27.11.14

Куда глядят российские ИБ-стартапы?

Продолжу тему отечественных стартапов по ИБ. Сегодня, в условиях непростой геополитической ситуации, когда многие компании начинают смотреть в сторону импортозамещения и искать аналоги используемых у себя зарубежных решений их отечественными копиями, ИБ-стартапы могут получить неплохой толчок к развитию. С учетом одного "но". Стартап должен быть ориентирован на работу в России.

Бытует мнение, что стартап обычно создается, чтобы продаться крупной компании. Возможно. Это неплохо. Получить деньги за свой труд - вполне нормальная бизнес-стратегия. И не так уж и важно, откуда эти деньги пришли - из зарубежа или из России. Хорошо, конечно, если они имеют отечественное происхождение. А что если нет? Для создателей стартапа это не так уж и важно. Деньги не пахнут, как говорится. Но вот в контексте информационной безопасности в условиях импортозамещения это может иметь значение.

Во-первых, грядущий выход нормативного акта определяющий, что считать отечественным, а что нет. Продажа стартапа на Запад или получение иностранных инвестиций в обмен на контрольный пакет акций могут превратить изначально отечественное решение из спасения в угрозу (хотя мы прекрасно понимаем, что продукт при этом остался тем же, а может быть даже стал лучше).

Во-вторых, существует риск, что отечественный стартап может перейти под контроль спецслужб. Например, в начале года Palo Alto купила небольшую американскую Morta Security, имеющую отношение к Агентству национальной безопасности и Министерству Обороны США. Но ведь возможна и обратная ситуация?! Опять же, для стартапа - это и нехорошо и неплохо. А вот для цифрового суверенитета все не так просто.

Вообще-то, и первый и второй сценарий не является чем-то уж совсем плохим. С точки зрения бизнеса у них вообще нет никакой окраски. Один человек захотел продать, другой купить. Все нормально. Только вот для апологетов "исконно русских" решений по ИБ стоит подумать, а что делать, если владелец продукта решил заработать на своем детище (вполне нормальное и адекватное желание)? Готовы ли апологеты к такому повороту событий? Может быть сразу стоит искать только стартапы, ориентированные на работу в России (в надежде, что со временем они не пойдут на Запад за инвестициями)? А может быть ИБ-стартапам запретить смотреть "на сторону"?

Поучаствовав в конкурсе Сколково iSecurity могу выделить несколько критериев, которые помогают понять устремления владельцев/авторов ИБ-стартапа. Некоторые участники прямо писали в своих заявках, что они ориентированы на западный рынок, сравнивали себя с западными аналогами, и даже уже подали патентные заявки в США, как наиболее привлекательном рынке сбыта.

Краткое сравнение стартапов, ориентированных на Запад и на Россию

Неужели стартап, смотрящий на Запад, это плохо? Ни в коем случае! Мне хотелось показать немного иное. Сегодня, в условиях непростой экономической ситуации ждать серьезной помощи и инвестиций от государства в ИБ-стартапы не приходится. Тот же победитель конкурса iSecurity получил "от государства" 5 миллионов рублей, а частная Runa Capital в него же инвестировала не менее 500 тысяч долларов, что по нынешнему курсу составляет свыше 20 миллионов долларов. А ведь есть много компаний, которые не выигрывают конкурсов и могут рассчитывать только на себя. Им приходится искать инвесторов везде, в том числе и заграницей. Ругать их за это было бы неправильно. Не считать российскими - тоже.

Вообще, разговоры о отечественности или неотечественности софта/железа в современных реалиях - это утопия. Про это неплохо написал гендиректор Acronis Сергей Белоусов. По его мнению, попытка Минкомсвязи ввести критерии обрекут отечественную отрасль ИТ и ИБ на прозябание, а то и загнивание. В условиях глобализации, когда все используют ресурсы (финансовые, человеческие, интеллектуальные) всех, нельзя ограничить развитие компании/продукта только одной страной. А если кто-то хочет это сделать, он должен вкладывать туда колоссальные ресурсы и обеспечивать разработчиков госзаказом. Вот тогда можно будет рассчитывать, что ИБ-стартапы будут "исконно русскими" и не будут смотреть на Запад, создавая дополнительные угрозы ИБ.

26.11.14

Видео моего выступления на BIS Summit 2014

О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.



Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).

Краткий анализ результатов конкурса стартапов по ИБ iSecurity

Этой осенью проходил конкурс стартапов по ИБ iSecurity, организованный фондом "Сколково", и в жюри которого мне довелось поучаствовать. Как написано на сайте проекта, "iSecurity - конкурс инновационных проектов по теме информационной безопасности представляющий победителю грантовое финансирование и менторскую поддержку лучших профессионалов отрасли".

Сначала я хотел посвятить каждому проекту по отдельной заметке, но оказалось, что это сделать непросто, т.к. фонд Сколково не мог мне дать право рассказывать об участниках без их согласия. А опрашивать несколько десятков инициаторов проектов - хотят они или нет, чтобы я про них написал (не всегда хорошее), мне было лень, если честно. В итоге имена участников так и останутся за кадром, а я поделюсь общим впечатлением от участия в жюри конкурса.

Сразу отмечу, что оценщик из меня плохой и я уже писал, почему :-) Поэтому, наверное, победа в конкурсе компании Wallarm была закономерна. При уже готовом и продаваемом продукте несложно было правильно его описать и получить если не максимальное, то большое количество баллов по большинству критериев оценки, среди которых:

  1. Достаточность предоставленной информации о проекте 
  2. Соответствие тематике Конкурсного отбора
  3. Потребительские свойства разрабатываемого в рамках проекта продукта
  4. Научно-техническая инновационность проекта
  5. Вероятность достижения заявленных показателей проекта с учетом требований настоящего Положения
  6. Перспективы коммерциализации проекта при достижении заявленных показателей
  7. Команда поекта

Несоответствовал тематике только один стартап, предложивший какую-то новую схему переработки рисовой лузги и соломы, с получением золы с содержанием диоксида кремния :-) Может быть оно и имеет отношение к безопасности, но явно не к информационной. Но, когда я читал эту заявку, взбодрила она сильно :-) Остальные же конкурсанты предлагали проекты по тематике ИБ. Я позволил себе разбить их по направлениям и получилась вот такая картина:

Представленные проекты стартапов по направлениям
Не вдаваясь в детали по каждому наименованию могу только отметить, что в проекте участвовали компании, которые предлагали как традиционные, так и облачные решения в области безопасности. Например, SaaS-сервис по защите сайтов (остальные предложения в этом сегменты были традиционными WAFами), облачный сканер исходных кодов (и это не Appercut :-), облачная система анализа рисков.

Анахронизмом, на мой взгляд, выглядел проект по защите от копирования (с конца 90-х я про такие решения для защиты ПО и не слышал уже давно), проект по защите ПДн (тема до сих пор "горячая", но явно не для стартапа) и 5 проектов от одной компании по защите от утечек по техническим каналам. Не могу сказать, что последняя тема неактуальна, но явно имеет очень узкое применение даже в России, не говоря уже о проникновении на мировую арену. Именно поэтому я этим проектам снизил оценки по показателям 3, 4 и 6.

Были проекты, безусловно, очень интересные, но имеющие малые шансы на то, чтобы получить хоть какое-то практическое применение. Например, стартап по гомоморфному шифрованию. В условиях засилья ГОСТа 28147-89 и нежелания ФСБ хоть как-то развивать рынок криптографии в России, этот проект обречен. Поэтому по 6-му показателю у этого проекта была самая низкая оценка.

В сегмент идентификации и аутентификации я включил разнородные проекты - и голосовую аутентификацию, и систему идентификации пользовательских устройств, и традиционную систему идентификации/аутентификации, но для определенной сферы применения. В остальном разбиение на сегменты не должно вызывать вопросов.

Теперь несколько слов о том, как были представлены проекты. Ряд проектов еще не вышел за рамки изучения своей рыночной ниши и поэтому их авторы могли много чего сказать и написать в заявке о своих конкурентах (и как новый продукт их порвет), но мало что могли сказать о своем продукте, кроме как описать главную идею. Хотя некоторые даже идею не могли грамотно сформулировать - приходилось продираться через сложные формулировки с растеканием по древу. Наверное, именно поэтому, многие проекты у меня получили низкую оценку. Я так и не смог понять, за счет чего какой-нибудь WAF или антивирус должен "порвать" текущих игроков рынка. Поэтому и снизил оценки по показателям 3, 5 и 6.

С победителем iSecurity ситуация была иная - было представлено достаточно информации по всем направлениям. Справедливости ради надо признать, что Wallarm - опытный участник различных инвестиционных конкурсов. Например, год назад в них уже была инвестирована крупная сумма от Runa Capital.

Кстати, очень многие участники конкурса iSecurity были нацелены на зарубежные рынки. А некоторые и вовсе изначально на них и планировали работать. Иначе как объяснить, что у ряда проектов не было русскоязычного сайта, но зато был англоязычный ресурс? У того же победителя конкурса iSecurity, компании Wallarm, нет сайта на русском языке. Аналогичная ситуация и с некоторыми другими стартами, которые, к сожалению, не видят перспектив на российском рынке.

Я не раз уже писал, что стартап - это не только техническая идея, но и бизнес вокруг нее. Его тоже почти не наблюдалось. Многие проекты были представлены аспирантами или преподавателями ВУЗов и поэтому описаны сухим научным языком, в котором не было ни малейшего намека на то, как из красивых формул или алгоритмов извлекать деньги. В таких случаях я мог поставить высокую оценку по 7-му показателю, но низкие по показателям 3, 5 и 6.

В итоге победу одержал Wallarm, который почти по каждому показателю превосходил других игроков. Исключая быть может 4-й критерий - инновационность. Нельзя сказать, что Web Application Firewall'ов на рынке не представлено. Но учитывая последние геополитические изменения Wallarm имеет вполне неплохие шансы на то, чтобы завоевать российский рынок (если, конечно, захочет ориентироваться на Россию). Правда, ему придется конкурировать с другими отечественными решениями, например, PT Application Firewall или Tempesta FW. Правда, и Tempesta тоже, похоже, ориентирована на иностранцев - русскоязычного сайта я у них не нашел.

В следующем году конкурс iSecurity пройдет вновь. По крайней мере такие планы были озвучены организаторами. Будущим участникам могу только посоветовать чуть больше внимания уделять подготовке материалов. Это поможет увеличить шансы на победу. 

25.11.14

Danaher сказал своему активу по борьбе с DDoS "Да на..."

13 октября малоизвестная американская корпорация Danaher, работающая в области технологий для здравоохранения, продала свои коммуникационные активы другой американской компании NetScout. Среди проданных компаний, корпорация с таким привычным русскому уху именем, оказался и хорошо всем известный своими Anti-DDoS-решениями Arbor Networks. За Arbor, а также Tektronix и Fluke, NetScout отдал 62,5 миллиона своих акций, что на момент объявления сделки составляло около 2-х с половиной миллиардов долларов.

Впечатление от Cisco Connect Moscow 2014

Писать про собственное мероприятие может получиться и не объективно, но я постараюсь. Тем более, что я присутствовал на нем скорее как один из участников, чем организатор, и поэтому надеюсь, что смогу описать данное событие непредвзято. Да и писать я буду не обо всем, что происходило на Cisco Connect Moscow 2014, а только о запомнившихся мне моментах. Тем более, что я регулярно описываю всякие мероприятия и "фишки" с них.

Как театр начинается с вешалки, так любое мероприятие начинается с регистрации. Как спикер я получал свой бейдж на отдельной стойке, но за три дня (а я был в разное время - и утром, и вечером) не вспомню ситуации, чтобы на стойках были толпы.

Стойки регистрации

Исключение составлял, пожалуй, гардероб, в который по окончании дня стояли очередь за одеждой аж со второго этажа Центра международной торговли (ЦМТ). Правда, и очередь шла очень живо, и наличие бесплатного Wi-Fi, предоставленного Вымпелкомом, помогало скоротать время. Кстати, с туалетами проблем тоже не было :-)

Регистрация. Гардероб находится сзади и слева
Очень порадовала отдельная зона отдыха Cisco Social Media Studio. Мягкие пуфики бывают на многих конференциях, а вот отдельная зона для селфи :-), разнообразные игрушки, позволяющие отвлечься, и кофе (!!!) - это редкость. Особенно бесплатное кофе. В принципе, на Cisco Connect регулярно проходили кофе-брейки, на которых можно было выпить кофе и съесть что-нибудь калорийное, но у меня обычно времени не хватало, чтобы успеть в перерыв зайти и налить что-то. Мини-кофейня спасала неоднократно.

Зона отдыха Cisco Social Media Studio
В зоне Cisco Social Media Studio, можно было отдыхая оставаться на связи, т.к. на экран проецировались различные анонсы, сообщения из Твиттера и другая полезная информация. Кстати, о развлечениях. Их было немало. Что-то организовала сама Cisco...

Набор игрушек немаленький


...что-то предлагали партнеры. Например, УЦ Микротест проводил регулярные стрельбы из лука, совмещенные с конкурсами на знание ИТ.


Вот эту трехмерную реальность я так и не попробовал. Но в последнее время всякие 3D-штучки становятся популярными на ИТ/ИБ-тусовках. Например, на осенней конференции Аста74 в Челябинске был представлен 3D-принтер, который печатал объемные бюстики участников конференции :-)


Забавно выглядели и ходящие по залам фигуры сервера Cisco UCS и крокодила (от Крока). Собственно, никакой полезной нагрузки они не несли, но фотографировались с ними все постоянно :-) А за фотки с Croc'одилом Крок еще и призы давал в виде психоделических фоторамочек.


Плюевый сервер Cisco UCS
Кстати, видя крокодила, я все время задавался вопросом из серии "а как матросы на подводной лодке обходятся без женщин?" В данном случае мой вопрос звучал "а как он ходил в туалет?" :-) Так я и не смог на него найти ответ, а спросить постеснялся :-)

Крокодил Гена от Крока

Народа на мероприятии было много - толи превысили мы 3-хтысячный рубеж, толи подошли к нему вплотную. Но дело даже не в этом. Мы в очередной раз подтвердили тот факт, что интересное мероприятие вполне может собирать толпы народа, даже если оно платное. По сути, последние годы мы опровергаем распространившееся среди некоторых организаторов заблуждение, что в России на платные мероприятия не ходят. Ходят! Но только мероприятие должно соответствовать.

Главный холл. Встречи и кофе-брейки 
На фотографиях можно обратить внимание выдержанное в едином стиле мероприятие. Оно в этом году было посвящено "Всеобъемлющему Интернету" и об этом напоминало многое, даже ступени лестницы :-) Пустячок, но именно из них складывается общее впечатление от посещения мероприятия.

Ступени брендированной лестницы
На первом этаже была устроена демо-зона, разбитая на блоки - безопасности, беспроводка, центры обработки данных и т.п.

Выставочная и демонстрационная зона, а также зона обеда 

На стендах не только организовывались встречи и обсуждения, но и проводились короткие презентации по темам, которые не "доросли" еще до освещения в главных залах, но при этом достаточно часто вызывают вопросы "а как это сделать". Вот такие экспресс-презентации на стендах и проходили.

Дмитрий Казаков рассказывает о решении Cisco ISE для контроля мобильными устройствами
На европейских и американских Cisco Live в прежние времена проводились так называеме "Сетевые клиники", на которых можно было задать вопрос экспертам и получить развернутый ответ, вплоть до отрисовки дизайнов и схем подключения. Было такое в этот раз и на Cisco Connect. Для этого использовался флипчарт.

Андрей Москвитин рассказывает об особенностях внедрения Cisco FirePOWER
Демонстрации тоже были. Для облегчения на стене у каждого стенда висела схема организованной мини-сети с установленными решениями. На стенде безопасности было 10 таких решений.

Карта демо по безопасности

Что обычно очень плохо воспринимается на таких презентациях, организованных в больших и шумных помещениях? Ничего не слышно! На Cisco Connect было учтено и это. Посмотрите - у Дмитрия Казакова микрофон-гарнитура, в которую он говорит. Посетителям стенда выдавали наушники-гарнитуры, которые позволяли докладчики не срывать голос, а слушателям - нормально слышать все, что говорят, несмотря на окружающий гул. Очень интересная фишка - я такую мало где видел раньше (хотя и такого масштаба мероприятий не так уж и много проводится).

Гарнитура позволяет не срывать голос / нормально слушать во время мини-докладов на стендах

Кстати, обратите внимание на стену стенда слева. Там наклеены "лайки", которые позволяют оценить участников стенда - ответы на вопросы, мини-презентации и т.п. Очень интересный вариант, отражающий интерес к той или иной теме и умение "владельцев" стенда эту тему правильно донести. Хочется отметить, что стенд по безопасности Cisco собрал наибольшее среди всех остальных стендов число лайков (их даже пытались по-дружески "воровать" "спонсоры" других стендов Cisco Connect Russia 2014).

Стена... лайков по окончании первого дня
Кстати, об оценках. В прошлые года оценка докладов производилась "по старинке" - через бумажные анкеты. Обработка нескольких сотен тысяч анкет (5 потоков, 8 докладов, 3 дня, 2 с лишним тысячи человек) занимала время и немалое; обычно 2-3 недели. В этом году на Cisco Connect было сделано свое приложение, которое позволяло оценить тему доклада и мастерство докладчика. Это позволяет произвести выбор лучших докладов и спикеров гораздо быстрее - за считанные минуты. Бумажная анкета была и в этот раз, но с ее помощью оценивали мероприятие в целом.

Оценка спикеров велась и в социальных сетях. Вообще, Cisco Connect Russia 2014 очень активно сопровождалась в Facebook и Twitter (возможно и в ВКонтакте, но я им не пользуюсь). Постоянные напоминания о ближайших докладах, проводимых конкурсах и другие объявления помогали быть в курсе происходящего.

Очень интересная затея - "Виртуальный день". Он проводился онлайн за день до Cisco Connect. Авторизованные учебные центры Cisco организовалы часовые презентации на различные темы - из 9-ти докладов, 4 было посвящено безопасности. С записями докладов уже можно ознакомиться.

Один из распространенных вопросов, который обычно задается после конференций - "А запись будет?". Для платных мероприятий это всегда больной вопрос. Выложишь все записи - никто не будет платить и приходить. Не выложишь - будут обижаться. Поэтому обычно используется промежуточный вариант - выкладываются некоторые избранные записи. На Cisco Connect пошли немного иным путем. Каждый день велась онлайн-трансляция избранного потока. В третий день конференции им оказался поток по информационной безопасности (до этого были ЦОДы и SDN). Но это не просто была однонаправленная трансляция - с помощью системы Cisco Webex слушатели могли задавать вопросы и эксперты Cisco отвечали на них. Была организована обратная связь в реальном времени. По отзывам онлайн-участников это было круто. С записанными трансляциями можно ознакомиться и после мероприятия.

Еще одной "фишкой", о которой я хотел рассказать, стал "паспорт делегата". Эта брошюрка поначалу показалась мне обычным блокнотом для записей, но все оказалось гораздо интереснее. Помимо просто полезной информации о самом мероприятии (время работы, доступ к Wi-Fi, ссылка на мобильное приложение, схема выставки и мест для кофе-брейков и туалетов, расписание докладов, информация об онлайн-трансляции, сведения для командированных посетителей)...


...в паспорте содержались отрывные "лайки" для оценки работы демо-зон, отрывные талоны на питание.

Информация о питании и талоны на него

...а также информация о конкурсе Connect the Unconnected. Идея проста - из имеющихся отрывных пиктограмм надо было "создать" свою личную карту Всеобъемлющего Интернета. Что-то вроде такой:

Пример проекта по Всеобъемлющему Интернету

В заключение стоит сказать и о мобильном приложении, которое позволяет сформировать в личном кабинете собственную программу интересных докладов (она же могла быть составлена и на сайте мероприятия), посмотреть биографии докладчиков и схему залов, получать различные оповещения, а также голосовать за доклады.

Мобильное приложение Cisco Connect Moscow 2014
Вот, наверное, и все, что мне хотелось рассказать о Cisco Connect Moscow 2014. Получилось много, а все потому, что куча разных фишек, которые стоят того, чтобы про них написать. Каждая по отдельности они, быть может, и встречаются на других мероприятиях, но так чтобы все вместе? Я такого не встречал. Разумеется, все эти "прибамбасы" стоят денег и отчасти именно они и составляют львиную долю стоимости участия. Но, как мне кажется, оно того стоит. Именно из таких, не всегда видимых "мелочей", и складывается впечатление. Именно они и помогают провести 3 дня почти в центре Москвы с пользой; и при этом не устать от обилия информации (все-таки 7-8 параллельных потоков).

ЗЫ. Еще на Cisco Connect Moscow 2014 был классный магазинчик с продукцией с символикой Cisco - кружки, футболки, толстовки, рубашки, флаги...

Cisco Shop

24.11.14

8 из 10 специалистов по ИБ считают, что МСЭ и антивирус на периметре могут решить все проблемы с APT

В августе, на Black Hat компания Lieberman Software проводила опрос, который показал достаточно странные результаты, в которые не хочется верить. Оказывается до сих пор 8 из 10 специалистов по информационной безопасности верят, что с целенаправленными угрозами (если рассматривать их как самостоятельный класс угроз, а не маркетинговую уловку) можно бороться только установив на периметре МСЭ и антивирус.

Либо в отчете, который называется "2014 State-Sponsored Attack Survey", некорректно был задан вопрос, либо респонденты были достаточно специфичны. Но я с трудом верю, что специалисты по безопасности не рассматривают в качестве каналов проникновения вредоносного кода в корпоративную или ведомственную сеть 3G/4G-модемы, беспроводные точки доступа, флешки, мобильные устройства или даже электронные сигареты.

Я даже короткую презенташку делал на эту тему в свое время. Но как-то эта тема все равно регулярно всплывает у заказчиков, которые спрашивают "А, правда, что NGFW может помочь в борьбе с APT?" Помочь? Да! Решить? Нет! Нужен комплекс мер, среди которых можно выделить более приоритетные и менее. Но единого продукта, серебряной пули для решения данной задачи нет!



ЗЫ. Презентация выше делалась под конкретную задачу, так что там есть реклама наших решений (слайды 9-10).

Новые форматы донесения информации до безопасника

Новые форматы донесения информации до аудитории докатились и до информационной безопасности. Помимо привычных журналов и конференций, социальных медиа и почтовых рассылок, семинаров и вебинаров некоторые начинают осваивать и иные способы достучаться до целевой аудитории. Например, подкасты "Открытая безопасность" от Аркадия Прокудина или "Диалоги #поИБэ" от RISSPA. Но про них уже писал Андрей и я повторяться не буду. К видеоподкастам/видеоблогам пока мало кто перешел. Первые попытки делает PWC, но кроме единственной записи, я пока ничего не нашел :-(

Дальше всех пошла Информзащита и Авангард-Про, запустившие собственные телеканалы по безопасности. В частности, Информзащита совместно с каналом "Бизнес ПРО" запустили авторскую программу "Безопасный бизнес". Гостями передачи являются представители банков, финансовых и коммерческих структур, госкорпораций, а также ведущие эксперты российских и зарубежных производителей ИБ-решений. Задача программы - рассказать на реальных примерах об успешных ИБ-проектах, раскрыть все секреты построения системы информационной безопасности, обсудить тенденции рынка и законодательства в сфере ИБ. Ведущий программы: Сергей Шерстобитов, генеральный директор компании "Информзащита", который знает все (и даже чуть больше) о рынке ИБ.

К настоящему моменту были сняты сюжеты с Сычевым (Банк России), Данилиным (ФТС), Бакановым (МОЭСК), Кроликовым (АльфаСтрахование), Герасимовым (Линтехно), Грициенко (Возрождение), Касперской (Инфовотч), Персановым (Qiwi), Задороным (Вымпелком), Симисом (Positive Technologies), Земковым (Лаборатория Касперского), Дягилевым (Чекпойнт) и Эйгесом (McAfee). Есть сюжет и со мной :-)



Второй информационный телеканал BIS TV выходит в эфир с 2013 года, освещая актуальные проблемы и события отрасли информационной безопасности. Его создателем является известная компания Авангард-Про, также организовывающая Уральский форум по банковской ИБ, выпускающая журнал BIS и делающая много чего еще. В эфире телеканала — новости, репортажи, обзоры, а также ток-шоу и дискуссионные передачи с участием признанных в отрасли экспертов. Основной аудиторией телеканала являются специалисты информационной безопасности — руководители и сотрудники служб ИБ кредитно-финансовых организаций, платёжных систем. Также BIS TV просвещает широкие массы, рассказывая о практических аспектах защиты от киберпреступности.

ЗЫ. TV, видео и подкасты, конечно, делать непросто. Я пробовал делать презентации с озвучкой - трудная задача. С первого раза получается не всегда, приходиться много монтажем заниматься, что времени отнимает немало. Может быть поэтому и не так много пока тех, кто пользуется этими новыми форматами.

21.11.14

О рейтингах ИБ и демократической тирании

Сегодня я опубликовал список мероприятий по ИБ на 2015 год, а ассоциация BISA решила составить рейтинг руководителей ИБ. По поводу последнего события в Facebook началась дискуссия на тему "Неправильно", "Каковы критерии", "Ангажированно", "А вот он может быть лучше" и т.п. На моей памяти, все рейтинги, которые запускались в России по теме ИБ ("лучший спикер", "лучший блоггер", "лучшее мероприятие", "лучший продукт", "лучший проект" и т.п.) всегда обрастали активным срачем в социальных сетях. Результаты, разумеется, тоже подвергались сомнению. Попавшие в список радовались, не попавшие - злились.

Что хочу отметить. Так было и так будет всегда. Даже, казалось бы, такая простая вещь как список мероприятий по ИБ (а я специально не даю им оценок в списке и не веду их публичный рейтинг) и то регулярно вызывает критику со стороны тех, кто не попал в этот список. "А вот нас вы не упомянули! Немедленно включите!" "А вот вы тех внесли, а мы такие же. Немедленно включите и нас!" "А вот то мероприятие - полное дерьмо. Надо его исключить!"

Не готова еще у нас общественность к любым демократическим выборам :-) Нужно жесткое принятие решений и желательно без объяснений причин. "Я так решил" и все! Или не надо никаких рейтингов. Особенно если не готов к критике. Потому что каждый человек имеет свое мнение и каждый считает правым именно себя. Если его мнение не учли, то значит все вокруг редиски, которые ничего не понимают в жизни и в профессии. Влезая в эту клоаку (я имею ввиду составление рейтингов), лучше сразу очертить правила игры. Либо демократические выборы и ушат дерьма на организаторов, либо жесткая тирания и тоже ушат дерьма. Второй вариант проще :-) Результат и там и там одинаковый, но во втором случае хотя бы не надо объяснять причины принятия того или иного решения. "Я так хочу" и этим все сказано. Не нравится? Делайте свое такое же и со своими правилами игры. И пусть время рассудит, кто был прав. Критиковать могут все, что-то сделать единицы, а повторять это из года в год и того меньше.

Можно пойти и по третьему сценарию. Он неплохо описан у Ицхака Адизеса, рассматривающего разные стили руководства. Он пишет, что и демократия и тирания - плохие варианты для руководства чем бы-то ни было. При демократии сложно прийти к консенсусу и демократические выборы обычно превращаются в базарную склоку. При тирании высока вероятность стать заложником "единственно верного" (конечно же своего) мнения, которое может быть однобоким. Поэтому Адизес предлагает промежуточный вариант - сбор мнений (именно мнений) как при демократии, а принятие решение - единоличное, как при тирании. В этом случае человек, принимающий решение и единолично несущий за него ответственность (при демократии никакой ответственности обычно нет - все кивают друг на друга, если все плохо, и присваивают себе все лавры, если все хорошо) может оценивать разные точки зрения и опираясь на них принимать более взвешенное решение.

Поэтому рейтинги в области ИБ надо строить по принципу - присылайте своих кандидатов, но решение принимать будет автор рейтинга самостоятельно. А дальше все зависит от доверия к автору рейтинга. Есть оно - схема сработает. Нет его - так тут и даже четко проработанные критерии и метрики не помогут.

Крупные мероприятия по ИБ в 2015-м году

Традиционно я публикую календарь крупных российских мероприятий по ИБ, которые пройдут в предстоящем году. Обычно я это делаю в начале года, так как тогда появляется ясность не только по событиям первой половины года, но и уже есть даты по некоторым событиям половины второй. В этом году я решил опубликовать этот список пораньше. Отчасти потому, что уже начались вопросы, отчасти потому, что хочется чтобы компании-организаторы не делали классической ошибки в части пересечения в одни даты нескольких мероприятий на одну тему (а для этого нужно планировать их заранее).

Календарь вы видите внизу. Сразу хочу сделать по нему несколько технических комментариев:

  1. Он будет обновляться по мере появления у меня сведений по новым крупным мероприятиям.
  2. Если у вас есть информация по мероприятиям, которых в списке нет, пишите в комментах к блогу, - рассмотрю и внесу, если мероприятие того стоит.
  3. Решил не вносить мероприятия, если по ним неизвестна дата проведения. Такие записи сбивают с толку и не позволяют нормально планировать. Да и организаторов они должны стимулировать побыстрее формулировать свои планы.
  4. В список попадают открытые мероприятия, на которые можно попасть "со стороны". Например, я уже второй год не включаю в перечень конференцию Лаборатории Касперского по безопасности индустриальных систем. Ее посещение только по приглашениям; поэтому знание о ее проведении мало поможет желающим на нее попасть.
  5. Критерии попадания мероприятия в список определяю я :-) В январе я уже о них писал - повторять не буду. Оценка субъективная. Исхожу из известности, массовости и серьезности мероприятия. Поэтому различные семинары и security days игроков рынка, которые проводятся регулярно, в него не входят. Также не входят и различные roadshow, например, как у Cisco или Инфовотча
  6. На грядущий вопрос: "Почему в списке нет IT & Security Summit, YAC, BIS-Summit и т.п.?" отвечаю - даты по ним не определены и поэтому в списке их пока нет. Будет информация - будет и попадание в список.
  7. Вебинары и другие онлайн-мероприятия в список также не попадают. Раньше такой список вел Сергей Борисов, но что-то давно он его не обновлял.
  8. Региональные мероприятия в список попадают редко - преимущественно только те, которые либо входят в состав целых roadshow (как "Код ИБ" или IDC IT Security Roadshow), либо уже давно превратились в общероссийские события (как ИнфоБЕРЕГ или IT & Security Forum). А вот, например, мероприятия челябинской Аста74, которые я люблю посещать и посещаю уже последние несколько лет, в список не попали, т.к. ориентированы только на Челябинск и близлежащие города.
  9. Пару слов о формате. Много раз возникала идея перевести список в формат Google, но что-то она каждый год "умирает". Лично я не хочу этим заниматься - меня и такой список устраивает. А больше поддерживать эту идею на постоянной основе пока никто не готов. Хотя сделать отдельный календарный сервис с напоминаниями о будущих событиях (а может быть и с личным кабинетом, в котором можно было помечать интересные события и получать по ним обновления и т.п.) было бы неплохо.

Теперь несколько слов о тенденциях на рынке мероприятий. Их становится больше и меньше одновременно :-) Больше, потому что появляются новые имена или "старые" организаторы активно развивают это направление. Например, уральская компания Экспо-Линк, уже 10 лет проводящая серию региональных мероприятий "Код информационной безопасности". Начав с одной конференции в Екатеринбурге, в 2014-м году было охвачено уже 6 городов, а на следующий год их уже будет 10. На мой взгляд это один из интересных примеров региональных мероприятий, неограниченных одним городом.

"Меньше" мероприятий становится, потому что с рынка уходят конференции, которые не выдержали конкуренции. Например, Cybersecurity Forum, который был в прошлом году, но в этом про него ничего не слышно. Про конференцию АДЭ "Обеспечение доверия и безопасности при использовании ИКТ" тоже что-то нет информации. Также нет информации и о других мероприятиях, которые в прошлом году были. И если по событиям второй половины год может быть организаторы еще не определились, то отсутствие информации по событиям весенним навевает мрачные мысли :-(



ЗЫ. Антон Шипулин анонсировал свой календарь событий, сфокусированных на теме ИБ АСУ ТП. Он ведет два календаря - по мировым и по российским событиям. Пока, правда, второй календарь пуст, хотя в декабре и январе будет, как минимум, два крупных мероприятия по этой тематике. Но, думаю, обновления не заставят себя ждать.

ЗЗЫ. Кто не видит Flash в блоге, тот может скачать файлик PDF тут.

13.11.14

Этика пентеста или когда у пентестеров появится свой Гиппократ?

Профессия пентестера достаточно молода, но уже вызывает немало споров относительно того, что и как делает пентестер в рамках тестирования защищенности систем своих заказчиков. Чем-то эта профессия сродни полицейским и врачам, которые в благих целях совершают вторжение (а местами и насилие) в жизнь своих "подопечных" - рядовых граждан и пациентов. Где проходит та граница, которая отделяет адекватные действия от "плохих", пусть и с благими намерениями? У врачей она существует. У полицейских тоже. Их действия подчиняются определенным правилам и нормам. Их учат, они сдают экзамены, у них есть свои клятвы. И хотя и у них бывают перегибы и явные преступления, все-таки в массе своей мы знаем, чего ждать на приеме у врача и мы знаем, куда обращаться, если врач накосячил. А вот у пентестеров ничего этого нет. Этому нигде не учат. Они нигде не сдают обязательных экзаменов (всякие курсы по этическому хакингу не в счет). У них отсутствуют принятые всеми "правила игры". Зачастую, они переходят зыбкую грань между разрешенными и неразрешенными действиями.

Плохие пентестеры

Но гораздо чаще происходит то, что хорошо иллюстрируется одним словом - "экстрасенс". Пентестер своими умными словами, страшилками ("мы единственные, кто может улучшить вашу карму"), призывами к всевышнему и регулярным напоминанием, что пентест - это искусство ("это сложно формализуемый и описываемый процесс, поэтому давайте не будем тратить время на включение этих пунктов в договор"), упором на доверии ("мы уже столько лет в этом бизнесе и через нас прошло столько клиентов, что вы можете смело нам доверять; даже договора не нужно") запудривает мозги ничего не подозревающему клиенту, который с радостью расстается со своими деньгами и остается у разбитого корыта. Т.е. одну-другую дырку ему находят, но взламывают его почему-то через другую - в процессе тестирования не найденную, но существующую у заказчика не один год.

Иными словами, пентест очень часто используется как самоцель. Пентест нашел дырку - он крут и бьет себя пяткой в грудь, доказывая, что он "№1 в аудите безопасности". Главный безопасник тоже доволен - он может показать результаты работы своему руководство и попросить новых бюджетов на устранение проблем. Большое руководство запугано, но вроде бы тоже довольно - оно видит результат работы пентестера. Правда, никто не объяснил руководству, что нашли одну дырку, а ненайденных еще с десяток. Главному безопаснику не объяснили, что он ищет не там, где реальные риски для бизнеса. А пентестер "просто делает свою работу" и не видит никаких проблем. Представьте, что вы проводите креш-тест автомобиля... В процессе теста оказалось, что у вашего железного коня бампер слабый. Тестировщик с радостью сообщает вам об этом и успокаивается (тест же результативный). Вы меняете бампер и спокойно выезжаете на скоростное шоссе, на котором оказывается, что у вас нет подушек безопасности, каркас не жесткий, лысая резина и вообще нету тормозов. Вот также обычно и с пентестом происходит.

Несколько дней назад Артем Аветян написал заметку "Этика взлома", которая получила бурное развитие в Facebook. В развернувшейся дискуссии Артем высказал мысль, что у "хакеров" (они же пентестеры) существует своя этика, но сформированная внутри своего же сообщества. Я же придерживаюсь мысли, что такое молодое сообщество не способно сформировать внутри себя этические принципы, по которым дальше оно будет существовать. Особенно учитывая опыт (не всегда легальный), который у многих пентесторов за плечами. Этический кодекс должен быть сформулирован и одобрен всей отраслью безопасности, а не только ее отдельной нишей, которая регулярно то нарушает действующее законодательство (как минимум, ст.272 и 273 УК РФ), зачастую имеет криминальное прошлое, или просто своими непрофессиональными действиями наносит вред своим заказчикам.

Причем не стоит так уж в штыки воспринимать любые дискуссию на тему этики. А за последнее время это происходит регулярно. То в Facebook развернется дискуссия, где пентестеры начинают доказывать, что у них настолько творческая работа, что никакими правилами она не описывается. То они начинают переводить стрелки на вендоров ИБ - "вот мол они никакой ответственности не несут" (ну так вендоры давно провозгласили правило "AS IS" и прописали его в своих лицензионных соглашениях). То они говорят, что это заказчики идиоты и должны сами все понимать. То какой-нибудт непризнанный пентестер, не приведя аргументов в дискуссии, начинает спорить сам с собой на страницах печатных изданий или собственных страниц социальных сетей (иногда, попутно выдав чужие мысли за свои). В конце концов любая такая дискуссия заканчивается обвинениями "сам дурак" и так до следующего раза.

Тут в пору вспомнить Гиппократа, который 2400 лет назад был в такой же ситуации, как и современные пентестеры. У тамошних врачей не было никаких ориентиров - каждый вел себя так, как считал нужным. Пациентов лечили "на доверии" и, разумеется, не предупреждали заранее о возможных ограничениях методов диагностики. Ошибки в диагностике и последующем лечении объяснялись вмешательством высших сил. Ну все как сейчас :-) Поэтому Гиппократ записал первый вариант своей клятвы (по легенде сама клятва появилась еще раньше), которая и установила общие моральные и этические принципы действия врачей. И хотя к нашему времени клятва менялась неоднократно, основная ее идея осталась по сути неизменной. Да и отдельные положения клятвы могут войти в этический кодекс пентестера - принцип непричинения вреда, обязательство личного совершенствования, принцип конфиденциальности, обязательство действовать в интересах "пациента" и т.п.

Что могло бы войти в этический кодекс пентестера? Помимо озвученных выше принципов из клятвы Гиппократа, можно было бы включить следующие пункты:

  • независимость от производителей и иных третьих лиц (в т.ч. и финансовая)
  • запрет продавать своим клиентам разработанные пентестером продукты
  • запрет проводить пентесты там, где пентестер участвовал в создании информационной системы
  • предотвращение иных форм конфликта интересов
  • отсутствие связей с террористическими, криминальными группировками и иными сектами
  • наличие свободной конкуренции
  • отказ от практики "торговли страхом" (FUD)
  • явное информирование клиента об ограничениях пентеста (ошибки первого и второго рода) и возможных рисках от его проведения
  • нейтральность и доступность понимания сделанных по итогам пентеста выводов
  • соблюдение действующего законодательства
  • предложение нейтрализующих мер для обнаруженных уязвимостей
  • ограниченная ответственность за результаты теста и возможные нарушения штатного режима функционирования исследуемой системы в результате теста
  • защита чужой интеллектуальной собственности.

Учитывая, что тема этики всплывает в последнее время нередко, пора бы уже пентестерам собраться и сформировать кодекс этики для своей профессии, что поднимет ее на более высокий уровень и изменит отношение к ней со стороны бизнеса и других отраслей безопасности. Недооценка этого вопроса может достаточно печально закончиться для пентестеров...

Плохой пентестер плохо кончит
ЗЫ. Не исключаю, что на эту тему и статья у кого-нибудь может родиться с посылом "я давно порывался рассказать про этику аудитора и вот пришла пора". Я не против :-) 

12.11.14

Европа ограничивает распространение инструментов для обхода средств защиты

Многие, наверное, слышали про санкции в отношении России, про технологии двойного использования (назначения), про Васенаарские соглашения... Для многих эти термины связаны с определенной процедурой (а иногда и ограничениями) поставок отдельных видов ИТ/ИБ-продукции в страны, являющиеся участниками соответствующих соглашений. Но недавно данные ограничения стали применяться и в отношении кибероружия.

22 октября Европа внесла изменения в свой список технологий двойного назначения (dual use items). Изменения коснулись свыше 400 позиций, включая и появление совершенно нового объекта для регулирования - "intrusion software", которое расшифровывается как "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций".
К средствам мониторинга относится по версии Евросоюза ПО или "железо", предназначенное для мониторинга поведения системы или процессов, запущенных на устройстве. Примером таких средств являются антивирусы, системы обнаружения и предотвращения вторжений, межсетевые экраны и средства защиты ПК и мобильных устройств, а также иные средства персональной ИБ.

К защитным мерам Евросоюз относит "песочницы", DEP, ASLR и иные технологии безопасного исполнения кода.

К "intrusion software" не относятся:
  • гипервизоры, отладчики и средств для реверс-инжиниринга
  • ПО для DRM (Digital Rights Management)
  • ПО, установленное разработчиком, администратором или пользователем для целей отслеживания активов и восстановления.
Я уже неоднократно говорил и писал, что "санкции" не означают запрета. Также и попадание в технологии двойного назначения не означает невозможности продажи, распространения и использования таких технологий. Просто Евросоюз хочет контролировать данный вид программного обеспечения и позволяет распространять его, но после получения соответствующей экспортной лицензии.

Данные поправки в законодательство демонстрируют две проблемы, которые все чаще проявляются в последнее время применительно к кибероружию или спецоперациям в киберпространстве. Во-первых, многие международные эксперты считают, что в отношении кибероружия (или "intrusion software") надо вводить режим нераспространения по аналогии с ядерным нераспространением. Однако, хочу отметить, что если технология создания ядерного оружия действительно доступна далеко не каждому государству, то создание вредоносного ПО не является такой уж и сложной задачей. Она под силу не то, что государству, но и хакерам-одиночкам. Поэтому ограничивать создание и распространение таких технологий достаточно сложно - работы в этом направлении могут вестись скрытно и не попадать в поле зрения "кибер-МАГАТЭ" (создание аналога МАГАТЭ, но в киберпространстве, сейчас также обсуждается на международной арене).

Вторая проблема связана с попытками ограничивать распространение программного обеспечения. Это продажу танка можно ограничить. Или продажу боеголовки. Или компьютеров. Но как ограничить продажу нематериального? Ведь я могу просто скачать с какого-либо сайта или из сети Тор нужное мне ПО, минуя все запреты? По сути, вводимые Евросоюзом нормы, могут ограничить экспорт только легально продаваемого шпионского/вредоносного ПО. Нелегально производимое ПО остается вне регулирования и контроля.

По сути сегодня международное сообщество не готово к регулированию вопросов международной информационной безопасности, спецопераций в киберпространстве, распространения кибероружия и т.п. Традиционные нормы международного права малоприменимы к виртуальному пространству, а новых пока не появилось. Да и вся структура международного законодательства в области безопасности сегодня устарела, так как разрабатывалась совсем в иных условиях и в другое время.

Поэтому можно резюмировать, что предпринятые Евросоюзом попытки ограничить распространение вредоносного ПО достаточно интересны, но малопродуктивны. Но как начало некоторой тенденции, этот факт стоит взять на карандаш.

11.11.14

Accuvant и FishNet Security объединятся

Малоизвестные в России, но достаточно популярные в СШАи Канаде, консалтинговые компании по безопасности - FishNet Security и Accuvant, объявили 5-го ноября об объединении усилий и, в будущем, создании единой компании. Финансовые условия сделки не разглашаются.

Alcatel-Lucent продал свой бизнес безопасности

Спустя некоторое время прогнозы сбываются - Alcatel-Lucent все-таки сбагрил свой бизнес безопасности французской Thales. Впервые об этом заговорили в мае, а 31-го октября компании подписали соглашение на эту тему. Детали сделки не раскрываются.

10.11.14

Proofpoint покупает Nexgate

Американская Proofpoint, известная своими своими сервисами Security-as-a-Service, в конце октября объявила о намерении приобрести американскую же Nexgate, занимающуюся вопросами безопасности социальных сетей, за 35 миллионов долларов наличными.

Внутренний маркетинг ИБ

В пятницу читал в рамках сообщества RISC мастер-класс по внутреннему маркетингу ИБ, презентацию с которого и выкладываю:



Скоро на сайте будет выложена запись мастер-класса.

ЗЫ. В декабре планирую там же прочитать про психологию в деятельности службы информационной безопасности.

ЗЗЫ. Другие мои мастер-классы для RISC:

23.10.14

Что нас ждет в отечественном законодательстве по ИБ?

На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора.



22.10.14

Обновление статистики по выпуску НПА по ИБ

Перед вчерашним выступлением на форуме по информационной безопасности в Челябинске обновил статистику выпуска нормативных актов в области информационной безопасности за последние 3 года. Картина получилась предсказуемая и нерадостная. Отрасль зарегулирована и процесс только нарастает.

Среднее число нормативных актов, выпущенных в месяц, за последние 3 года - 4. В этом году этот показатель вырос до 6 нормативных актов в месяц.


Хочу отметить, что в следующем году мы сможем переплюнуть и этот результат. Свыше 70 проектов нормативных актов уже представлены рынку или экспертам. А еще порядка 3-5 десятков ждут своего часа. Например, полтора десятка документов, которые должны быть разработаны во исполнение законопроекта о безопасности критической информационной инфраструктуры. Или планы ФСТЭК по регулированию темы защиты информации в АСУ ТП и ГИС, а также ее планы по разработке РД с требованиями к различным типам средств защиты. А еще есть планы ЦБ, которые также известны на уровне названий документов, но пока нет проектов самих документов. Поэтому и в диаграмму внизу они не включены.


В фокусе у нас традиционно 4 больших отрасли (категория "все" включает в себя требования, применимые для всех - ПДн, удостоверяющие центры, МИБ, поправки в УК и КоАП и т.д.):
  • НПС и банки
  • Госорганы
  • ТЭК и КВО
  • Операторы связи


Ну а основными инициаторами тех или иных нормативных актов у нас являются Банк России, ФСТЭК России, Правительство РФ, Минкомсвязь и ФСБ.


В целом никаких сюрпризов. Все предсказуемо. С другой стороны надо найти и что-то положительное в таком усилении регулирования. Например, то, что у нас будет работа :-) А мне будет о чем писать :-) А всем будем что критиковать :-) 

15.10.14

План деятельности ТК122 по стандартизации ИБ финансовых организаций

На днях в ПК1 ТК122 была утверждена программа по стандартизации вопросов безопасности финансовых операций на ближайшие пару лет. В план вошли следующие темы:

  • Распространение действия СТО БР ИББС (1.0 и 1.2) на все финансовые организации, а не только на кредитные.
  • Пересмотр СТО БР ИББС 1.1, 2.0, 2.1 и 2.2
  • Пересмотр РС 2.7 по ресурсному обеспечению, так и не вступившей в силу (очень непростой документ).
  • Разработка новой РС по предотвращению утечек информации.
  • Разработка новой РС по противодействию мошенничеству при переводе денежных средств.
  • Разработка новой РС по распределению ролей ИБ.
  • Разработка новой РС по обеспечению ИБ в облаках и при аутсорсинге.

14.10.14

Как обнаруживать и подавлять посторонних в Wi-Fi-сети

Обратился к нам тут давеча заказчик с вопросом. Мол, внедрили мы мобильный доступ внутри сети, организовали гостевые подключения, и даже BYOD для отдельных категорий высокопоставленных пользователей замутили. Ну все чин чином, как положено при реализации корпоративной мобильности. Все на базе Cisco ISE (небольшая реклама :-) Но при этом возникли ряд проблем, о которых до этого момента никто не думал, находясь на волне интереса к BYOD и даруемым им преимуществам. О возможных проблемах никто не подумал, а они есть.

Начнем с банальных атак в беспроводном эфире. Как их обнаруживать и отражать? Обычные IDS/IPS неспособны это делать, т.к. им нужен доступ либо к проводному каналу, чтобы встать в разрыв, либо к SPAN-порту, чтобу получить копию трафика (в виртуализированной среде к vPath или иному средству перенаправления трафика с нескольких виртуальных машин на заданную).

Другая проблема, ушлые сотрудники, которые ставят собственные точки доступа для облегчения своей работы и перемещений по офису без необходимости подключаться к порту коммутатора. При этом уровень знаний о безопасности у таких сотрудников низкий и настраивать установленное оборудование они не умеют, оставляя его в конфигурации "по умолчанию". С дефолтовыми паролями, с известными учетными записями, с антеннами, бьющими на полную мощность за пределы здания. Этим, разумеется, пользуются злоумышленники, которые обнаруживают такие "левые" точки доступа и через них проникают в сеть.


А еще "левые" точки доступа могут быть установлены в соседних помещениях. Их тоже никто не настраивает как надо и они "фонят" на десятки, а то и сотни метров, мешая работать другим арендаторам в здании. У заказчика, который к нам обратился, такая проблема тоже была. Под кабинетом генерального директора находилось кафе, которое предлагало своим посетителям гостевой доступ в Интернет через Wi-Fi, и мешало нормально работать в корпоративной беспроводной сети. Это обнаружилось уже потом, а до этого айтишники не могли понять, почему у гендиректора фигово все работает. В другом случае, была зафиксирована ситуация, когда злоумышленник поставил в соседнем помещении точку доступа с тем же SSID, что и в компании, развернувшей у себя Wi-Fi, тем самым выступая в качестве "man-in-the-middle" и перехватывая трафик пользователей на себя.

Кстати, посетители кафе представляли и еще одну проблему. В самом кафе им предоставляли ограниченный доступ к Интернет-ресурсам; вот они и пытались найти близлежащие точки доступа и попробовать выйти в Интернет через них. И хотя ISE такие действия отсекал, регулярные попытки подключения к корпоративным точкам сильно мешали, держа постоянно в напряжении и безопасников и айтишников.

Собственно ничего нового в таком отношении к беспроводному корпоративному доступу не было. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений.


Собственно после нашей беседы заказчик развернул у себя средства мониторинга и управления беспроводной сетью, позволяющее как раз решать поставленные задачи. В частности, с его помощью стало возможным оперативно отслеживать и автоматически подавлять любые посторонние беспроводные точки доступа и клиенты. В ряде случае, когда автоматическое подавление не представляется возможным, решение задачи облегчает возможность идентификации физического местоположения беспроводного устройства с привязкой к поэтажному плану здания. В зависимости от покрытия здания точками доступа точность может достигать пары-тройки метров.


Помимо функций обнаружени и подавления "чужих" и внутренних нарушителей, такое решение позволило еще и айтишникам получить ряд дополнительных инструментов по отслеживанию мест массового скопления беспроводных пользователей и перестроить свою Wi-Fi-сеть с учетом этой информации (но это уже к ИБ не относится).

Резюмируя, хочу отметить, что внедрение решений по беспроводному доступу должно всегда сопровождаться моделированием угроз, при котором стоит исходить из худшего сценария развития событий. Поэтому помимо средств организации беспроводного доступа стоит подумать о наличии возможностей обнаружения, классификации и нейтрализации посторонних устройств и атак.


Да и регуляторика (приказы 17/21/31 ФСТЭК) говорят об этом же...

13.10.14

Можно ли исключать защитные меры при неактуальности угроз?

Моя пятничная заметка вызвала оживленную дискуссию в Twitter и Facebook на тему, можно ли отказываться от какой-либо защитной меры согласно приказу 17/21/31 при неактуальности угроз. Сергей Борисов даже пост на эту тему написал. Он считает, что в 21-м приказе отсутствует возможность исключения защитных мер только на основании неактуальности угроз, для которых эта мера предназначена. По причине отсутствия какой-либо информационной технологии можно, из-за определенных структурно-функциональных характеристик тоже можно, а вот по причине неактуальности угроз нельзя. Я с такой позицией несогласен и вот почему.

В 17-м приказе, в п.14.3 есть такой фрагмент "При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы... применяемые информационные технологии...". Далее, в п.14.4 говорится, что "Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации". В 20-м пункте говорится, что "Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать...". Иными словами, ФСТЭК неоднократно указывает, что система защиты и ее наполнение мерами зависит от угроз и никак иначе.

31-й приказ построен на аналогичных вводных. В 8-м пункте говорится о том, что защита информации в АСУ ТП достигается путем принятия в рамках системы защиты АСУ "совокупности организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования...". В п.13.3 также говорится, что угрозы зависят от структурно-функциональных характеристик АСУ ТП. Пункт 13.4 гласит - "Требования к системе защиты... определяются в зависимости от класса защищенности... и угроз безопасности, включенных в модель угроз безопасности информации". Ну а 18-й пункт 31-го приказа почти дословно повторяет упомянутый выше 20-й пункт 17-го приказа.

Иными словами, ФСТЭК в двух своих приказах четко дает понять, что система защиты зависит от угроз и с неактуальными угрозами (которые не приводят к нарушению функционирования или ущербу) бороться не надо; в модель угроз неактуальные угрозы включать не надо.

Почему таких фраз нет в 21-м приказе? На самом деле все просто. Во-первых, в 21-м приказе это сказано, но другими словами. В частности, в п.3 говорится, что "меры по обеспечению безопасности персональных данных... должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных". 4-й пункт тоже упоминает только актуальные угрозы. И 8-й пункт тоже. 2-й пункт Постановления Правительств №1119 тоже, как ни странно, упоминает только актуальные угрозы, которые и должна нейтрализовывать система защиты.

А во-вторых, в 21-м приказе просто нет тех разделов по жизненному циклу системы защиты персональных данных, которые есть в 17-м и 31-м приказах. Нет их не из-за забывчивости, все-таки документы писали одни и те же люди. Причина проста - ФСТЭК, являясь уполномоченным органом по защите ГИС и АСУ ТП, для них установила требования по тому, как строить систему защиты; из каких этапов этот процесс должен состоять. А вот коммерческим операторам ПДн, на которых и распространяется 21-й приказ, ФСТЭК, не имея полномочий для их проверки, решила дать свободу в выборе того, как строить систему защиты. Поэтому, соблюдая общую идеологию, общий алгоритм выбора защитных мер, единый перечень защитных мер, в 21-м приказе не говорится (и теперь понятно, что может быть и зря), как это все объединить вместе.

Отсутствие этих разделов дает основание некоторым экспертами считать, что неактуальность угрозы не дает права на исключение соответствующей защитной меры. Собственно, мы опять возвращаемся к тому, о чем я уже как-то писал, - свобода выбора - это для многих зло. Слишком много степеней свободы появляется - у владельца защищаемой системы своя, у интегратора своя, у аттестационной лаборатории своя, у проверяющих от регуляторов своя. И даже если последние допускают (а это именно так) широкое толкование 17/21/31-го приказов, то вот остальные участники этого процесса пока не перестроились и постоянно рассчитывают на "а вдруг". А вдруг нельзя? А вдруг не согласуют? А вдруг накажут? А вдруг неправильно?...

Резюмируя, исключать защитные меры, опираясь на неактуальность угроз, возможно. Более того, модель угроз, которая будет строиться по методике, которую в скором времени опубликуют, будет включать только актуальные угрозы. А система защиты будет зависеть от модели угроз, т.е. списка угроз актуальных.

10.10.14

Symantec тоже делится

Symantec тоже делится пополам. Подробно описывать не буду - все написал в посте про HP :-)

Базовый - значит минимальный?

На данную заметку меня натолкнула статья "Как уйти от оценки соответствия СЗИ", в которой делается интересный, но неверный вывод "Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь". Я с ним сталкиваюсь достаточно регулярно, разговаривая об алгоритме выбора защитных мер по 17/21/31-му приказам.


Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это вам не СТР-К, не четверокнижие и не 58-й приказ, который содержал закрытый перечень защитных мер. Вот их надо было обязательно выполнять, хошь-не хошь. В новых приказах ситуация совершенно другая.

Да, начинается все с перечня базовых мер. Многие считают, и считают неправильно, что эти меры являются минимально возможным перечнем, который нельзя урезать. А ведь это совсем не так! В приказах четко написано, что "исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе". То есть ни о каком минимально допустимом перечне речи не идет. Что же такое базовый набор?

Все просто. Это набор мер, рекомендуемых "по умолчанию". Вот не хотите вы пересматривать защитные меры исходя из используемых вами технологий или особенностей информационной системы. Не хотите строить свою модель угроз. Не хотите адаптировать защитные меры под себя. Вот для вас и разработан базовый набор, как набор "лучших практик". Во время разработки проектов приказов очень много дискуссий было именно на тему, что включать, а что нет, в этот базовый набор, так как все понимали, что потребитель будет отталкиваться от него при построении своей системы защиты.


Однако, если вы считаете, что базовый набор вам не подходит. Например, у вас нет каких-либо угроз, технологий или процессов, то вы можете спокойной урезать этот набор до необходимого вам. Именно вам, а не интегратору, лицензиату или еще кому-то. Это требует определенных усилий и времени, но зато и результат будет оптимальным. А можно пойти по старинке и взяв за основу базовый набор, реализовать его в своей системе. Тоже возможно.

В любом случае у вас есть свобода действий, которой вы можете воспользоваться, а можете и нет. Главное, что не стоит думать, что базовый набор - это минимальный перечень защитных мер.

Запрет на хранение ПДн россиян отложен?..

Вчера прошла новость о том, что российские власти отложили принятие поправок в 242-ФЗ о запрете хранения ПДн россиян за границей с 1-го января 2015-го года. Отчасти этому поспособствовало недовольство бизнеса (тут и тут), который был не готов в столь короткие сроки осуществить перенос своих вычислительных мощностей в Россию. Это хорошо, но...

Хочется отметить, что речь не идет (пока не идет) об отмене или переделке самого 242-ФЗ. Пока говорят лишь о том, что может быть оставить все как есть; тогда закон вступит в силу как и предполагалось раньше - с 1-го сентября 2016-го года. Многие вздохнули с облегчением и поспешили обрадоваться сами или обрадовать своих западные штаб-квартиры. Однако вздыхать рано.

Во-первых, 1,5 года с небольшим до сентября 2016-го года - это не так много для крупных баз данных. Но дело даже не в этом. Вторая проблема совсем в другом. Что делать тем компаниям, которые в принципе ничего сюда перенести не могут? Например, представительства иностранных компаний, у которых бизнес-процессы построены таким образом, что информация об их российских работниках циркулирует и хранится за пределами РФ? Но это еще полбеды. Ну не будет у нас иностранных компаний в России, для импортозаместительного курса это в струю.

Есть другой, даже более серьезный вопрос. Кто-нибудь задумывался о том, как осуществляются трансграничные денежные переводы? Ведь в полях "отправитель" или "получатель" могут присутствовать персональные данные россиян. Вот захочет, например, депутат имярек перевести деньги за обучение своих отпрысков за границу, а не сможет. Ведь храниться эта информация за рубежом не может. И перенести сервера для ее хранения в Россию нельзя. И что делать бедному депутату? Да тут и с чадом депутатским вопрос встает - ведь оно российского происхождения. А значит какой-нибудь престижный швейцарский или английский колледж или университет не может хранить у себя персональные данные россиянина. И в России он тоже хранить их не будет.

А если депутатскому чаду или самому депутату понадобится оказать медицинскую помощь за пределами Российской Федерации? Понятно, что отечественная медицина лучше, но если вдруг?.. Патриотично отказать европейским врачам в процедуре липосакции или пластики груди и ехать в Россию? А как по другому - ведь зарубежные клиники не могут хранить эти персональные данные в своей картотеке. И в Россию тоже не смогут перевести эти данные.

Ну и, наконец, представим Всемирный экономический форум в Давосе. Приезжают красавцы из Новой Зеландии, европейские чиновники, американский бизнес... А россиян нет. Ни одного. Даже Президента РФ. Ведь он гражданин России, а хранить ПДн россиян за границей нельзя. И поэтому ВЭФ в Давосе отказывает всем россиянам в регистрации на форум, ссылаясь на 242-ФЗ и не имея возможности перенести свои серверные мощности в Россию!

Вообще 242-ФЗ - это хороший закон. Он лучше многих других обеспечивает курс на импортозамещение во всех сферах жизни - медицина, обучение, покупки, отдых... Все россияне теперь останутся в России и будут покупать только российские продукты и пользоваться только российскими услугами. Мечта патриота! Может для этого закон и принимали?..