23.05.2018

Ростелеком покупает Solar Security

22 мая Ростелеком анонсировал приобретение за 1,5 миллиарда рублей 100% компании Solar Security, известной как своим продуктовым направлением, так и направлением аутсорсинга SOC. Несмотря на значимость события для российского рынка ввиду редкости у нас M&A-сделок, комментировать его пока рано. Мне показался примечательным факт из пресс-релиза, что Solar Security сохранит свою самостоятельность и в Solar Security будут переведены сервисы и специалисты Ростелекома по ИБ. Но, как говорит современная молодежь, "это не точно" :-) Будем следить за развитием событий.

ЗЫ. Видео-репортаж с пресс-конференции Ростелекома и Solar Security.

Антисуслик Шредингера. Документы ФСБ, которые есть и которых нет одновременно

Завтра и послезавтра я буду выступать в Казани на IT & Security Forum и участвовать в двух круглых столах. И если с круглыми столами и тремя темами для выступлений мы с организаторами определились достаточно быстро, то четвертая тема в потоке по КИИ вызывала вопросы. До тех пор пока я не погрузился в изучение проектов приказов ФСБ в рамках законодательства по безопасности критической информационной инфраструктуры.


Вообще в последнее время я мало пишу про законодательство (последний раз аж 2 месяца назад), занимаясь немного другими проектами. Но иногда, нет да приходится погрузиться в эту тему. На этот раз я попробовал вычленить что-то из тех приказов ФСБ, которые были анонсированы в декабре 2017-го - марте 2018-го годов, но которые до сих пор так и не приняты. Вот именно этим документам я и посвящу свое четвертое выступление на ITSF. И хотя это пока проекты и есть надежда, что финальные версии будут отличаться от текущих, я бы хотел задаться рядом вопросов, ответы на которые, возможно, прозвучат в Казани, а возможно авторы документов по ГосСОПКЕ учтут их в финальной версии.

Итак, вопросы следующие:

  1. Согласно правилам платежных систем Visa и Master Card, а также по правилам SWIFT, их клиенты сообщают об инцидентах, произошедших в указанных системах/сервисах. Однако согласно п.8 порядка "Обмена информацией о компьютерных инцидентах..." передача информации об инцидентах за пределы РФ осуществляется только через НКЦКИ. Согласно описанной в пп.9-14 процедуре субъект КИИ направляет в НКЦКИ обращение по каждому инциденту, а НКЦКИ в случае положительного решения переправляет информацию зарубеж в течение 12 часов с момента обращения субъекта посредством почтовой, факсимильной и электронной связи, а также через инфраструктуру НКЦКИ. Если же НКЦКИ считает необходимым отказать, то он это делает в течение 24 часов, о чем сообщает субъекту, направляя ему выписку из принятого решения. У меня возникает три вопроса. Посредством чего НКЦКИ направляет субъектам свой отказ? Является ли этот отказ мотивированным? И действительно ли надо по сотням тысяч инцидентов с картами Visa и Master Card (а именно такое число фигурирует в отчете ФинЦЕРТ за 2017-й год) оформлять обращения на каждое из них?
  2. Согласно методичке по созданию ведомственных и корпоративных центров ГосСОПКИ такие центры должны среди прочей информации о компьютерных атаках уведомлять о рассылках спама (п.8.6). Спам также фигурирует в п.8.7 уже в разряде инцидентов. У меня снова три вопроса по данному требованию. Зачем по спаму сообщать IP-адреса атакующих и пострадавших, а не их почтовые адреса и почтовые сервера? Сообщать надо именно о спаме или также о срабатывании репутационных фильтров? Также мне интересно, надо ли сообщать о каждом спамерском сообщении? Например, в Cisco ежемесячно спам-фильтрами блокируется около 5 миллионов сообщений, а репутационными - 81 миллион сообщений. Надо составлять 86 (в худшем случае) или 5 (в "лучшем") миллионов карточек инцидентов?
  3. Согласно перечня информации, предоставляемой в ГосСОПКУ, об инцидентах надо уведомлять незамедлительно, но не позднее 24-х часов с момента их обнаружения. Все бы ничего, но по каждому инциденту надо среди прочего сообщать о последствиях инцидента. У меня вопрос - как можно оценить последствия (ущерб) от инцидента в течение суток (и это в худшем варианте - если придерживать информацию) в течение такого короткого интервала времени? У ЦБ в 2831-У для этого предусмотрены формы за прошлый отчетный период, когда мы уже имеем собранную информацию, в том числе и по последствиям.
  4. Финальный вопрос, который я не перестаю задавать в последние месяцы, касается формата обмена информацией об атаках / инцидентах / признаках атак. Это STIX/TAXII, OpenIOC, иные стандарты обмена данными? Кроме применения TLP пока ни о какой стандартизации речи не идет, что печально. Будет ли назван такой стандарт или разработан с нуля? Вот ЦБ недавно анонсировал проект СТО 1.5 как раз по описанию формата данных при обмене с ФинЦЕРТ (и вроде даже как заявляется, что проект стандарта согласован с ФСБ). А что регулятор по ГосСОПКЕ?
Ну вот такие предварительные вопросы. На самом деле их больше, но часть из них (с возможными ответами) я буду освещать в рамках своего выступления на ITSF.


ЗЫ. Три оставшиеся темы будут посвящены искусственному интеллекту и ИБ, киберучениям по ИБ для руководства, а также анатомии атаки на АСУ ТП. 

21.05.2018

Новые форматы донесения важности ИБ до неспециалистов

Не дает мне покоя фраза, брошенная Рустемом Хайретдиновым год назад, что спикер из меня фиговый. Поэтому в последнее время я не только изучаю разные новые способы донесения темы ИБ до разных целевых аудиторий, но и пробую их на практике. И надо сказать, что Руст был в чем-то прав - просто рассказывать презентацию для безопасников - это одно, а пытаться донести тему ИБ до непрофильных специалистов - совсем другое. Нужные совсем иные подходы и способы подачи материала.

Например, киберучения. Про них я вел мастер-класс на прошедшем в Москве "Код ИБ. Профи" (видеозапись, включая и записи других спикеров, доступны). Не претендуя на проведение CTF, где требуется немалая техническая подготовка, штабные игры вполне по силам проводить в любой организации (подготовка тоже нужна, но менее технически навороченная).


На днях мне довелось проводить то, что называется в иностранной прессе storytelling (у нас это переводят буквально), а в русской речи раньше называлось сказительством. Речь идет о передаче информации путем рассказа историй, которые подводят целевую аудиторию к нужным выводам. На этот раз я выступал перед руководителями департаментов и отделов одной из компании. Все они не специалисты по ИБ и вообще мало в ней заинтересованы (на первый взгляд). Более того, по словам коллег из ИБ этого предприятия, их сложно заинтересовать такой темой, да еще и в течение 4 часов. Но вроде опыт оказался вполне успешным. Учитывая, что меня часто стали приглашать рассказывать про ИБ именно не для специализированной аудитории, то сторителлинг вполне себе подходит для задачи повышения осведомленности в области ИБ.


Отдельно хочется отметить, что для неспециалистов по ИБ, как мне кажется, стоит использовать и немного иное оформление (хотя я тут могу и ошибаться). Меньше текста, больше визуализации. И уж точно не нужно на слайд помещать десятки строк текста мелким кеглем, цитировать нормативку, углубляться в технические детали и использовать жаргонизмы. Все это не помогает целевой аудитории понять вас. Я на днях читал презентацию по искусственному интеллекту в ИБ в школе управления "Сколково" и для этой презентации пришлось попотеть, чтобы с одной стороны 1,5 часа рассказывать интересно, а с другой - не погружаться в математику. Но вроде как тоже справился - слушатели после лекции говорили, что все было понятно.


В любом случае хочу сказать спасибо Русту за его критику :-)

17.05.2018

Куда податься бедному хакеру?

Давайте себе представим представителя темной стороны киберсилы, то есть хакера, которого гнетет его противоправная деятельность и он жаждет поскорее покинуть свое поприще и начать зарабатывать себе на хлеб законными методами. Куда ему податься? На первый взгляд у него всего один путь (если не рассматривать уход из “профессии” в фермеры или таксисты) - пойти в пентестеры. Это достаточно распространенный вариант трудоустройства - человек продолжает заниматься тем же, только меняет знак с минуса на плюс. Кто-то даже работает сразу в двух мирах - в рабочее время, с 9-ти до 6-ти, человек трудится во благо кибербезопасности, защищая сети своих клиентов. А вот в вечернее и ночное время он возвращается к своей прошлой жизни, работая по своей прежней “специальности”, зачастую ломая тех, кого днем он защищает. Есть у ряда российских пентестерских контор такие люди, которые “и нашим и вашим”. Но речь пойдет не о них и даже не о пентестерах вообще, хотя, повторюсь, это один из самых очевидных путей будущего трудоустройства. Особенно ввиду роста востребованности тестов на проникновение после попадания их в нормативные документы ФСТЭК.

На прошедшей недавно выставке RSAC (да и вообще в последнее время) я заметил, что на Западе создание небольших стартапов по ИБ - очень популярная тема. И создают их часто те ребята, кто еще недавно ходил по грани (а то и за ней). Мне довелось пообщаться с несколькими из них, а также я походил по стендам таких "новичков" и у меня сложился следующий перечень направлений, которыми могут заниматься бывшие хакеры:
  • Фишинговые симуляции. Эти люди хорошо знают, как ломать разные компании. А так как одним из самых популярных способов до сих пор остается фишинг, то логично, что бывшие хакеры уходят именно в это направление security awareness и по заказу создают фишинговые кампании и оценивают их эффективность. 
  • Обучение. При наличии предрасположенности и знаний, нередко "хакеры" начинают разрабатывать курсы и преподавать их. Часто это направление offensive, но бывают и смешанные программы, объединяющие в себе нападение и защиту.
  • Киберучения. Имея немалый опыт участия в реальных пентестах и смоделированных CTF, бывшие кибербойцы начинают заниматься очень интересной темой киберучений, в рамках которых не просто эмулируются искусственные уязвимости, а прокачиваются навыки защиты и нападения, работы в Red и Blue Team. 
  • Консалтинг. Ну тут вроде все понятно. 
  • ПО для симуляции атак. Консалтинг, обучение, фишинговые симуляции - это все не очень масштабируемые вещи. И хотя на хлеб с маслом на них можно заработать, на черную икру уже может и не хватить. Поэтому нередко "хакерские" команды пытаются создавать ПО, которое затем предлагается рынку. Достаточно новым направлением на рынке сегодня можно назвать ПО для симуляции атак. Это не Metasploit, а решения именно корпоративного уровня, ориентированные на защитников, а не атакующих. Про этот класс решений мы поговорим завтра - там немало интересных новинок появилось за последний год.
Однако стоит отметить, что описанные выше 5 направлений приложения своих сил, "списаны" с западного рынка - в России и странах СНГ могут быть свои нюансы. Например, в государственной программе Казахстана "Киберщит" прописано, что все "хакеры" должны быть взяты на учет и внесены в специальный реестр. Россия не отстает от своего азиатского "коллеги" - Наталья Касперская с мужем высказывали схожие идеи - от ведения учета всех хакеров, безопасников и айтишников до запрета их выезда за границу и отказа от признания отечественных дипломов зарубежом (чтобы никто не убежал). Но даже если эти одиозные идеи не выйдут за рамки воспаленного сознания отдельных представителей нашей отрасли, то для того, чтобы начать свой бизнес в России, надо приложить немало усилий (гораздо больше, чем на Западе) и не факт, что они увенчаются успехом. Очень уж у нас закрытый рынок ИБ - лицензирование деятельности, сертификация ПО, подтверждение квалификации, сертификация специалистов...

Препон на пути к созданию своей компании очень много. Вот и получается, что на словах у нас все готовы развивать малый бизнес и поддерживать стартапы, а не деле все оборачивается пшиком. И поэтому не идут "хакеры" в белую зону, продолжая заниматься своим черным делом, попадая на карандаш спецслужб (наших или чужих), и потом занимаясь уже своей деятельностью под государственной крышой со всеми вытекающими отсюда и плюшками и рисками. Ну или идти в пентестеры...

07.05.2018

Дашборды по ИБ для руководства: объединяем все вместе (презентация)

Теперь попробуем собрать все заметки по дашбордам (1, 2, 3 и 4) вместе. Получится презентация, которую я выложил на Slideshare (да, он заблокирован на территории России, но кого это останавливает?), и которую я читал в рамках мастер-классов в Москве на CISO Forum и в Санкт-Петербурге на Код ИБ.



04.05.2018

Дашборды по ИБ для руководства: как получить финальный вариант?

Давайте посмотрим на дашборды, которые есть у современных решений по ИБ. В качестве примера я возьму то, что мне ближе, - решения Cisco (Cisco ISE, Cisco Stealthwatch, Cisco Threat Grid и Cisco Cognitive Threat Analytics). Посмотрите на иллюстрацию ниже. Мы видим, что все дашборды построены по описанному вчера принципу - сначала ключевые показатели, потом аналитические диаграммы, раскрывающие эти показатели. Клик по выбранным диаграммам приводит к детальным отчетам. Все вроде бы на месте, но можем ли мы такие дашборды показывать руководству? Увы, нет. Ибо они не отвечают на вопросы, которые нужны топ-менеджменту.


Давайте посмотрим на макет дашборда, который помог бы нам оценить эффективность процесса борьбы со спамом (именно процесса, а не программного средства). Нам нужно число пользователей, прошедших тренинг по использованию и защите электронной почты. Эти цифры можно взять только из HRM-системы. Данные о числе пользователей, сообщивших о пропущенном антиспамом спаме, вредоносной программе или фишинговой ссылке, нам даст Help Desk или система управления кейсами. И только число нарушителей, кликнувших по ссылке в спаме, мы можем получить непосредственно от антиспам-решения.


Чтобы вынести все эти показатели на дашборд нам нужно их каким-то образом выцепить из разных систем, собрать вместе, произвести дополнительные вычисления (например, рейтинг успешности повышения осведомленности в области использования и защиты e-mail) и визуализировать все это в рамках дашборда. Для этого нам понадобится взять "сырые" данные от средств защиты и данные от бизнес-систем (HRM, SCM, ERP, CRM и т.п.), для чего воспользоваться API, которое сегодня является неотьемлемой частью любого современного решения по ИБ (и не только). Помните, я в прошлом году писал о пяти вещах, которые вы должны требовать от любого ИБ-вендора. Так вот наличие API там стояло там на первом месте. Для захвата данных через API необходимо умение программировать. Сразу надо заметить, что речь идет не о "кодинге" на C++ или Ассемблере, а о навыках извлекать данные из разных систем. Будет это ODBC, JDBC, Visual Basic или Python и R, - не так уж и важно.

Что использовать в качестве инструмента для создания и визуализации дашборда? Этот вопрос звучит чаще других, но именно он-то совсем неважен. В конце концов, какая разница, что позволит вам решить вашу задачу? С чем вы лучше знакомы и что используется у вас в организации - то и применяйте. Это может быть Excel (для простых задач вполне себе решение), MS PowerBI, Tableau, QlikView или grafana. В конце концов вы можете заточить под это ваш SIEM, если у него есть возможность конструирования дашбордов и развитый API для подключения к внешним системам. Я вновь повторю, что не так важно КАК визуализировать, как то, ЧТО вы хотите показать и ЧЕГО достичь своим дашбордом.

03.05.2018

Дашборды по ИБ для руководства: как создать макет?

Продолжая тему, начатую в предыдущих двух публикациях (тут и тут), обратимся к вопросу создания макета дашборда по ИБ для руководства. Напомню, что это седьмой шаг в создании дашборда после определения вашей целевой аудитории, ее нужд, определения принимаего решения, идентификации типа дашборда и вида диаграммы.

Макет позволяет нам понять, какие блоки информации нам нужно отобразить, чтобы дать целевой аудитории ответы на их вопросы и помочь ей принять нужное решение. Возьмем к примеру тему SOC, столь модную в последнее время. Допустим, руководитель всея ИБ компании только-только создал центр мониторинга и хочет получить ответы на три вопроса:
  • Насколько эффективно задействованы его сотрудники? Ответ на этот вопрос позволит принять обоснованное решение в пользу расширения численности сотрудников SOC или в пользу более оптимального использования текущего человеческого ресурса или в пользу автоматизации некоторых рутинных задач.
  • Все ли инциденты отрабатываются в срок? Этот вопрос помогает нам понять, насколько эффективны в своей работе аналитики SOC, правильно ли у нас выставлены KPI для них, насколько эффективно выстроен процесс разбора инцидентов?
  • Какие инциденты отнимают больше всего ресурсов? Ответ на этот вопрос позволяет понять, не надо ли аналитиков послать на обучение по отдельным видам инцидентов или возможно стоит выделить немного денег на решения по автоматизации и, тем самым, ускорению обработки отдельных видов инцидентов?
Чтобы ответить на эти вопросы нам по каждому инциденту нужно собрать следующие данные:
  • аналитик SOC, работающий с инцидентом
  • тип инцидента
  • источник инцидента
  • статус инцидента (разрешен/просрочен)
  • дата и время.
В итоге на дашборде у меня 4 ключевых показателя и 4 диаграммы, отображающие аналитику, поясняющую ключевые показатели, позволяющие ответить на 3 исходных вопроса.



Разумеется это еще не макет дашборда - это скорее набросок той информации, которая должна быть на дашборде. А вот макет будет выглядеть так:


На его отрисовку у меня ушло всего 10-15 минут. Да, не Пикассо. С этим к руководству не пойдешь. Но и задача такая не стоит на этом этапе. Зато мы видим, как будет выглядеть дашборд, какие диаграммы и какие ключевые показатели будут отображаться на нем.

Единственный ли это вариант дашборда для SOC? Конечно нет. В зависимости от стоящих целей и исходных вопросов, мы можем вынести на дашбор и другие ключевые показатели, под которые выбирать соответствующие диаграммы:

  • Время между созданием и закрытием заявки (ticket) в SOC
  • Процент инцидентов обнаруживаемых и нейтрализуемых автоматически, без участия специалистов SOC
  • Соотношение открытых и «закрытых» заявок
  • Соотношение инцидентов и заявок
  • Число повторных инцидентов
  • Соотношение методов коммуникаций с SOC (e-mail / звонков / портал)
  • Число false positives (несуществующих инцидентов)
  • Число изменений средств защиты по результатам расследований инцидентов
  • Соотношение инцидентов по их критичности
  • Цена/длительность разрешения инцидента
  • Число новых заявок.
В идеале же мы должны всегда помнить, что ИБ нужна не ради ИБ, а для достижения целей бизнеса, и поэтому важно уметь привязывать деятельность SOC к финансовым показателям (это еще не весь бизнес, но уже большой шаг в правильном направлении). Если уйти от данных, которые есть только в SOC, и попробовать научиться общаться с бизнесом, то у него можно получить данные, которые можно сопоставить с деятельностью по ИБ. Например, можно оценить потери компании от реализованных инцидентов (в зависимости от бизнеса это может быть просто или не очень). А еще можно попробовать оценить предотвращенные потери - свои и (или) клиентов, а также оценить стоимость расследования каждого инцидента. В итоге макет дашборда может выглядеть таким образом:



Финальную заметку я посвящу вопросу создания прототипа и финального варианта дашборда, для чего нам понадобятся различные средства автоматизации - от Excel или MS PowerBI до Canopy или Splunk.

16.04.2018

Palo Alto покупает Secdo

10 апреля Palo Alto Networks объявила о подписании соглашения о приобретении израильской Secdo, малоизвестного стартапа, занимающегося технологиями защиты оконечных устройств. Детали сделки не раскрываются.

10 типовых ошибок при работе с SOC (презентация)

Выкладываю презентацию с прошдедшего в день космонавтики в Казахстане SOC Forum. Но самая главная ошибка в презентации не упомянута и заключается в том, что на SOC возлагают слишком большие надежды, совершенно забывая про то, что SOC - это вершина пирамиды. Чтобы SOCу было что мониторить или чем управлять, должна быть выстроена полноценная система защиты. Без нее все разговоры про SOC обречены на провал. Ну как можно строить SOC, если даже на периметре организации используется обычный МСЭ (без приставок NG) без помощи со стороны DNS Firewall, NGIPS, систем контетной фильтрации? Я уже не говорю про отсутствие систем внутреннего мониторинга. Ну какой SOC? Даже 20 защитных мер CIS Controls или хотя Топ 4 защитных мер австралийского МинОбороны не все реализуют. Зачем в таких ситуациях SOC?..


Dsrkfls

06.04.2018

RSA покупает Fortscale

5 апреля RSA объявила о приобретении Fortscale, известной своим UEBA-решением, которое теперь станет частью RSA Netwitness. Размер сделки неизвестен.

Qualys покупает 1Mobility

2 апреля Qualys объявила о приобретении 1Mobility, MDM-вендора из Сингапура, который также занимается утечками информации на мобильных устройствах и выполнением требований  compliance.

Искусственный интеллект и кибербезопасность (презентация)

Сделал в рамках keynote на Russian Internet Governance Forum (RIGF) обзор применения искусственного интеллекта в кибербезопасности. Что хорошо приносит ИИ в жизнь безопасников? Как используют ИИ злоумышленники? Какие слабые места есть у ИИ, которыми могут воспользоваться "плохие парни"? Почему вендора пока не способны выпускать воспроизводимые ИИ-продукты "из коробки" (исключая отдельные направления применения ИИ). Вопросы этики применения ИИ в кибербезопасности. И многое другое. Получился короткий обзор более объемной презентации по применению ИИ, обзору различных алгоритмов ИИ и рассмотрению примеров реализации ИИ в кибербезопасности по обе стороны баррикад т.п.



02.04.2018

VMware покупает E8 Security и CloudCoreo

28 марта компания VMware анонсировала приобретение компании E8 Security, занимающуюся в сегменте UEBA. Размер сделки не сообщается. Это уже второе поглощение VMware в сфере безопасности за последний месяц. 14 февраля VMware сообщила о приобретении компании CloudCoreo, занимающейся облачной ИБ.

01.04.2018

Новая награда России - "Криптографическая Фиалка"

Наверное, вы помните, что у меня есть побочный бизнес на Украине - "ювелирный дом Лукацких", где я отвожу душу и творю разные штуки из драгоценных камней и благородного металла. Недавно ко мне обратились с неожиданным заказом из весомой конторы с просьбой помочь им в нелегком деле - создать знак отличия для представителей одной из древнейших профессий - криптографов. На первый взгляд исходные данные были взаимоисключающие:
  • Знак отличия должен быть незаметным, не кричащим и предназначенным для скрытого ношения (мы же помним, что "крипто" в переводе с греческого означает "тайное" или "скрытое").
  • Знак отличия должен иметь отношение к криптографии, но это не должен быть банальный и уже набивший оскомину знак ключа.
  • Знак отличия должен иметь отношение к России, к ее истории и при этом быть широко известным в узком кругу.
  • Знак отличия должен быть красивым и солидным (золото приветствуется), но не дорогим. Все-таки бюджетное учреждение не может позволить себе шиковать в непростое для российской экономики время.
В процессе творческого осмысления задачи было несколько вариантов. Самым первым стал вариант с криптексом. Помните в "Код Да Винчи" Дэн Браун придумал это понятие, как комбинацию слов "криптография" и "кодекс"?




На самом деле более правильно называть это не криптекс, а цилиндр Джефферсона, который, будучи президентом США, придумал эту роторную шифровальную машину для сокрытия своей переписки. На самом деле он эту штуку не использовал, так как не был уверен в ее стойкости, а потом ее и вовсе забыли, убрав в архив, и только в 20-м веке ее раскопали и признали Джефферсона одним из отцов американской криптографии.
Идея сама по себе была неплоха и ее даже можно было реализовать в достаточно компактном варианте, например, в виде позолоченной флешки, но... использовать для знака отличия российских криптографов американскую роторную шифровальную машину было как-то непатриотично. 

Вариант с шифром Цезаря был более толерантным и геополитически нейтральным, но вставал вопрос ношения такого знака отличия? В кармане брюк? Неудобно. Да и легко потерять, снимая брюки во время криптографических спецопераций. От этой идеи я тоже в итоге отказался, хотя такой диск был очень практичным и его можно было применять в реальной жизни для простых шифрограм.
Идею с криптографическими кольцами я зарубил на корню в виде ее немасштабируемости. У разных людей пальцы разной толщины и поэтому пришлось бы изготавливать комплекты разного размера, что было не очень удобно. Кроме того, мужчины (а криптографы - это обычно представители сильной половины человечества) нечасто носят кольца и это сразу бросалось бы в глаза, что нарушало один из пунктов ТЗ о скрытности ношения.
Все эти идеи, приведенные выше, лежали на поверхности и могли бы быть реализованы, но у них отсутствовала привязка к России. После долгих раздумий, крутя как-то в руках болт цилиндр Джефферсона, я вспомнил о том, что в России была своя аналогичная штука, которая отлично подходила под все параметры. Речь идет о шифровальной машине М-125 с кодовым названием "Фиалка".


Эта отечественное изделие, которое на самом деле являлось кодировочной, а не шифровальной машиной, использовалось в деятельности российских криптографических служб несколько десятилетей, став даже неким символом.


При этом у М-125 прекрасное название, которое не только как нельзя лучше отражает практику именования различных секретных изделий в Советском Союзе, но и может быть легко реализовано в виде знака отличия, который с одной стороны может быть на виду, а с другой мало кто из непосвященных поймет о чем идет речь. Носить стилизованную фиалку можно на лацкане пиджака как с внешней, так и с внутренней стороны, что обеспечивает скрытность, присущую криптографии.

В итоге удалось создать простой, но запоминающийся знак отличия для российских криптографических служб, полностью удовлетворяющий требованиям заказчика. Выглядит он так:
В качестве материалов использовалось серебро 925-й пробы с позолотой и эмалью. Себестоимость изготовления составила несколько сотен рублей. В перспективе на базе этой "фиалки" можно сделать даже знаки отличия разных степеней, используя различные драгоценные камни - сапфиры, изумруды и даже рубины или бриллианты в центре цветка.

ЗЫ. Первое вручение "криптографической фиалки" произошло в обстановке строжайшей секретности в рамках РусКрипто.

26.03.2018

Интеллектуальная криптоигра "Где логика": как это было на #ruscrypto

Про игру "Где логика", посвященную криптографии, я уже писал. Особого смысла повторяться я не вижу, просто хотел привести в качестве примера некоторые загадки, которые пытались разгадать участники игры. В отличие от первоначального плана найти 2-3 команды по 4-5 человек желающих оказалось больше - набралось целых 5 команд численностью до шести участников. Получилось 5 раундов - разминка, "найди общее", "убери лишнее", "формула всего" и "киноребусы", целиком посвященных криптографии.


Уже в процессе ведения игры я понял, что некоторые загадки оказались совсем не на логику, а скорее на знание истории. Ну ничего, в следующий раз буду действовать более логично :-) В любом случае мне понравилось готовить задания - надеюсь, что и участникам они были интересны. Однако лишний раз убедился в том, что не все знакомы с историей криптографии, что на мой взгляд приводит к некоторой однобокости. С другой стороны геймификация позволяет заинтересовать специалистов по ИБ в изучении дисциплин, которые местами скучны.

С описанием предыдущих интеллектуальных игр "Своя игра" и "Брейн-ринг" можно ознакомиться тут, тут, тут и тут.

Как выбрать из сотен защитных мер самые важные? (презентация)

На РусКрипто я выступал с полуторачасовой презентацией, посвященной вопросу выбора из сотен и тысяч защитных мер самых важных, позволяющих не бросаться из стороны в сторону, а путем минимума усилий получить максимум защиты. За основу были взяты "горячая двадцатка" CIS Controls (бывший SANS Top 20) и 35 защитных мер австралийского регулятора DSD. При этом у последнего набора есть интересная особенность - группирование мер на основную четверку, восьмерку и уже потом на 35 мер. При этом, что характерно, основные меры не требуют особых затрат на реализацию. Топ 4 включает в себя application whitelisting (замкнутая программная среда), обновления приложений и ОС, а также контроль привилегированного доступа. Все это можно реализовать с помощью групповых политик и Windows Update Service (для Windows). По оценкам одна только эта четверка обеспечивает защиту от 85% угроз. Мелочь, но данные меры никак не противоречат отечественным НПА в виде приказов ФСТЭК или ГОСТа Банка России.



Теперь, если перед вами стоит вопрос, а какие меры защиты надо реализовать в первую очерель, у вас есть ответ в виде данной презентации.

16.03.2018

Как категорируются критические инфраструктуры в разных странах мира (презентация)

Первоначальная эйфория относительно всего 12 отраслей, попадающих под понятие критической инфраструктуры, сменяется постепенно разочарованием. При полной размытости понятия "функционирующие в сфере...", упомянутом в ФЗ-187, и перекладывании ответственности за отнесение себя к КИИ на субъекта, ситуация становится абсолютно неуправляемой и непредсказуемой.

Я уже описывал кейс с облачными провайдерами, которые в первом приближении не являются субъектами КИИ, но при использовании критериев, упомянутых на конференции ФСТЭК (изучение уставных документов, анализ кодов ОКВЭД и т.п.), могут быть отнесены к таковым. И последние недели общения с различными компаниями показывают, что к КИИ могут относиться очень различные организации, которые даже и не думали об этом.

Например, небольшая логистическая компания, обслуживающая региональный город. У нее в уставных документах, как правило, прописано, что она оказывается транспортные услуги, то есть она, среди прочего, трудится в сфере транспорта. Это автоматически делает ее субъектом КИИ, если следовать трактовкам ФЗ-187, которые дают регуляторы. Про ломбарды, действующие в сфере финансового рынка, я уже писал раньше. Про районные поликлиники тоже.

Слишком большое число организаций попадают под требования нового законодательства, даже не подозревая об этом. Было ли это осознанным решением авторов ФЗ-187 или нет, я не знаю. Но сейчас, мне кажется, они уже и сами не рады тому, что получилось. Иначе как можно объяснить, что в нарушение закона, который требует уведомлять об инцидентах любого субъекта КИИ (в отличие от требования обеспечения безопасности, которое распространяется только на владельцев значимых объектов), ФСБ выпускает проект приказа, который описывает процедуру уведомления только для тех, у кого есть значимые субъекты. А что делать с незначимыми? В законе они есть - у ФСБ нет. Но прокуроры проверяют соблюдение законности и имеют полное право спросить у поликлиники или небольшого таксомоторного парка или ломбарда, почему они не соблюдают требования законодательства? И что отвечать последним? Очередной вопрос, который остается неотвеченным.

Выкладываю свою презентацию, которую я делал еще в январе, и которая описывает подходы к категорированию критических инфраструктур в разных странах мира.



15.03.2018

Palo Alto покупает Evident.io

14 марта Palo Alto объявила о подписании соглашения о покупке американской компании Evident.io, которая занимается облачной ИБ и является, да-да, лидером и пионером этого рынка. Размер сделки - 300 миллионов долларов.

Security operations - от отдельных процессов до архитектуры SOC. Censored

На московском "Код ИБ. Профи" еще одним блоком представленных тем стали security operations (фиг знает, как это нормально перевести на русский язык). Этой теме в той или иной степени было посвящено несколько докладов. Один из них Сергея Рублева из компании "Инфосекьюрити", который поделился опытом создания собственного центра мониторинга ИБ, предназначенного и для предоставления услуг внешним потребителям.

В отличие от общепринятого пути создания SOC в России на базе ArcSight (или QRadar) в Инфосекьюрити пошли по пути создания центра мониторинга на базе Open Source компонентов.


Вообще это достаточно распространенная практика для компаний, которые не могут найти в готовых продуктах весь нужный функционал и при этом обладают достаточно мощной командой разработчиков, чтобы самостоятельно увязать в единый комплекс различные доступные компоненты и по необходимости доработать их.


Ровно такой же путь выбрала в свое время Cisco со своим решением OpenSOC; швейцарский CERN также пошел по этому пути. В столь замечательной компании теперь и Инфосекьюрити :-)


Вообще тема бездумной покупки решений неоднократно звучала на "Код ИБ. Профи". Ее поднимал Антон Карпов, Алексей Смирнов, Алекчей Качалин и другие спикеры. Разумеется, речь не шла о том, что надо все бросить и перейти на бесплатный или условно бесплатный open source. Просто выбор любого решения должен быть осознанным и соответствовать бизнес-целям предприятия, а не бездумным приобретением широко разрекламированного продукта. Опыт Инфосекьюрити показывает, что SOC на базе Spark, Hive, nxlog, nifi, Elastic и др., является вполне жизнеспособной конструкцией.


Если Сергей Рублев рассказывал об опыте строительства SOC, то Дмитрий Кузнецов из Positive Technologies об опыте эксплуатации их SOC в контексте реагирования на инциденты. Да, Positive достаточно активно работает с регуляторами и последние активно пользуются их опытом при реализации своих систем мониторинга ИБ и реагирования на инциденты. Так что в этом контексте рассказ Дмитрия имел дополнительную ценность.


Дмитрий рассказывал о том, как методологически (не зря Дмитрий руководит Департаментом методологии и стандартизации) выстраивать выстраивать SOC и его процессы, ориентированные на обнаружение и реагирование на инциденты, а также на иные сущности, между толкованиями которых постоянно идет путаница - событие, атаки, инцидент, угроза. Это, конечно, одна из проблем той же нормативки ФСБ по ГосСОПКЕ, но сейчас не об этом.


К сожалению, материалы не передают всего того, что рассказывал Дмитрий (поэтому стоит смотреть видео из пакета "КОНТЕНТ"), но множество советов из презентации пусть и звучат просто, но зато получены на основе практического опыта.


В заключение стоит рассказать о мастер-классе... Извините, коллеги, рассказа о третьем докладе не будет. Он был написан, но потом возник ряд обстоятельств, которые привели к тому, что я его решил удалить. И вообще больше никаких описаний с "Код ИБ. Профи" не будет. Прошу прощения у тех, кто пострадал от моего блогерства.

14.03.2018

Реальные примеры повышения осведомленности по ИБ и киберучения для руководства

Начну короткие обзоры прошедшего в Москве "Код ИБ. Профи", где мне довелось быть куратором программы, которая была посвящена различным аспектам управления информационной безопасности. Одним из них является повышение осведомленности и обучение сотрудников разных уровней - от рядовых работников до топ-менеджмента. Этой теме изначально было посвящено 3 доклада, но один в последний момент не случился по уважительной причине. Поэтому расскажу только о двух из них.

Первый был сделан Кириллом Мартыненко из Сбербанка, который рассказывал об эволюции технологий повышения осведомленности, обучения сотрудников и формирования у них культуры ИБ. Учитывая практическую направленность мастер-класса и масштаб Сбербанка рассказ Кирилла оказался очень познавательным. Особенно учитывая манеру подачи материала, который описывал типовые подходы по "окультуриванию" с его плюсами и минусами.

Как и многие организации, Сбербанк тоже начинал с проведения различных тестов, этакого анахронизма в области обучения, который до сих пор активно реализуется многими компаниями ввиду его простоты, но полнейшей бесполезности для людей, не вовлеченных в ежедневный процесс обеспечения ИБ. Для неспециалистов все эти тесты - бесполезная трата времени, так как по их окончании мало что запоминается и тем более они не дают никаких навыков, которые и должны стать целью любой программы формирования культуры ИБ.


Как и тост, который должен быть коротким как выстрел, так и информация, доносимая до работников, должна быть короткой, четкой и понятной. И так как в мозг работников надо внедряться везде, где только можно (а не только через скринсейверы на компьютере), то для этой цели замечательно подходят плакаты, которые развешиваются в совершенно различных местах - в столовой, у мест печати, у лифтов и т.п.


Кирилл Мартыненко показал несколько примеров таких плакатов и рассказал о том, с какими особенностями их разработки и размещения пришлось столкнуться в Сбербанке.


Помимо пассивной информации, необходимо также регулярно проверять навыки работников по противостоянию постоянно развивающимся методам злоумышленникам. Кирилл рассказал о нескольких кампаниях, которые были запущены в масштабах Сбербанка для проверки того, насколько работают плакаты, тесты, скринсейверы и другие способы донесения правил ИБ до всех работников самого крупного банка страны. Например, интересная обманка в виде якобы созданной авиакомпании "Sberbank Airlines", которая предлагала билеты в разные части света "со скидкой". Учитывая различные сферы деятельности Сбера, такие рекламные сообщения, рассылаемые по электронной почте, выглядели вполне правдоподобно.


Аналогичную цель преследовала фишинговая кампания, посвященная "черной пятнице", эксплуатирующей желание людей получить что-то со скидкой и поучаствовать в благотворительности.


Но технологии погружения в мозг человека не стоят на месте и поэтому Сбербанк стал разрабатывать и внедрять различные игры, симуляции, заставки и ролики, созданные по технологии Flash. Одной из таких разработок стала интерактивная игра "Агент кибербезопасности", которая в игровой форме позволяет сотрудникам не только ознакомиться с нужными правилами ИБ, но и проверить их в виртуальном мире, повышая запоминаемость и вовлеченность.


Апофеозом мастер-класса, который проводил Кирилл Мартыненко, стал рассказ и показ применения виртуальной реальности в вопросах повышения осведомленности ИБ.


Кирилл продемонстрировал два VR-проекта, которые были уже реализованы в "зеленом банке". Первый - это обычная стрелялка, в качестве мишеней в которой выбраны различные угрозы ИБ, которые надо уничтожать с помощью виртуального оружия.


Второй проект - это виртуальное посещение Центра киберзащиты Сбербанка (SOC). На прошлогодней выставке RSA в Сан-Франциско было представлено немало проектов применения VR в ИБ (у нас в Cisco они тоже применяются) и вот теперь они доступны и в России. Да, понятно, что не все могут позволить себе внедрять такие инновации для формирования культуры ИБ, но сама демонстрация таких проектов была очень и очень интересной. 


В своем мастер-классе уже я продолжил тему геймификации в ИБ, но уже немного с другой стороны - я говорил о том, как проводить кибер-учения по кибербезопасности для топ-менеджмента руководства предприятия. Так случилось, что я до сих не могу забыть, как Рустэм Хайретдинов сказал год назад, что из меня хреновый докладчик. Запала в душу мне его критика и я стал погружаться в новые методы донесения информации до людей, отходя от лекционного монолога в сторону диалога, вовлечения участников в дискуссию, геймификации и т.п. А тут еще стали приглашать для выступления перед высокими начальниками различных компаний, которым бессмысленно рассказывать презентации, столь привычные для обычных ИБшников.


Так родилась тема проведения киберучений для топ-менеджмента, которые, безусловно, требуют совершенно иной подготовки, но и эффект от них будет коренным образом отличаться от пассивных и односторонних презентаций, которые люди слушают, но не редко запоминают, что там говорилось. Следая правилу, что из прочитанного усваивается только 10%, из услышанного - только 20%, из увиденного - 30%, из проработанного в упражнениях - 90%, именно вовлечение позволяет донести нужную информацию до столь непростой аудитории, такой как руководители разных мастей - CEO, CFO, CLO, COO и др.

Сложно пересказывать самого себя, поэтому выложу несколько слайдов с мастер-класса, который я читал на "Код ИБ. Профи". Правда, изначальный материал у меня получился не на час, который был выделен на конференции, а часа на 3-4 (а то и больше). Но пришлось ужиматься :-) 


Третий доклад по геймификации в ИБ должен был делать Вячеслав Борилин из Лаборатории Касперского, но по уважительной причине он не смог быть на мероприятии. Вячеслав должен быть подвести базу под тему геймификации и наши с Кириллом мастер-классы и на различных примерах показать, что лучше работает в разных форматах обучения – очном, онлайн, смешанном формате; в том числе и для разных аудиторий - рядовые сотрудники, руководители, топ-менеджмент. Увы, не получилось. Но Вячеслав обещал записать отдельный вебинар для участников "Код ИБ. Профи" - он будет выложен, как и все материалы, на сайте конференции.

ЗЫ. Участники "Кода ИБ. Профи" могут получить доступ к презентациями и видео всех мастер-классов в рамках своего приобретенного пакета. Для тех, кто не смог поучаствовать очно, но хотел бы ознакомиться со всеми материалами, есть возможность приобрести пакет "КОНТЕНТ", который не заменит личного присутствия и возможности задавать вопросы, но все-таки позволит погрузиться в практику управления ИБ от одних из лучших спикеров России по ИБ, которые преимущественно являются и практикующими специалистами в области кибербезопасности.

13.03.2018

CyberArk покупает Vaultive

12 марта компания CyberArk, известная своими решениями по управлению привилегированным доступом, объявила о покупке частного провайдера облачной безопасности Vaultive. Сумма сделки не раскрывается.

Стратегия выхода безопасника возраста 45+: как не сдохнуть на пенсии

Одной из кулуарных тем Уральского форума по ИБ в кредитно-финансовой сфере стала, как ни странно, не кибербезопасность, не новые нормативы Банка России, не неизменный вкус пельменей или пухляк на горе, а стратегия выхода, то есть ответ на вопрос, что делать после ухода из профессии и как обеспечить своей семье и себе безбедную старость в наше нестабильное время, когда все накопления могут внезапно превратиться в тыкву, а недвижимость и бизнес могут отобрать. Понятно, что тема актуальна далеко не всем, но в прошлые годы она как-то на мероприятиях по ИБ не всплывала. А может я был моложе и мне было пофиг...


В советское время о стратегии выхода как-то никто особо не думал - все выходили на пенсию, получали от государства ежемесячную финансовую поддержку и жили вполне себе безбедно (на фоне общего уровня). После перестройки ситуация изменилась с точки зрения работы, но почти не поменялась в контексте будущей пенсии - государство ее гарантировало и выплачивало. Но сегодня ситуация поменялась кардинальным образом и надежды "авось пронесет" уже не сбудутся. Пенсионный Фонд строит для себя роскошные здания, но имеет огромную дыру в пенсионных накоплениях. Чиновники всех мастей регулярно дают руку на отсечение, что пенсионный возраст не будет повышаться, но после аналогичных заверений относительно денежной реформы 90-х, в это уже не веришь. Уровень доходов населения падает последние 4 года. Медицина улучшается только в победных реляциях Минздрава. Уверенности в том, что деньги, отчисляемые работодателем государству, останутся в целости и сохранности и будут выплачены по достижении 60 лет, нет. И возникает закономерный вопрос, стоящий перед россиянами несколько столетий: "Что делать?" (кто виноват, мы и так знаем).


Ты можешь сейчас обладать многомиллионными (в долларовом эквиваленте) бюджетами на ИБ и огромной властью. У тебя могут быть в подчинении сотни безопасников, а ИБ-вендора выстраиваются к тебе в очередь. У тебя есть знания и компетенции, которыми ты готов делиться. Но ты на х** никому не нужен уже в 45-50 лет. От тебя избавляются как от ненужного хлама, так как тебя подсидел тридцатилетний "юнец", имеющий корочку MBA, или компания решила омолодить свой состав, или ты просто не поспеваешь за изменениями в отрасли и начинаешь постоянно лажать. А может ты просто задумался о перспективах и не видишь их.


Что делать в такой ситуации? Тебе повезло, если у тебя есть квартира, оставшаяся с советских времен или от родителей или ты смог купить ее на доходы, полученные в лучшие времена. Но квартира требует постоянных вложений, как минимум, в размере постоянно растущей квартплаты. А еще есть супруга/супруг, которые также находятся на пенсии (хорошо, если у них будет адекватная пенсия). А еще есть дети, которым надо помогать (даже если вы думаете, что это дети должны помогать старикам-родителям). А еще хочется иногда есть не только хлеб и макароны, но и мясной фарш. Да и съездить иногда хочется не только в собес, но и в присоединившийся к России Крым или рождественскую Прагу.

Вот о том, что делать тем, "кому за 45", о том как выстроить стратегию выхода для безопасника, мы и будем говорить на дискуссии в рамках CISO Forum, который пройдет 23-24 апреля в Москве. Если вам есть что сказать или вы хотите услышать о положительном (и отрицательном) опыте коллег, то приходите - будет интересно. Никаких презентаций - только разговор по душам с теми, кто уже столкнулся с проблемой поиска себя в этом мире и строит свою стратегию выхода.


Список участников дискуссии (из давших свое согласие на данный момент):

  • Рустэм Хайретдинов
  • Василий Окулесский
  • Дмитрий Устюжанин
  • Алексей Лукацкий (вообще я буду модерировать, но меня эта тема тоже волнует - я в этом году перешагну психологический рубеж)
  • планируется еще 1-2 участника, которым есть что сказать.


ЗЫ. На ФБ в феврале эта тема собрала полторы сотни комментариев, что говорит об ее актуальности.