24.03.2017

Криптография как метод обезличивания ПДн и решения проблем с ФЗ-242

На окончившейся сегодня РусКрипто мне довелось не только вести аналог "Брейн-ринга" на криптографическую тему, но и выступать в секции "Нетрадиционное применение криптографии", которую я же и модерировал. Для этой секции я подготовил презентацию по применению криптографии (шифрования и хеширования) для обезличивания персональных данных в целях снижения обременений на операторов ПДн, вынужденных разрываться между необходимостью заниматься бизнесом и выполнять ФЗ-242. Вот моя презентация:



Сразу хочу отметить один момент - РКН может быть не согласен с такой постановкой задачи, так как она явно противоречит их установкам заставлять всех перености ПДн российских граждан в Россию. Поэтому надо быть готовым к отстаиванию своей позиции, если у вас не остается иных вариантов, как только обезличивать ПДн и передавать их за пределы РФ. Надо отметить, что криптографические преобразования полностью соответствуют не только международным нормам по обезличиванию, но и российским - тому же приказу №996 Роскомнадзора. Скажу даже больше - в первоначальной версии проекта этого приказа криптография была упомянута в числе других методов обезличивания. Но в финальной версии, после настойчивой просьбы ФСБ и не имея желания отстаивать позицию, РКН исключил шифрование и хеширование из списка.

В отдельных случаях РКН заявляет, что шифрование не может применяться для обезличивания, так как это защита информации. Это бред. Криптографические преобразования могут применяться не только для защиты информации, но и для ряда других задач, среди которых и обезличивание. Уж РКН будет последним, чьим мнением я бы интересовался относительно вопросов защиты информации и примененимости криптографии.

В любом случае презентация есть - может кому будет полезно.

20.03.2017

Модель угроз мобильного устройства

Заказывали у меня тут курс по безопасности мобильной и беспроводной инфраструктуры, для которого, очевидно, надо было составить модель угроз мобильным устройствам, от которой затем отталкиваться в самом материале, описывая для каждой угрозы соответствующие меры нейтрализации. Решил поделиться полученной моделью угроз.


Пока не систематизировал полученный перечень угроз, как и не расставлял их приоритеты и актуальность. Понятно, что у каждого специалиста будет свое видение этого вопроса.


Постарался учесть все, что пришло в голову, касающееся и программных и аппаратных угроз, а также такие вещи, как кража легитимного ПО и контента (нечастая проблема, наверное), ПЭМИН (очень специфическая угроза) и т.п.


Вспоминая про регулярную подмену данных геолокации около Кремля, не мог не включить и эту угрозу. В отдельных случаях это может привести к направлению жертвы по ложному пути/адресу.


На днях прошла новость о том, что можно узнать пароль (PIN) от смартфона по тепловому следу на клавиатуре/экране мобильного устройства. Угрозу инфракрасному каналу тоже включил, хотя давно не видел устройств с таким интерфейсом.


Ну и следуя модным тенденциям, не забыл включить угрозы со стороны инфраструктуры производителей (несанкционированное обновление, несанкционированное/случайное копирование данных с устройства в облако производителя и т.п.). Спецслужбы (несмотря на скандал с ЦРУ / Vault 7) не включал, так как они являются источником угроз, а сами угрозы реализуют те, что в модели перечислены.


Жизнь постоянно преподносит сюрпризы, показывая возможность реализовать угрозы, которые раньше считались или теоретическими или вообще невозможными. Поэтому, не претендуя на полный список всех угроз, я посчитал нужным включить два слайда с архитектурой мобильного устройства и экосистемой их взаимодействия с внешним миром. Эти слайды позволяют увидеть угрозы, которые я по каким-то причинам не включил.


Слайд с экосистемой очень общий и в каждом конкретном случае может быть расширен. Например, уточнен список облачных сервисов приложений, которые могут добавить ряд новых угроз, отсутствующих изначально в списке.


ЗЫ. Если что-то не включил, то буду рад дополнить и обновить слайды.

10.03.2017

Визуализация необходимости обеспечения киберустойчивости

Согласно исследованиям Cisco большинство компаний в мире (от небольших до очень крупных) строят свою систему защиты в пропорции 80-15-5, где 80% ресурсов (временных, финансовых, людских и иных) уходит на предотвращение угроз (МСЭ, контроль доступа, поиск и устранение уязвимостей, VPN и т.п.), 15% - на обнаружение (IDS/IPS, антивирусы, сисемы контентной фильтрации, DLP и т.п.) и оставшиес 5% - на реагирование на уже произошедшие инциденты (расследование, мониторинг аномалий и т.п.). До сих пор многие компании тратят львиную долю своих усилий именно на первый блок защитных мероприятий, забывая или не уделяя должного внимания оставшимся двум.

К чему приводит такое пренебрежение? Попробуем визуализировать. В момент реализации атаки или наступления инцидента (спорить о терминах сейчас не будет) у нас наступает определенная деградация системы и чем серьезнее атака и чем слабее система защиты, тем дольше эта деградация по времени и по масштабу у нас длится. Если посмотреть на график, то это отрезок А, отражающий способность системы деградировать под атакой и, возможно, смягчать/ослаблять эффект от атаки при наличии защитных мер. В какой-то момент времени мы останавливаем негативный эффект от атаки (точка В) и он начинает либо выправляться (значение Вт равно нулю), либо длится какое-то время до момента принятия нами мер реагирования, задача которых вернуть систему в предатакованное состояние (отрезок С).


Если у меня хорошая система предотвращения угроз (что обычно и бывает), но слабое обнаружение и реагирование, то график потерь будет выглядеть следующим образом. При понимании конкретных показателей продуктивности атакованного ресурса или системы мы можем даже посчитать все в количественном выражении.


Если с обнаружением и реагированием у меня все в порядке, но слаба системе предотвращения, то у нас будет затяжное пике с последующим быстром возвратом из него.

Худший сценарий - это когда у меня слабы все три составляющие - предотвращение, обнаружение и реагирование. Тогда после очень затяжного пике наступает длительный период нанесения ущерба и не менее длительное восстановление, которое (в зависимости от реализованных мер) может затянуться очень надолго.


Очевидно, что правильным было сбалансировать все механизмы между собой, быстро предотвращая, обнаруживая и реагируя на атаки/инциденты. Зеленым показан возврат от новых функций/преимуществ, которые получает предприятие, правильно инвестировавшее ресурсы в систему защиты. В зависимости от отношения к ИБ (центр затрат или бизнес-функция) зеленой области может и не быть (точнее ее сложно будет подсчитать), но как минимум, будет достигнут эффект у снижение красной зоны по сравнению с предыдущими тремя графиками.

Вывод простой - необходимо балансировать меры защиты, равномерно распределяя их по жизненному циклу атаки "ДО - ВО ВРЕМЯ - ПОСЛЕ". А для того, чтобы понять, каких защитных мер вам не хватает, можно воспользоваться матрицами NIST или МинОбороны США, о которых я уже писал. Матрица NIST, кстати, хорошо ложится на перечень защитных мер в приказах 17/21/31 ФСТЭК и даже на проект нового ГОСТа ЦБ по ИБ

ЗЫ. Я надыбал эти картинки из курса по киберустойчивости (cyber resilience), который в прошлом году проходил у нас в компании, и которые мне настолько понравились своей простотой и понятностью, что я их даже отрисовал для своих презентаций по измерению ИБ.

09.03.2017

Развлечения и призы на мероприятиях по ИБ, включая RSAC

После праздников, пусть и непродолжительных, хотелось написать о подарках на мероприятиях ИБ. В последнее время их (подарки и призы) стали разыгрывать для привлечения внимания к продукции или услугам или самой компании. Этого не чураются как на конференциях, так и на выставках по ИБ. И делают это как небольшие стартапы, так и крупные игроки. Поскольку скоро у нас начнется весенний сезон мероприятий по ИБ (CISO Forum, РусКрипто, PHDays, ITSF, Код ИБ, питерский BIS Summit и т.д.), то хотелось бы обратить внимание коллег на ряд моментов:

  • Не стоит путать приз и подарок. Второй дают просто так, а первый нужно заслужить. Например, на RSAC активно раздавали всякие недорогие подарки всем участникам, зашедшим на стенд какой-либо компании - ручки, сумки, USB-презервативы, книжки и т.п.

Это не приз, а подарок (игральные карты)
Snorty в качестве подарка
  • Приз - это нечто более ценное, что не раздают направо и налево. Его надо заслужить. Например, отслушать презентацию на стенде и потом поучаствовать в розыгрыше (за "просто послушать презентацию" дают подарок, но не приз). И дальше как повезет. Например, можно выигрыть дрона или очки виртуальной реальности или скидочные карточки Amazon или скидку на обучение в сумме 1-2 тысяч долларов или еще что-нибудь. Если компания богатая, то она может позволить себе разыгрывать призы, например, после каждой презентации. Если компания - стартап, то они обычно собирали визитки, а в конце каждого дня приглашали на розыгрыш призов, мотивируя тем самым человека прийти на стенд еще раз.
  • Многие компании добавляли элемент случая в свои розыгрыши призов, предлагая посетителям самим крутить "колесо Фортуны" и дальше положиться на волю случая.
  • Посетители вам ничего не должны. Они ходят между сотнями стендов и заинтересовать их не просто. Заставит вернуться на стенд еще сложнее. Вспомните себя, когда вы пришли в торговый центр с кучей магазинов. Как часто вы говорите: "Я еще посмотрю и вернусь" и не возвращаетесь? Тут тоже самое. Чтобы посетитель вернулся - его надо мотивировать.
  • "Мы вам подарим/вручим хороший приз" - это неконкретно. Нужна точная информация и заранее. Кому-то он хороший, а кому-то и нет. Когда я слышу "хороший приз", я понимаю, что либо приз - дешевка или полная хрень и это пытаются скрыть, либо приз еще неизвестен. Такое бывает в разных конкурсах перед мероприятиями или на самих мероприятиях.
  • Приз должен быть мотивирующим или желанным. Например, когда мы проводим Cisco SecCon и даем карточку для посещения спонсоров, то по итогам, среди тех, кто прошел по всем стендам, разыгрывается что-то солидное - планшетник или электронная книга или еще какой-то гаджет. Магнитики в качестве приза мало кого мотивируют.
Из развлечений на стендах было мало чего нового - стрелялки и т.п.


Запомнился мне, пожалуй, стенд какой-то компании, где разносили вдребезги аппаратные решения по безопасности. У меня вот до сих нереализованная мечта юности - бейсбольной битой размочить монитор компьютера или телевизор. Тут эта мечта трансформируется в мочилово неугодных вендоров :-)


В заключение хочу обратить внимание на применению геймификации, которая активно проникает в нашу отрасль. Например, на одном из стендов была вот такая "игра в клубочки". Проходя несколько раз мимо этого стенда, я постоянно видел толпы людей, желающих пораспутывать хитросплетения ИБ.


А вот BAE Systems вновь удивила. В прошлом году она показывала очки виртуальной реальности со стрелялкой - надо было мочить вирусы, вредоносные программы и т.п. В этом году они сделали игру, схожую по принципу с игрой KIPS от Касперского. На входе вам выдавали определенное количество денег, ставили задачу и вы должны были, выполнив несколько заданий, дойти до финала с наилучшими результатами.


Вот совсем короткое видео этой "игрушки" - сотрудники BAE запретили мне дальше снимать, заявив, что это их интеллектуальная собственность :-(


Вот как-то так...

07.03.2017

CA покупает Veracode

6 марта CA Technologies объявила о подписании соглашения о покупке компании Veracode, известной своей облачной платформой по анализу безопасности кода приложений. Цена сделки - около 618 миллионов долларов.

Обзор нового ГОСТа ЦБ по защите информации

Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.

Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.

Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.

Стандарт определяет три уровня защиты информации:
  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.

Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
  • вида деятельности финансовой организации,
  • состава реализуемых бизнес-процессов и (или) технологических процессов
  • объема финансовых операций
  • размера организации
  • отнесения финансовой организации к категории малых предприятий и микропредприятий
  • значимости финансовой организации для финансового рынка и национальной платежной системы.
Как можно было заметить в 5-й редакции СТО БР ИББС, тему ПДн ЦБ перестал драйвить и попросту отсылает всех к 21-му приказу ФСТЭК. Так и в ГОСТе - никаких отдельных защитных мер для ПДн нет. ЦБ просто соотносит уровни защиты нового ГОСТа и уровни защищенности ПДн ЦБ:



Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
  • выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
  • уточнение (включает дополнение или исключение)
  • дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.


Обратите внимание, теперь не будет закрытого и неизменного списка защитных мер, как это прописано в СТО БР ИББС или в 382-П или в иных документах Банка России. Теперь этот перечень будет зависеть от множества факторов - для каждого случая будут установлены уровни защиты, а их реализация будет базироваться на новом ГОСТе. Получится вполне дифференцированный подход.

Структура нового ГОСТа будет следующей:
  • Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
  • Общие положения
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части - сами меры защиты, меры по управлению и требования к жизненному циклу.

Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
  • Обеспечение защиты информации при управлении доступом
    • управление учетными записями и правами субъектов логического доступа 
    • идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
    • защита информации при осуществлении физического доступа
    • идентификация, классификация и учет ресурсов и объектов доступа
  • Обеспечение защиты вычислительных сетей
    • сегментация и межсетевое экранирование вычислительных сетей
    • выявление сетевых вторжений и атак
    • защита информации, передаваемой по вычислительным сетям
    • защита беспроводных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Антивирусная защита
  • Предотвращение утечек информации, защита машинных носителей информации (МНИ)
  • Управление инцидентами защиты информации
    • мониторинг и анализ событий защиты информации
    • обнаружение инцидентов защиты информации и реагирование на них
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Фрагмент блока требований по управлению доступом
Блок управления состоит из четырех компонентов:
  • Планирование системы защиты информации
  • Реализация системы защиты информации
  • Контроль реализация системы защиты информации
  • Совершенствование реализация системы защиты информации.

Фрагмент блока требований к планированию системы защиты информации
Ну и блок требований к жизненному циклу защиты информации:

Фрагмент блока требований к жизненному циклу
Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется "рекомендация по стандартизации" с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим...

ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.

06.03.2017

Поправки ФСТЭК в 21-й и 31-й приказы

ФСТЭК опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем персональных данных и АСУ ТП соответственно. Об этих изменениях говорилось на конференции ФСТЭК и вот теперь они опубликованы в виде проекта, который врядли будет отличаться от своей финальной версии.

Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо):


предлагается вот такая схема. По сути поменялось мало что - ФСТЭК всех приводит к единому знаменателю.


С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны...):


Стало: 


Единственное, что добавится в 21/31-й приказ, это следующая формулировка: "В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований". Тоже понятный пассаж - кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.

И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел - обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).

03.03.2017

Зарядка смартфона как угроза утечки информации

На RSAC достаточно популярной было наличие зарядных станций на стендах участников выставка. Оно и понятно, аккумулятор при активном использовании уходит в ноль за полдня и остро встает задача зарядки своего мобильного устройства.


На стендах же вы часто тратите по 10-15 минут, общаясь с представителями компаний и за это время вы вполне можете поднять зарядку своего смартфона на 10%. Тут 10%, там 10%... Глядишь, аккумулятор вновь полный.


Только мы не так уж и часто задумываемся о том, что подключая свои носители конфиденциальной информации к таким зарядным станциям, мы не только получаем от них электрический ток, но и можем отдавать информацию, которая хранится на устройстве. Ведь обычно для зарядки используется тот же самый кабель, что и для синхронизации, а он подразумевает двустороннуее взаимодействие со всеми вытекающими отсюда угрозами. Правда, для этого, вы должны "доверять" компьютеру, который захочет получить доступ к информации на вашем компьютере, что требует определенных действий от пользователя (по крайней мере на iOS это так). Но где гарантия, что этот механизм "доверия" нельзя обойти? А может быть на мобильном устройстве его и вовсе нет?

Я специально для таких задач ношу с собой внешнюю батарею, которой хватает на несколько циклов зарядки. Но понятно, что это бывает не всегда. Кому-то лень таскать с собой дополнительный аккумулятор, кто-то забыл его подзарядить, а кто-то понадеялся на то, что батареи хватит на весь день. Но не срослось и вот перед нами задача зарядки нашего устройства через недоверенную зарядную станцию. Что делать?

Вот к китайцам у меня недоверие и у них бы я никогда не заряжал свой смартфон
В этом году на RSAC была модной вот такая сувенирка (нарядку со шторками для камеры ноутбука). Специальные зарядные кабели, у которых физически отсутствует возможность синхронизации. Дешево, практично и безопасно.



В одном случае я получил вот такое вот изделие, суть которого та же, что и у односторонних кабелей, но вот удобство на порядок ниже. Ведь помимо этого устройства, предотвращающего синхронизацию, мне все равно понадобится кабель для зарядки.


Но помните, что для удовлетворения потребностей посетителей конференций и выставок, а также для их удобства, часто стали предлагать вот такие зарядные станции с интегрированными кабелями разных типов (micro-USB, mini-USB и др.).


В таком случае представленные выше варианты защиты не подойдут. Исключая ситуацию с зарядкой USB-USB; тогда устройство на предпоследней фотографии подойдет как нельзя лучше. Если бы такие были для всех типов интерфейсов, то проблема была бы решена.

В любом случае стоит помнить об этом риске и быть заранее готовым к управлению им. Не исключаю, что скоро появятся желающие протестировать безопасников на уровень их параной путем установки зарядной станции на какой-нибудь конференции или выставке по ИБ :-) Ведь фальшивые точки доступа регулярно ставят на мероприятиях по ИБ, а потом делятся временами забавными результатами. Так, кстати, было и в этот раз - почти пятая часть всех участников RSAC подцепилась на фальшивую точку доступа.

02.03.2017

Гламурные средства утечки информации

Многие коллеги по цеху знают, что существуют организации в России, в которых запрещено проносить телефоны, фотоаппараты, диктофоны и флешки во избежании утечек информации. Для этого на входе размещаются металлоискатели, а также шкафчики (или камеры хранения), в которые и помещаются все запрещенные к проносу устройства.

Я всегда считал, да и до сих пор считаю, что это параноидальная безопасность, которая, к тому же, и никакого эффекта не дает. И подтверждение этому я в очередной раз нашел во время посещения  конференции RSA. Не то чтобы я только там это обнаружил, просто так совпало. За углом моей гостиницы обнаружился международный шпионский магазин, приторговывающий различной “шпионской” техникой - видеокамерами, встроенными в плюшевых медведей, очки или автомобильные брелоки, диктофоны в ручках, переносных кружках-термосах или наручных часах, и т.п.


Кстати, недавний скандал на Украине, с бывшим депутатом Онищенко, связан был именно с наручными часами, в которые был встроен диктофон, которым и были записаны якобы компрометирующие нынешнего Президента Украины разговоры. Часы в магазине тоже были, как и другие средства для видео/аудио-фиксации происходящего вокруг. Например, вот такой прелестный медвежонок (этакий Cozy Bear :-).


И вот там же я наткнулся на большую витрину, на которой было представлено большое количество различных флешек на 4-16 Гб, замаскированных под запонки или женские кулоны (кстати, на Интернет-сайте этого магазина таких товаров нет).

Флешки-запонки
И как контролировать такие устройства? Проверять каждую запонку на рентгенографическом аппарате? А женщин заставлять снимать их украшения? Представляю, какими скандалами будет сопровождаться каждая такая просьба. И, самое главное, быть уверенными, что найдутся все возможные побрякушки с встроенными флешками, все равно будет нельзя. Например, у меня в пиджаке завалялась с какой-то конференции флешка в виде кредитной карты (может быть чуть толще). А еще флешку можно спрятать в очки, перстень, пряжку ремня или женской сумки. Да мало ли вариантов подскажет нам фантазия, просмотр шпионских фильмов или посещение шпионских музеев в США или в России (раньше был закрыт для свободного посещения).

Флешка-кулон
Флешки-кулоны
Был и такой еще вариант скрытия носителей информации - внутри монеты. Правда российских рублей я там не видел, но лиха беда начало (да и наличие американских денег в кармане сегодня уже врядли кого удивит).

Что делать с этим каналом утечки информации? Сходу видится несколько стратегий управления этим риском (от худшей к лучшей):

  • Запретить USB либо физически (эпоксидка в USB-порт, заказ техники без USB-портов) либо путем использования соответствующего ПО или встроенных возможностей ОС. Не самый удачный вариант, так как USB-порты могут понадобиться для подключения мыши, синхронизации с мобильными устройствами, зарядки или иных задач (я, например, в командировках часто подключаю смартфон к ноутбуку в качестве модема).
  • Разрешить использование только флешек из белого списка, выдаваемых работодателем и соответствующих образом маркируемых. ПО на рабочих местах контролирует применение флешек и блокирует любое отклонение от разрешенного списка. Вариант чуть лучше предыдущего, но все равно не такой гибкий. Мне вот регулярно в руки попадают флешки с материалами разных конференций, или контрагенты договор какой передадут на своей флешке, или еще что. И как быть в таком случае? Организовывать отдельный процесс переноса данных с получаемых флешек на разрешенные в организации?
  • Применение DLP-решений. Отличие от предыдущего вариант простое - акцент делается на контенте, который заливается на флешки, которые в свою очередь могут быть совершенно различными - корпоративными, личными, чужими. 
  • Реализация принципа минимума привилегий с целью сокращения и числа лиц, которые имеют доступ к конфиденциальной информации, и источников информации, к которым имеют доступ сотрудники компании. На мой взгляд это лучший сценарий в российских условиях, но он требует и гораздо большей проработки, как организационной, так и технической. По сути речь идет о выстраивании целой системы контроля доступа к информации на предприятии. Многим гораздо проще пойти по запретительному сценарию, который не приводит к нужному эффекту и только озлобляет персонал.
  • Не запрещать, уделяя внимание работе с персоналом. Самый правильный, но и сложно реализуемый в России сценарий. Различными мерами (преимущественно нетехнического характера) надо сделать так, чтобы у работников вообще не возникало мысли красть информацию. Тогда и контролировать пронос флешек и иных машинных носителей не придется. Только вот в России к этому варианту обращаются реже всего :-(
  • Комбинированный способ.
ЗЫ. Предвидя комментарий, что кому не нравится досмотр, тот может валить из компании, отвечу: “Да! Именно так и надо вести с работниками, являющимися человеческим капиталом, и приносящим компании доход!”

ЗЗЫ. А вообще защита от флешек должна быть такой:


01.03.2017

PaloAlto покупает LightCyber

28 февраля PaloAlto Networks сообщила о приобретении LightCyber, компании, занимающеся поведенческой аналитикой. Стоимость сделки - 105 миллионов долларов.

Об отчетности ЦБ по ИБ

На днях ЦБ выпустил обзор несанкционированных переводов денежных средств за 2016-й год, то есть опубликовал результаты анализа 203-й формы отчетности, которую операторы по переводу денежных средств и иные участники Национальной платежной системы должны ежемесячно подавать регулятору. Чтобы мне хотелось сказать по факту выхода данной отчетности:
  • Подготовка сводного обзора по итогам анализа присланных банками отчетов перешла уже официально от ДНПС в ГУБЗИ, что сразу же сказалось в лучшую сторону на самом отчете. Прошлые отчеты, а последний был опубликован 2 года назад (в прошлом году были только предварительные цифры на Уральском форуме), носили PR-характер и никакой пользы для банковских безопасников не имели. Зато журналисты с радостью хватались за суммы похищенных и готовящихся к хищению средств. В нынешнем же отчете помимо сумм и числа инцидентов добавили также информацию о местах совершения инцидентов, а также о их причинах и фактах обращения в правоохранительные органы. Да, это не все, что попадает в 203-ю отчетность, но все же лучше, чем было.
  • Сейчас подготовлен проект новой 203-й формы, по которому можно уже сказать, что ЦБ усиливает роль FinCERT в деле работы со статистикой по инцидентам. Сейчас банки обязаны уведомлять об инцидентах FinCERT только в рамках 552-П (по АРМ КБР). Однако судя по тому, какой станет 203-я отчетность (только общие цифры по суммам и числу инцидентов), могу предположить, что FinCERT подомнет под себя техническую отчетность и по остальным направлениям регулирования.



  • 258-я отчетность (по инцидентам с платежными картами) с 203-й уже не сольется - они будут жить отдельно.
  • Не исключаю, что по мере наделения ЦБ правом регулирования вопросов ИБ во всех своих "подведомственных" отраслях, а не только в банках и НПС, ЦБ установит требования по отчетности и для них. В конце концов, обратная связь о том, насколько действенны мероприятия по защите, устанавливаемые растущим числом нормативных актов ЦБ, надо как-то отслеживать.
Пока никем неозвученной остается вопрос с отчетностью по СТО БР ИББС. По сути эта отчетность сейчас является вырожденной. СТОБР плавно, но верно движется в сторону ГОСТа, в котором ни слова про необходимость отправлять отчетность. Вообще в новом ГОСТе для финансовых организаций эта тема обойдена вниманием и я полагаю, что это неслучайно. Если вспомнить идею ЦБ про разделение своих требований по ИБ на два уровня, то логично, что требование по отчетности будет стоять выше ГОСТа. Отчетность по СТОБР уходит в ГУБЗИ, но туда теперь уходить отчетность и по 2831-У. Зачем ГУБЗИ две отчетности, базирующиеся на общих требованиях, - обязательная (202-я) и рекомендательная? Ну и, наконец, в условиях роста важности FinCERT и перехода к более оперативной отчетности, результаты по СТОБР опять становятся малоинтересными. Отсюда делаю вывод - относительно скоро отчетность по СТО БР должна отмереть по моему скромному разумению. По крайней мере, это выглядело бы логичным.

28.02.2017

Виртуальная и дополненная реальность проникают в кибербезопасность

Считается, что большинство современных аналитиков и киберразведчиков ИБ пришло из поколения игроков в "игры". И дело не только в различных шутерах и стратегиях, сколько вообще в отношении к многим аспектам жизни как к игре. Отсюда большой интерес к применению в кибербезопасности технологий виртуальной (virtual reality, VT) и дополненнной (augmented reality, AR) реальности, что и было продемонстрировано на прошедшей RSAC. Причем в совершенно различных вариантах, что доказывает, что эта тема станет некоторым трендом на ближайшее время.


Самый бюджетный вариант представила ISACA :-) Это был конструктор "собери сам". Конечно, это не виртуальная, и даже не дополненная реальность, но отсыл к ней был самый что ни на есть прямой.


Очень хорошо накладывалась тема VR/AR на Интернет вещей. Например, у ForeScout вам надевали VR-очки и вы прослушивали короткую лекцию об опасности Интернета вещей с точки зрения кибербезопасности. Вы погружались в виртуальную комнату, где, "крутя головой" вокруг, выхватывали различные объекты (термостаты, часы, погодные станции, точки доступа, будильники, фитнес-браслеты и т.п.) и получали краткий обзор проблем с их безопасностью. 

Виртуальная реальность ForeScout
На стенде RSA схожая идея была реализована на Microsoft Hololens, но в формате AR. И в отличие от ForeScout с их статическим обучающим роликом (думаю, что это станет основным применением VR в ИБ ввиду его простоты) RSA сделала интерактивный Holographic Challenge, чем-то схожий с Pokemon Go!.

Некоторые компании пошли чуть дальше и сделали свои VR/AR-продукты еще более интерактивными и динамичными. Например, у Webroot с помощью Google Cardboard демонстрируется контекстная база данных ИБ. Cisco с помощью VR-очков показывает сложность современных атак и как они реализуются во временном промежутке.

Виртуальная реальность Cisco
Упомянутый в прошлой заметке Cylance с помощью VR показывал работу своего искусственного интеллекта, но не впечатлило. 


Одно из интересных решений показывала Landrian Networks - они активно используют VR для автоматизации работы SOCов. С помощью Occulus они очень интересно визуализируют различные процессы изучения угроз, расследования инцидентов, анализа поведения пользователей и т.п. Поигрался я с этой штукой - интересно, но без опыта работы в виртуальной реальности постоянно тыкаешь не туда.


По сравнению с прошлым годом применение VR/AR в кибербезопасности сделало большой скачок. Все-таки человеку свойственно анализировать причинно-следственные связи и виртуальная реальность легко позволяет реализовать такую возможность. В том числе и в кибербезопасности, где такие связи не всегда очевидны, а данных для их поиска слишком много. Правильная аналитика наряду с визуализацией позволит сильно облегчить эту работу.

ЗЫ. Не могу не вспомнить про вступающее летом в силу 541-ПП с новыми требованиями к лицензированию деятельности SOCов. Оно по сути запретило работу виртуальных SOCов (VSOC), когда аналитики находятся в разных точках своей компании, особенно территориально-распределенной, но при этом составляют единую команду расследования и реагирования на инциденты ИБ. Так вот, технологии виртуальной реальности очень хорошо ложатся на работу SOC и могут стать следующим этапом в развитии моделей организации центров мониторинга, согласно которому аналитик может находится даже не в офисе, а, например, дома или в ехать в "Сапсане", но при этом с помощью VR-очков быть погружен (в прямом смысле этого слова) в анализ событий безопасности. Но новое Постановление Правительства, разработанное ФСТЭК по наветам российских владельцев коммерческих SOC, поставило крест на такой возможности, ибо аттестовать мобильное и динамично изменяющееся рабочее место по ГИС1 невозможно.

ЗЗЫ. Не большой знаток VR-технологий, но когда я тестировал их на стендах в рамках RSAC, столкнулся с проблемой. Я ношу очки, а на них VR не надевается. Возможно они могут быть настроены под конкретного человека с "минусом или плюсом", но на выставке это не было.