблем). Все это легко автоматизируется, тем более, что в Интернете представлено немало готовых библиотек для реализации как базовых, так и более сложных алгоритмов ИИ. Вот только один пример с подборкой совершенно различных программных реализаций.

А боты в соцсетях, напрашивающиеся в друзья? Это же классика искусственного интеллекта (я уже раньше писал, что под этим термином я понимаю сразу весь спектр технологий - от машинного обучения до нейросетей). Многие компании используют ботов для общения со своими клиентами в Интернет - почему злоумышленникам не делать тоже самое? И они это делают. Вообще соцсети сегодня представляют колоссальный объем информации о людях - профили, открытые заметки (и закрытые, если бот смог заставить пользователя вступить с ним в дружеские отношения), фотографии, предпочтения, геометки, родители (включая девичьи фамилии матерей), питомцы... Все это очень хорошо собирается, анализируется и сопоставляется различными алгоритмами ИИ.

Вот представьте сценарий. Депутат Госдумы является скрытым педофилом, который зарегистрировался на нелегальном форуме с детской порнографией под вымышленным псевдонимом и с зарубежного почтового сервиса. При этом, по глупости, этот же псевдоним он использовал как часть своего e-mail для личного почтового ящика на mail.ru. А на эту почту он же пересылал несколько сообщений со своей служебной почты в домене gov.ru. Вполне реалистичный сценарий, в котором только технологии ИИ могут сопостовить множество источников данных и сделать гипотезы о совпадении этих трех виртуальных личностей. ну а дальше можно только предугадывать, что могут преступники (а может спецслужбы?) сделать с такой информацией.

А теперь вспомним про конкурс Cyber Grand Challenge, проведенный Агентством по передовым оборонным исследованиям МинОбороны США DARPA. В его рамках семь команд использовали автономных агентов для обнаружения, анализа и исправления уязвимостей до того, как их найдут противники. При этом поощрялось обнаружение уязвимостей в коде своих оппонентов по конкурсу. Целью конкурса была демонстрация технологий искусственного интеллекта для целей кибербезопасности, но... DARPA занимается не только оборонными исследованиями. У них есть и атакующий потенциал. Что, если технологии автоматизации поиска и использования дыр в ПО будет применяться киберпреступниками (или спецслужбами)? Незря Элон Маск сравнил проект DARPA с Skynet из "Терминатора".


Все, наверное, слышали про сервис VirusTotal, скрывающий "под крышкой" 60+ антивирусов, которые проверяют переданные сервису файлы на вредоносность. Безопасники могут использовать его для оценки способности интересующего антивируса ловить разные вредоносные программы. Аналогичные сервисы есть и по ту сторону баррикад, только там они используются для создания вредоносного кода, который не детектируется на момент своего распространения. А теперь представьте, что такие сервисы расширяются за счет технологий искусственного интеллекта, которые модифицируют вредоносный код и отправляют на сервис тестирования. И так в автоматическом режиме до тех пор, пока не будет найден вариант, пропускаемый средствами защиты.

Описанные выше примеры являются фантастикой? Нет. Все они вполне реальны. Какие-то уже применяются криминалом. Какие-то будут применяться в ближайшем будущем, к которому надо готовиться уже сейчас; чтобы потом не было поздно.

ЗЫ. Бывший глава национальной разведки США в конце прошлого года предупредил Конгресс об опасности искусственного интеллекта, который может быть использован киберпреступниками. 

19.07.2017

Security Foresight: стеганография

Довелось мне тут поучаствовать в одном проекте Cyber Security Foresight (по прогнозированию того, что будет в/с ИБ через несколько лет). Теперь буду по мере возможности выкладывать краткие зарисовки с этого проекта - там есть интересные мысли и выводы, о которых нечасто задумываешься в рамках ежедневной рутины. Понятно, что предсказывать будущее у нас еще не научились, но опираясь на знание прошлого и понимание настоящего можно попробовать спрогнозировать будущее (и оно будет не одно). Это и называется foresight, а в контексте нашей индустрии - cyber security foresight.


Придерживаться какого-то порядка и системы не буду - просто зарисовки. Первая - стеганография, известная нам с 440-го года до нашей эры и описанная в геродотовской "Истории" (сам термин ввел в 1499-м году аббат-бенедектинец Иоганн Тритемий в одноименной книге). Суть метода заключается в сокрытии не самого сообщения, которое хочется оставить в тайне (как это делает криптография), а самого факта отправки такого сообщения или наличия сокрываемой информации. Преимущество стеганографии очевидно - она не вызывает подозрений, так как скрывает сам факт наличия чего-то тайного.

Мне видится два сценария применения стеганографии, о которых стоит задуматься. Первый касается обхода различных блокировок VPN-сервисов и запретов криптографии. Не секрет, что многие государства (специально не называю их тоталитарными, так как эта идея фикс присуща многим, даже демократическим государствам) в интересах борьбы с терроризмом и экстермизмом стараются ограничить применение шифрования или ослабить его. И стеганография вполне способна помочь в решении этой проблемы, так как она никак не регулируется государством (и я с трудом представляю как это можно сделать) и ее сложно детектировать (она и предназначена для сокрытия самого факта тайной передачи какой-то информации). Поэтому мне забавно наблюдать, когда представители спецслужб якобы заявляют о том, что необходимо блокировать или взять под контроль различные мессенджеры или VPN-сервисы, которыми активно пользуются террористы. Возможно они это делают под влиянием политической ситуации, так как сами-то они прекрасно понимают, что любой преступник может обойти все ограничения воспользовавшись либо непопулярным мессенджером, либо найдя программу для стеганографии (в 2012-м году Аль-Кайеда уже использовала такой трюк, сокрыв ряд своих инструкций и документов в порнофильме). И второй вариант даже хуже, так как существенно усложняет жизнь спецслужбам. Одно дело пытаться "вскрыть" зашифрованный текст или найти лазейку в реализации/алгорите криптографии и совсем другое - перелопатить зетабайты информации в поисках следов якобы переданной секретной информации. И те законопроекты и инициативы, которые сейчас продвигаются нашими законодателями, подталкивают всех (и рядовых пользователей, и преступные элементы) к более активному использованию стеганографии. Это, кстати, в корпоративной среде тоже является угрозой.

Второй сценарий заключается в применении стеганографии разработчиками вредоносного кода. Первый пример такого использования был зафиксирован в случае с Duqu в 2011-м году. Этот вредонос шифровал данные и скрывал их внутри графических файлов JPEG, позже отправляемых на сервер управления. В 2014-м году аналогичная техника использовалась в банковском трояне Zeus. Потом были Zbot, Stegoloader, Shady RAT, DNSChanger, Sundown, Cerber, TeslaCrypt и другие. Детектировать такие вещи непросто и проникновение вирусов и утечки данных через них могут долго оставаться незамеченными специалистами служб ИБ.

Проекты Foresight обычно не подразумевают мгновенного поиска решений - они просто описывают различные варианты грядущего будущего, что позволяет задуматься и попробовать к ним подготовиться. В случае со стеганографией существуют различные методы ее обнаружения, которые описаны в той же Википедии. А вот про коммерческий инструментарий, который бы позволял бороться со стеганографией (исключая отдельные методы, используемые антивирусными вендорами), я что-то не слышал (возможно он и существует, но я его особо не искал).

ЗЫ. А может быть столь ругаемый закон Яровой принят в такой формулировке именно потому, что спецслужбы понимают, что переход на стеганографию не за горами, и поэтому, имея в руках архивы всей переданной по коммуникационным каналам информации, они могут (с течением времени) все-таки найти интересующие их следы? Кто знает...

ЗЗЫ. Кстати, сами спецслужбы активно используют стеганографию для сокрытия своих коммуникаций. Например, в 2010-м году ФБР обвинило Службу внешней разведки (СВР) в использовании стеганографии в разведывательной деятельности.

18.07.2017

5 вещей, которые вы обязаны требовать от своих ИБ-поставщиков

Просматривал тут фотки на iPhone и наткнулся на одну, которую я сделал на прошедшем Gartner Security & Risk Management Summit. "А ведь она стоит отдельной заметки", подумал я и вот эта заметка. На этом слайде самой первой презентации, открывающей конференцию Gartner, докладчик выделил пять ключевых вещей, которые сегодня необходимо требовать от поставщиков решений по безопасности, с которыми вы сотрудничаете или планируете сотрудничать (особенно во втором случае).


  1. Открытый API. Даже в такой консервативной области как промышленные сети сегодня нельзя встретить производителя, который бы по-прежнему держался за принцип "security through obscurity" и использовал проприетарные технологии и протоколы в своих решениях. Чего уж говорить о мире обычном, который гораздо обширнее, чем промышленные сети. Сегодня нет в мире поставщика, который был бы монополистом в области ИБ (как бы этого не хотелось) и который мог бы закрыть своими продуктами все потребности своих заказчиков. Кто-то специализируется на защите сетей, кто-то на защите облаков, кто-то на защите оконечных устройств. А заказчики используют все эти решения у себя и не хотят иметь дело с зоопарком. Мы в своем исследовании состояния ИБ в 2016-м году получили цифры, которые показаны на иллюстрации ниже - больше половины заказчиков используют от 6 до 50 различных поставщиков средств ИБ, а число заказчиков, использующих от 6 до 50 средств защиты еще выше, 65%. Это говорит только о том, что средства защиты должны иметь открытые API для взаимодействия либо между собой напрямую, либо через некоторые средства оркестрации или управления. Особенно это важно сейчас, когда в России стали появляться и собственные системы управления событиями безопасности, и отдельные заказчики строят на базе open source собственные решения по ИБ и хотят пользоваться теми возможностями, которые им предоставляют имеющиеся у них иные средства.


  2. Поддержка современных практик ИТ. Ну тут, вроде, как и не требуются отдельные пояснения. Если заказчик внедрил виртуализацию или планирует уйти в облака, если его руководство требует себе мобильное устройство, а вся компания стремится в BYOD, то средство защиты должно поддерживать все эти инициативы. А иначе зачем нужны такие "вериги" на ногах ИТ, которые только мешают, а не способствуют бизнесу?
  3. Поддержка адаптивных политик. Статика уходит в прошлое... Сигнатуры, жестко прописанные ACL, статические политики МСЭ вида "IP1 может получить доступ к IP2 по протоколу HTTP, а IP2 к IP1 - не может" уже не учитывают динамическую картину мира. Я эту заметку начинал писать в Питере на рабочем ноутбуке, продолжил в Интернет-кафе в отпуске, завершил на смартфоне во время поездки в метро, а отшлифовал уже дома на планшетнике. Чтобы описать эту картину в старой, статической парадигме, необходимо множество правил, которые должны быть размещены на всем протяжении моего движения от устройства, с которого я пишу, до блога. А промежуточных коммутаторов и маршрутизаторов, межсетевых экранов и точек беспроводного доступа может быть на пути несколько. А теперь перемножим это число на количество сотрудников в компании и получим колоссальное количество правил, которые надо поддерживать в актуальном состоянии. В замкнутой и неизменяемой среде это еще возможно, а вот в динамической, с постоянно путешествующими сотрудниками, использующими личные устройства, такая статическая схема уже не срабатывает. Нужна адаптивная или контекстно-ориентированная политика, отвечающая на вопросы - кто, что, куда, откуда, как, когда и зачем. Вот, например, как это сделано внутри самой Cisco. У нас, правда, масштаб немного иной, но все-таки. Статика уходит в небытие и вендора должны поддерживать динамически изменяемые политики.
  4. Полный доступ к данным без штрафов. Вы знаете, сколько событий безопасности (записей в логах) хранят ваши средства защиты? Сто тысяч? Миллион? Миллиард? У нас внутри Cisco только сетевых событий ежедневно регистрируется 1,2 триллиона (!). Чьи это события? Вендора средства защиты/сетевого оборудования или ваши? Вероятно второе. А значит мы хотели бы иметь к ним доступ, чтобы, возможно, проанализировать их самостоятельно, без участия вендорв, собравшего нам исходные данные, на основании которых он принимает решения о тех или иных нарушениях политики ИБ. И доступ этот у нас должен быть полный, без ограничений, без запретов в дизассемблировании или иных нарушений всяческих законов об интеллектуальной собственности (речь в данном случае идет о данных, а не о самом коде ПО или железе). Отсюда требование, перекликающееся с первым, наличие доступа к полным логам и собранным данным, которые можно выгрузить или к которым можно получить доступ собственным средствам аналитики ИБ. Особенно в контексте повального увлечения в России разрабатывать собственные SIEMы.
  5. Использование множества методов обнаружения. Это требование в условиях современного динамичного ландшафта угроз вполне логично и очевидно. Антивирус не должен бороться с вредоносным ПО только с помощью сигнатур, а IDS должна использовать еще и анализ аномалий. EDR должен уметь анализировать сетевые потоки данных, а также при необходимости интегрироваться с песочницами. Эффективное средство защиты сегодня оперирует не одним, пусть и хорошим, механизмом детектирования вредоносной активности, а сразу несколькими. Не сработал один, поймал второй. Не поймал второй, зафиксировал атаку третий. А иначе средства защиты превращаются в красивую и дорогостоящую игрушку, которую, чтобы крикнуть "Мама", еще надо ухитриться поместить в определенное и только такое положение.
Понятно, что эта пятерка - не догма, а руководство к действию, как писал Фридрих Энгельс в позапрошлом столетии. Но выглядит она достаточно здраво и ее стоит взять на вооружение при общении со своими поставщиками средств защиты информации. Лишними эти требования уж точно не будут.

17.07.2017

Шквал информации об угрозах затрудняет работу с множеством источников Threat Intelligence

Неделю меня не было в Москве - в кои-то веки решил отдохнуть и не прикасаться к почте (ни на компе, ни на смартфоне). В итоге через 7 дней мой почтовый ящик выглядел примерно вот таким вот образом:


Некоторая доля из этих тысяч непрочитанных писем составляли различные сообщения от компаний, участвовавших в RSAC и Gartnet Security & Risk Management Summit, которые шлют мне всякую рекламу, приглашения на вебинары, ссылки на их white paper и приглашения поговорить со мной по телефону в целях заинтересовать меня их продуктами. Но я их не удаляю, а пробегаю глазами все, что приходит, - это хорошо позволяет погрузиться в то, чем живет американский рынок и понять тенденции (даже если они и оцениваются по спаму).

Но немалая доля непрочитанной, ежедневно сыплящейся корреспонденции составляют различные бюллютени Threat Intelligence из различных источников - IT-ISAC, DHS, FBI, ThreatStream, Record Future, MS-ISAC, FS-ISAC, NCCIC и других. И это просто какой-то колоссальный поток информации, которую нужно пробежать глазами, чтобы получить общее представление о происходящем по ту сторону баррикад. Ниже покажу только некоторые примеры:










Тут и описания отдельных индикаторов компрометации, и недельные тенденции, и описание кампаний, и хакерских групп или ее отдельных членов:


Под таким валом информации несложно и загнуться, а то и пропустить что-то важное (если бы я был аналитиком Threat Intelligence или работал бы в каком-либо SOC на постоянной основе, а не время от времени). Отсюда практический совет, который я даю последнее время в своих презентациях (тут впервые, потом тут и тут), - используйте платформу для TI, которая вам будет и давать высокоуровневый, стратегический взгляд на угрозы (кампании, участники, угрозы, инциденты и т.п.), и аккумулировать низкоуровневые, тактические индикаторы компрометации. Причем скорее всего это будет не одна платформа.


 Главное, чтобы не вручную, а то будете иметь такие же почтовые ящики как мой :-)

14.07.2017

Symantec покупает Skycure

Не прошло и недели, как Symantec объявила о приобретении израильской компании Skycure, занимающейся борьбой с угрозами для мобильных устройств. Размер сделки не сообщается.

Коллапс в аэропорту как отражение ситуации с ИБ во многих компаниях

За последние две недели совпало три схожих события, которые и сподвигли к написанию этой заметки. Позавчера у нас в офисе сработала сигнализация и мы все дружными рядами эвакуировались в заранее согласованное место на отдалении от эвакуируемого здания. Обратите внимание на три фото внизу. На одной из них сотрудники Cisco под зонтами стоят и ждут, когда будет разрешение вернуться в офис. На второй, под козырьком эвакуируемого здания стоят сотрудники одной китайской ИТ-компании, сидящей у нас в офисе. На третье, в оранжевых жилетах, под деревьями в непосредственной близости от эвакуируемого здания сидят рабочие бизнес-центра. Спустя время выяснилось, что это была ложная тревога, но нормативы по покиданию здания наш офис выполнил (сказываются регулярные тренировки). "Китайцев" и рабочих, видимо, история с пожаром в РИО ничему не научила, а может быть они, как жители азиатской части нашего материка, сторонники теории реинкарнации и боязнь погибнуть под развалинами здания у них отсутствует.

Событие №2 случилось также вчера. Компания Аэрофлот объявила об отмене и задержках нескольких своих рейсов. Объявила заранее, разместив уведомление на сайте, а также обзвоним пассажиров по телефону или направив им SMS. В последнем случае сообщения выглядят примерно вот таким образом (это мне такая SMS приходила 3 года назад):


Приехавшие все-таки в аэропорт (поэтому так важно при регистрации указывать свои контактные данные) получают соответствующую помощь - еда, гостиница и т.п.

Ну и, наконец, третий кейс, который случился 1-го июля с авиакомпанией S7 в Домодедово. За день, 30 июня в Москве случился серьезный ливень, и многие рейсы, которые должны были прилететь в Москву туда не прилетели, что привело к коллапсу на следующий день - самолетов просто не хватило, чтобы улететь всем по оплаченным маршрутам. По словам друзей и коллег, столкнувшихся с этой ситуацией, авиакомпания не предприняла никаких действий для того, чтобы разрулить проблемы. Не было ни уведомлений пассажиров, ни нормального питания, пассажиров гоняли по разным людям, якобы принимающим решения, и т.п. В итоге у многих был сорван отпуск, командировки и встречи, понесены дополнительные затраты на замену авиакомпаний или переключение на ж/д транспорт, а также невосполнимые потери по потере времени, которое можно было бы провести в уже оплаченном отеле.

К чему я рассказал эти три истории? К тому, что чтобы вы ни делали, "shit happens", как говорилось в фильме "Форрест Гамп". Сегодня нельзя быть уверенным в том, что атака на вас не пройдет незамеченной, а инцидент не случится и не станет приводить к ущербу. Все бывает, какие бы меры защиты вы не приняли. Поэтому надо быть готовым к реагированию и регулярно проверять свою способность на практике выполнять разработанные в уютных кабинетах инструкции и процедуры. Кто-то это делает, а кто-то нет. Например, "Аэрофлот" готовится заранее. Да, это неприятно для пассажира, но он, по крайней мере, не торчит часами у стойки авиакомпании в надежде узнать хоть какую-то новость о своем будущем.

А вот S7 могла бы и предусмотреть такой поворот дел. О задержках рейсов известно было за день - рейсы в Москву, которыми и должны были лететь пассажиры 1-го июля ведь в Домодедово не прилетели. То есть можно было предвидеть будущий коллапс - нагнать народу для работы с пассажирами, подготовить питание, решить вопрос с гостиницами. Ведь основная проблема с ситуацией 1-го числа была не в самой задержке, а в том, что авиакомпания самоустранилась от решения проблем. По словам коллег, служащие S7 футболили пассажиров между разными якобы принимающими решения людьми, не зная, что делать и не желая брать на себя ответственность (или не имея такой возможности). "Главного ответственного" так и не нашли.

Вот в ИБ часто бывает точно также. Вроде и компания серьезная, и решения внедрены серьезные, и даже процессы сертифицированы на ISO 27001 или ИС прошла аттестацию, а инцидент наступил и никто не знает, что делать. Если процедуры и разработаны, то о них никто не знает или они не работают. И наступает такой же коллапс. Или ущерб. А это неправильно. Я уже писал, что сегодня нельзя полностью предотвратить все атаки и надо быть готовым к тому, что атака пройдет через защитные преграды и надо выстраивать процессы обнаружения и, самое главное, реагирования на уже произошедшие инциденты. Без этого современная система ИБ уже невозможна.

Дабы заметка не выглядела как реклама "Аэрофлота" :-) могу рассказать кейс, когда эта авиакомпания отработала не самым лучшим образом. В прошлом году вылетал из Нижнего Новгорода с "Кода ИБ". Рейс был предпоследний и его по техническим причинам отменили; хотя нас уже посадили в самолет и даже вырулили на ВПП. Выйдя из самолете многие кинулись менять билеты на последний рейс, но цена на эконом оказалось совсем не экономной - 60 тысяч рублей (из Нижнего в Москву, где лета минут 50). Работника "Аэрофлота" на месте уже тоже не оказалось, так как у него закончился рабочий день и он свалил домой. По громкой связи всем объявили, что рейс переносится на 10 утра. В адрес авиакомпании было сказано много добрых слов от пассажиров.

Моя попытка уехать поездом тоже не увенчалась успехом - ночных "Сапсанов" из Нижнего нет, а ехать обычным поездом 7-8 часов никакого желания не было - приезжаешь почти в то же время, что и перенесенный рейс. Я был очень раздасадован, так как в 8 утра у меня уже была запланирована в Москве встреча и я на нее никак не попадал - все варианты разрулить проблему я перепробовал. Но итог оказался вполне успешным - я из Нижнего в Москву... уехал на такси. В вечернее время это заняло всего 4,5 часа, а цену я разделили с еще двумя пассажирами, которым тоже нужно было в столицу. Вот такое нестандартное реагирование, о котором я и не думал изначально, так как в голову прийти заменить самолет обычным такси мне мысль не приходила :-) То есть реагирование может быть иногда и спонтанным, но все-таки лучше, если все варианты прорабатываются заранее.

13.07.2017

Становление финансовой корпорации "Сайберкрайм и сыновья"

По весне я решил себе на дачу заказать семена морковки. Зашел в Интернет-магазин, набрал себе товара в корзину и нажал кнопку оплатить... И тут я в очередной раз столкнулся с проявлением ну не то чтобы совкового бизнеса, сколько с непониманием владельцев Интернет-магазина основ ведения бизнеса в Интернете. Они мне предложили на выбор два (всего два) варианта оплаты - квитанцией Сбербанка и наложенным платежом Почтой России. Квитанция Сбербанка (а у меня нет счета в Сбере, что заставило бы меня идти в отделение пешком) и оперативной Почтой России. Никакой оплатой по карте. Никакой доставки курьером. Разумеется, я отказался от этого Интернет-магазина, который потерял в моем лице клиента, возможно, постоянного.

У современной киберпреступности совсем иная модель ведения бизнеса. Они прикладывают все усилия для того, чтобы получить ваши деньги. Вот, например, варианты, предлагаемые авторами одного из шифровальщиков. Да, биткойны есть не у всех. Так вот вам альтернативные схемы оплаты.

Это примета современной киберпреступности, которая научилась не просто считать деньги, но выстраивать правильные бизнес-модели, вкладывая минимум и очень быстро получая отдачу при невысоких первоначальных инвестициях. Но, по-прежнему, в среде специалистов по ИБ, несильно погруженных в тему именно борьбы с киберпреступностью, бытует мнение, что киберпреступность - это сообщество одиночек; патлатых хакеров, клацающих по клавиатуре в ночи, сидящих в засранной чипсами и банками пива комнате в засаленной толстовке, самостоятельно пишущих вредоносный код, внедряющих его, крадущих деньги и сразу их обналичивающих в банкомате соседней аптеки (при покупке глазолина для слезящихся глаз от ночной работы за мерцающим монитором дешевенького ноутбука).


Реалии же совсем иные. Киберпреступность - это хорошо организованное сообщество, жестко подчиненной одной цели - заработать (кибертерроризм, киберэкстремизм, хактивизм и спецслужбы мы оставлим пока в стороне). И для этой цели выбираются лучшие из представленных на рынке бизнес-моделей, которые не просто копируют, а иногда и превосходят то, что происходит в легальном бизнесе. Ведь киберпреступники не скованы никакими ограничениями. Им не надо платить налоги, получать лицензии, проходить проверки и т.п. Они динамичны, скрытны и умны. И чтобы с ними бороться, надо это понимать.

Именно поэтому в 2011-м году для первой ZeroNights я подготовил презентацию по бизнес-моделированию киберпреступности. Но после ее прочтения засели во мне сомнения. Слишком молода была аудитория ZN и слишком горящи глаза, смотрящие на то, как заработать на своих знаниях и умениях ломать. После этого я эту презентацию читал только один раз в Киеве, считая, что учить киберпреступников зарабатывать не совсем правильно. Но время шло и спустя 6 лет я вновь вернулся к этой теме. Поразмыслив, я понял, что скрывать это все равно бессмысленно. Эта информация не является секретной и ее можно найти в Интернет, не говоря уже о Darknet. Поэтому существенно переработав материал я его прочитал для образовательного проекта Сбербанка в апреле этого года.

А тут меня пригласили на Payment Security в Питер (я уже писал, что это оказалось офигенным мероприятием), где я решил прочитать материал, модифицировав его и добавив новых примеров, появившихся у меня за последние два месяца. Эти две недели я все думал, выкладывать презентацию или нет (некоторые коллеги говорили мне в Питере, что это хорошее учебное пособие для преступников), но потом все-таки решил, а почему бы и нет. Все-таки после принятия в 3-м чтении законопроекта о безопасности критической инфраструктуры и повышении срока наказания за атаки на критическую инфраструктуру (а многие банки могут таковыми стать) до 10 лет лишения свободы, ситуация поменялась и люди, задумавшиеся о том, чтобы встать на темный путь, могут передумать (хотелось бы, чтобы так и было). Поэтому я принял решение о выкладывании своей презентации, что и делаю:


11.07.2017

Как разные мировые и отечественные регуляторы отреагировали на WannaCry и Petya/Nyetya

Обновлял тут презентацию по построению национального центра мониторинга кибербезопасности и решил проанализировать, как регуляторы разных стран отреагировали на последние эпидемии WannaCry и Petya/Nyetya.


Традиционно американцы считаются законодателями мод в области кибербезопасности (хотя их, по их же словам, русские и китайские хакеры ломают в хвост и гриву). Как же отреагировали множественные американские государственные и отраслевые регуляторы, имеющие отношение к информационной безопасности? Получается такая картина:
  • US-CERT - 12 мая появился полноценный бюллетень с описанием WannaCry, индикаторами компрометации, правилами YARA и т.п. Потом бюллетень многократно обновлялся. Про Petya американский государственный CERT отписался 1-го июля.
  • ICS-CERT - 15 мая был опубликован бюллетень, посвященный обзору WannaCry применительно к промышленным системам. Про Petya ICS-CERT опубликовал бюллетень 30 июня, на день раньше US-CERT.
  • NCCIC про WannyCry выпустил обзор 2 июня.
  • ФБР - 13 мая опубликован бюллетень с индикаторами компрометации для WannaCry, а 3 июля для Petya.
  • SEC (Комиссия по ценным бумагам) выпустила бюллютень про WannaCry 17 мая.
  • FTC отметилась 15 мая заметкой про WannaCry в своем блоге; про Petya - молчок.
  • АНБ публично выпустило бюллютень про WannaCry в первый рабочий день после начала эпидемии, 15 мая. Про Petya их бюллетеней не нашел.
  • DHS опубликовал пресс-релиз про WannaCry в день начала эпидемии, 12 мая, а про Petya - 28 июня.
  • FCC (Федеральная коммуникационная комиссия, аналог нашего Минкомсвязи) никак не отреагировала на WannaCry и Petya.
  • FINRA никак не отреагировала на атаки шифровальщиков.
  • ABA (Ассоциация американских банков) распространила среди своих членов бюллетень о Petya 5 июля, а о WannaCry - 15 мая.
  • Различные ISAC (Innformation Sharing and Analysis Center) также распространили соответствующие уведомления о WannaCry и Petya/Nyetya (я получил анонсы от FS-ISAC, MS-ISAC, IT-ISAC).

В Старом Свете ситуация с уведомлениями была схожей - кто-то оперативно и публично уведомил пользователей, а кто-то промолчал и молчит до сих пор (возможно, делая рассылки по закрытым спискам или публикуя уведомления на закрытых порталах):
  • Английский NCSC 13 мая отделался общими фразами о существовании WannaCry, но уже 14 мая выпустил два руководства по отражению WannaCry для домашних пользователей и малого бизнеса, а также для корпоративных заказчиков. Про Petya NCSC до сих пор ничего не написал, кроме упоминания в еженедельном обзоре событий безопасности.
  • CPNI, занимающийся в Великобритании защитой критической инфраструктуры, публично никак не отреагировал на эпидемии шифровальщиков.
  • Европейское агентство по ИБ ENISA отчиталось о WannaCry подробным отчетом 15 мая, а по Petya никакой информации нет до сих пор.
  • Европейский CERT-EU выпустил первую версию бюллетеня по WannaCry в день начала эпидемии - 12 мая, а по Petya - 28 июня.
Отечественные регуляторы оказались не хуже, а местами и лучше импортных. ГосСОПКА отчиталась по WannaCry в тот же день (по словам очевидцев - сам не видел их уведомления). По Petya  ГосСОПКА разослала уведомление 27-го июня (я первоначально искал новости на gov-cert.ru, но там ничего нет и цель этого сайта мне не совсем понятна). МВД молчит до сих пор, а ФСТЭК объединила WannaCry и Petya в своем информационном сообщении от 2-го июля. ЦБ разместил у себя на сайте краткие анонсы по WannaCry 19 мая, а по Petya - 28 июня (с указанием, что детальные уведомления были разосланы в день начала эпидемий всем подключившимся к информационному обмену с FinCERT). Другие регуляторы (МинЭнерго, Минкомсвязь, МЧС и другие) никак не отреагировали на глобальные киберугрозы, которые затронули многие российские компании, включая и критические инфраструктуры.

Уведомление ГосСОПКИ мне понравилось. Тут и индикаторы компрометации, и YARA-правила (от Касперского), и сигнатуры Snort (если не ошибаюсь, от Positive Technologies). А еще ГосСОПКА не чурается использовать международно признанные стандарты в области Threat Intelligence - YARA, TLP, хеши по SHA1/SHA256/MD5 (это вообще забавно, когда ГосСОПКА, созданная 8-м Центром ФСБ, активно насаждающем российские криптоалгоритмы, в своей работе использует алгоритмы западные, а точнее американские :-). Постепенно вырисовывается то, что осталось за рамками методических рекомендаций по созданию центров ГосСОПКИ, о чем я писал ранее.

Выводов из этой картины я бы мог сделать несколько:
  1. В России не хватает национальных CERTов, которые бы эффективно могли отрабатывать такие глобальные эпидемии и оперативно делиться со всеми (а не в рамках закрытого информационного обмена как у ГосСОПКА или FinCERT) информацией об индикаторах компрометации и способах нейтрализации угроз. С частными CERTами ситуация неочевидная - GIB-CERT вообще ничего на своем сайте не публикует (возможно рассылая информацию по платной подписке), а вот Лаборатория Касперского через свой промышленный ICS-CERT опубликовала отчет по WannaCry 14 мая.
  2. Регуляторы, устанавливающие требования по ИБ, практически никогда оперативно не выпускают уведомления о глобальных угрозах, запаздывая на несколько дней, а то и недель. Более того, они никогда (почему-то) не ссылаются на разработанные ими же документы, требования и рекомендации. То есть получается, что "бумажные требования" живут своей жизнью, имеющей мало общего с реальностью, а конкретные рекомендации даются без какой-либо привязки к ранее разработанным документам (и зачем они тогда нужны). В России исключением стала только ФСТЭК, которая в своем информационном сообщении сослалась на свои приказы с требованиями по защите.
  3. В России регуляторы по-прежнему не умеют коммуницировать с целевой аудиторией по вопросам ИБ. Я как-то про это уже писал и вижу, что ситуация с мертвой точки за это время так и не сдвинулась. А ведь и WannaCry и Petya/Nyetya могли стать отличными инфоповодами для регуляторов, которые могли бы обратить внимание аудиторию на существующие проблемы в ИБ и способы их решения; да и про собственный PR не забыть. Хотя про PR некоторые из них иногда помнят, а про помощь своим подопечным нет... :-(
  4. В России по-прежнему любят секретить все, что только можно. Закрытые рассылки, закрытые порталы, закрытые мероприятия, включая, онлайн... И ситуация лучше не становится. Тот же законопроект по безопасности критической инфраструктуры, принятый во втором чтении, в котором так и осталась норма об отнесении информации о мерах защиты и состоянии защищенности критических инфраструктур к гостайне. И зачем так закручивать гайки?

10.07.2017

Symantec покупает Fireglass

6 июля Symantec объявил о намерении купить израильскую Fireglass, известную своей технологией изоляции вредоносного кода и фишинговых угроз при посещении Web-сайтов. Условия сделки не раскрываются.

О реакции ФСТЭК на Petya и WannaCry

2-го июля ФСТЭК выпустила информационное сообщение про вредоносные программы Petya и WannaCry и способы борьбы с ними. Закрою глаза на то, что рекомендации ФСТЭК вышли спустя полтора месяца с момента WannaCry и пару недель с момента Petya/Nyetya. Все-таки у ФСТЭК нет задачи оперативного оповещения о компьютерных атаках и способах им противодействия - это задача ГосСОПКИ и она с ней справляется, пусть пока и для избранных, подключенных ведомств или иных организаций, например, в рамках Кубка Конфедерации. Да и процедура согласования любых официальных коммуникаций у госорганов со своими юристами дело небыстрое. Учитывая, что ряд госорганов, за безопасность которых и отвечает ФСТЭК, столкнулись с заражениями своих компьютеров, регулятор не смог остаться в стороне (хотя, наверное, мог) и выпустил “рекомендации”, в которых, если их уложить в одну фразу, указал, что 17/21/31-й приказы содержали защитные меры для борьбы с WannaCry и Nyetya и их реализация помогла бы предотвратить эпидемии. Отчасти конечно это так, но…


Во-первых, часть из описанных в сообщении мер (кстати, в нем было бы правильно указать коды этих мер) была включена в базовый набор только для 1-го и 2-го классов защищенности ГИС, а для 3-го и 4-го (хотя последних в природе, по словам ФСТЭК, почти не существует) эти меры не входили в состав рекомендованных (например, ОЦЛ.4, ОДТ.2, ОДТ.4, ОДТ.5, ЗИС.17, ЗИС.23 и СОВ.1). Тоже самое с ИСПДн и АСУ ТП - далеко не для всех классов/уровней защищенности рекомендованные меры были рекомендованы. А учитывая классическое стремление многих заказчиков к занижению классов и уровней защищенности, число тех, кто мог попасть под раздачу могло оказаться вполне большим, даже несмотря на реализацию приказов ФСТЭК.

Во-вторых, как показали обе эпидемии, традиционные антивирусы не могли оперативно обнаруживать данные вредоносные программы (очень хорошо это было видно на VirusTotal, где в первые часы после начала эпидемий только 5-7 антивирусов обнаруживали данные угрозы). ФСТЭК в своем сообщении правильно пишет, что нужны не простые антивирусы, а имеющие функцию эвристики. И тут мы натыкаемся на несколько тонких нюансов. Во-первых, ни в 17-м приказе (а также 21-м и 31-м), ни в методичке к нему, про эвристику не сказано ни слова, и в целях экономии и так небольшого бюджета на защиту информации заказчики могут применять обычные бесплатные антивирусы без какой-либо эвристики (в данном случае речь идет о реальном механизме, а не маркетинговых заявлениях). Во-вторых, эвристика включена далеко не всегда (отжирает системных ресурсов она не мало). В-третьих, системы класса STAP или EDR или EVC, которые заточены на борьбу именно с такими угрозами (я проверял на нашем Cisco AMP for Endpoints), часто не сертифицированы в ФСТЭК, так как непонятно, по каким требованиям проводить оценку соответствия - базы решающих правил у таких решений нет вовсе. В-четвертых, я пробежался глазами по требованиям к 4-му классу антивирусных средств типа “В” (для автоматизированных рабочих мест) и также не нашел в них ни слова про эвристику или иные, отличные от сигнатурных, методы обнаружения вредоносных программ, а значит при сертификации их могут и не проверять вовсе.

Кстати, еще один нюанс. В информационном сообщении ФСТЭК от 30 июля 2012 г. N 240/24/3095 говорится, что для применения в ГИС могут применяться только антивирусы 4-го класса защиты (не ниже), а в том же 17-м приказе еще недавно, до принятия 27-го приказа, говорилось, что для ГИС 4-го класса возможно применение антивирусов 5-го класса защиты. Теперь же, после принятия 27-го приказа, 17-й приказ допускает применение антивирусов 5-го класса защиты для ГИС 2-го класса защищенности и антивирусов 6-го класса для ГИС 3-го класса соответственно. Понятно, что руководствоваться надо 17-м приказом, а не информационным сообщением, но нестыковка требований налицо. Схожая проблема была с информационным сообщением про межсетевые экраны и 1-е декабря 2016-го года, что потребовало выпуска еще одного информационного сообщения.

В-третьих, среди упомянутых защитных мер не упомянуты ни управление потоками, например, анализ Netflow с сетевого оборудования (УПД.3), ни применение СЗИ от НСД для блокирования запуска того же psexec.exe (УПД.1, УПД.2, УПД.4, УПД.5, ЗИС.1), используемого в эпидемии Nyetya? А где упоминание контроля удаленного доступа к средствам административного управления WMI (УПД.13, ЗИС.23), внутренней сегментации сети (ЗИС.6, ЗИС.17), взаимодействия с Tor (ЗИС.16)?

Очень непривычно выглядит ссылка ФСТЭК на уязвимости, классифицированные в соответствие с Банком данных угроз и уязвимостей (БДУ). Обычно все вендоры ссылаются на CVE. Интересно, что ГосСОПКА в своих рекомендациях тоже использует международную классификацию CVE, “забывая” про отечественную БДУ (можно было бы и в скобках указать соответствующие коды). Добавлю, что рекомендации ГосСОПКИ по борьбе с Petya/Nyetya отличаются от рекомендаций ФСТЭК.

Вот такое у меня впечатление от последнего информационного сообщения ФСТЭК. Вроде и нужное дело, но есть какая-то недосказанность и неполнота. Вообще, информационные сообщения ФСТЭК несмотря на всю их полезность часто неполны или вызывают у многих читателей двойственность толкования при прочтении. Например, информационное сообщение по согласованию моделей угроз. Из него, например, непонятно, надо ли согласовывать модели угроз для уже введенных или модернизируемых ГИС? А надо ли согласовывать частные модели угроз при наличии общей? А еще, будь я на месте ФСТЭК, я бы в это сообщение вставил бы список типовых ошибок при составлении моделей угроз. Он же у ФСТЭК есть и его даже представляли на одной из конференций - логично было бы его поместить сюда.

Учитывая, что ФСТЭК активно стал публиковать разъяснения тех или иных вопросов именно в виде информационных сообщений, стоило бы внедрить у себя на сайте форму для отправки запросов по каким-либо темам (из широкого набора предопределенных вариантов, чтобы было проще сортировать) с последующей публикацией ответов в виде информационного письма (возможно, с предварительным обсуждением проекта письма с экспертами). Это бы сделало работу регулятора более полезной и эффективной.

05.07.2017

Три составных части хорошего мероприятия по ИБ, которые можно будет увидеть через месяц

Читатели блога знают, что я достаточно скептически отношусь ко многим мероприятиям по ИБ, проводимым в России. То организация на нуле, то контент преимущественно рекламный или из серии "Security 101", то кулуаров нет и не с кем пообщаться. Отечественных мероприятий, которые могли бы похвастаться всеми тремя составляющими не так уж и много. Одно из последних, которые мне удалось посетить (правда, по ускоренной программе - утром в Питер и через несколько часов уже обратно), - это конференция Payment Security. Два дня достойного контента, три параллельных потока, практически полное отсутствие рекламы и возможность пообщаться с коллегами, которых только и увидишь, что на ИБ-конференциях.

По мере возможности я стараюсь внести свою лепту в формирование правильных мероприятий по кибербезопасности. И вот очередная такая попытка пройдет совсем скоро - меньше чем через месяц. Компания ЭкспоЛинк решила расширить спектр своих мероприятий по ИБ и помимо регионального роадшоу "Код ИБ" и Интернет-версии "Код ИБ. ОНЛАЙН" (в этот раз он будет в августе и будет посвящен теме АСУ ТП) будет проводить "Код ИБ. ПРОФИ", концепция которого отличается от первых двух событий. Во-первых, никаких 20-тиминутных докладов - только полуторачасовые мастер-классы по самым разным темам. Во-вторых, никакой рекламы. В-третьих, хорошие, проверенные временем докладчики, которые не будут гнать джинсу и мямлить, пытаясь связать два слова. Регуляторов, кстати, тоже не будет :-) Место проведения отличное для лета - союзная здравница Сочи (рядом с Олимпийским парком).  Ну а кулуары в такой компании и в таком месте обещают быть интереснейшими (деваться-то некуда - ни домой, ни на работу не сорвешься).

Мне доверили формирование программной части и вот что получилось на текущий момент:

  • "ИБ как бизнес-функция". Дмитрий Мананников, директор по безопасности, СПСР Экспресс
  • "Корпоративные правила в ИБ". Рустем Хайретдинов, генеральный директор, "Атак Киллер", начинающий ИБ-блогер
  • "Измерение ИБ". Дмитрий Мананников, директор по безопасности, СПСР Экспресс
  • "Психология в ИБ". Олег Кузьмин, руководитель ИБ, концерн "Алмаз-Антей"
  • "Управление рисками по ISO 27001". Александр Дорофеев, директор по развитию, НПО "Эшелон"
  • "Внутренний маркетинг по ИБ". Алексей Лукацкий (возможно будет замена доклада и докладчика)
  • "Управление security compliance". Алексей Лукацкий, бизнес-консультант по ИБ, Cisco
  • "Security Awareness и культура ИБ". Кирилл Мартыненко, заместитель директора Управления стандартов и процессов ИБ, Сбербанк России
  • "Управление угрозами и хакерами". Алексей Качалин, заместитель директора по развитию бизнеса, Positive Technologies
  • "Как правильно составить SLA с аутсорсером". Наталья Гуляева, партер международной юридической фирмы, Hogan Lovells
  • "Управление инцидентами". Андрей Прозоров, руководитель экспертного направления, Solar Security.
Напомню, что каждая названная тема представляет собой полуторачасовой мастер-класс. Я специально старался не включать технических сессий, уделив больше внимания именно процессным и организационным вещам, о которых мало когда говорят на отечественных мероприятиях (20-ти минут для этого обычно просто не хватает), исключая, быть может, CISO Forum. Коллеги будут делиться своим практическим опытом в указанных сферах (описание всех сессий можно посмотреть на сайте конференции).

Как куратор конференции (почти как куратор выставки или арт-объекта) я буду не совсем объективен, но мне кажется, что получится отличное мероприятие, на котором помимо интересной программы запланирована еще и морская регата с горным трофи. Так что если у вас еще есть возможность включить это мероприятие в свою планы обучения или вы готовы потратить не очень большие деньги на самообразование, то это будет точно не зря потраченное время. 

ЗЫ. Участники "Код ИБ. ПРОФИ" по окончании мероприятия получат сертификаты УЦ "Эшелон".

28.06.2017

Впечатления от посещения Gartner Security & Risk Management Summit

Между посещениями двух музеев (шпионского и криптологического) у меня было 4 дня, которые я посвятил Gartner Security & Risk Management Summit, прошедшего в National Harbor (курорт недалеко от Вашингтона).


Я первый раз участвовал в мероприятии Gartner (если не рассматривать закрытое мероприятие в Москве в мае этого года) и поэтому мне было интересно сравнить с той же RSAC. И надо сказать, что сравнивать эти мероприятия невозможно :-) Они разные. От слова совсем. На RSAC гораздо больше докладов и спектр покрываемых тем существенно шире, чем у Gartner. На RSAC говорят про все - про атаки, хакеров, культуру, человеческий фактор, измерения, технологии, криптографию и т.п. Даже отдельные саммиты проводят - по программам-вымогателям, по рискам, по облакам, по женщинам в ИБ. Но при этом все доклады независимы друг от друга. Они очень достойны, но не связаны общей концепцией (кроме ИБ и какого-либо направления).

У Gartner все подчинено общей концепции и говорят только о том, что исследует Gartner. Ничего за пределами интересов компании-организатора. Много про технологии, риски, бизнес, и почти ничего про атаки, криптографию, хакеров и т.п. По сути речь идет о классической аудитории CISO, которым не надо погружаться в глубокую технику, а интересует обзор технологий с практикой их применения (Gartner собирает эту практику и потом анонимно предоставляет в выступлениях и исследованиях). Если на RSAC выходит CISO какого-нибудь HSBC и говорит, мы внедрили то-то и то-то, то Gartner говорит, многие наши заказчики внедрили вот это и столкнулись с такими-то проблемами. То есть вы слушаете аккумулированный и просеянный через сито аналитика опыт. В этом большой плюс Gartner.


Еще одним отличием двух мероприятий является то, что на RSAC вы только слушаете. После докладов вы предоставлены сами себе и максимум на что вы можете рассчитывать - приглашение на какой-либо reception или party, где вы сможете пообщаться с коллегами, но не о работе (это же party - надо веселиться). У Gartner, наоборот, очень сильная коммуникативная составляющая. 


Во-первых, ваш бейдж метится цветом, исходя из вашей отрасли (технологии, инвесторы, финансы, ритейл и т.п.) и вы можете не только вычленять в толпе "ваших" коллег, но и на завтраках и обедах садиться за столы с ними, где и можете общаться, обмениваться опытом и т.п. Это было очень ценно.


Во-вторых, вы можете забронировать возможность пообщаться с аналитиками Gartner на интересующие вас темы. На сайте (или в приложении) вам предоставляется возможность выбора темы и вам предлагается набор аналитиков, которые готовы вам помочь разобраться в интересующем вопросе. Даже указан язык, на котором вы можете пообщаться с Gartner.


Как участнику вам предоставляется возможность дважды пообщаться с консультантами Gartner - это входит в стоимость участия. То есть вы не только слушаете доклады, но и можете узнать что-то вас заинтересовавшее от Gartner. Но... все хорошие (хотя в Gartner, наверное, нет плохих :-) аналитики обычно заняты задолго до начала мероприятия. Я очень поздно зарегистрировался и интересные мне темы уже были расписаны :-( Вообще я никогда не думал, что в Gartner столько людей занимается ИБ. И почти все они вице-президенты или директора :-)


И хотя цена на американский саммит Gartner выше на треть, чем на RSAC (у мероприятий в других регионах - Великобритания, Австралия, Япония и др. цена ниже и сравнима с RSAC, но и программа менее насыщенная), именно возможность общения с коллегами или с Gartner того стоит. У нас часто высказывается мнения, что на российские ИБ-тусовки надо ходить ради кулуаров, а контент отстойный, так как представляется спонсорами. Вот саммит Gartner - это не только кулуары, но и контент, в котором нет рекламы (ну разве что самих исследований, которые можно купить за деньги или стать клиентом и получать в рамках подписки).

Фрагмент презентации про уровни зрелости защиты от вредоносного кода
Наиболее полный эффект от участия в саммите достигается в связке: прослушать доклад - прочитать исследование - пообщаться с консультантами. Без 1-2 элементов это уже не так оправданно, но все равно интересно. Хотя можно рассматривать прослушивание докладов как краткое изложение дорогостоящих (по несколько тысяч долларов) исследований Гартнера. Нет денег на корпоративную подписку - езжай на саммит :-) Это, конечно, шутка, но как известно, в каждой шутке...

Как и на любом мероприятии есть свои VIP-участники, у которых больше возможностей по общению с Gartner, приглашению на вендорские мероприятия и т.д.


Кстати, о вендорах. Помимо конференционной части саммит сопровождается трехдневной выставкой, на которой было представлено около 200 стендов (этакая мини-RSA). Компании как именитые, так и стартапы; преимущественно американские. Из наших я видел только Лабораторию Касперского и ERPscan.


Вендоры читают свои доклады в небольших загончиках на самой выставке, но за отдельную плату им предоставляется возможность выступаить в больших залах. Но организаторы сделали интересную фишку. Все доклады вендоров сокращены до 30 минут и даны в одно и тоже время (до и после обеда), не пересекаясь с выступлениями аналитиков Gartner. Хочешь слушай производителей, не хочешь - займись делами (проверь почту, пообщайся с аналитиками Gartner, сделай звонки по работе или сходи на выставку).


Кстати, заметил существенный разрыв в качестве докладов между вендорами и Gartner. Первые читают как для чайников (регулярно хотелось крикнуть "лопата"), а вторые рассчитывают на более продвинутую аудиторию. Зато party у вендоров удались :-) Рассказывать там ничего не надо было - наливай, да пей. Ну и участвуй в розыгрыше призов. Самый крутой был на вечеринке Cisco - разыгрывали "Харлей" :-)


Во время пленарного выступления, когда в зал собирается несколько тысяч человек и это занимает определенное время, чтобы люди не теряли время зря им крутятся различные интересные факты (как из жизни ИТ и ИБ, так и из области общих знаний).


При этом Gartner не скрывает своих ошибок и признает, что иногда делает неверные предсказания, открыто публикуя эти сведения. Они не боятся "лажать" :-)


Пленарки особенно не запомнились. Разве что выступление бывшего директор ЦРУ Джона Бреннана, который говорил о... да о том же, о чем говорят высокие чины с трибуны перед ИБ-аудиторий. Про важность ИБ, про угрозу от России, про важность обмена информацией, про сложность обеспечения ИБ на современном этапе и т.п. Ровно о том же говорил Майк Роджерс (директор АНБ) на RSAC, о том же и там же (на RSAC) говорила генпрокурор США или министр обороны США. Об этом же говорят и наши высокопоставленные чиновники/регуляторы на том же PHDays или Инфофоруме. Разница только в том, что ни разу не видел директора ФСБ, ГРУ, ФСТЭК, МинОбороны, СВР, МВД или Генпрокураторы на отечественных мероприятиях по ИБ. А за те редкие визиты в США, что у меня бывают, я видел чуть ли не всю верхушку американского силового блока. Там не только не зазорно выходить и общаться с аудиторией, но и понятно, зачем это нужно делать. У нас же... Ну вы и сами знаете отношение большинства регуляторов к рядовым безопасникам (за редким исключением).


Еще одной фишкой стали стойки PEERinsights, где можно поделиться собственным опытом тестирования и эксплуатации какого-либо продукта по ИБ. По итогам вы получаете приз, а ваша оценка составляют основу пользовательского рейтинга, который может отличаться от классического магического квадрата. Например, именно по этому рейтингу среди лидеров рынка SIEM клиентами Gartner были названы LogRhytm, LogPoint и Splunk (на самом деле максимальные 5 баллов получили Exabeam и Graylog, но у них было всего по 1-2 отзыва, в отличие от LogRhytm с 197 отзывами или Splunk с 91-м отзывом).


Очень неплохо сделано мобильное приложение - и с точки зрения программы и с точки зрения социальной составляющей. Есть игра с набором баллов за различные действия на саммите, список участников, возможность связаться с ними и т.п.

Делиться впечатлениями от самих докладов, пожалуй, не буду - слишком много пришлось бы писать. Те, несколько десятков докладов, что я посетил, оставили только положительные впечатления (кроме доклада Альперовича из CrowdStrike) - время было потрачено не зря. Пожалуй, единственное, что меня разочаровало, - отсутствие серьезной ориентаций на ИБ как бизнес-функцию. Почти ничего не говорили про роль ИБ в бизнесе (с примерами, а не с общими словами), про измерение ИБ (про конкретные примеры, а не общие размышления о важности этого процесса) и т.п. Отчасти, как мне показалось, это связано с тем, что аудитория к этому просто не готова, как ни странно. Один из аналитиков Gartner, рассказывая про метрики, сказал, что самый частый вопрос от их клиентов по этой теме: "А у вас есть список метрик, которые я могу показать руководству?!" :-) Это говорит о многом. Поэтому, видно, программа формировалась исходя из тех тем, которые интересны аудитории, а она еще оказалось не готова (что для меня было сюрпризом) к разговору с бизнесом на равных. Мне показалось, что даже в России эта тема чаще поднимается, чем на RSAC или на Gartner. Кстати, пользуясь случаем, могу сказать, что в конце июля этому (бизнесу и ИБ) будет посвящено отдельное мероприятие в Сочи "Код ИБ. ПРОФИ".

Еще несколько наблюдений:
  • Кормят прекрасно - гораздо лучше RSAC, на которой предоставляли только завтраки (и то не очень и сидеть надо было на полу), а все остальные надо было добывать самому в близлежащих забегаловках.
  • При регистрации на сайте запрещают использовать слово Gartner в пароле. Якобы это сделано для безопасности. А вот пароль на Wi-Fi почему-то состоит всего из одного слова и это слово... gartner :-)
  • По домену e-mail распознают вендоров и блокируют им участие в некоторых мероприятиях конкурентов :-)
ЗЫ. Из всех Security Summit'ов, который проводит Gartner, этот самый крупный и представительный. Поэтому если вы будете планировать посещение и для вас основное - это контент и общение, то американский саммит подходит для этого лучше всего. Если, конечно, вы не хотите посетить Лондон, Токио или страну кенгуру.

27.06.2017

Как я посетил АНБ. Музей, а не то, что вы подумали :-)

Начав недавнюю поездку в США с посещения международного шпионского музея, завершить ее я решил, посетив национальный криптологический музей, расположенный в штаб-квартире АНБ в Форт Миде (40 минут езды от Вашингтона). Он не так посещаем (все-таки сказывается удаленность от столицы), но для меня оказался гораздо более интересным, чем шпионский. Наверное потому, что он мне ближе по роду деятельности (шутки про АНБ отставить :-) Все-таки начинал я свой профессиональный путь как программист СКЗИ, да и потом достаточно тесно был связан с криптографией. Поэтому и было так интересно посмотреть экспозицию музея.


Криптологический музей АНБ небольшой, но описывает практически все ключевые моменты истории американской криптографии - начиная войну южан и северян и заканчивая нашим временем. Каждый из залов посвящен определенной теме (Вторая мировая война, корейская война, Гражданская война 1861-1865 годов, Афганистан и Ирак и т.п.).

Учитывая ведомственную принадлежность музея, в нем нет ничего о древней истории криптологии, но... Музей обладает отличной коллекцией книг-раритетов, которые давно уже стали историей и в особом представлении не нуждаются. "Египетская грамматика" Шампольона, "Полиграфия" Тритемия, "Криптография. Искусство секретного письма" Клюбера, "Криптография" Фридеричи, Opus Novum Сильвестри (старейшая книга в собрании АНБ - 1526 год) и др.

Многие из этих названий (книг и авторов) я использовал в криптографических "Своей игре" и "Брейн-ринге" на РусКрипто.


Кстати, чтобы закончить с книжной темой. В музее представлена и рукопись "Взломщиков кодов" Кана - одного из самых значительных трудов по истории мировой криптографии.


На выходе из музея находится библиотека, основу которой составила коллекция Кана, а позже она пополнялась (и до сих пор пополняется) сотрудниками музея.

 
Глаза, конечно, разбегаются :-) Но книг на русском языке (хотя на других есть) я так и не увидел. Хотя Советскому союзу, КГБ, России книг посвящено немало; среди авторов Судоплатов, Калугин, Гордиевский...

Единственным сувениром, который я купил в шпионском магазине, был шифровальный цилиндр Джефферсона (один из отцов-основателей и 3-й президент США). Его же, а также ряд других связанных с войной северян и южан экспонатов, я видел в музее. Идеи Джефферсона позже были использованы многими странами, в том числе и США, который создали свой шифратор М-94, используемый вплоть до 1943-го года.


Начало 20-го века ознаменовалось Первой мировой войной, в результате которой родилась мощная криптографическая служба Военно-морского флота США (на фото внизу слева первая роторная машина Хепберна).


Обойти историю Энигмы в АНБ не могли и этой странице Второй мировой войны посвящена большая часть экспозиции криптологического музея. Различные варианты Энигмы, Tunny и другие немецкие шифровальные устройства, успешно взломанные английскими и американскими криптоаналитиками.


Устройства для криптоанализа также были представлены в музее АНБ - Colossus, Sturgeon, тьюринговские "бомбы" для взлома Энигмы и т.п. Это, кстати, редкость, - я мало где видел такие экспонаты; обычно все заканчивается немецкой Энигмой или менее известной советской Фиалкой (ее, кстати, в музее АНБ не было :-).

На входе в национальный криптологический музей были представлен еще ряд экспонатов времен Второй мировой войны - различные "ручные" шифровальные и криптоаналитические машины, применяемые в войне с немцами и японцами.


Пёрл Харбор оставил непростой след в истории США и это нашло свое отражение в экспозиции музея АНБ. Японские шифровальные машины Red, и пришедшая ей на смену Purple, а также устройства для их дешифрования. Тут американцам есть чем хвастаться - они участвовали в процессе в одиночку; в отличие от взлома Энигмы, где основную роль сыграли англичане.


В отличие от шпионского музей, "повернутого" на Советстком союзе, АНБ не концентрируется на России - это одна из множества историй, оставивших след в криптографическом "досье" США. Советский союз представлен двумя историями - атомный шпионаж супругов Розенбергов и Великая американская печать. Вторую историю я уже упоминал при обзоре шпионского музея и добавить мне нечего. Разве что в музее АНБ показаны внутренности печати с "закладкой" Льва Термена.


А вот экспонатов по делу Розенбергов (операция "Венона") гораздо больше - ведь это был один из самых больших успехов в истории американских спецслужб. Даже копия изъятой финнами кодовой книги (т.н. "код Победа") представлена.


В одно время с операцией "Венона" начинается и активное применение вычислительной техники в криптологической деятельности. Этому витку истории посвящена отдельная экспозиция, где показаны различные вычислительные машины (Крей - одна из самых известных), применяемых Агентством в своей работе.


Отдельной экспозиции удостоились войны "за демократию" - Персидский залив, Ирак, Афганистан и другие, где также активно применялась криптография, за которую отвечало в том числе и АНБ (помимо шифровальных служб ВВС и ВМФ США).


Меня удивило количество сотрудников АНБ, которые были направлены в эти горячие точки - 5000 сотрудников в Ирак и 8000 в Афганистан!!! Всего же по миру по признанию АНБ разбросано 18 тысяч их сотрудников. Вообще численность спецслужб обычно информация засекреченная (и АНБ не исключение), но мне кажется, что у американцев одно из самых больших в мире подразделений, отвечающих за криптографию и спецсвязь.


Завершалась экспозиция музея АНБ двумя направлениями - кибербезопасность (тут экспонатов не было совсем и как в шпионском музее на стенах висели таблички с текстом о важности этого направления в деятельности АНБ, о Heartbleed, который явился большой угрозой нацбезопасности США, и т.п.) и засекреченная связь чиновников высшего ранга. Во втором случае АНБ пошло по пути наращивания защитного потенциала коммерчески выпускаемых смартфонов функциями, позволяющими вести секретные переговоры. Тут, как мне кажется, АНБ поступило очень здраво - подстраиваясь к тому, что есть на рынке и что удобно секретоносителю, не навязывая своей воли (но это, понятно, тема для дискуссии).


Уже на выходе из музей размещен мемориал славы сотрудников АНБ и шифровальных подразделений иных спецслужб и силовых структур, погибших в деле обеспечения национальной безопасности. Разумеется, без имен. Но заставляет задуматься. Есть ли у нас такая "могила неизвестного сотрудника спецслужб", куда может прийти любой желающий и поблагодарить за безопасность? Не знаю. Интересным, кстати, мне показался стенд о роли женщин в истории американской криптологии. Таких героинь оказалось немало (а сколько осталась под грифом...).


Стены гнева или хотя бы поля для игры в дартс, на которой можно было бы повесить портрет Сноудена, в музее АНБ нет :-) А вот настоящие письма американского математика и нобелевского лауреата Джона Нэша в музее АНБ есть. Этот человек должен быть знаком читателям блога по фильму "Игры разума". Нэш, кстати, первый в мире человек, получивший и Нобелевскую и Абелевскую премии. Вклад Нэша в развитие криптографии не так известен широкой публике, но тем не менее его письма в АНБ, развивающие идеи Шеннона и идущие в части криптостойкости и вычислительной сложности гораздо дальше. Первые публичные работы по этой теме были опубликованы только в 75-м году, а Нэш свои письма в АНБ написал двадцатью годами раньше!


На стенде АНБ на выставке RSAC пару лет назад я увидел занимательные детские книжки с головоломками и загадками. Идеи некоторых головоломок я использовал в "Брейн-ринге" на РусКрипто в этом году. Потом я обнаружил на сайте АНБ раздел для детей. И вот в музее уже я наткнулся на магическую комнату, куда приезжают дети из окрестных школ на различные занимательные занятия, позволяющие воспитывать молодое поколение, прививая ему не только интерес к криптографии, но и выискивая даровитых детей для последующего трудоустройства на работу. Я не знаю, как сейчас обстоят дела у нас, но в последнем классе к нам приходили "сотрудники в штатском" и приглашали, сначала на учебу в Вышку, а потом уже на службу. Меня, как одного из лучших математиков класса, тоже пригласили, но это была перестройка и я не решился связывать свою судьбу с тогда еще КГБ. Кто знает, как сложилась бы моя судьба, если бы я принял тогда приглашение?..


Вот таким был мой визит в Национальный криптологический музей США, расположенный в Форт Миде. Жаль, что в России такого музея нет. Вообще у нас не любят раскрывать историю отечественной криптографической школы. Как-то одно отечественное издание захотело на своих страницах публиковать такую историю в именах и лицах, но "старшие товарищи" запретили это, посчитав несвоевременным и ненужным :-( А жаль. Знать историю очень полезно. Чтобы не совершать ошибок и извлекать уроки. А пока остается только посещать американские музеи с их пусть и интересным, но все-таки однобоким взглядом на развитие мировой истории ИБ и шпионажа.


ЗЫ. Интересующимся историей криптографии могу посоветовать посетить онлайн-музей (не АНБшный).