02.12.16

Онлайн-варианты ИБ-игры KIPS от Лаборатории Касперского

Прошлый четверг был не только рыбным днем; он был насыщен и событиями по безопасности, среди которых я бы отметил опубликования Cisco пресс-релиза о получении сертификата на отсутствие НДВ, конференцию AntiFraud Russia, где я читал презентацию по модели угроз биометрическим системам, и выступление Президента, где он призвал снижать барьеры для компаний в области ИБ (правда его же распоряжение об ужесточении лицензионного контроля немного противоречит словам из Послания). Но было и еще одно событие, которому я и хотел посвятить эту заметку. Речь о кибермундиале, то есть чемпионате по онлайн-игре Kaspersky Industrial Protection Simulation, о которой я писал год назад и которая тогда была преимущественно "бумажной".


В прошлый раз я высказал идею, что было бы замечательно, если бы игра стала целиком онлайн и вот свершилось. Коллеги из Лаборатории Касперского пригласили меня поучаствовать в чемпионате, в котором приняло участие около 400 команд из разных регионов мира. Поэтому чемпионат разделили на 3 блока, проходящие в разные временные отрезки. Учитывая AntiFraud, я попал только на североамериканский чемпионат, где участвовало 40 команд.

Я не ставил перед собой задачи выиграть - мне было интересно, что получилось из бумажного варианта, который я видел больше года назад. С точки зрения описанной мной в прошлый раз стратегии не поменялось ничего и повторять ее я не буду. Игровое поле тоже мало претерпело изменений - по сути автоматизировали процесс выбора карточек на каждом ходе с последующим автоматическим подсчетом очков, что и позволило целиком перейти в онлайн.


Так как речь шла о чемпионате, где необходима было обеспечить звуковое сопровождение игры, отсчет времени, комментарии и т.п., то ЛК использовала для этого наш Webex, через который был проведен предварительный тренинг по использованию игры, а после чемпионата - проведен анализ игры и даны рекомендации по отдельным шагам игроков. Этот момент был очень ценен, так как действительно позволяет не просто "поиграл и забыл", но и получить обратную связь и понять, что было правильно, а что нет.


Иногда у меня вызывало вопросы то, как принимается решение внутри движка и почему то или иное мое действие приводит к тем или иным результатам. Такое недоумение было и в бумажной версии. По сути игра жестко запрограммирована в соответствие с видением экспертов ЛК, что, допускаю, может вступать в противоречие с мнением других экспертов. Но все равно, вариативность и зависимость между действиями, сделанными на разных ходах, была неплохой.


Меры защиты были не только технические, но и организационные. Была учтена связь ИБ и ИТ, а также необходимость привлечения внешних компаний (пентестеров и аутсорсеров), а также обращения в правоохранительные органы :-) Достаточно интересно оказалось, что некоторые карточки не приводили к желаемому результату и похоже (хотя могу и ошибаться) были сделаны для отвлечения внимания. Например, произошедший денежный перевод не тому получателю нельзя было отозвать (так как его уже провели), хотя карточка с такой мерой была предусмотрена :-)


Интересно, что сценарий игры подразумевал не просто борьбу с угрозами, а еще и необходимость учитывать бизнес-задачи. Например, неустраненная уязвимость Интернет-магазина могла привести к его блокированию со стороны провайдера Интернет, а обновление всех компьютеров - к потере времени сотрудников и снижению доходов компании. Целью игры было не побороть все угрозы, а обеспечить максимальный доход в условиях ограниченного бюджета и времени. На фоне ограничения времения на каждый ход, которое еще и снижалось на каждой новой итерации, это заставляло думать очень быстро.


Новые защитные меры появлялись не сразу, а по мере хода игры, что также добавляло некоторой непредсказуемости результата. Продумываешь один сценарий, а тебя сбивают с толку новыми карточками, да еще и настойчиво рекомендуют их применить "а то будет плохо...".


В итоге, я занял 28-е место из 40 и получил массу удовольствия. Будь это не первая игра и не надо мне было бы параллельно заниматься с детьми, я бы более внимательно отнесся к заданиям и моей реакции. Может быть и результаты были бы тогда повыше. Во время чемпионата в нашем регионе (EMEA), победитель достиг миллиона с небольшим (максимальное значение было 1.100.000).


А теперь несколько слов о том, чего бы мне хотелось увидеть в следующей версии:

  • Возможность участия вне чемпионата. Думаю, что она и так есть, просто чемпионат был способом привлечь внимание к этой игре и сервисам ЛК по повышению осведомленности. В такой игре (вне чемпионата) не нужно звуковое сопровождение, но... нужно реализовывать другие задачи, среди которых:
    • анализ проведенной игры (сейчас он был через Webex, а хотелось бы увидеть его по итогам игры с возможностью его сохранения в личном кабинете и последующем обращении к нему для изучения)
    • отдельно выгружаемый/сохраняемый лог/история действий
  • Увеличение числа защитных мер.
  • Наличие конструктора для создания собственных систем защиты и собственных сценариев. Это очень крутая возможность и я понимаю, что сделать ее не так уж и просто. Это необходимо не только научиться описывать систему защиты, но и связать все защитные меры с угрозами и "оцифровать" их влияние. Эта задача в общем малорешаема, так как у нас бесконечное число угроз, но вот для игры это сделать можно, взяв хотя бы за основу привязку к Kill Chain. Такая возможность могла бы продаваться в рамках Premium-пакета для корпоративных заказчиков, которые таким образом могли бы в игровой форме выстраивать свои системы защиты и моделировать угрозы и свои ответные действия.
  • Личный кабинет. Если рассматривать игру как долгоиграющий проект, направленный на повышение осведомленности, то надо где-то накапливать свою статистику и иметь возможность видеть динамику.
  • Кибермундиаль был ограничен по времени и числу ходов, а хотелось бы иметь более расширенный вариант. И чтобы время можно было делать больше или меньше. И бюджет задавать самому (да и не только CapEx на реализацию карточек, но OpEx на их обслуживание с течением времени). И чтобы число ходов было неограничено пятью.
  • Отдельной функцией могла бы стать возможность анализировать действия других игроков и команд. Особенно если рассматривать это как инструмент для холдингов и групп компаний, которые имеют головную и подчиненные ИБ.
  •  Предусмотреть влияние регуляторики и внезапные проверки регуляторов, которые могут помешать работе служб ИБ (а уж если реализовать изъятие серверов со стороны МВД...) :-)
  • Хотелось бы иметь возможность высказать несогласие с оценкой хода со стороны игры. Все мы люди и всем нам свойственно ошибаться. Коллективный разум может найти ошибки, которые пропущены разработчиками игры.
  • Наконец, можно было бы реализовать возможность играть и на стороне темной силы :-) Все-таки у нас немало компаний, которые имеют и собственные Red Team, и занимаются моделированием угроз. Им было бы полезно, как мне кажется, выступать за команду нападающих и проверять на прочность не реальные, а виртуальные бастионы.
  • Ну и учитывая разные целевые аудитории для данной игры (я, например, выступал в одиночку и как частное лицо, а многие другие команды состояли из нескольких участников и представляли компании), можно было бы предложить к данной игре разные пакеты и уровни поддержки - для индивидуальных пользователей, для ВУЗов, для среднего бизнеса, для крупных корпоративных заказчиков. А производителям средств защиты еще и product placement можно предлагать (шутка).


Вот такая интересная игра, которая может стать еще лучше. Поддержка разных языков и ориентация на разные вертикалы (финансы, ритейл, промышленность, госы и т.п.) позволит данной игре стать значительным событием в мире ИБ и классным инструментом для повышения осведомленности по вопросам ИБ. Да и как средство анализа этот инструмент очень недурен при правильном подходе. Этакий аналог KSN :-)

Модель угроз биометрическим системам (презентация)

Вчера на  AntiFraud Russia мне довелось выступать с темой про модель угроз биометрическим системам. Выкладываю презентацию. Особо комментировать ее не буду - там и так все понятно.



А само мероприятие мне понравилось - я похоже там вообще был первый раз. Сколько раз меня звали, но все разы у меня не складывалось; как правило, в командировках был. А тут выбрался. Очень было душевно. Организация на уровне. Залы полные. Кулуары интересные :-)

30.11.16

Мои смешные картинки и демотиваторы для SOC Forum #FunnySOC

Решил взять и выложить все свои демотиваторы и просто смешные картинки, которые я готовил перед и после прошедшего SOC Forum 2.0. Вообще было бы интересно проанализировать, насколько этот конкурс мемов повлиял на посещаемость мероприятия. Но думаю таких данных нет. Поэтому просто веселитесь, если покажется смешно и если вы еще не видели что-то из опубликованного мной ранее в Твиттере.



















29.11.16

Что я не услышал на SOC Forum 2.0

На днях Денис Батранков написал заметку о том, что он увидел в презентациях с SOC Forum 2.0 хотя на самом форуме его не было :-) Я решил не отставать и написать о том, чего я в презентациях не увидел, хотя на самом форуме был. Лично для меня не хватило практики; и не важно с чьей стороны - заказчиков, интеграторов или поставщиков услуг SOC. Да, заказчиков было мало и причины этого я уже пытался анализировать, но остальные?.. Нечего сказать или отсутствует желание делиться информацией с коллегами? Причин не знаю. Но в итоге мы вновь вернулись к тому, от чего хотели отойти в прошлом году - к рассказам о том, что такое SOC и зачем он нужен, но не о том, как выстраивать те или иные процессы SOC и какие подводные камни могут быть на пути к тому или иному уровню зрелости центров мониторинга. Кстати, об уровнях зрелости не упоминал только ленивый, но вот к себе почему-то его никто не примерял, а если примерял, то "малость" завышал оценку :-)

Но вернемся к теме заметки. Так сложилось, что я имею некоторое представление о том, что рассказывают на западных, в частности, американских мероприятиях по SOC. Там есть ежегодный SOC Summit, там есть мероприятия по Threat Hunting, по Digital Forensics, по Incident Response. Поэтому, сравнение пока не в пользу нашего SOC Forum. Ну да это понятно - бизнес-модель упомянутых западных мероприятий совсем иная. Там мероприятие платное для участников и поэтому они хотят видеть что-то конкретное и полезное, а не просто рассуждения на тему "Что такое SOC?" или "Какой уровень зрелости должен быть у SOCа на втором году жизни?". Итак, вот мой список того, что я не увидел на SOC Forum в этом году и что хотелось бы:

  • Больше докладов от заказчиков, которые делятся не только своими достижениями, но и своим негативным опытом, который тоже полезен. Как минимум, он позволяет не наступать на грабли последователям. А как максимум, показывает уровень зрелости компании, готовой делиться не только своими успехами. Очень мне понравился доклад от самого ЦБ об опыте работы внутреннего центра мониторинга. Нет, речь не о FinCERT, а о том, как ЦБ борется с угрозами внутри себя. Это вообще редкость, когда регулятор делится опытом собственной защиты. На моей памяти это вообще первый публичный случай. Мы эту тему обсуждали в программном комитете еще в прошлом году и вот первый результат, который вышел не комом. У ФСБ тоже есть СОПКА (а не только ГосСОПКА) и было бы интересно (хотя я понимаю, что это малореально) послушать об их опыте самозащиты.
  • Не хватало реальных кейсов поимки кого-либо или чего-либо. Большинство докладов фокусировалось на том, что такое SOC, какие функции он решает, какие процессы в нем есть и т.п. Но есть ли какая-то польза от него? Помог ли он решить те задачи, для которых его создавали. Даже если дистанцироваться от темы эффективности, было бы интересно посмотреть примеры обнаружения APT, поимки инсайдера и т.п. Такой доклад был только у JSOC и то, потому что у них, как у генеральных спонсоров, было целых три доклада. А если бы не было трех докладов? Выбрали бы рекламу себя или обмен опытом?
  • Не хватало реальных кейсов оценки эффективности деятельности SOC. Кроме доклада  Газпромбанка и банка "Санкт-Петербург" по сути никто так и не привел метрик оценки своей эффективности даже вскользь. И возникает классический вопрос - так стоит ли овчинка выделки? Надо ли тратить немало ресурсов на создание того, что сложно оценить в конкретных показателях? Понятно, что тема эта непростая, но все-таки. Сюда же относится и демонстрация показателей TTD/TTC/TTR (Time-to-Detect/Time-to-Contain/Time-to-Response). Эти показатели звучали на SOC Forum только один раз - у меня в презентации в качестве примера метрик оценки эффективности SOC. У той же Информзащиты и JSOC в презентациях говорилось о времени реакции (это TTD, TTC или  TTR?). При этом были указаны какие-то запредельные показатели в "15 минут" у Информзащиты и "10 минут" у JSOC (у них еще упоминались "30 минут" как время противодействия). Фантастические показатели, если честно. У того же Cyberbit в презентации были показаны более реальные значения - 80% инцидентов закрываются в течении 6 часов. А вот пример из нашего собственного SOC компании Cisco.

  • Про финансовую оценку эффективности и говорить не приходится. Тема не звучала в принципе. Правда, справедливости ради, надо признать, что и на западных мероприятиях она мало звучит. Как и тема обоснования руководству необходимости SOC.
  • Не хватало рассмотрения таких важнейших тем, как визуализация (об этом упомянул только Эшелон, но на примере своего решения) и подготовка отчетов (об этом говорил НТЦ Вулкан, но опять же на примере своего продукта). А хотелось бы услышать чуть больше советов о том, какие формы визуализации и для каких инцидентов подходя, какие отчеты и для каких целевых аудиторий нужны? От этого очень многое зависит в том, как будет воспринимать руководство построенный SOC.
  • С технической точки зрения практически полностью отсутсовали рассказы о Threat Hunting, расследовании инцидентов, реагировании на них, приоритезации событий, применении современных методов анализа данных - машинном обучении (кроме доклада Открытых технологий), нейросетях и т.п. А ведь именно эти сервисы/процессы отличают SOC от банального применения SIEM. 
  • Ну и конечно была упущена тема персонала для SOC, а точнее тех знаний и компетенций, которыми должен обладать специалист SOC (например, аналитик). Вкратце об этом говорил представитель моей альма-матер (МИРЭА), рассказав о том, как они готовят специалистов для ГосСОПКА. Но этого явно было недостаточно и не каждый готов пойти вновь за институтскую скамью, чтобы получать нужные знания.
Вот такая картина получается. Не скажу, что она явилась для меня сюрпризом. Скорее просто решил поделиться наблюдением вдогонку к моему рассказу о пленарной секции, секции по эффективности, секции с регуляторами, о которых я уже написал раньше. Вот тут можно почитать обзор Алексея Качалина с модерируемой им секции SOC Forum по технологиям SOC. Обзора оставшихся двух секций - по эксплуатации SOC и по тому, с чего начать, я пока не встречал.

28.11.16

Обнаружение необнаруживаемого (threat hunting)

На Коде ИБ в Нижнем Новгороде помимо пленарной части я также проводил мастер-класс на тему обнаружения необнаруживаемого, то есть threat hunting. Разумеется, за один час это сделать было непросто, и поэтому своей основной задачей я ставил дать обзор того, что можно и нужно делать помимо банального использования различных продуктов по ИБ. Какие данные нам помогают видеть скрытые и целенаправленные угрозы? Откуда брать информацию об угрозах? Что такое индикатор компрометации и какие ресурсы в Интернет их распространяют? Откуда отечественные IDS берут сигнатуры атак? Как использовать Vulners, Cisco ISIS или БДУ ФСТЭК для поиска уязвимостей при отсутствии сканера безопасности? Как визуализировать аномалии? Какие риски существуют при использовании различных платформ фидов Threat Intelligence? Кто из российских компаний поставляет фиды Threat Intelligence и когда ГосСОПКА будет доступна для всех желающих? Вот небольшой перечень вопросов, которые вошли в урезанную версию мастер-класса, проведенного в Нижнем Новгороде.



Можно было бы попробовать такое прочитать на SOC Forum (заметки перед ним как раз были посвящены многим из описанных в презентации вопросам), но 20-тиминутные доклады не позволили бы раскрыть тему даже поверхности. Поэтому и читал позже, в рамках "Кода ИБ".

В январе есть планы провести более расширенный вариант этого мастер-класса - часов на 6-7 вместо одного часа. Все-таки уложить такую тему в час непросто и многие темы прищлось либо опустить, либо пробежаться по верхам, а то и просто упомянуть без какой-либо детализации и пояснений.  Сейчас мы в Cisco прорабатываем организационные вопросы по данному вопросу. 

25.11.16

Тенденции мира ИБ (презентация)

Вчера я выступал на последнем в этом году "Коде ИБ" в Нижнем Новгороде, где мне довелось вести пленанрную дискуссию, традиционно посвященную различным тенденциями мира ИБ. Учитывая, что времени было не так уж и много (все-таки это не совсем презентация, а именно дискуссия с экспертами и залом), то я не успел рассказать все, что сейчас можно отнести к тенденциям. Поэтому, даже в сокращенном виде, я не смог пройтись по всем намеченным мной слайдам.

Сами же слайды я взял из своей презентации, которые я готовил неделей ранее, для одного закрытого мероприятия по информационной безопасности, проводимого для представителей финансовой сферы. Поэтому я решил выложить не вчерашнюю презентацию, а ее полный вариант, который ориентирован на финансовые структуры. Хотя из 4-х наборов тенденций, влияющих на ИБ (угрозы, ИТ, финтех, ИБ), для любой другой отрасли применимы три из них (а тот же финтех будет заменен на тенденции своей отрасли - промтех, оборонтех и т.п.).



Если дойдут руки, к концу года сделаю вариант с озвучкой и прогнозами на год грядущий с прицелом именно на российские реалии и оценкой того, насколько мировые тенденции способны повлиять на российский рынок и насколько отечественные игроки рынка ИБ готовы к тому, что движет миром ИБ за пределами нашей государственной границы. Все-таки одно дело видеть некий тренд одной строчкой и другое дело - понимать, что за ним кроется. Но это если дойдут руки...

24.11.16

SOC Forum 2.0: выступления регуляторов

Как и обещал, выступлениям регуляторов на SOC Forum 2.0 посвящу отдельную заметку, тем более, что было сказано немало интересного как на самих выступлениях, так и в кулуарах. Я не буду повторять то, что уже написал Сергей Борисов, - напишу только то, что выпало из поля его зрения:
  • ФСТЭК, помимо рассказа о ПП-541, рассказала о том, что новая редакция приказа №17 будет принята только после принятия законопроекта о внесении изменений в ФЗ-149, которые не только устанавливают требование об обязательном уведомлении об инцидентах (процедуру и соотнесение этой нормы с ГосСОПКОЙ только еще предстоит определить), но и обязывают выполнять требования ФСТЭК не только госорганы, но и любые предприятия, обрабатывающие информацию, владельцем которой является государство. Сам приказ уже практически готов, но в него останется внести то, что будет включать финальный вариант нового ФЗ-149. 
  • Кстати, по поводу ПП-541. Я забыл это упомянуть и коллеги в блоге мне напомнили (за что им отдельное спасибо). В финальном варианте отсутствует пункт о "собственных нуждах", который был в первоначальном проекте :-( Как и пункт о наличии выстроенных процессов по ISO 9000/27001. Почему, я написал вчера.
  • 203-я форма отчетности теперь окончательно и официально перешла под крыло ГУБиЗИ, в частности в FinCERT. На фоне планируемого положения Банка России "О требованиях к защите информации в платежной системе Банка России" (уже написано и отправлено в Минюст на согласование), обязывающего уведомлять об инцидентах в течение 3-х часов именно FinCERT, роль и судьба 203-й формы становится достаточно интересной. Банк России должен будет как-то разделить эти две формы отчетности (оперативную и ежемесячную), чтобы не дублировать там информацию и не повышать бюрократию. С другой стороны, видя как FinCERT публикует и не скрывает результаты своей деятельности, можно предположить, что мы наконец-то увидим сводную статистику по 203-й форме. Идеально было бы это приурочить к Уральскому форуму.
  • Алексей Новиков, представлявший НЦКЦИ (gov-cert.ru), являющийся частью 8-го Центра ФСБ, упомянул о том, что законопроект "О безопасности критических информационных инфраструктур" будет этой осенью рассмотрен в Госдуме. По его словам сам законопроект не сильно изменился по сравнению с оригиналом 2013-го года. Кроме этого, будет вноситься и законопроект по усилению уголовной ответственности за атаки на критическую инфраструктуру (а там до семи лет лишения свободы было предусмотрено). У меня лично есть сомнения в том, что это произойдет. Та же ФСТЭК на "Коде ИБ" в Екатеринбурге упоминала, что законопроект будут вность только в 2018-м году, а это означает "после выборов Президента", то есть "никогда". По моим же сведениям этот законопроект вообще забыт в том виде, в котором его писали, и ФСБ сконцентрировалась на развитии ГосСОПКИ. Поживем - увидим.
  • По ГосСОПКЕ пишется сейчас несколько документов, которые должны быть опубликованы в 2017-м году. Я полтора года назад уже высказывал определенные "претензии" к оперативности подготовки документов 8-м Центром и видимо ситуация не сильно сдвинулась с мертвой точки. И это несмотря на то, что само выступление Алексея Новикова мне понравилось (что бывает со мной нечасто применительно к представителям этого регулятора). Четко, по делу, без бумажки. Видно, что центр действительно работает. Но когда он работает в интересах только службы - это одно, а когда он требует присоединения к себе и ФОИВов и корпоративных центров мониторинга, то без формализации процесса не обойтись, а вот с этим есть свои сложности пока. 

Когда готовилась программ SOC Forum 2.0 была еще идея пригласить представителей МинЭнерго, чтобы они ответили, как они видят выполнение ПП-861 об информировании об инцидентах на объектах ТЭК. И РКН тоже была идея пригласить, уточнить планы по гармонизации российского законодательства с недавно принятой в Европе GDPR, в которой есть требование по уведомлению об инцидентах с персданными. Но в обоих случаях не сложилось. Оставим эти вопросы на следующий раз.

23.11.16

Почему "мониторинг ИБ" - это не сертификация и почему SOCам все-таки нужна лицензия ФСТЭК?!

Вообще, сегодня тут должна была быть очередная заметка про SOC Forum 2.0, а точнее рассказ про новости регуляторики. Но в мои планы вмешался Андрей Прозоров, опубликовавший его видение ПП-541 применительно к термину "мониторинг ИБ". Согласно его позиции, мое мнение о том, что на деятельность SOC нужна лицензия, не такое уж очевидное и ФСТЭК под мониторингом вероятно понимает "сертификационные испытания" как форму "оценки соответствия требованиям по безопасности", о которой говорит ПП-541. При этом Андрей допускает и вторую трактовку (о которой писал я), но ставит ее на второе место, попутно жалуясь на отсутствие мнения регулятора. Попробую вступить в заочную полемику с Андреем :-) чтобы разъяснить свою позицию со ссылкой на официальные источники, которые я специально не стал приводить в предыдущей заметке.



Итак, почему я не считаю, что "мониторинг" и "сертификационные испытания" - это одно и тоже. На то есть несколько причин. Первая кроется в законодательстве, которое предшествовало принятию ПП-541. Хоть у нас часто и ругают законодателей в том, что их работа хаотични и не поддается логике, ФСТЭК в последнее время старается не допускать явных ляпов в этой сфере и следует легко прослеживаемой в ретроспективе концепции. Итак, в ноябре 2014-го года было принято Постановление Правительства №1149 с очень длинным и непростым названием - "Об аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, а также о внесении изменений в некоторые акты Правительства Российской Федерации в части оценки соответствия указанной продукции (работ, услуг)". В его исполнении ФСТЭК 10 апреля 2015-го года выпустила 33-й приказ "Об утверждении Правил выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности", в котором определяется, что органы по сертификации и испытательные лаборатории, занимающиеся сертификацией, подлежат аккредитации в ФСТЭК. Именно аккредитации, а не лицензированию. Поэтому необходимость лицензировать эту деятельность отпала - чужой все равно не выйдет на поляну сертификации, так как не пройдет фильтры ФСТЭК. И именно поэтому из ПП-541 ушел пункт про сертификационные испытания, который и был заменен на пункт про мониторинг.

Пойдем дальше и посмотрим, нет ли у нас где-нибудь какого-нибудь официального (это важно) мнения регулятора? Видимо Андрея не устроило то, что Дмитрий Шевцов из ФСТЭК на пленарной сессии SOC Forum сказал, что SOCам будет нужна лицензия, и ему нужно что-то более солидное. Вот оно. Это комментарии ФСТЭК на портале regulation.gov.ru на замечания к еще тогда проекту ПП-541. Если тезисно, то там написано следующее:
  • Усиление требований к лицензиатам - это требование из перечня поручений Президента Российской Федерации от 21 октября 2015 г. № Пр-2172 по вопросу совершенствования защиты информации. То есть ни о какой либерализации и речи не идет, и никто и не планировал убирать лицензию для сертификаторов; как и оставлять компании, оказывающие услуги по ИБ, без внимания со стороны регулятора.
  • Требования к лицензиатам повышаются. Это к вопросу о том, где взять квалифицированный персонал для мониторинга и откуда у небольшой фирмочки, занимающейся пентестами, свое помещение (или в долгосрочной аренде).
  • Из проекта постановления исключено требование о наличии системы менеджмента информационной безопасности в связи с неурегулированностью вопроса о соответствии системы менеджмента информационной безопасности требованиям национальных стандартов. Это дословная фраза от представителя ФСТЭК. Видимо, сначала урегулируют, а потом узаконят требование оценки соответствия ISO 27001 :-)
А вот дальше я позволю привести себе фрагмент ответа ФСТЭК про SOCи (центры мониторинга ИБ) целиком: "В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Приказ № 17), аттестованные информационные системы подлежат защите не только при создании, но и в ходе их эксплуатации. В ходе эксплуатации проводится контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в государственной информационной системе, выявление инцидентов и реагирование на них. Для реализации указанных требований операторам государственных информационных систем необходимо иметь силы и средства, включающие подготовленных специалистов в области защиты информации, а также наличие специальных средств защиты информации: средств управления информационной безопасностью и управления событиями безопасности; систем обнаружения вторжений; сканеров безопасности. Приобретение и эксплуатация указанных средств влечет значительные финансовые затраты. Учитывая тенденции к сокращению подразделений по защите информации в органах государственной власти, являющихся операторами государственных информационных систем, в настоящее время указанные операторы реализуют выполнение требований Приказа № 17 путем привлечения на договорной основе (аутсорсинга) коммерческих организаций, обеспечивающих создание для органов государственной власти центров мониторинга информационной безопасности. Задачи этих центров состоят в информационном мониторинге государственных информационных систем и выдаче рекомендаций органам государственной власти по предупреждению и реагированию на инциденты информационной безопасности. Качество таких услуг оказывает непосредственное влияние на уровень защищенности информации в государственных информационных системах, требования к которым установлены в соответствии с Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Оказание услуг по мониторингу информационной безопасности целесообразно включить в качестве вида работ, подлежащих лицензированию в рамках деятельности по технической защите конфиденциальной информации".

На этом считаю для себя вопрос о необходимости получения лицензии ФСТЭК аутсорсинговым SOCам закрытым, ибо это позиция регулятора была им официально озвучена и на самом SOC Forum и за год до него, еще во время подготовки Постановления Правительства.

22.11.16

SOC Forum 2.0: ключевые положения с пленарной сессии

Чем мне нравится SOC Forum, так это его фокусировкой на конкретной теме, которую можно обсасывать с разных сторон и на достаточно глубоком уровне. Вы можете себе представить очень конкретную и очень специфическую тему "Отчетность в SOC" на каком-нибудь Инфофоруме или InfoSecurity? Я - нет, потому что оба эти мероприятия "обо всем и ни о чем". У них размытая программа, которая хочет охватить сразу все и в итоге все темы рассматриваются по верхам (хотя кому-то и этого достаточно). У SOC Forum четкая специализация (если не рассматривать смешение тем SOC и SIEM), что и позволяет погружаться в совершенно различные темы, связанные с центрами мониторинга - визуализация, threat hunting, расследование инцидентов, приоритезация событий, измерение эффективности и другие. У нас таких мероприятий не много - РусКрипто, PKI Forum, AntiFraud Russia, ИБ АСУ ТП КВО... Вот, пожалуй, и все. Тот же BIS Summit лишился той привлекательности, которая была у DLP Russia, сфокусированной также на одной теме. Теперь BIS Summit распылен по нескольким темам, что отражает спектр деятельности Infowatch, но вызывает вопросы с точки зрения контента.

Но вернемся к SOC Forum. Не буду оценивать организацию, которая была на высоте, выросшую выставочную часть, возможность для кулуарных обсуждений - все это было хорошо. Опишу пленарную часть, которую мне доверили вести. Надо сразу ответить на замечания отдельных коллег, что они не увидели шоу за тот 1 час 20 минут, что шла пленарка. Я сознательно отказался от этой идеи, хотя на других мероприятиях, где мне доводилось модерировать, я практиковал элементы шоу для привлечения внимания и его удержания. В данном случае такой задачи не стояло - зал был полон и конкурировать с другими потоками не было необходимости. Кроме того, участие официальных представителей ФСБ и ФСТЭК не способствовали разбавлению первой сессии развлекательными элементами - не привыкли они к такой форме ведения мероприятий. В итоге я сконцентрировался на дискуссии с двумя уже упомянутыми регуляторами, тремя аутсорсинговыми SOCами, представленными Игорем Ляпуновым (Solar Security), Женей Климовым (Информзащита), Ромой Кобцевым (Перспективный мониторинг), и представителем заказчика - Алексеем Плешковым из Газпромбанка.


Первый мой вопрос касался такой материи как время. Почему тема SOCов стала активно развиваться именно сейчас? Это происки отдельной компании, которая пиарит свои услуги, как в свое время Infowatch с темой DLP? Или есть другие причины, приведшие к такой активности?  По версии Алексея Новикова из 8-го Центра ФСБ и Дмитрий Шевцова из ФСТЭК задача непрерывного мониторинга стала важной сейчас по причине развития технологий ИТ, развития технологий нападения, а также усиления требований по скорости реакции на современные угрозы. Именно поэтому помимо темы SOCов стала именно сейчас развиваться ГосСОПКА, стали появляться требования по обязательному уведомлению госоорганов об инцидентах, ФСТЭК меняет подходы к аттестации от дискретных трехлетних периодов к непрерывной оценке защищенности.

При этом аутсорсинговые SOCи тоже развиваются не на пустом месте - возросла зрелость тех, кому не хватает своих систем мониторинга и они хотят повысить эффективность процесса обнаружения и отражения угроз. Об этом говорили и Игорь Ляпунов, и Женя Климов. А Роман Кобцев привел интересную аналогию с морковным соком, который в семьях пьют по разным причинам. Кто-то потому что вкусно, кто-то - потому что полезно, а кто-то - потому что мама заставляет. Так и SOCи. Кого-то заставляет ГосСОПКА и FinCERT, а кто-то реально созрел до выделения этой задачи в отдельный процесс, который и можно было бы назвать SOC. Хотя и ответ "так звезды сошлись" тоже был упомянут среди причин возросшей активности темы SOC Forum 2.0.

Также мне был интересен портрет типичного заказчика аутсорсингового SOC (включая ГосСОПКУ). У Solar Security это преимущественно банки, хотя Игорь Ляпунов неоднократно упомянул и зрелость заказчиков, которые отдают свою "святая святых" на аутсорсинг. У Информзащиты и Перспективного мониторинга клиентами являются преимущественно свои же клиенты, которые уже пользуются услугами и продуктами этих (а также материнской в случае с Перспективным мониторингом) компаний. К ГосСОПКЕ подключены сейчас 10 крупных органов власти, а в перспектике должны поключиться все ФОИВы, а также, возможно, и госкорпорации. В частности Росатом и Ростех со своим КЦОПЛ уже проявили интерес к интеграции своих центром мониторинга с ГосСОПКОЙ; по примеру уже подключившегося FinCERT Банка России. SMB нет ни у кого среди клиентов и пока непонятно, как это сделать. Solar Security пока не видит среди своих клиентов малый бизнес, а Перспективный мониторинг считает, что малый бизнес должен обслуживаться у операторов связи. Муниципальные предприятия пока не попадают в прицел ГосСОПКИ, но в перспективе их можно будет подключать через региональные центры ГосСОПКИ, которые сейчас в процессе строительства.


Интересной, но так и незавершенной мне показалась дискуссия об обмене информации между SOCами. Пока каждый работает только на себя и не очень готов делиться своими наработками с другими игроками рынка, по сути, конкурентами. Об этом говорил и Алексей Плешков из Газпромбанка, который поделился своим опытом и посетовал на то, что пока у нас отсутствует формализованный стандарт обмена информацией об угрозах, что усложняет автоматизацию подключения различных источников Threat Intelligence.

Есть проблемы и с бесплатными услугами у наших SOCов. Пока этот рынок находится в самом зачатке и никаких бесплатных услуг (например, фидов) отечественные игроки не предоставляют. Игорь Ляпунов упомянул о том, что у Solar Security есть какие-то услуги за нулевую стоимость, но какие так и не сказал. Остальные игроки на вопрос о том, что у них есть для компаний, которые хотят знать об угрозах, но не готовы платить за услуги SOC, скромно промолчали. Идея с центрами, аналогичными западным ISAC, которые часть информацию раздают бесплатно, пока у нас не реализована, что обусловлено, на мой взгляд, незрелостью самого рынка. Те же Информзащита и "Перспективный мониторинг" ориентированы на работу со своими клиентами и пока не видят смысла (или не имеют ресурсов) в работе на широкую публику. Возможно со временем...

Зато эта тема очень интересно свернула в сторону и качества информации, обмениваемой в рамках информационного обмена, и качества подключающихся к обмену участников. По словам Игоря Ляпунова во внешних фидах слишком много шлака и мусора и приходится очень активно их фильтровать (в отличие от данных той же ГосСОПКИ). А Женя Климов задал риторический вопрос о том, как проверять подключающиеся к обмену компании? Не представляют ли они сами интересы злоумышленников, которые таким образом изучают то, что о них знают защитники информации? Этот непростой вопрос так и канул в Лету :-(

В целом, пленарная дискуссия мне понравилась тем, как и что отвечали участники. Времени не хватило задать все вопросы, которые я заранее подготовил. И тем более не удалось дать возможность задать вопросы из зала. Но надеюсь аудитория на меня за это не в обиде - все участники оставались на мероприятии и им можно было задать интересовавшие вопросы.

ЗЫ. Отдельную заметку посвящу выступлениям регуляторов - как на пленарной секции, так и на отдельной сессии.

21.11.16

Symantec покупает LifeLock

Компания Symantec объявила 20-го ноября о приобретении за 2,3 миллиарда долларов компании LifeLock, занимающейся защитой домашних пользователей от кражи идентификационных и иных данных этой слабо защищенной категории Интернет-пользователей. Предполагается, что приобретение LifeLock сделает Symantec лидером в этом непростом, но важном сегменте рынка.

Одна из платформ Threat Intelligence внезапно прекращает свое сущестование

Год назад я поднимал вопрос о том, можно ли бороться с угрозами без собственного исследовательского центра, который бы мог самостоятельно писать сигнатуры/решающие правила/фиды/шаблоны аномалий для средств защиты, а также для SOC? Это тема схожа с той, к которой я обращался еще в 2003-м году, высказав предположение, что в России невозможно создать собственную систему обнаружения атак, которая определяется не столько движком (многие берут просто Snort), сколько базой решающих правил и способностью ее поддерживать. В первой из упомянутых заметок я описал два варианта для того, чтобы регулярно быть в курсе последних угроз и оснащать этим знанием свои решения - создавать собственную группу анализа и описания угроз или покупать уже имеющуюся на рынке информацию. В качестве рисков второго варианта я назвал только вариант с поглощением, когда поглощенный разработчик сигнатур или фидов больше не захочет поставлять их на рынок своим клиентам. Но вот на днях произошел случай, который хорошо укладывается в описанный мной риск, только немного с другой позиции.

Речь идет о компании Soltra, которая в декабре 2014-го года объявила совместно с корпорацией DTCC и финансовым центром обмена информацией об угрозах FS-ISAC (Soltra и есть совместное предприятие FS-ISAC и DTCC) о выпуске платформы для обмена информацией об угрозах (threat intelligence). Платформа Soltra Edge предоставлялясь бесплатно и за прошедшие 2 года была скачана свыше 11 тысяч раз 2900 компаниями в 77 странах мира. Soltra Edge собирала данные об угрозах из различных источников и конвертировала их в форматы STIX и TAXII, ставшие одним из стандартов де факто в области обмена данными о киберугрозах.

И вот 15-го ноября DTCC и FS-ISAC без предупреждения объявили о том, что решение Soltra Edge больше не будет развиваться, обновляться и, с 31 марта 2017 года, поддерживаться. В перспективе платформа Soltra Edge может перейти в разряд open source, но решение об этом пока не принято. Что делать клиентам Soltra непонятно, как непонятно и то, чем заменить платформу Soltra Edge и куда девать все полученные данные? Вот такие новости. Интересно, был ли у клиентов Soltra резервный вариант на такой случай и рассматривался ли он вообще?

18.11.16

На деятельность пентестеров, аудиторов и SOCов требуется лицензия!

15-го июня было принято новое Постановление Правительства №541, о проекте которого я уже писал в феврале и которое внесло поправки в правила лицензирования деятельности по защите информации и по разработке средств защиты информации. Я летом что-то замотался и забыл про него написать, а позавчера на SOC Forum (кстати, материалы с него уже выложили) начальник 2-го управления ФСТЭК Дмитрий Шевцов напомнил всем собравшимся, что с июня 2017-го года деятельность всех аутсорсинговых SOC (а также аудиторов и пентестеров)  подпадает под лицензирование. Поэтому я решил вернуться к этому НПА и написать про него чуть подробнее.

Первая важная поправка в существующее Постановление Правительства №79 "О лицензировании деятельности по технической защите конфиденциальной информации" коснулась расширения списка видов деятельности, которые теперь потребуют обязательной лицензии. К ним относятся услуги:
  1. по контролю защищенности информации от утечек по техническим каналам
  2. по контролю защищенности информации от несанкционированного доступа
  3. по мониторингу ИБ
  4. по аттестации
  5. по проектированию в защищенном исполнении
  6. по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.
Если отбросить специфические 1, 4 и 5 пункты, то у нас получается, что деятельность аудиторов, пентесторов и SOCов подпадает под новое регулирование и требует лицензии ФСТЭК. В принципе ФСТЭК уже не раз предупреждала об усилении требований к лицензиатам и желании навести порядок на рынке ИБ, убрав фирмы-однодневки и другие малоквалифицированные конторы. И вот результат.

Требования к лицензиатам непростые. Во-первых, это численность и квалификация персонала, к которым предъявляются особые требования, которые не способны будут выполнить многие небольшие фирмы и тем более стартапы. Во-вторых, требуется собственное помещение. И, наконец, сертифицированные средства контроля защищенности. Обо всем этом ФСТЭК уже говорила еще в начале года, так что была возможность подготовиться к новым требованиям. Хотя, что касается пентестеров, то многим из них будет непросто выполнить новый НПА по всем трем требованиям. 

На SOC Forum Дмитрий Шевцов также упомянул, что и SIEM, используемые в SOC, также должны быть сертифицированы (хотя в самом Постановлении этого в явном виде нет), что вызвало некоторое неудовольствие со стороны представителей коммерческих SOCов - Solar Security (JSOC) и Информзащиты (SOC+). Они используют в качестве основы для своих SOCов иностранные SIEM, которые сертификата не имеют, что ставит под сомнение возможность расширения существующих лицензий этих двух компаний и, как следствие, вопрос о способности выполнять лицензируемый вид деятельность. Но думаю этот вопрос к июню может решиться. Хотя требований ФСТЭК ни к сканерам защищенности, ни к SIEM пока нет, а судя по прошлогоднему выступлению ФСТЭК на SOC Forum и не предвидится.

Кстати, лицензия понадобится и SOCам, которые сейчас создаются многими холдинагми для обслуживания интересов группы компаний. Например, SOC Сбербанка, SOC РЖД, SOC Ростеха (он же КЦОПЛ). Они предоставляют услуги множеству дочерних предприятий своего холдинга или группы компаний, что, по мнению ФСТЭК, требует наличия лицензии, на получение которой осталось около полугода.

В ПП-541 также интересен и последний пункт в списке новых видов деятельности. Означает он одно - любой интегратор, устанавливающий хотя бы антивирус, должен иметь лицензию ФСТЭК. Это примерно как любая компания, продающая средства шифрования (в понимании ФСБ) обязана иметь лицензию ФСБ.

Несмотря на озвученный бывшим Президентом Медведевым курс на снижение обременений по части лицензирования, ситуация, по крайней мере в области ИБ, возвращается к исходному состояния, а местами даже и ухудшается. Посмотрим, повлияет ли это на улучшение уровня ИБ в России.


17.11.16

Оценка эффективность SOC. Версия 2.0

На эту неделю интересные мероприятия по ИБ закончились и можно сделать некоторый обзор того, что было. Тем более, что закончившийся вчера SOC Forum был трехпотоковым и по определению никто не мог посетить параллельные доклады. И это если не говорить, что кто-то вообще на доклады не ходил, а как обычно тусил в холле и общался с коллегами. Поэтому, следуя доброй традиции, я решил составить обзор SOC Forum 2.0, разбив его на несколько частей. И начну я с близкой мне темы измерения эффективности SOC, которой я уже уделял время в прошлом году, а в этом году вместе с Дмитрием Мананниковым мне доверили модерировать заседание про эту самую эффективность.

В отличие от пленарной части, которую я вел, и на которой я осознанно отказался от того, чтобы дисскутировать на тему "Что такое SOC?", в секции про эффективность все-таки надо было определиться с терминологией, с чего и начал Дима, который является одним из немногих людей, которые публично отстаивает позицию, что ИБ не только измерима, но и измерима в деньгах. В этот раз Дмитрий специально не стал начинать с полемической темы измерения SOC рублем, так как это очевидно бы вызвало шквал вопросов и мы бы не уложились в отведенное время. Поэтому Дмитрий просто ввел определение эффективности (но не результативности, что часто путают):


определение SOC в контексте нашей секции:


и привязал это к обязательному отталкиванию от целей, достижение которых мы хотим измерить. Вот это, пожалуй, самое главное в любом измерении - определить цель, для чего нам нужно то или иное решение, SOC, SIEM или что-то еще? Для чего может быть разным - для безопасности, для бизнеса, ради самого измерения... От определенной цели будет танцевать и измерение, и выбираемые метрики.


Продолжил тему Андрей Тамойкин из "Информзащиты", которого, похоже, бросили на амбразуру, предварительно оснастив связкой гранат, с которыми он на практике дело не имел :-) Иначе я не могу объяснить достаточно сумбурный доклад, из которого было сложно понять, Андрей описывает методику оценки эффективности (а на самом деле зрелости, которую докладчик смело приравнял к эффективности) аутсорсингового SOC Информзащиты или методику, которая явилась результатом труда аналитиков Информзащиты и она предоставляется всем желающим для измерения эффективности своих SOCов. Признав, что за основу была взята модель оценки зрелости SOMM компании HPE (успешно продавшей свой бизнес SIEM ArcSight), дальше последовал рассказ о модификации этой модели и попытке применить ее куда-то и зачем-то. Вот куда и зачем понятно не было. Андрея регулярно спасал Женя Климов из той же Информзащиты, который "подсказывал" с места правильные ответы :-) Но на прозвучавший от меня вопрос, а на какой уровень оценивает себя по данной методике сам SOC Информзащиты ответа я так и не получил (напомню, что по исследованию HP 87-ми SOCов в 18 странах мира на двух континентах среднее медианное значение уровня зрелости составляет 1,55 при желаемых трех).


После Информзащиты слово было предоставлено генеральному директору Андрею Безверхому из SOC Prime, у которого, что мне показалось забавным, 170+ лет кумулятивного опыта (так было заявлено в презентации :-) Вот тут я, честно говоря, спасовал. Я вообще не понял, о чем рассказывал Андрей. Тут, на мой взгляд, и с дикцией были сложности, и со скоростью представления материала (быстровато, что, возможно, влияло на дикцию), и с идеей всей презентации. По истечении 20-ти минут, выделенных на доклад, я так и не понял, о чем он и причем тут эффективность SOC, у которого, по версии SOC Prime, всего 4 возможных метрики и определяющих его эффективность.

Как обычно спас ситуацию Женя Климов, который по прошлому опыту тестировал SOC Prime и который в паре предложений рассказал, что из себя представляет подход и решение докладчика. Речь идет о системе мониторинга SIEM (или SOC, что, как и в прошлом году, часто путали между собой) с точки зрения работоспособности, безопасности, производительности, качества данных и возможности собирать сами данные. По сути это такая система проактивного мониторинга состояния, позволяющая прогнозировать сбои в работе SIEM, которые можно предотвратить (память на пределе, ЦПУ загружен по максимуму, места в БД не хватает, полоса исчерпана и т.п.). Важная тема, о которой часто забывают.

Завершал первую часть секции Александр Кузнецов из НТЦ Вулкан. Он представил очень непростую, но очень интересную и важную тему представления результатов работы SOC/SIEM (скорее даже SIEM) в виде отчетов. Чем мне нравится SOC Forum, так это своей сфокусированностью на одной теме, которую можно обсасывать с разных сторон. Обычно до таких глубоких и конкретных тем на типовых мероприятиях не доходят - не хватае времени и формат не тот. А тут все было "в кассу".


Александр в первое половине своего рассказа коснулся проблем, связанных с отчетностью, и способов их решения, а вот вторая часть подкачала - началась реклама разработанного в НТЦ Вулкан модуля, позволяющего улучшить встроенную систему отчетности большинства SIEM. Допускаю, что аудитории, уже использующей SIEM, эта тема была интересна, но мне не хватило практических примеров и лучших практик по подготовке отчетов, например, для разных целевых аудиторий.


После перерыва вступил в игру я и рассказал о примерах различных метрик, которые можно использовать (и которые используют) при оценке различных аспектов эффективности SOC. Учитывая, что и термин "SOC", и термин "эффективность", и целеполагание в ИБ понимаются всеми по-разному, то и метрик может быть бесконечное множество - каталоги их могут насчитывать сотни и тысячи примеров. Я же сконцентрировался только на некоторых из них, чтобы показать в каком направлении можно эту тему "копать".



Завершали секцию два потребителя SOC - внешнего и внутреннего. Это были банки "Санкт-Петербург" и Газпромбанк. От первого выступал Анатолий Скородумов, который рассказал о своем опыте построения системы мониторинга в банке и о том, как они пытались найти адекватную услугу аутсорсингового SOC в России. Лучше всего доклад Анатолия иллюстрирует его слайд, говорящий, что в России нет адекватных внешних SOCов. При этом на вопрос, а как же тогда банк "Санкт-Петербург" пользуется аутсорсингом SOCа, Аналотий ответил, что альтернатив-то и нет. Это наименьшее зло, так как ресурсов на построение своего SOC просто не хватает.


У Анатолия прозвучала и еще одна интересная мысль, о том, что измерить эффективность SOC можно, пригласив пентестера. И если SOC видит попытки пентестера взломать банк, то можно считать, что SOC работает эффективно (он же видит). Интересный подход, но, на мой взгляд, внешний пентестер в данном процессе - лишнее звено, которое только удорожает процесс оценки эффективности и отдаляет его во времени, равное длительности пентеста и подготовки отчета по его результатам. Однако опыт заказчика всегда ценен и не мне судить о том, насколько правильно или нет поступает Анатолий с точки зрения оценки эффективности. Если все стороны это устраивает, то почему бы и нет?..

Не менее интересным был доклад Александра Бабкина из Газпромбанка, который рассказал... нет, не о своем SOCе (это было в прошлом году), а о том, как и куда его планируется в банке развивать. Тут вам и подключение широкого спектра внешних фидов и иных источников информации об угрозах (к тому, что уже есть), и интеграция с антифрод-системой, и интеграция с DLP-решением, и внедрение поведенческого анализа с помощью UEBA, и интеграция с системами расследования инцидентов (forensics). Не часто на наших мероприятиях можно услышать рассказ именно о планах развития системы ИБ заказчика.


На этом наша секция подошла к концу и я могу подвести ее некоторые итоги. Сегодня, в условиях, когда у каждого специалиста свое понимание SOC, эффективности и ИБ, говорить о каких-то лучших практиках оценки эффективности сложно. Как и о тиражируемости удачного опыта коллег. Всему свое время и место. Но надеюсь, что участники нашей сессии смогли подчерпнуть немало полезных идей для выстраивания своего процесса эффективности SOC.

16.11.16

Мы получили сертификат на отсутствие НДВ в сетевом оборудовании

В жизни московского офиса Cisco в контексте информационной безопасности я помню только одно знаковое событие (конечно, не учитывая мой приход в Cisco :-) - получение сертификата ФСБ на модуль шифрования, разработанный совместно с нашим партнеров - компанией С-Терра. Это событие произошло спустя шесть лет после моего прихода в компанию, хотя я к получению сертификата руку практически не прикладывал :-) И вот спустя очередные шесть лет новый долгожданный сертификат - на отсутствие недокументированных возможностей в наших маршрутизаторах Cisco ISR с операционной системой Cisco IOS.

Начали мы этот процесс давно. Когда три года назад я писал о сложностях получения разрешения американских властей на доступ кого-либо к исходным кодам и иной чувствительной информации касательно средств защиты информации или иных подпадающих под ограничения технологий, то мы уже вели такую работу. А потом было 3 года исследований. И это были не исследования заголовков прессы, на основании которых отдельные чудаки на букву "М" делали традиционно голословные утверждения о безопасности или небезопасности продукции отдельных производителей; почему-то преимущественно американских. Это была серьезная работа, которая сейчас ознаменовалась вполне конкретным результатом - сертификатом.

Предвосхищая вопрос, а почему маршрутизаторы, а не межсетевые экраны следующего поколения, отвечу. Большую долю в нашем российском бизнесе составляет именно продажи сетевого оборудования и нас часто спрашивали о наличии у него сертификата на отсутствие НДВ. Поэтому с точки зрения бизнеса решение начать сертификацию с Cisco IOS было вполне логичным и закономерным. Мы отработали процедуру у себя в компании и не будет секретом, что во многом, именно на нашем кейсе компания отрабатывала анонсированный в прошлом ноябре сервис Cisco Technology Verification Service, задача которого предоставить заинтересованным лицам доступ к исходным кодам нашего оборудования и ПО. И если раньше, еще когда мы начинали обсуждение этого вопроса, предоставление доступа к исходникам, нашей основной интеллектуальной собственности, являлось событием внутри компании и требовали множества согласований на самом верху нашей иерархии, то сейчас это выстроенный процесс, который позволяет надеяться, что последующие сертификации будут проходить быстрее. А они будут - мы сейчас обсуждаем сертификацию и других линеек нашего оборудования, включая и средства защиты.

Вот такая новость...

14.11.16

MSSP не умеют бороться с целенаправленными угрозами. На первый план выходят MDR-поставщики

Мы достаточно часто слышим аббревиатуру MSSP (Managed Security Service Provider), особенно в последнее время, в предверии начинающегося в среду SOC Forum 2.0. Оно и понятно - немалое количество докладов на форуме будет от поставщиков услуг SOC, которые называют себя именно MSSP, оказывающим аутсорсинговые услуги по мониторингу и обнаружению преимущественно известных угроз. По сути, то, что многие называют аутсорсинговым SOCом, таковым не является, так как предоставляются в массе своей услуги мониторинга средств защиты, которые, как я уже писал ранее, ориентированы на борьбу с угрозами известными. Да, пусть их и большинство, но оставшиеся единицы процентов являются наиболее опасными для предприятий. Услуги Threat Hunting предоставляет мало кто, фокусируясь на борьбу с 95% угроз, что закрывает потребностости примерно такого же количества предприятий. Правило Паретто тут работает как нельзя лучше. 5% - это наша внутренняя (для Cisco) оценка числа угроз, с которыми базовыми решениями бороться сложновато, так как и сами 5% угроз являются нетипичными.


И боремся мы у себя внутри с этими 5% достаточно большим числом технологий, выходящих за рамки уже ставших традиционными антивирусов, МСЭ, IPS, средств контентной фильтрации, решений по сегментации сети и т.п.

Но это наш внутренний "SOC", а как называется организация, которая предлагает такие услуги во внешний мир? Gartner предложил для таких организаций новый термин - MDR (Managed Detection and Response Services). По мнению Gartner - это новый, но активно растущий сегмент рынка, который к 2020-му году будет предлагать каждый второй MSSP. Пока же MSSP в контексте борьбы с инцидентами и продвинутыми атаками - это "детский сад", недоделанный MDR. Разумеется, никто не говорит, что MSSP не нужны, просто у них своя ниша, мало связанная с реагированием на инциденты.

По версии Gartner услуги MDR включают в себя три основных компонента:
  • Обнаружение атак, с фокусом на сложнодетектируемые (APT), обходящие периметровые средства защиты угрозы. По сути, MDR ориентирован на борьбу со второй половиной "убийственной цепочки", а не на предотвращение угроз, как традиционные средства ИБ.
  • Мониторинг и уведомление в режиме 24/7. Однако речь идет о мониторинге не средств защиты заказчика, а того, что происходит в сети за счет установки решений, принадлежащих и управляемых MDR-поставщику. В область работы MDR входит не только и не столько периметр, сколько и внутренняя сеть компании-заказчика.
  • Удаленное расследование и реагирование на инциденты.
Понятно, что отдельные MSSP также предлагают схожие услуги, но создание новой ниши под названием MDR не случайно. Оно показывает, что рынок созрел до услуг, выходящих за рамки типового мониторинга периметра, и требуются сервисы, "копающие" более глубоко, чем обычно это делает типичный MSSP. Но грань между двумя сегментами будет со временем стираться - под влияением рынка MDR-поставщики начнут включать в свои предложения и мониторинг средств защиты заказчика, выполняя функции классического MSSP, а последние, наоборот, будут пополнять свое портфолио сервисами удаленного расследования и реагирования и анализом происходящего во внутренней сети.

В первый отчет Gartner, посвященный рынку MDR, включены следующие игроки рынка:
  • Arctic Wolf Networks
  • Alert Logic
  • Cisco
  • CrowdStrike
  • eSentire
  • FireEye
  • Mnemotic
  • Morphick
  • Netswitch
  • Rapid7
  • Raytheon Foreground Security
  • Rook Security.

11.11.16

Один день из жизни аналитика SOC

Часто бывает, что наши ожидания расходятся с реальностью, и хорошим примером такой нестыковки является работа аналитика Security Operations Center (SOC). На самом деле, практически любой профессии присуща эта проблема, но поскольку последние пару недель я посвятил теме SOC, то и эту заметку я тоже буду иллюстрировать на примере одной из должностей центров мониторинга.


Итак, как обычно представляет свой рабочий день аналитик SOC? На что, как он думает, должно тратиться его драгоценное время? Список выглядит обычно так:
  • интересные расследования и слежение за профессиональными тенденциями и новостями, помогающими в работе
  • помощь коллегам / менторство / шефство / командная работа
  • участвовать в интересных конференциях и семинарах
  • регулярно повышать свою квалификацию на тренингах, включая и эксклюзивные
  • завершать текущие расследования в срок
  • иметь время на планирование новых расследований и гипотез для threat hunting
  • готовить необходимую документацию (отчеты и т.п.)
  • успешно достигать поставленных KPI.
Отличный список. Я вот тоже хотел бы, чтобы у меня 90% из описанного входило в повседневный график. Однако реальность обычно совсем иная и выглядит она так:
  • постоянный аврал и работа в запарке
  • постоянная спешка и срыв сроков
  • постоянные проблемы, отнимающие много времени на их решение
  • отсутствие времени на прохождение тренингов, посещение конференций и даже чтение новостей
  • регулярные звонки на самых интересных местах ночных снов и необходимость срочно решить какой-то вопрос по текущему расследованию
  • необходимость обосновывать свою работу руководству
  • участие в совещаниях ради участия в совещаниях
  • трата времени на общение с "тупыми" заказчиками
  • трата времени на общение с вендорами по поводу багов в их продуктах (например, SIEM), необходимости получения объяснений "как это работает" и т.п.
В бизнес-новелле "The Phoenix Project: A Novel About IT, DevOps, and Helping Your Business Win", написанной специалистами по безопасности и посвященной будням IT/Cybersecurity/DevOps приводится такое распределение времени у аналитика/инженера SOC. 


Особенно радует "желтая зона", описывающая авральные работы, которые только мешают деятельности аналитика SOC и последующим действиям специалистов по реагированию на инциденты. Административная работа (та же работы с электронной почтой) отнимают еще 10% времени, что в совокупности с 27-ью "авральными", 15-тью "совещательными" и 13-тью "сервисными" процентами составляет уже больше 2/3 всего рабочего времени. Вместо того, чтобы анализировать kill chain, описывать индикаторы компрометации, все, на что хватает времени и сил - зачистить систему, удалив и все следы нарушителя, а то и вовсе - переустановить ОС на атакованном узле с "чистого листа". А такое быстрое и "тупое" реагирование в свою очередь может затруднить предотвращение таких инцидентов в будущем. А как красиво все начиналось...

А теперь подумайте, сколько вам реально надо аналитиков, чтобы они занимались реальным анализом и расследованиями 100% времени? Как минимум в три раза больше, чем вы думали изначально.

10.11.16

Почему на российских мероприятиях по ИБ мало выступлений от заказчиков?

Сегодня я решил сделать передышку от SOC'овской темы и написать немного про другое. Тем более, что и повод для этого есть. Во-первых, я сейчас нахожусь в США в качестве наблюдателя на выборах Трампа на конференции по безопасности. А во-вторых, я участвую в программных комитетах ряда российских конференций по ИБ. И вот на фоне этих двух явлений и родилось наблюдение, которым я хочу поделиться.

Очень часто от участников отечественных мероприятий по ИБ приходится слышать негативные отзывы о посещаемых семинарах и конференциях, которые изобилуют рекламой вендоров и почти не избалованы практическими выступлениями заказчиков. Что забавно, жалуются как заказчики, которые сами не выступают, так и вендоры, которые при этом гонят голимую рекламу в своих докладах. При этом на западных мероприятиях заказчики выступают очень активно и очень достойно. Почему так? Почему там потребитель не является пассивным слушателем вендорской рекламы, а у нас является? Я, наблюдая эту картину уже несколько лет, для себя выделил три основных причины происходящего (в порядке возрастания важности):

  1. Технологическая отсталость. Не секрет, что Россия, до недавнего времени активно строящая свои системы защиты опираясь на compliance, а не на требования реальной безопасности, была достаточно отсталой в технологическом плане. Завися от требований ФСТЭК, заказчики использовали антивирусы, межсетевые экраны, шифраторы, средства защиты от НСД и системы идентификации и аутентификации пользователей. Вот и весь джентльменский набор. С выходом 17/21-го приказов ФСТЭК ситуация сдвинулась с мертвой точки и в арсенале отдельных заказчиков стали появляться WAFы, SAST/DAST-сканеры, SIEMы и другие нишевые продукты. Но произошло это не так давно и называть это мейнстримом пока нельзя. Не знаю, насколько я прав, но думаю, что 80% компаний до сих пор используют вышеупомянутый джентльменский набор, а то и еще меньший состав решений по ИБ. В такой ситуации докладчик боится выглядеть глупо и архаично на фоне таких монстров как Qiwi, Вымпелком или Газпромбанк, которые не стесняются рассказывать о своем богатом опыте применения различных, в том числе и новомодных технологий. 
  2. Неумение говорить. Об этой причине я уже высказывался не раз, но повторюсь. Очень мало кто из потенциальных спикеров когда-либо проходил курсы по так называемым presentation skills. Даже у вендоров докладчики не всегда умеют говорить красиво и доходчиво. А уж со стороны потребителей умение выступать - это еще большая редкость. На Западе же ситуация иная - искусству презентовать учат в университетах и почти каждый выпускник умеет это делать, продолжая оттачивать свое мастерство на работе (без этого сложно двигаться по карьерной лестнице). Вот сегодня я слушал представителей разных внутренних подразделений Cisco (разработчики, ИТ, ИБ, тестировщики, CSIRT и т.п.), которые не ориентированы на общение с заказчиками. Они выступали для своих, таких же как они. Но при этом они все умеют выступать. Не сбиваются, не мямлят, не бурчат себе под нос, соблюдают временные рамки, делают сбалансированные презентации. Их слушать не только интересно, но и приятно. У нас такое редкость и потенциально интересные спикеры боятся выходить на публику, даже если им есть, что сказать.
  3. Нежелание говорить. Основной же проблемой российского рынка ИБ-мероприятий является низкая зрелость докладчиков со стороны заказчиков, которые не считают необходимым делиться своим опытом и знаниями с коллегами. Дело тут не в принципе security through obscurity, которым можно было бы обосновать нежелание выносить на публику аспекты построения систем защиты на своих предприятиях (хотя и это тоже присутствует), а именно в непонимании того факта, что отдавая что-то (знания, опыт), можно получить еще больше. Почему-то у нас часто грамотные ИБшники, которым есть, чем делиться, и которые знают, как это все донести до аудитории, не хотят выступать, отвечая на предложение программных комитетов классическим "А зачем мне это надо?" или "Я занят; мне некогда". На Западе такое тоже присутствует (а где этого нет?), но уровень зрелости европейских и американских спикеров "от сохи" все-таки гораздо выше российского. У нас спикер после доклада часто сваливает "на работу", а на той же RSA Conference или SANS или иных западных мероприятиях, докладчики остаются и с охотой отвечают на вопросы слушателей. И это еще хорошо, если "наш" просто торопится на работу; бывают и просто вопиющие случаи. Например, "и швец, и жнец, и на дуде игрец" в своем выступлении говорить полную банальщину, а на просьбу все-таки рассказать чуть подробнее отказывается, ссылаясь на коммерческую тайну, ноу-хау и нежелание делиться тем, что самостоятельно изучал в течение нескольких лет. Так какого хрена ты тогда вообще выступал? Поторговать лицом? Или другой случай. Выступает, допустим чудак на букву "М" с по своему интересным докладом, после которого к нему подходят люди и спрашивают конкретные вопросы по существу. А докладчик от всех отмахивается, заявляя, чтобы ответы на эти вопросы стоят денег и за просто так он свое время тратить не готов. И снова вопрос, какую цель преследует докладчик, отшивая слушателей и вызывая у них стойкий негатив к себе, который транслируется и на компанию, в которой работает спикер?
Вроде как по всем трем причинам и их источник понятен, и способы решения тоже. Но все-таки ситуация не очень приятная и в обозримом будущем врядли решаемая. Как у участника нескольких программных комитетов регулярно возникает вопрос: "А кого из заказчиков можно пригласить на эту темы? А на эту? А вот на эту?" И ответа на него нет - приходится ограничиваться спикерами от интеграторов и вендоров, которые может быть и умеют говорить, но не всегда умеют дистанцироваться от своего работодателя и не гнать одну рекламу (даже если за их выступление заплачен спонсорский взнос). А потом приходится вновь слушать, что мероприятие было скучным и спасло только общение в кулуарах...

ЗЫ. Понятно, что описанные наблюдения - это скорее средняя температура по больнице и бывают счастливые исключения из описанной ситуации, но это именно исключения.