11.08.15

CA покупает Xceedium

4 августа компания CA подписала соглашение о покупаке частной американской компании Xceedium, работающей в области Identity Management. Результаты сделки не разглашаются.

О конкуренции на рынке мероприятий по ИБ

Если следовать неким законам бизнеса, то считается, что конкуренция - это хорошо. Она не дает компаниям застаиваться и стагнировать, заставляя их развиваться, постоянно противопоставляя что-то своим конкурентам, которые тоже не стоят на месте и движутся вперед. И вот такая добросовестная конкуренция - вещь, безусловно полезная, ибо в соперничестве выигрывают все - и потребители, и соревнующиеся. Безусловно, есть ситуация и недобросовестная, когда один игрок пользуется некоторым нерыночным преимуществом (например, близостью к власти), которое и позволяет ему существовать; даже при условии, что предоставляемый им продукт или услуга гораздо хуже конкурентов, не имеющих такого преимущества. Бывает конечно и вовсе анекдотичные ситуации. На как бы едином рынке существуют несколько игроков, но они между собой вообще не пересекаются (или они так думают). И тогда их действия могут выглядеть как борьба конкурентов, хотя игроки эти могли даже и не слышать друг о друге или не воспринимать друг друга всерьез. Вот то, что сейчас происходит на рынке мероприятий, относится к одному из этих вариантов. И я не знаю к какому. Или не знаю, но не хочу говорить.

Итак, первая пара "конкурентов" - PKI-Forum и IDC IT Security Roadshow. Оба проходят в Питере и оба 17-го сентября. Правда, PKI-Forum захватывает еще и 15-16 сентября. С одной стороны оба мероприятия разные. Первое посвящено сугубо вопросам криптографии и, в частности, удостоверяющим центрам, электронной подписи и т.п. Второе охватывает более широкий спектр проблем ИБ. Но все-таки Питер - это не Москва, и аудитория там пересекается гораздо серьезнее, чем в столице. И если IDC не удастся внести некую изюминку в свое мероприятие, начинающийся раньше PKI-Forum может отъесть большую долю потенциальных участников (ведь во многих организациях тема криптографии тесно переплетена с ИБ и ими занимаются одни и те же люди). 

Ситуация с BIS Summit и InfoSecurity Russia немного иная. Их разделяет 5 дней и проходят они в Москве. Но все-таки InfoSecurity Russia - это, в первую очередь, выставка, и во-вторую - конференция. BIS Summit - это только конференция (со информационными стендами партнеров). Поэтому посетители идут на эти мероприятия немного за разным; хотя, надо признать, аудитория тоже местами пересекается.

Гораздо в более сложной ситуации находится Secure World (он же БИТ) и Secure IT World. Названия схожие до степени смешения. Организаторы, стоявшие у истоков обоих мероприятий. Место проведения - Питер. Даты проведения - октябрь с разницей в неделю. Схожая концепция и программа. И даже спикеров и туда и туда зовут одних и тех же. Я так до конца и не понял всей подоплеки проведения двух родственных, но разных мероприятий. Ситуация напоминает мне конфликт между организаторами "InfoSecurity Russia" и "Инфобезопасность Россия", которые также что-то не поделили между собой (и каждый считал себя правым) и поэтому решили провести свои мероприятия... с разницей в неделю и в одном городе. В итоге на оба мероприятия было жалко смотреть :-( Интерес представляли только отдельные круглые столы в рамках обоих событий. И то, это была заслуга не организаторов, а ведущих этих круглых столов. Сейчас Инфобеза с нами нет - он почил в бозе, а InfoSecurity Russia возвращает себе былую славу. Не знаю, что получится в Питере из такой конкуренции... но ничего хорошего точно не будет. Либо организаторы договорятся (что врядли), либо разнесут свои мероприятия по датам, либо выживет кто-то один.

Идем дальше. А дальше у нас конференция Роскомнадзора "Защита персональных данных" (хотя к защите ПДн РКН ну никакого отношения не имеет, занимаясь защитой прав субъектов ПДн) и SOC-Forum Авангард-Про. Пройдут в Москве с разницей в 1 (!) день. Если вспомнить историю, то мероприятие под названием "Защита персональных данных" (и на нем была и защита ПДн, и защита прав субъектов ПДн) впервые начал проводить именно Авангард-Про. И успешно проводил его несколько лет, пока в РКН не сменилось руководство. После этого осенью в Москве стало проводиться две конференции "Защита персональных данных". Одна была посвящена защите прав субъектов РКН и на нее РКН приглашал кучу европейских "РКНов", которые рассказывали, как в Европе круто с персданными, а РКН рассказывал, что Россия ничем не хуже. Программа Авангарда была более сбалансированной - на ней было и про ФЗ-152, и про требования ФСТЭК, и про требования ФСБ, и про практику применения; обо всем понемногу. В этом году пока непонятно, когда конференция по ПДн пройдет у Авангарда, но зато 11-го ноября, спустя день после слияния всех "роскомнадзоров" в экстазе, в Москве пройдет совершенно новое мероприятие, посвященное тематике SOCов (Security Operations Center). В данном случае, как мне кажется, форум "СОКи России" :-) находится в более выигрышной позиции. Во-первых, тема новая. Во-вторых, на конференции РКН давно уже ничего интересного не было - очень мало кто из регуляторов способен провести достойное мероприятие (особенно, когда задача стоит покрасоваться перед иностранцами и СМИ, а не дать достойный контент участникам). Поэтому у РКН будет своя аудитория, у Авангарда своя.

Ну а завершит у нас тему конкуренции на рынке ИБ-мероприятий две конференции, которые пройдут 3-го декабря в Москве. AntiFraud Russia и якобы всероссийский форум "Информационная безопасность" от AHConferences. Про последний ничего сказать не могу - не видел, не слышал - ни сам, ни от коллег. Темная лошадка на рынке ИБ-мероприятий. И поэтому он, если не будет какой-то изюминки или массированной рекламы, проиграет "Антифроду" - известному мероприятию, проходящему уже не первый год и заслужившего определенный имидж в среде специалистов. А репутация, даже при прочих равных, стоит многого. У AHConferences такой репутации на рынке ИБ-мероприятий пока нет.

С регионами ситуация гораздо проще - городов много и там пересечений нет. Бывает, конечно, что в один день проходят мероприятия по ИБ в разных городах России, но это мало кого затрагивает. Если только приглашенных докладчиков, которые вынуждены выбирать между Тюменью и Ижевском, Екатеринбургом и Нижним Новгородом, Самарой и Челябинском. Но, к счастью, это уже не проблема аудитории (или не совсем ее проблема).

Вот такая картина складывается. И как я писал в самом первом абзаце, фиг знает, что является причиной такой конкуренции. Ведь аудитория-то на все мероприятия одна. Мало кто хочет дифференцироваться, исключая, быть может, SOC-Forum, PKI-Forum, AntiFraud, четко заточенные под конкретные темы. Все остальные почему-то пытаются охватить как можно больше разных тем, считая, что это лучше, чем фокусировка на чем-то конкретном. Увы... При таком количестве мероприятий, включая и онлайн, и вендорские, и интеграторские, слушатель становится очень и очень разборчивым. Он не пойдет на мероприятие "для всех и обо всем". Если, конечно, ему есть чем заняться и он не ходит по конференциям с целью показать себя и найти работу или пожрать на халяву (а с этим в кризис тоже становится непросто). И даже если его заинтригует какой-то особо интересный доклад, то он ради него одного тоже врядли будет терять весь день (или даже полдня). Но организаторы этого почему-то не понимают :-( Либо они рассчитывают на "свою" аудиторию, которая приходит всегда, либо они рассматривают конференцию как способ заработать на спонсорах. В последнем случае (кстати, сама идея неплохая) ждать постановки слушателя и контента во главу угла не приходится :-(

Вооооот... Длинная заметка получилась. Думал ограничусь просто перечислением конкурентов. Ан нет...

06.08.15

Пошаговое руководство по защищенному доступу с мобильных устройств (видеопрезентация)

Я уже не раз обращался к теме защищенного мобильного доступа и вот очередная попытка. На этот раз я решил озвучить презентацию, которую я уже читал в рамках конференции "Код информационной безопасности" в прошлом году. Но тогда мне на все выделялось 20-25 минут и очевидно, что мне приходилось пробегать по каким-то вопросам и темам.

Сейчас я решил потратить больше времени на эту тему - получился целый час. Тоже мало, но лучше, чем полчаса :-) Собственно, это не совсем пошаговое руководство. Это скорее список тем и вопросов, которые надо осветить в собственной стратегии/политике защищенного доступа с мобильных устройств. Я целенаправленно не стал освещать рынок продуктов для реализации всех описанных тем - слишком уж большое число комбинаций получится, в зависимости от того, на каких аспектах останавливать свое внимание, а какими пренебрегать.



Для тех, кто предпочитает не слушать, а только смотреть, даю ссылку на саму презентацию. На мой взгляд такая комбинация - посмотреть и послушать - лучший вариант для экспресс-погружения в тему. Уж точно не чтение бумажных манускриптов или книг. К ним стоит обращаться, когда надо разобраться в каком-то вопросов более детально.

05.08.15

Чего я жду от новой Доктрины ИБ?

Совет Безопасности сейчас в процессе обновления Доктрины информационной безопасность, которая была утверждена в 2000-м году и с тех пор не менялась. За это время произошло много чего интересного и поэтому назрела необходимость основной документ по ИБ, задающий тон всему законодательству, обновить.

С другой стороны Совет Безопасности сейчас находится в непростой ситуации, как мне кажется. Он на перепутье. Текущая геополитическая ситуация достаточно сильно отличается от 2000-х и даже от 2013-го года, когда рабочая группа при Совете Федерации писала проект Стратегии кибербезопасности РФ. И в такой ситуации очень непросто сформировать положения, которые будут задавать тон на ближайшие годы (а может быть и десятилетие-другое). С одной стороны нельзя закрывать глаза на действия США и ее партнеров в киберпространстве и в ИТ-индустрии. С другой нельзя на основе событий последнего года строить среднесрочную и долгосрочную стратегию. Нужен баланс и найти его будет непросто. А учитывая закрытость работы над новой Доктриной и прошлое ее разработчиков, есть опасения, что мы опять скатимся в малоприменимый на практике документ :-(


Чего лично мне не хватает в текущей версии Доктрины и чтобы мне хотелось увидеть в новой. Во-первых, разрулить ситуацию с оценкой соответствия средств защиты, о чем я уже писал недавно. Во-вторых, я бы все-таки определился с терминологией. И дело даже не в терминах типа "АСУ ТП", "КВО", "КИИ" и т.п., которые имеют совершенно разное значение в разных НПА разных регуляторов. Хотя бы определиться с термином "кибербезопасность". Спор о том, можно или нельзя применять этот термин ведется давно. Есть же даже международный стандарт на эту тему. Некоторые наши критически важные объекты, монополисты в своей сфере деятельности, спокойно используют его на уровне своих нормативных документов, но МИД и некоторые силовики упорно цепляются за термин "информационная безопасность", не желая признавать право на жизнь "кибербезопасности".



Еще одной важнейшей темой является сотрудничество в международной сфере. Прошла версия Доктрины про это почти не упоминала, что и понятно. Но сейчас уровень зависимости информационных технологий, Интернета, критических инфраструктур от международного сообщества совершенно иной, чем раньше. Недавно было опубликовано исследование о трансграничной зависимости критических инфраструктур. Как мы видим, зависимость достаточно высокая и закономерно возникает вопрос, а как обеспечивать ИБ (или кибербезопасность) в такой ситуации? Закрыть глаза? Запретить? Попробовать установить общие правила игры? Более чем непростая ситуация. Понятно, что ее можно попробовать решить в рамках блоковых взаимоотношений России (БРИКС, ШОС, ОДКБ, СНГ). А что делать со странами НАТО? А с не-странами НАТО, но и не членами блоков-партнеров России? У России есть немало объектов собственности, в том числе, и критически важных, в Европе и США. Как быть с ними?

Международное сотрудничество задает и еще один вопрос, который стоило бы отразить в Доктрине. Речь идет об обмене информацией об угрозах ИБ. Можно, конечно, делать это в рамках межправительственных соглашений, но это немасштабируемо и долго (достаточно вспомнить, сколько мы подписываем соглашение с Китаем). Тема чувствительная и требующая четкого разделения ответственности. Рассчитывать, что все это ляжет на плечи ФСБ и она сама все решит, я бы не стал. Неповоротливость этой структуры уже давно стала притчей во языцех.

А еще бы хотелось, чтобы в Доктрине и следующих за ней документах нашли бы наконец решение пожелания, которые я направлял Дед Морозу в канун 2012-го года. Там есть и про единый орган по ИБ, и про признание международных стандартов в ряде случаев, и про дифференцированных подход, и про единую систему оценки соответствия средств защиты (а не 3 разных системы как сейчас), и про государственно-частное партнерство, и про повышение культуры в области ИБ. Раз уж сейчас меняется основополагающий документ, то почему бы не включить в него ответы на все эти вопросы?..

04.08.15

Голосовая биометрия. Краткий обзор технологии

На днях прошла новость о том, что голланский ING стал первым европейским банком, запустившим активируемые голосом мобильные платежи. И тут я вспомнил, что тема биометрической аутентификации по голосу была не только одной из первых, о которой я писал в этом блоге 8 лет назад, но и когда я писал про нее в январе, то обещал сделать краткий обзор рынка биометрической аутентификации, что сейчас и делаю.

На самом деле системы голосовой биометрии решают не только задачи аутентификации, но и предотвращение мошенничества. Очевидно, что наибольший смысл имеет именно комбинация этих двух технологий. Одна идентифицирует человека, но может спасовать перед записанным голосом. Вторая позволяет отслеживать изменения голосовых характеристик в процессе общения и выявления подозрительных или аномальных голосовых последовательностей. Понятно, что, чем критичнее применение такой технологии, тем более важна становится их комбинация. Например, использование Facebook - это одно, а управление счетом - совсем другое. В первом случае достаточно и обычной аутентификации, а во втором нужно нечто большее.

У голосовой аутентификации есть очень важное преимущество - низкая цена ридера. Отпечатки пальцев у нас считываются только на iPhone. Сетчатка глаза или геометрии руки требуют точных и дорогостоящих дополнительных устройств. Микрофон же есть сейчас почти везде (в компьютерах, в мобильных устройствах) и достаточно неплохого качества. Поэтому роль голосовой биометрии будет только возрастать.

Еще одним преимуществом именно голосовой биометрии в том, что она "многоразова", если так можно выразиться. Лицо у вас одно, глаз максимум два, пальцев, если все хорошо, десять. И если эти данные украдены или скомпрометированы, то с этим ничего уже не поделаешь. Вы не можете использовать чужие пальцы, глаза, руки для своей идентификации. А кража базы "фраз" приведет только к тому, что система голосовой аутентификации может попросить вас произнести новую фразу или просто "поговорить с ней".

Наконец, если вспомнить, что системы аутентификации отличаются по тому, "кто вы", "что у вас есть", "что вы знаете" и "что вы делаете", то голосовая биометрия, в отличие от других систем биометрической аутентификации, использует все эти 4 фактора. По физическим характеристикам голоса она определяет "кто вы". Она определяет как и что вы говорите, то есть она позволяет защититься от атак на статические системы аутентификации (например, пароли). В конце концов она может определить, что вы знаете, если в качестве фразы для идентификации будет использоваться пин-код или пароль.

Системы голосовой биометрии (их лучше называть так, а не голосовая аутентификация, так как спектр решаемых ими задач шире) могут работать в двух режимах - так называемом пассивном (или независимом от текста) и активном (зависящем от текста). В первом случае система распознает собеседника по его свободной речи (похожим образом работает сервис Shazam на мобильных устройствах); во втором - по заранее определенным фразам, которые должен произнести пользователь. В активном режиме для защиты от подмены пользователя записанным заранее (или перехваченным) голосом, система должна использовать случайные фразы, которые и предлагать пользователю произнести.

Сказать, какой из двух вариантов работы системы голосовой биометрии, нельзя. У них обоих есть свои преимущества и недостатки. Активные системы более эффективны, но и требуют большего участия пользователя, которого идентифицируют. При этом отпечаток голоса занимает меньше места, чем в пассивных системах, что может быть актуально для мобильного применения или в местах, где Интернет еще не так развит или отсутствует вовсе. Например, есть решения, которые допускают проверку подлинности на самом устройстве, без подключения к внешнему серверу. С другой стороны активные системы не всегда применимы в системах массового пользования - банки, страховые, ритейл и т.п., так как пользователи могут быть недовольны необходимостью взаимодействовать с биометрической системой. И, конечно же, такие системы сложно применить для идентификации мошенников, что легко делается пассивными системами, спокойно "слушающими" звонящего/говорящего и идентифицирующие его речь, ничем себя не выдавая. Поэтому пассивные системы проще в использовании, но и требуют больших ресурсов для своей реализации.

Защита от мошенников реализуется путем использования обычных "черных списков", то есть списков голосовых отпечатков известных мошенников. Соответствующий специалист помечает голос как мошеннический и затем все звонки сравниваются с "черным списком" мошенников. В России, где отсутствует база голосовых отпечатков мошенников и преступников, этот метод будет не самым эффективным и каждый потребитель систем голосовой биометрии будет вынужден самостоятельно формировать собственную базу мошенников (соблюдение законодательства о персональных данных пока оставим в стороне). Но зато со временем организации, особенно в некоторых отраслях, смогут обмениваться такими базами, как это, например, делают антивирусные вендоры. Хорошая перспектива есть у банков (а они, наверное, самый первый кандидат на применение таких систем), у которых есть FinCERT, который сможет со временем обмениваться не только данными по IP/DNS/E-mail-адресам мошенников, но и дополнить рассылаемую информацию голосовыми отпечатками.

Бояться этой якобы редкой технологии не стоит. Сегодня весь мир стоит на пороге (круто завернул, а) UAF/U2F-революции от альянса FIDO, когда любое устройство, приложение или средство защиты сможет абстрагироваться от конкретного метода аутентификации/идентификации, возложив эту задачу на U2F/UAF-спецификацию, которая и обеспечит интеграцию с нужным методом аутентификации.

Если пытаться перевести выгоды от использования голосовой биометрии на язык цифр, то они могут заключаться в следующем:

  • Сокращение времени на аутентификацию пользователя с 23 секунд в ручном режиме в центре обработки вызовов (Call Center) до 5 секунд в автоматическом.
  • Повышение лояльности пользователей (и, как следствие, доходов от них) в результате отказа от необходимости запоминать всем известные ответы на "секретные" вопросы,  помнить PIN-код для входа в систему или отвечать на вопросы назойливого сотрудника банка (ваши ФИО, дата вашего рождения, номер карты и т.п.).
  • Снижение числа сотрудников центра обработки вызовов за счет автоматической обработки многих простых вопросов (время работы офиса в праздники, ближайший офис или банкомат, тарифы и т.п.).
  • Снижение числа мошеннических операций.
  • Снижение времени на ожидании правильного сотрудника, который поможет ответить звонящему.
  • Рост продуктивности работников компании и центра обработки вызовов.
Хочу обратить внимание, что безопасность тут находится на заднем плане. Основные выгоды заключаются совсем в другом - автоматизация ряда задач, сокращение времени, рост лояльности. И большинство из них может быть оценено до приобретения решения, в то время, как снижение числа мошеннических операций оцениваться будет только после. Но это как раз тот случай, когда ИБ может показать, как она помогает бизнесу решать бизнес-задачи, а не пытаться решать свои важные, но все-таки сугубо внутренние задачи.


Из игроков рынка голосовой биометрии можно выделить следующих:

Описывать решения каждого из них я не буду. Отмечу только, что лидером рынка сейчас признается Nuance. Ее решения установлены в Аэрофлоте, а также она известна всем пользователям iPhone, так как Siri построена именно на технологиях Nuance. Правда, в этих случаях речь идет только о распознавании речи, а не об идентификации пользователя. О таких внедрениях в России я не слышал.

ЗЫ. Кстати, по 17/21/31-му приказам голосовая аутентификация вполне себе разрешена. Только вот сертифицированных по требованиям ФСТЭК решений в России пока нет.

UPDATE 1: В список вендоров забыл включить отечественный Центр речевых технологий.

UPDATE 2: Банк "Тинькофф Кредитные Системы" тоже реализовал голосовую идентификацию.

03.08.15

Нужна ли этика пентестерам?! Да, опять про этику!

Произошедшие недавно события вновь подняли вопрос об этике компаний, занимающихся пентестами и исследованиями в области информационной безопасности. И родился у меня некоторый список вопросов, который если и не требует ответов, то задуматься о них стоит.

  1. Этично ли промолчать о найденной случайно у заказчика проблеме вне скоупа оговоренных работ? Ведь заказчик за нее не платил. Но именно через нее заказчика впоследствии могут сломать.
  2. Этично ли обвинять компанию, в решениях которой ты что-то нашел, в уязвимости, при этом не приводя никаких доказательств найденного?
  3. Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
  4. Этично ли обвинять какого-либо вендора, в решениях которого ты нашел уязвимость, но при этом даже не попытался связаться с вендором?
  5. Этично ли упоминать публично про то, что тебе конфиденциально дали исследовать кого-то?
  6. Этично ли нанимать на работу тех, кто имел проблемы с законом в этой же сфере?
  7. Этично ли брать заказ на исследования от "плохих" парней? А от от тех, кто работает с плохими парнями? Или все-таки деньги не пахнут?
  8. Этично ли поливать говном всех, кого взломали, даже не приложив ни малейших усилий к тому, чтобы узнать причины и детали взлома? Может жертва все-таки не виновна?
  9. Этично ли найти дыру в продукте, отвечающем за жизнь миллионов людей, и требовать за это деньги, в противном случае пугать публичным раскрытием данных?
  10. Этично ли поливать публично и в кулуарах говном бывшего заказчика, прекратившего с тобой сотрудничество?
  11. Этично ли публично поливать говном компанию, за кулисами прося у нее деньги и набиваясь на сотрудничество?
  12. Этично ли публиковать пресс-релизы о взаимодействии с вендором, не ставя его в известность об этом?
  13. Этично ли не связываться с взломанным клиентом, которому ты делал пентест?
  14. Этично ли поливать говном взломанные компании, не являющиеся твоими клиентами, и молчать как рыба об лед о взломе клиентов, где ты проводил пентест?
Вопросы... Есть ли на них универсальные или "правильные" ответы? Скорее всего нет. Каждый сам и по своему отвечает на эти вопросы. Все-таки это не математика (хотя и в ней есть задачи без ответов). Главное - на эти вопросы ответить самому себе, а не зарывать голову в песок. Кто-то готов к этому. Кто-то нет. Кто-то будет с пеной у рта доказывать, что этика и пентесты не совместимы, и пентест - это вообще искусство, которому чужда этика как таковая. 

Кадры из знаменитого альбома Лени Рифеншталь о поездке к нубийцам
Тут нельзя не вспомнить Лени Рифеншталь, по мнению экспертов, великий режиссер и фотограф 20-го века, которая сотрудничала для достижения своих целей с нацистами. Она говорила ровно тоже самое - главное для нее была карьера и творчество, которым она занималась; а все остальное было вторично. Верно ли это? Каждый выбирает для себя...

31.07.15

Blue Coat покупает Perspecsys

30-го июля американская Blue Coat Systems объявила о приобретении лидера рынка облачной защиты данных (ну а как же еще, ведь не лидеров покупать несолидно :-) Детали сделки не разглашаются.

30.07.15

Международный трибунал по результатам атаки на АЭС в Украине

"17 июля 2018 года в Украине произошел инцидент на Южно-Украинской атомной электростанции. Кибератака вывела из строя насосы, подающие воду для охлаждения реактора, что привело к нарушению функционирования технологического процесса и неконтролируемой ядерной реакции с последующим выбросом ядерных отходов в атмосферу. Проведенное в закрытом режиме расследование показало, что причиной выхода из строя насосов на АЭС стал "направленный с IP-адресов, зарегистрированных на территории Российской Федерации, большой объем данных, с которым не справились системы управления технологическими процессами". Спустя год ряд стран вышли на Совет Безопасности ООН с инициативой создать международный трибунал по расследованию данного инцидента.


В проекте резолюции содержится требование «призвать к ответу» всех ответственных за атаку на гражданский объект, повлекший за собой экологическую катастрофу, сравнимую ч Чернобыльской аварией 1986-го года. По мнению авторов резолюции, трагедия в Украине «представляет угрозу международному миру и безопасности» и должна быть тщательно расследована. Единственная цель трибунала, как отмечается в документе,— «привлечение к ответственности лиц, ответственных за преступления, связанные с агрессией на гражданский объект мирного атома.»

На рассмотрение Совбеза ООН также вынесен проект устава трибунала. Датированный 19 июня документ под грифом «совершенно секретно» содержит в себе 55 статей, охватывающих различные аспекты работы предполагаемого трибунала. В документе, в частности, сказано, что юрисдикция трибунала распространяется на военные преступления, «преступления против ядерной и радиационной безопасности» и «преступления, записанные в Уголовном кодексе Украины». Далее поясняется, что в первую категорию попадают, например, «серьезные нарушения» ст. 3 Женевской конвенции от 12 августа 1949 года о защите гражданского населения во время войны, запрещающей посягательство на жизнь и физическую неприкосновенность лиц, которые непосредственно не принимают участия в военных действиях. По второму пункту речь может идти о несоответствии нормам МАГАТЭ и законодательства Украины в области использования атомной энергии.

Что же касается предполагаемых нарушений уголовного права Украины, то речь, как следует из проекта документа, идет о целом ряде статей Уголовного кодекса: о преднамеренном разрушении или нанесении ущерба собственности, преступлениях против общественной безопасности, сокрытии информации об уголовных преступлениях, посягательстве на жизнь граждан иностранных государств.

К ответственности могут быть привлечены не только люди, которые напрямую были задействованы в совершении преступления, но и те, кто совершил его «посредством другого человека», а также «отдавал приказы, подстрекал или склонял» к этому. Уточняется, что речь, в частности, может идти о командующих вооруженными формированиями или людях, которые действуют в роли таковых. Таким образом, круг обвиняемых может быть крайне широк. При этом суд, как отмечается в документе, может идти заочно, то есть в отсутствие обвиняемых".

Я привел текст возможной будущей статьи журналиста "Коммерсант" Елены Черненко по мотивам событий, которые могут произойти в будущем и которые могут повлечь за собой неприятные последствия для обвиняемых в кибератаке сторон.

Что за плод воспаленной фантазии? - скажете вы. - Не может такого быть. И будете неправы. Я привел практически дословно (надеюсь Елена не будет за это на меня сердиться) текст статьи в Коммерсанте о возможности создания международного трибунала по крушению малазийского Боинга. Только заменил крушение самолета на аварию на АЭС. Вся остальная мотивация и объяснения инициаторов создания трибунала осталась неизменной.

То, что нападение на информационные системы АЭС вполне возможно, я думаю, не стоит никого убеждать. За последние 25 лет было зафиксировано больше 10 таких инцидентов. То, что найдутся желающие на международной арене воспользоваться ситуацией, чтобы скинуть кого-нибудт с геополитического Олимпа или осложнить ему жизнь, тоже объяснять не стоит. Поэтому описанная мной гипотетическая ситуация вполне возможна на практике.

И надо признать, что я вполне понимаю нежелание России поддержать проект резолюции Совета Безопасности ООН. Дело не в возможной геополитической составляющей отказа России от поддержка этого документа. И не в том, что такие события должны расследоваться в рамках действующих норм. И даже не в том, что раньше аналогичные крушения не приводили к созданию международного трибунала. Просто создание трибунала по такой мотивации означает возможность (ставшую реальной) обвинить кого угодно в чем угодно.

Когда я готовил статью для "Индекса безопасности" я изучал вопрос связанный с атрибуцией кибератак и дело в том, что сегодня отсутствуют международные нормы, позволяющие осудить кого бы-то ни было за нападение в виртуальном пространстве. И посколько прогресса в этой сфере на уровне международного права немного, отдельные эксперты пытаются применить нормы Гаагской и Женевской конвенций, а также нормы Устава ООН к спецоперациям в киберпространстве. Не случайно спонсируемые НАТО эксперты центра компетенций по кибербезопасности (CCD COE) выпустили известное Таллиннское руководство, которое пытается существующие нормы международного права применить к сфере кибернападений и киберобороны. Сейчас завершается вторая версия данного руководства. Как говорится, дополненная и переработанная.

При желании кибератаку на АЭС вполне можно квалифицировать как вооруженное нападение на гражданский объект, да еще и повлекший за собой серьезные последствия, вплоть до человеческих жертв. И последствия крушения самолета (какими бы ужасными они не были) покажутся детским лепетом по сравнению с ущербом от ядерной катастрофы. В отсутствие согласованных международных норм в этой сфере провести можно любое решение, которое будет выгодно наиболее ярким и активным игрокам мирового закулисья. Поэтому так важно разработать соответствующие правила поведения в этой сфере и гармонизировать с ними блоковое и национальное законодательство.

ЗЫ. Еще раз подчеркиваю, что в заметке рассмотрена гипотетическая ситуация.

ЗЗЫ. В заметке использована статья "Под трибунал по малайзийскому Boeing подводят широкий круг лиц", опубликованная в "Коммерсанте" 29-го июля 2015-го года.

ЗЗЗЫ. Не стоит искать политическую составляющую в данной заметке. Просто за основу выбрано событие, которое в данный момент активно обсуждается в мире. 

29.07.15

Пора запретить Роскомнадзору публично комментировать законодательство

Не успели еще операторы персональных данных отойти от постатейного комментария Роскомнадзора к ФЗ-152, как регулятор подготовил нам очередное потрясение для здравого смысла и юриспруденции. Ряд общественных организаций запустили онлайн-проект ПД-Инфо, посвященный обсуждению вопросов, связанных с особенностями реализации нового Федерального закона № 242-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (т.н. «Закон о локализации Персональных данных россиян на территории РФ»).



Прошлый комментарий активно критиковали за отсутствие детализации по такой животрепещущей теме, как ФЗ-242. И вот появляется самостоятельный ресурс по данной теме. Лучше бы не появлялся... Сайт создан РАЭКом, но все ответы, опубликованные на нем, согласовываются с РКН. Поэтому можно сказать, что этот портал является рупором регулятора, который в предверии 1-го сентября слишком активно стал "разъяснять" положения законодательства, не имея на то полномочий, но при этом внося сумятицу в головы операторов ПДн, которые и раньше-то не могли понять положений закона. А уж теперь, когда разъяснений от регуляторов становится много и каждое другого лучше.

Спрашивается, что такое первичный оператор ПДн? Откуда, японский городовой, РКН взял деление операторов ПДн на первичных, вторичных и третичных? Почему раньше РКН считал, что пользование зарубежными гостиничными сервисами, например, bookings.com, требует переноса сервиса в Россию, а сейчас он считает обратное? А в следующем ответе он опять требует переноса? Почему РКН в одном ответе заявляет, что на иностранные юрлица ФЗ-242 не распространяется, но в следующем ответе говорит, что распространяется, если на сайт иностранной компании, никогда даже не слышавшей про Россию, вдруг заходит россиянин ;например, сотрудник РКН) и оставляет там свои ПДн? Вот почему государственный номер автомобиля по версии РКН относится к автомобилю, а номер паспорта относится к субъекту, а не к паспорту? Почему РКН считает, что по номеру авто нельзя идентифицировать его владельца? И вот таких вот плохо согласующихся между собой "разъяснений" у РКН просто море :-(

А самое главное, что всем им грош цена, так как РКН не уполномочен комментировать закон, а суд может иметь совсем иное мнение... Но есть и позитивный момент во всей этой разъяснительной вакханалии - понятны взгляды РКН при проверках.

Как обеспечить конфиденциальность ПДн? Можно ли обойтись без сертифицированной криптографии?

Отдохнем от вчерашней длинной заметки по кибербезопасности атомных электростанций и вернемся на грешную землю. За последнюю неделю пришлось ответить нескольким заказчикам и партнерам по поводу применения шифровальных средств для защиты персональных данных (надо или нет). Поэтому, опираясь на новую информацию, полученную от регуляторов, я решил обновить и заодно озвучить свою презентацию по данной теме.

28.07.15

Кибербезопасность атомных электростанций: подход МАГАТЭ

Про новости от ЦБ уже было. Про новости от ФСТЭК и ФСБ тоже уже было. И про РКН тоже я на днях прошелся. Теперь мы поговорим про информационную безопасность от... МАГАТЭ. Да-да, от МАГАТЭ. Это тоже в своем роде регулятор, который курирует вопросы безопасности, включая и информационную, для атомных объектов. И если раньше эти вопросы не стояли на повестке дня под номером один, то за последнее время произошло несколько событий, который заставили МАГАТЭ пересмотреть свои приоритеты. И как результат, прошедшая в Вене 1-5 июня, глобальная конференция по кибербезопасности, организованная МАГАТЭ.


Мероприятие было не просто международным по названию, но действительно таковым. Я не помню мероприятий по ИБ (как тех, на которых я был, так и тех, на которых не был), на которых выступали бы представители такого количества государств. Обычно на международных конференциях выступают преимущественно американцы или европейцы (и то только из некоторых стран Евросоюза). В данном случае были представители всех материков, кроме Антарктиды и то по той причине, что на этом континенте нет атомных объектов :-)

Могу сказать, что тема ИБ на АЭС для МАГАТЭ относительно в новинку. Что-то схожее с темой ИБ АСУ ТП на иных КВО, но с некоторым опозданием. У МАГАТЭ до недавнего времени не было вообще никаких документов и рекомендаций по ИБ. Только в 2013-м году они начали активную работу в этом направлении. И вот специальная конференция, целиком посвященная данной тематике.



172 доклада (!) в течение пяти дней. Очевидно, что не все участники могли адекватно делиться опытом в области безопасности АЭС. Оно и понятно, не у всех были эти самые АЭС. Поэтому представители, например, Африки либо показывали прикольные картинки:


либо рассказывали об общем состоянии информационной безопасности в своих странах, в которых атомные электростанции отсутствуют. Кто-то (например, представители Танзании, Малави и других стран не на слуху) выступали без презентаций.


Дальше попробую высказать то, что мне запомнилось или понравилось. Во-первых, меня удивило активное продвижение идеи подключения АЭС к Интернет. Да, местами для передачи диагностической информации о состоянии объекта. Да, используется зонирование. Да, применяются однонаправленные МСЭ. Но... Прекрасно понимая, что человеку свойственно ошибаться, хочу отметить, что такая "вольность" и "удобство" могут дорого обойтись, если в настройке однонаправленных МСЭ будет сделана ошибка или в диагностические данные будут внесены несанкционированные изменения. Да и вообще, почему считается, что однонаправленный МСЭ защищает? От прямого онлайн-взаимодействия - да. А от загрузки по однонаправленному каналу вредоносного ПО - нет. Однако подключение к Интернет демонстрировали многие. И американцы:


и японцы:


В России в этом плане ситуация более безопасная. У нас АСУ ТП АЭС по требованиям Росэнергоатома должны быть изолированы от Интернет. Египтяне рассказывали о своем опыте применения Wi-Fi на критически важных объектах. Достаточно интересная презентация.

Египетские рекомендации по защищенному применению Wi-Fi на АЭС
Schneider Electric (вообще вендоров было не так уж и много среди выступающих - запомнил еще Cisco, ЛК, TM, Waterfall) активно продвигал идею удаленной (!) поддержки критически важных объектов, включая атомные. Разумеется, безопасным образом.

Достаточно интересно было видеть описания различных инцидентов, произошедших на атомных объектах в разных странах мира в разное время. И речь не о набившем оскомину Stuxnet, а о других случаях. Например, зафиксированых в Южной Корее:

или в Японии:


в США и других государствах. Всего сейчас насчитывается свыше 10 инцидентов на атомных электростанциях (преимущественно в США), исходящих извне и изнутри, имеющих злой умысел и произошедших случайно. Немного, но и немало, учитывая критичность объекта. Ни в одном из случаев не было жертв и экологических катастроф, но отключения электроэнергии (достаточно массовые) случались.

Достаточно много говорили о DBT (Design Base Threat) или проектных угрозах, которые анализируются с точки зрения безопасности (например, падение самолета на АЭС) и затем для них предлагаются методы нейтрализации. Обычно речь всегда шла о физической безопасности и только совсем недавно DBT стали расширяться за счет киберсоставляющей.


Было много интересных докладов о разработке моделей угроз ИБ (DBT) для АЭС в разных странах. Кто-то (американцы) использует автоматизированный инструментарий. Кто-то (голландцы) привлекает внешних консультантов. Кто-то (Зимбабве) использует метод Дельфи для определения угроз атомной инфраструктуре. Немало говорили про управление взаимоотношений с вендорами и управление цепочками поставок оборудования и ПО. Опыт здесь у разных стран разный.

Учитывая, что пока мало кто готов внедрять средства защиты на сами АЭС (обычно строят либо стену вокруг, либо правильно сегментируют), то влияние человеческого фактора нельзя недооценивать и поэтому очень много на конференции МАГАТЭ говорили про культуру ИБ и различные мероприятия по ее повышению. Например, сербское агенство по атомной безопасности проводит тренинги своих сотрудников в части борьбы с почтовыми сообщениями, содержащими фишинговые ссылки (это достаточно распространенная атака на АЭС, как оказалось). Сербы привели интересные результаты поведения своих сотрудников до проведения тренинга:

До
 и после:
После
Почти все участники пишут новую или адаптируют под киберсоставляющую существующие документы по безопасности АЭС. Кто-то пишет свое и адаптирует потом под требования МАГАТЭ. Кто-то наоборот - берет документы МАГАТЭ и дополняет их своими деталями и практикой.

Немцы разрабатывали свою нормативку на базе подходов МАГАТЭ
Канадцы написали свою нормативку по безопасности АЭС

Наиболее активны были представители США (у них, кстати, и инцидентов ИБ на АЭС происходило больше) - от них было больше всего докладов. Американские регуляторы активно проводят аудит всех атомных объектов. К концу 2012-го года должны были завершиться работы по разработке атомными объектами планов по кибербезопасности и реализации защитных мер против ключевых атак (сегментация и изоляция, контроль мобильных устройств, борьба с внутренним нарушителем, реализация защитных мер для ключевых активов, мониторинг безопасности). К 2017-му на АЭС должна быть реализована вся программа кибербезопасности, включая тренинги и внедрение процедур.

Были представители и РФ. Точнее три представителя - от ситуационного и кризисного центра Росатома, от РАН и от "Элерона". Не знаю, что сказать про эти доклады. Они у меня вызвали двойственные чувства. И это при том, что в России есть, что сказать в этой области.

Доклад Росатома
Много формул в докладе РАН
Доклад "Элерона" про ИБ в Росатоме
Уфффф... Устал писать :-) А ведь можно было говорить еще о многом - об управлении инцидентами, об анализе ПО, о внутренних нарушителях, об ИБ в системах физической безопасности и противоаварийной автоматике, о многом чем еще. Но пора закругляться. Выводов делать не буду - конференция не подразумевала его; скорее она позволила членам МАГАТЭ обменяться опытом в области информационной безопасности атомных объектов - нарождающейся теме в нашей сфере.

27.07.15

Кто придумал SDLC?

Что-то заметка про мои первые труды навела на мысль, что стоит раскрыть тему про первенство SDLC. Тема эта модная, про нее все пишут и говорят, нормативка готовится. Однако сейчас мне хотелось бы обратиться к истории и вспомнить о том, кто был первым в этой области и сделал задел, которым пользуются сегодня многие. Как и в случае с многими другими технологиями, начинались соответствующие исследования в интересах военных - в американских NASA и DARPA. Очень активно им помогал Университет Калифорнии в Девисе, засветившийся во многих проектах ИБ агентства DARPA. Было это еще в самом начале 90-х. В России создавались первые подходы к оценке соответствия и писались РД Гостехкомиссии, а в США изучались подходы к повышению качества и защищенности ПО, поведение которого можно было бы предсказать во время отказа по той или иной причине.

Позже при активном участии Cigital Lab появился и первый в мире коммерческий статический сканер исходных кодов ITS4, задача которого была автоматизировать то, что раньше делалось утилитой grep. Именно ITS4 был лицензирован Fortify Software, позже купленной HP за 300 миллионов долларов. За почти двадцатилетнюю историю Cigital ее сотрудники написали около 20 книг по данной тематике, одной из самых известных из которых является "Software Security. Build Security In" Гэри МакГроу, пионер и гуру в области безопасного программирования.

"SDL" по версии МакГроу
Еще одним первопроходцем в этой области является известный институт Карнеги-Меллона, при котором был создан и первый CERT. Но помимо темы CSIRT, борьбы с внутренними угрозами, институт Карнеги-Меллона с конца 90-х - начала 2000-х годов активно занимается темой безопасного программирования. Помимо ведения собственного сайта институт вовлечен в поддержку еще одного ресурса, который схож по названию с книгой МакГроу - buildsecurityin.us-cert.gov. На этом официальном сайте Министерства национальной безопасности США хранится и распространяется огромный объем информации, включая и инструментарий, по данному вопросу.

Позже к этому процессу подключились и другие игроки, одним из самых известных из которых является Microsoft. Сегодня многие олицетворяют аббревиатуру SDL именно с Microsoft, которая после объявления Биллом Гейтсом инициативы Trustworthy Computing в 2002-м году, стала активно двигаться в этом направлении. SDL в варианте Microsoft оформился в 2004-м и с тех пор MS пытается эту инициативу двигать по всей своей продуктовой линейке.

В 2008-м году МакГроу решил проанализировать опыт Microsoft и нескольких десятков других компаний, которые занимались безопасным программированием и внедряли в свой процесс разработки отдельные инициативы по повышению защищенности ПО. Результатом работы МакГроу стал проект The Building Security In Maturity Model (BSIMM). На сегодняшний день опубликована уже пятая версия BSIMM, вобравшая опыт 67 инициатив по безопасной разработке. В текущей версии BSIMM-V описано 112 активностей, повышающих защищенности ПО, и по каждой из активностей проект BSIMM предлагает любому желающему оценивать себя и свою зрелость в области SDL.

Уровень зрелости десятка самых зрелых разработчиков ПО по BSIMM-V
Кстати, МакГроу не использует термин SDL, заменяя его на Security Touchpoints. Так сложилось, что не все компании участвуют в проекте BSIMM. В нем, как правило, нет, по понятным причинам, "железных" разработчиков (при разработке системотехники немного иные нюансы, проблемы и задачи стоят); также нет и ряда других известных софтверных компаний - Facebook, Twitter, Mozilla, Oracle и других. Поэтому оценить, кто лучше на этом поприще сложно. Тот же МакГроу считает, что среди участников BSIMM нет явных лидеров, но все достойны и делают большое дело.

Но дело DARPA и NASA продолжает жить и развиваться. Недавно Банк Америки зарегистрировал патент в этой области, заявив, что подходы МакГроу и Microsoft имеют серьезные недостатки, которые и устраняет подход Bank of America. Они же, кстати, являются автором патента по оценке защищенности Web-приложений. Вообще, достаточно интересно читать патенты в данной области. По ним можно смотреть, кто дальше всех продвинулся в этой области и кто больше всего ею занимается. Тут вам и Microsoft, и IBM, и уже упомянутая в начале статьи Cigital, и Coverity, и Veracode, и HP. Отечественных игроков рынка SDLC, к сожалению, среди авторов патентов нет.

24.07.15

Как я пытался организовать Gartner в России в далеком 1997-м году

Что-то опять потянуло покопаться в истории :-) а точнее в моей библиотеке. В процессе подготовки небольшой заметки наткнулся на две своих публикации, которые можно назвать первыми моими серьезными работами, отличными от обычных статей, которые я тогда только начинал писать. Тут же речь идет о более серьезном труде. Первый, 70-тистраничный, труд касался вопросов обеспечения безопасности Интернет в банках (а это, к слову, 97-й год).


В 97-м я ушел из отдела аудита Информзащиты, чтобы возглавить там же мной же созданный и мной одним и наполненный отдел информационного обеспечения. Я тогда наивно предполагал, что если иностранные Lexis Nexis, Gartner и другие информационные агентства могут брать большие деньги за подписку на информацию, то и в России можно предложить такой же сервис. Вот собственно в 1997-м году в рамках Информзащиты я его и создавал, предложив потенциальным заказчикам два сервиса - еженедельную новостную рассылку по ИБ и тематические выпуски, посвященные той или иной теме. Первая и была посвящена Интернету в банках.

Второй мой большой (на 80 страниц) труд касался безопасности Java и ActiveX. Я тогда перелопатил кучу материалов, поскольку эта тема была в новинку и мало кто про нее писал и говорил.

Кстати, тогда я впервые погрузился в тему безопасного программирования, которое, как это не странно, придумала не Microsoft, как это часто говорят и пишут, а совершенно другие люди, работающие в NASA и DARPA. Один из них Гэри МакГроу (Gary McGraw) считается основоположником данного направления и сооснователем Cigital Lab, которая не только одной из первых стала заниматься этой темой и консультировать по вопросам безопасного программирования, но именно ей принадлежит первый коммерческий сканер исходных кодов ITS4. Именно технологии, заложенные Cigital Lab, были позже лицензированы Клейнером Перкинсом и использованы при создании продуктов Fortify Software.

Но вернемся к безопасности Java и ActiveX. Я тогда, пожалуй, в первые набрался наглости и списался с МакГроу и общался с ним на тему безопасности Java и безопасности при разработке ПО. Это уже потом я понял, что эти "гуру ИБ", на самом деле простые люди, которые достаточно спокойно общаются даже с представителями далекой России :-) Опять же вспомнилось. Я когда писал свою первую книгу по обнаружению атак, то изучал разные материалы, которых было много, но на английском языке. Помню, не надеясь на ответ, я написал Дороти Деннинг, иконе мировой ИБ, которая как раз писала книгу по обнаружению атак. И... что было просто потрясающе, она написала своему издателю с просьбой прислать мне рукопись своей еще неопубликованной книги! Просто фантастика :-) У нас все-таки не так :-(

Но хватить ностальгировать. Пора вспомнить, что на дворе 21-й век. В понедельник напишу что-нибудь свеженькое...

ЗЫ. Кстати, на этих двух выпусках и паре десятков новостных рассылок дело и закончилось. Клиенты не хотели платить за информацию. Отдел пришлось закрыть, а я занялся Интернет-безопасностью и продвижением решений ISS в России и странах СНГ.

23.07.15

Можно ли без своего исследовательского центра угроз с ними бороться?

Навеяло тут после одной из встреч. Информационную безопасность, если не сильно вдаваться в детализацию, двигает три силы - страх, compliance или экономика. Они могут детализироваться. Например, страх может быть поделен на страшилки из СМИ и реально произошедшие инциденты, а compliance - на требования регуляторов и требования аудита. Но сейчас это не так важно - по-крупному таких драйверов три.

С compliance все вроде понятно. Есть требования регуляторов и есть организационные и технические меры, их реализующие. Это, пожалуй, самый популярный драйвер ИБ в России и многие игроки (вот пример) активно эксплуатируют данную тематику в своих материалах. Вторая тема, экономическая, только-только начинает набирать обороты. У потребителей меняется картина рисков - старые методы уже не срабатывают или приходиться тратить больше усилий на доказывание важности выполнения требований регуляторов и риски получения штрафов в 10-20 тысяч рублей. Экономика и финансы - это то, что интересно в любые времена. Тем более, что эта тема интересна именно руководству, которому, положа руку на сердце, все равно, выполняет его организация 21-й приказ ФСТЭК или положение Банка России 382-П. Поэтому экономика, как обоснование необходимости вкладываться в ИБ, набирает обороты (вот еще пример).

Но сейчас я бы хотел поговорить о страхе, как третьем важном драйвере продвижения ИБ заказчику. Но не о том, как рассказы об угрозах помогают запугивать потребителя и под этим соусом продавать ему решения по безопасности. Это как раз умеют делать все. Вопрос в другом. Откуда продавцы ИБ берут знание об угрозах, а если быть еще точнее, можно ли называть себя компетентным игроком в области ИБ, не имея собственной экспертизы и собственного исследовательского центра в области угроз безопасности?

Когда компания продает антивирус или систему предотвращения вторжений, очевидно, что она должна оснащать свои решения актуальной или постоянно пополняемой базой угроз (в виде сигнатур, или шаблонов обнаружения аномальной активности). Это, как бы, и не обсуждается. Но должен ли разработчик, например, МСЭ, обладать знанием об угрозах? Если речь о пакетном фильтре, то, может быть и нет. Но если речь идет о прикладном МСЭ или NGFW такое знание уже является обязательным. Обязательным оно является и для разработчиков сканеров безопасности и WAF. Во всех этих примерах критически важно знать, с чем бороться, и оснащать этим знанием свои продукты. Причем делать это нужно в непрерывном режиме, а для этого и нужна выделенная структура, которую и можно назвать центром исследований в области угроз, который работает круглосуточно; злоумышленники-то не спят, да и часовых поясов в России явно больше одного, чтобы всех заставлять работать по московскому или какому-то еще времени.

Откуда можно получить знание об угрозах? Вариантов два. Первый - долгий, но и самый эффективный. Копать самостоятельно, собрав специалистов, которые и будут заниматься такого рода исследованиями. К слову сказать, в таком исследовательском подразделении Cisco - Cisco Talos, 600 (шестьсот) человек. По таком пути идут также Лаборатория Касперского или Positive Technologies.

Вариант второй - простой и быстрый, но и более рискованный. Речь идет о покупке чужих знаний. Например, можно покупать чужие сигнатуры для IDS, как делают некоторые отечественные "разработчики" систем обнаружения вторжений. Можно покупать чужие фиды с информацией об угрозах. Это простой способ войти в новый для себя сегмент. Правда, что делать, если компания, продающая фиды или сигнатуры, поглощается другим игроком? Этот игрок может не захотеть (или не иметь возможность) больше продавать свой продукт компании, которая на нем строила свои решения. И как в такой ситуации быть заказчикам?

К чему этот разговор? К тому, что угроз сегодня становится не только все больше (пример в виде отчета Cisco и в виде озвученной презентации), но они становятся и все изощреннее. А это требует немного иного подхода к их изучению и оснащению этим знанием своих продуктов. Эпизодических действий уже недостаточно. Покупки чужих знаний тоже. Достаточно вспомнить выступление руководителя 2-го Управления ФСТЭК Виталия Лютикова на последнем PHD. Он тогда сказал, что из десяти производителей сертифицированных в России средств защиты информации у половина до сих пор остается неустраненная уязвимость Heartbleed. И в качестве причины неустранения называется либо нехватка средств на устранение, либо отсутствие компетенции, позволяющей устранить эту дыру. То есть компетенция взять чужой продукт и навесить на него бляху "сделано в России" была, а обеспечивать должный уровень защищенности "своего" продукта - нет. С чужим знанием об угрозах ситуация аналогичная.

Какие сегменты рынка ИБ в обязательном порядке подразумевают наличие собственного исследовательского центра? Я бы выделил следующие:

  • NGFW и WAF/DBF/DAF
  • IDS/IPS (СОВ/СОА)
  • сканеры безопасности и средства эмуляции атак
  • антивирусы и другие средства борьбы с вредоносным ПО (antimalware, breach detection systems, песочницы и т.п.)
  • контентная фильтрация (антиспам и фильтрация URL)
  • Threat Intelligence.

Разработчикам, особенно тех решений, который требуют непрерывного обновления знаниями о новых угрозах, стоит, как мне кажется, озаботиться данным вопросом.

22.07.15

Неделя, прошедшая под знаком CSIRT/CERT/CIRC

Прошлая неделя у меня прошла под знаком CSIRT/CERT. Сначала я ездил в одну из стран СНГ и делал презентацию для национального CERTа. Потом мне попалась парочка презентаций о том, как устроены группы реагирования на инциденты в Cisco (CSIRT) и в НАТО (CIRC). Попутно почтовый ящик пополнился несколькими уведомлениями от FS-ISAC и IT-ISAC (обычно раз-два в неделю, а тут каждый день, а то и по паре раз на дню). И наконец, в АРБ прошло собрание по поводу заработавшего недавно при Банке России центра мониторинга и реагирования на атаки в кредитно-финансовой сфере FinCERT.

Пока никаких официальных документов и правил игры Банк России нигде не озвучивал, можно пофантазировать о том... нет, не о том, как будет работать FinCERT (это знает только Банк России), а о том, что хотелось бы увидеть от Банка России на выходе.

Если вспомнить, какие вообще сервисы может оказывать центр реагирования на инциденты, то список будет достаточно большой.

Сервисы CSIRT по версии Университета Карнеги-Меллона
Вспоминая, о чем неоднократно говорили представители Банка России на разных мероприятиях, можно предположить, что FinCERT будет в первую очередь уведомлять заинтересованные стороны об атаках, опираясь как на собственные данные, так и на данные, получаемые от банков, которые будут присылать в FinCERT информацию об инцидентах, которые у них происходили.

Высокоуровневая схема информационных потоков в сервисе уведомлений
И вот от того, как будет выстроен и как формализован данный сервис, зависит то, будут ли им пользоваться банки. Ведь сервис этот зависит именно от двухсторонней связи "Банк России - кредитные организации". Самостоятельно ЦБ не сможет в настоящий момент предоставлять сведения об инцидентах - он с ними почти не сталкивается, не работая с юрлицами и физлицами напрямую. Максимум, о чем он может сообщать - это об инцидентах на свой сайт и инфраструктуру, т.е. о технических атаках. Логические атаки на финансовые инструменты ЦБ может получать только извне - от самих банков. Есть, конечно, еще вариант, что такие сведения он может получать от других CERTов/CSIRTов, но от каких? От ГосСОПКИ?.. Маловероятно. Остаются только банки как поставщики информации.

Чтобы банки отдавали сведения в ЦБ (помимо 203-й формы, которая уходит в ДНПС), они должны иметь подробное описание предоставляемых FinCERT сервисов.


Что им может быть интересно? Я бы, на месте банка, хотел получить от FinCERTа ответы на следующие вопросы:

  • Есть ли четкий перечень информации интересной FinCERTу? Как она соотносится с 203-й формой отчетности?
  • Какие детали по каждой атаке нужны FinCERTу? IP/DNS-адреса? Имена файлов? Паспортные данные дропперов? Имена фирм-однодневок?
  • С какой частотой передавать данные?
  • Время работы FinCERT? 8х5 или 24х7? Если 8х5, то в каком часовом поясе находится FinCERT и как он будет взаимодействовать с банками в других часовых поясах?
  • Каким способом передавать данные? E-mail (с указанием единого адреса центра, а не отдельных его сотрудников), Web-сайт, телефон, KliKO, ПТК ПСД или еще что-то?
  • Каков формат передачи данных? Может быть есть уже проработанные формы/отчеты об инцидентах? При получении от FinCERT ответной реакции в виде уведомлений об атаках, хотелось бы иметь также унифицированный и заранее определенный формат получения данных, чтобы можно было легко автоматизировать процесс его подключения к собственным системам защиты, например, МСЭ, IDS, антифроду и т.п.
  • Как защищаются данные в процессе передачи и хранения в FinCERT?
  • Как гарантируется защита данных от передачи информации об инцидентах в СМИ?
  • Будет ли передаваться информация об инцидентах в надзор Банка России? А в МВД? А в ГосСОПКУ? При каких условиях и в каком объеме?
  • Кто от имени банка имеет право передавать данные об инцидентах?
  • Как подтверждается получение FinCERTом данных? Если требуется ответная реакция FinCERT, то есть ли SLA для нее?
  • Как хранятся полученные данные и кто имеет к ним доступ?
Без ответов на эти вопросы FinCERT может и не взлететь, как мне кажется. В отличие от 203-й формы передается достаточно чувствительная и детальная информация, утечка которой может серьезно повлиять на репутацию банка и его финансовые показатели. Поэтому банк должен быть не только уверен в том, что переданная им информация будет получена, обработана и не уйдет наружу, но и то, что на основе этой информации (а также информации от других банков) будет регулярно приходить обратная связь. Односторонняя связь, к сожалению, сводит на нет весь интерес взаимодействия с CERT/CSIRT. Могу это утверждать, имея опыт работы с нашим CSIRT и с IT-ISAC, в который входит Cisco и через который американские ИТ-компании обмениваются информацией об угрозах.

ЗЫ. Аналогичные вопросы, кстати, будут актуальны и для ГосСОПКИ, когда она заработает в полную силу.

21.07.15

Модель угроз для беспилотника

После публикации в Facebook вот этого ролика про интеграцию беспилотника с огнестрельным оружием



началась дискуссия о том, кто должен отвечать за борьбу с этой напастью, если она вдруг появится над критически важным объектом? Это кстати, не единственный интересный ролик по данному вопросу. Если в первом совершенно непонятно, попадает ли пистолет в цель, то во втором все гораздо интереснее. Да и выглядит второй вариант весомее и серьезнее, чем первая поделка. А ведь был еще ролик и про "атаку дрона" на Ангелю Меркель во время одного из ее выступлений в Дрездене.



В ФБ было несколько вариантов предложено - от банальной мелкашки или местных деревенских жителей с оружием пролетариата до применения приемов РЭБ или охотничьих соколов :-) Что интересно, ни один из этих вариантов (исключая вариант с РЭБ) в иностранных моделях угроз (публичных) для БПЛА не рассматривается. Обычно действуют "по учебнику", который подразумевает вполне обычные и лежащие на поверхности угрозы.


Для них и оценка актуальности также есть.


Но вообще тема интереснейшая. Ведь БПЛА может быть как объектом защиты, так и объектом нападения (например, направленным на нарушение доступности или конфиденциальности). И со временем они будут использовать все активнее и активнее, как в военной сфере, так и в бизнесе. Поэтому о том, что делать с такого рода устройствами, стоит задумываться уже сейчас.

ЗЫ. Не стоит забывать и про боевых Интернет-тараканов...

ЗЗЫ. Про систему защиты коммуникаций с БПЛА тоже не стоит забывать.

Microsoft усиливает безопасность Azure двумя приобретениями

Microsoft объявил о намерении приобрести за 320 миллионов долларов израильской компании Adallom, которая занимается защитой облачных сервисов Office365, Salesforce.com, Box, Google Apps, Dropbox и других. А в ноябре прошлого года осталось незамеченным приобретение Microsoft'ом еще одного израильского стартапа - Aorato, занимающегося технологиями машинного обучения в области обнаружения аномалий в действиях пользователей. С помощью технологий Adallom и Aorato Microsoft планирует усилить защиту своего облачного сервиса Azure.

ЗЫ. Заметил, что в последнее время (год-два) в Израиле увеличилось число стартапов по ИБ, которые находят своих покупателей за океаном.

UPDATE: На вопрос, почему MS закрыла TMG и приобретает новые компании по ИБ, могу ответить, что закрытие TMG означает всего лишь закрытие ИБ как отдельного продуктового направления, которое приносило самостоятельные, но явно не очень большие деньги. Поэтому MS сконцентрировалась на основном бизнесе. Но это не значит, что MS перестала думать об ИБ и усиление защиты своих продуктов вполне в рамках давно озвученной стратегии компании. Поэтому покупка стартапов, повышающих защищенность своих продуктов, это вполне нормальная практика.

20.07.15

Российским пентестерам запрещено предоставлять услуги за пределами РФ?

В конце октября прошлого года Евросоюз принял новые правила ограничения распространения продуктов и технологий для обхода средств защиты. В новых правилах этих продукты и технологии получили название "intrusion software", которое расшифровывалось как: "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или
  • модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций". 
Ограничение подразумевало получение специальной экспортной лицензии.

И вот по этому же пути пошел давний союзник Европы - США, которые решили ввести аналогичные правила для своих компаний. На следующей неделе заканчивается срок приема замечаний к данным новым правилам регулирования такого же как и в Европе понятия "intrusion software". Правда американское определение немного отличается от европейского и касается не только ПО, но и "информации, требуемой для разработки, тестирования, совершенствования или оценки ПО для вторжения". То есть различные компании, которые создают эксплоиты для тестовых целей, сканеры безопасности, средства эмуляции атак, да и просто публикуют информацию об уязвимостях должны получать соответствующую экспортную лицензию (про нее я уже писал).

Некоторые игроки американского рынка ИБ (Symantec, FireEye, WhiteHat и другие) даже создали коалицию, которая должна отстаивать права американских ИБ-компаний на бесконтрольное распространение информации и ПО, подпадающего под новое регулирование. А 6-го августа на предстоящем BlackHat организована специальная сессия, посвященная данной тематике.

Откуда растут ноги у требований, вводимых в США и Евросоюзе? Это известные Вассенаарские соглашения по контролю за распространением технологий двойного назначения, которые контролируют много чего, включая криптографию (именно по ней о Вассенаарских соглашениях многие и знают). Так вот 4 декабря 2013-го года в данные соглашения были внесены новые изменения, среди которых и контроль "intrusion software".

Но самое во всей этой истории другое. Среди 41-й страны, являющейся участницей Вассенаарских соглашений, есть и Российская Федерация, которая по идее должна в своем законодательстве реализовать данные изменения, а значит российские пентестеры и другие компании, занимающиеся схожими услугами и продуктами, должны будут получать экспортную лицензию на данный вид деятельности. Регулирует эту область в России у нас ФСТЭК, а точнее ее подразделение по экспортному контролю.

ЗЫ. Кстати, недавно взломанная Hacking Team в полной мере подпадала под требования европейского экспортного законодательства. Интересно, была у них лицензия на данный вид деятельности или нет?..