27.04.16

Презентация с мастер-класса по моделированию угроз

Выкладываю свою презентацию с мастер-класса по моделированию угроз с форума директоров по ИБ.



21.04.16

Ответ ФСТЭК стартапу по ИБ в части лицензирования деятельности по ТЗКИ

Упомянутый позавчера стартап по ИБ направлял вопросы не только в Минкомсвязь, но и в ФСТЭК России. И вот на днях был получен оттуда ответ, который, на мой взгляд, гораздо более адекватный и взвешенный, чем у ИТ-регулятора. Это не отписка, а ответ по существу.

На вопрос, каким требованиям должно соответствовать облачное решение по ИБ, ФСТЭК ответила, что нужна лицензия на деятельность по технической защите конфиденциальной информации. Не могу сказать, что это ново, но по крайней мере у ИБ-стартап появилась ясность относительно тех обременений, которые повлечет за собой запуск облачного ИБ-сервиса.


Следующий вопрос был связан с тем, что облачный провайдер привлекает для ряда работ внешних подрядчиков, которым передаются ПДн для обработки или хранения. Стартап спрашивал - нужна ли привлекаемой организации лицензия ФСТЭК на ТЗКИ. Нужна!


Ни действующие, ни новые требования к лицензиатам ФСТЭК, не будут дифференцированными и учитывать масштаб бизнеса лицензиата. Что стартап с двумя сотрудниками, что интегратор с 2-мя тысячами сотрудников - требования едины. Не очень позитивная новость для стартапов, относящихся к малым или микро-предприятиям.


Но зато не требуется контрольно-измерительное оборудования :-)


Еще одна засада для стартапа - место осуществления лицензируемых видов деятельности. На квартире или в собственном доме это не допускается.


Последний вопрос касался возможности использования open source решений при создании облачного сервиса по ИБ, который планировалось затем сертифицировать/аттестовывать. Тут ФСТЭК похоже с этим еще не сталкивалась, судя по тому, что они говорят о наличии договора (если только GNU License рассматривать как оферту), гарантиях качества, наличия консультаций и техподдержки.


Вот такой ответ от ФСТЭК. Четко, по делу, но не всегда позитивно :-( Но таковы уж реалии нашего рынка. Посторонних в ИБ становится все меньше и меньше, ибо национальная безопасность под угрозой. Скоро введут новые требования к ИБ-аудиторам и пентестерам и жизнь станет совсем веселой...

20.04.16

Ответ ФСБ по поводу необходимости применения сертифицированных СКЗИ для защиты ПДн

Чуть меньше года назад я уже публиковал свою презентацию с рассмотрением вопроса о необходимости применения сертифицированных СКЗИ при защите ПДн. И вот на днях мне переслали ответ 8-го Центра ФСБ по данному вопросу. Самое важное в этом ответе находится в первом абзаце - СКЗИ не являются обязательными.


В следующем абзаце говорится о том, что определение актуальных угроз осуществляется оператором ПДн (и никем иным). В последующих абзацах повторяется классическая фраза 8-го Центра, что СКЗИ надо применять, если определенные угрозы могут быть нейтрализованы только СКЗИ. К таким угрозам 8-й Центр относит только две ситуации:


Я по-прежнему придерживаюсь позиции, отраженной в презентации, - информацию в каналах связи можно защитить различными способами, а не только СКЗИ, что вытекает из 19-й статьи ФЗ-152.


Ну и по поводу сертификации - в ответе 8-го Центра нет ни слова про сертифицированные СКЗИ. От слова "вообще".

Вот как-то так...

19.04.16

Ответ Минкомсвязи про требование сертификата ФСТЭК на средства защиты при включении в реестр отечественного ПО

Пока идет форум директоров по ИБ я решил не публиковать запланированную заметку с обзором средств моделирования угроз; опубликую что-нибудь попроще. Это будет ответ Минкомсвязи, полученный одним из стартапов по ИБ, с которым я познакомился на тусовке ФРИИ, на вопрос о необходимости получения сертификата ФСТЭК на решения по защите конфиденциальной информации для включения продукта в реестр отечественного ПО.

Как вы помните, действующая нормативная база вполне определенно говорит, что средства защиты конфиденциальной информации, подаваемые на включение в реестр, должны иметь сертификат ФСТЭК. Мы уже разбирали эту ситуацию и хотя со мной ряд экспертов, представляющих отечественных производителей, спорил, что сертификат не требуется и "ваще это все фигня, эти ваши сертификаты ФСТЭК", со временем выяснилось, что сертификат все-таки нужен. Это вытекает из письма Министра Никифорова от 15 марта 2016 года, но... вот тут-то и проявляется самое интересное. Экспертный совет при Минкомсвязи убедил министра, что выполнять написанный же министерством и утвержденный Правительством нормативный акт можно не целиком. И министр с этим согласился! Это просто феерия какая-то.

Несмотря на требования наличия сертификата ФСТЭК на средство защиты, в письме говорится, что заказчики сами должны устанавливать требования по защите информации, в том числе и самостоятельно выбирать, будут они применять сертифицированные средства защиты или нет. Кто знаком с нормативной базой в области защиты информации, тот прекрасно знает, что никакой самостоятельности у государственных и муниципальных заказчиков нет - средство защиты обязано иметь сертификат ФСТЭК. Это написано в ФЗ-149, это же написано и в 17-м приказе ФСТЭК. Но Минкомсвязь, видимо, не знакомо с этими нормами и посему оно выпускает абсолютно безграмотное разъяснение за подписью министра.

При этом эксперты Экспертного совета защищают свою позицию тем, что "для попадания в реестр важно соблюдение критериев “отечественности”, а не наличие лицензий внутренних контролирующих органов" (имеется ввиду все-таки сертификат, а не лицензия) и "Сертификация не имеет прямого отношения к определению происхождения софта. Она занимает значительное время и требует существенных затрат. Эти факторы не должны затруднять работу экспертного совета и процедуру формирования Реестра". Я прекрасно понимаю чем это обусловлено (и все понимают), но так откровенно забивать болт на требования Постановления Правительства?.. Хотя бы внести изменения в его текст, чтобы придать всей этой конструкции хоть какую-то легитимность...

Я еще тогда говорил, что этот реестр - это профанация, а не импортозамещение и обеспечение национальной безопасности. Требований лицензии ФСТЭК на разработку и сертификата на разработанные средства защиты хоть как-то укладывались хотя бы во вторую составляющую. И вот теперь и на ней поставили крест. Один плюс - стартапам по ИБ теперь не надо заморачиваться получением сертификатов ФСТЭК, чтобы попасть в реестр Минкомсвязи (хотя этот сертификат понадобится при покупке решений заказчиками в рамках госзакупок).

И вот видя такую неразбериху, один из стартапов написал запрос в Минкомсвязь с просьбой разъяснить эту ситуацию и четко ответить - нужен сертификат или нет. Мне всегда казалось, что я могу выстроить цепочку рассуждений наших госорганов, готовящих официальные ответы на запросы граждан. И каждый раз регуляторы преподносят сюрпризы. Так оказалось и на этот раз. Итак ответ Минкомсвязи оказался следующим:


Если вкратце, то суть такова - "в одном месте наших правил сертификат требуется, в другом нет, а что вам делать, мы и сами не знаем - решайте сами".

14.04.16

Средства моделирования угроз: обзор возможностей

В последнее время мне часто задают вопросы о том, когда ФСТЭК выпустит обещанную методику моделирования угроз? Я уже устал отвечать "вот-вот" и "скоро". Могу предположить, что проблема в сложности получающегося документа. При достаточно большом числе потенциальных угроз, которые могут быть признаны актуальными на предприятии, процедура их определения становится достаточно сложной и не всеми подъемной. Упрощать документ - значит сознательно идти на потенциальное снижение защищенности информационных систем, что в текущих условиях может быть и неразумно. Оставлять как есть - плодить число нареканий на ФСТЭК и число запросов регулятору с просьбой разъяснить те или иные моменты новой методики. А в условиях нехватки ресурсов задача эта очень непростая. Я не знаю, как выкрутится из нее ФСТЭК, но на мой взгляд одним из выходов (хотя может быть и не очень быстрым) стала бы автоматизация процесса моделирования угроз. Вот и средствах такой автоматизации я бы и хотел поговорить.

На самом деле я планирую сделать две заметки по средствам моделирования угроз. В одной рассмотреть ключевые возможности, которыми должно обладать средство моделирования атак, а в другой - посмотреть на рынок таких средств. Начну я с первой темы. Итак, что выделяет хорошее решение по моделированию угроз и позволяет существенно снизить время и сложность составления перечня актуальных угроз для организации, ее отдельных процессов, систем или программных продуктов? Я бы обратил внимание на следующие ключевые моменты:

  • Библиотека компонентов, из которых будет строиться анализируемая система или продукт. Базы данных, web-сервисы, коммутаторы, точки доступа, МСЭ, база пользователей, хранилище криптографических ключей... Перечень компонентов должен быть обновляемым, а, возможно, и самостоятельно расширяемым, чтобы пользователь мог самостоятельно создать свой собственный элемент анализируемой системы.
  • Наличие системы визуализации как бы вытекает из предыдущего пункта, но лучше это выделить особо. Компоненты из библиотеки надо уметь соединять между собой, строить информационные потоки между ними, тем самым облегчая процесс анализа угроз. 
  • Безусловно в системе должна быть библиотека (банк данных) угроз, из которых мы будем выбирать актуальные для нас. Библиотека должна быть не только расширяемой, но и иметь возможность подгружать данные из внешних источников, например, из банка данных угроз ФСТЭК или из базы CAPEC.
  • Без библиотеки (банка данных) защитных мер средство моделирования угроз будет неполным. Мы же должны не просто составить перечень угроз, но и оперативно начать их нейтрализовывать, а для этого нужно сопоставить угрозы с защитными мерами, знанием о которых и должно быть оснащено средство моделирования. Как минимум, должна быть просто библиотека защитных мер (опять же пополняемая). Как максимум - система помогающая сопоставлять угрозы с защитными мерами в автоматическом режиме. Но задача это очень непростая.
  • Система генерации отчетов должна на выходе создавать два отчета - список актуальных угроз и список нейтрализующих их мер защиты.
Я перечислил этакий джентльменский набор, которым должно обладать средство моделирования угроз. Разумеется, можно помечтать и расширениях, среди которых я бы выделил:
  • Привязку защитных мер к различным стандартам, требованиям и лучшим практикам в области ИБ
  • Учет динамичности угроз и многоходовости при их реализации. Правда, это скорее уже системы типа RedSeal или Skybox, которые могут динамически строить и перестраивать карту угроз, исходя из информации об уязвимостях, настройках средств защиты и т.п.
  • Корпоративные фишки типа удаленного Web-доступа, ведения репозитория моделей угроз, ролевого доступа, отказоустойчивости и т.п.
  • Учет разных целевых аудитория для модели угроз и, как следствие, разные описания угроз.
  • Автоматизацию "пересчета" модели опираясь на новые угрозы, заложенные в систему.
  • Возможность сравнения разных моделей угроз и анализа тенденций.
Вот такие мечты. Если бы ФСТЭК финансировала разработку такого инструмента (да еще и запустила бы его на своем сайте в виде онлайн-инструмента), то проблема со сложностью моделирования угроз исчезла бы в течение короткого промежутка времени. В крайнем случае, хорошо, если бы какой-либо лицензиат подхватил эту идею и предложил рынку средство автоматизации, рекомендуемое регулятором. Пока же ничего этого нет и приходится рассматривать существующие, преимущественно зарубежные средства моделирования угроз, о которых речь пойдет в следующей заметке.

13.04.16

Облачная ИБ, российские требования по локализации и точка бифуркации

На протяжении последних лет можно выделить три тренда, которые продолжают волновать умы многих специалистов по информационной безопасности - облака и виртуализация, мобильность и Интернет вещей. В этой заметке я бы хотел коснуться только первой из тенденций, а именно облаков в контексте информационной безопасности. Я не буду говорить про то, как защищать облака; интересно другое - тренд по переводу многих процессов ИБ в облачные среды.

И речь идет не о банальной услуге контроля доступа в Интернет или фильтрации электронной почты в облаках. Такие услуги сейчас есть в портфолио многих производителей средств защиты. Речь скорее о поддерживающих сервисах, которые невозможно сегодня представить без облачной поддержки. Например, обновление баз сигнатур (решающих правил) у антивирусов, средств предотвращения вторжений, средств контентной фильтрации, сканеров безопасности, межсетевых экранов или иных средств сетевой безопасности. Прошли те времени, когда обновления скачивались в эхоконференциях FIDO или на BBS; да и дискетами и флешками с обновлениями уже никто не балуется. Все давно уже получают их из облака.

Пример инфраструктуры обновления информации об угрозах у одного из мировых средств защиты
А отправка файлов для анализа их вредоносности? Она тоже идет с использованием облаков. А проверка хешей файлов или репутации сайтов? Опять через облака. А как мобильные пользователи используют защищенное подключение к Интернет? Снова облака. Да тот же VPN-as-s-Service или DDoS-as-a-Service - это тоже облако, имеющее свои точки присутствия в разных точках Земли и в разных часовых поясах. Ключевой признак такой "облачности" - распределенность. Именно в ней заключается преимущество многих современных технологий ИБ. Нет единой точки отказа, повышение надежности, рост скорости обработки, снижение задержек, учет часовых поясов... Если провести блиц-анализ рынка ИБ, то мы увидим, что точка бифуркации в этом вопросе уже давно пройдена и представить на современном этапе развития технологий ИБ чисто локальные решения уже невозможно.

И вот тут на пути победного шествия облачной ИБ в России возникает наше законодательство и явные и неявные планы по его "совершенствованию", которые рассматривают такую распределенность в мировых масштабах как угрозу национальной безопасности и государственному суверенитету. Про требование локализации баз данных ПДн россиян слышали все. А про запрет нахождение технических средств информационных систем госорганов за рубежом? Тоже многие. А про требование наличие доверенного источника обновления решающих правил для антивирусов и средств обнаружения вторжений при сертификации средств защиты информации? А какой же доверенный источник может быть на серверах в США или Европе? Вопрос риторический, конечно.

Требование локализации, которое в последнее время все чаще звучит применительно к тем или иным Интернет-сервисам или продуктам, к сожалению, не всегда положительно сказывается на обеспечении информационной безопасности. Представьте на минуточку, что ФСБ решит в рамках развития ГосСОПКА создать собственную систему Threat Intelligence, к которой смогут обращаться не только организации с территории России, но и наши партнеры по ШОС и ОДКБ (а может и БРИКС). Китай, Бразилия, Индия, Южная Африка, Белоруссия, Азербайджан будут "ходить" за этой информацией в Россию? Оптимальный ли это вариант? И готовы ли к "потере суверенитета" наши партнеры по военным и экономическим блокам?

Как влияют требования по локализации на средства ИБ (сравните с картинкой выше)
А вдруг российский чиновник поедет в Венесуэлу на переговоры и его православный антивирус, разработанный в России, должен будет получать новые сигнатуры? Откуда? Из России, до которой тысячи километров и десятки провайдеров связи или от ближайшего сервера обновлений, расположенного в какой-нибудь Бразилии? А наши загранучереждения, которые тоже нуждаются в защите своих информационных активов? Им куда "ходить" за обеспечением ИБ? В даль дальнюю или туда, куда быстрее?

Как тут соблюсти требования по локализации и нахождению всего и вся на территории нашего государства? Если сервер обновлений или реализации сервисов ИБ один и располагается в каком-либо православном ЦОДе в Москве, то это заставляет задать определенные вопросы по отказоустойчивости такой схемы. Для ее обеспечения можно, конечно, запустить резервный ЦОД в каком-либо Иннополисе в Казани, но это не сильно влияет на всю схему при такой географической распределенности как в России. Тут впору делать еще одно "виртуальное представительство" на Дальнем Востоке, где-нибудь в Хабаровске.

Распределенность в масштабах России
Но поднятые ранее вопросы с загранучреждениями, заграничными командировками все равно остаются. Гонять весь трафик в Россию - не самый эффективный способ решения задачи. И если для обновления средств защиты - это может быть еще и не столь критично (хотя надо смотреть схему информационных потоков), то для православных VPN-сервисов или сервисов контентной фильтрации это может уже играть важную роль. Рост задержек может привести, например, к невозможности предоставлять сервис защищенных унифицированных коммуникаций с мобильного устройства чиновника, поехавшего, например, на заседании в ООН или МАГАТЭ или в ISO.


И это только одна часть проблемы, вытекающей из требования по явной или неявной локализации сервисов ИБ на территории России. А ведь есть и другие. Хотя в текущих геополитических условиях на это мало кто обращает внимания (или есть указание не обращать), но стоит задать себе простой вопрос - что делать с иностранными (западными, ближневосточными, азиатскими) вендорами, производящими средства защиты? У них ведь нет в России своих площадок, которые можно было бы назвать доверенными и которые могли бы использоваться для обновления средств защиты или предоставления сервиса. И не факт, что появятся.

Эта проблема никак не связана с санкциями и запретом со стороны иностранных государств. Она никак не связана с выпуском продуктов на территории России (локальным производством). Она никак не связана с раскрытием исходных кодов и сертификацией на отсутствие НДВ. Просто в России отсутствует нормальный Интернет и достаточное количество адекватной инфраструктуры ЦОДов для работы таких площадок и многие зарубежные компании не готовы (возможно пока не готовы) менять существующие годами процессы обновления своих средств защиты. И если запустить ЦОД по предоставлению услуг фильтрации или VPN-as-a-Service на территории России еще можно теоретически (хотя требования СОРМ и последние инициативы депутатов по хранению всех передаваемых данных в течение трех лет в интересах правоохранительных органов не добавляют оптимизма), то с серверами обновления решающих правил ситуация не столь "простая".

Есть ли решение данной проблемы? Увы. Пока все развивается вялотекуще - требования есть, но нет процедуры их контроля. Мы вплотную подступили к точке бифуркации в этом вопросе и в ближайшей перспективе (2-3 года) станет понятно, вернемся ли мы к хаосу или выйдем на качественно новый уровень. Пока же у нас полная неопределенность в этом вопросе...

12.04.16

PCAPы для проведения собственных исследований, демонстраций и CTF

Тема проведения различных киберучений в последнее время набирает в России обороты и помимо CTF такие мероприятия в той или иной форме стали проводиться и в рамках различных конференций и семинаров. Одним из вариантов таких киберучений, помимо мозгового штурма или игрищ "А что если..." (и еще тут), является проведение лабораторных работ по анализу сетевого трафика, в рамках которой отрабатывается способность обнаруживать аномалии и несанкционированные действия в сетевом трафике, собранном и записанном с помощью, например, Wireshark. Да и при исследовании собранных доказательств такой анализ также является очень важным элементом процесса расследования инцидентов.

Но что нужно для лабораторной работы по анализу сетевого трафика? Не только инструментарий, но и сам сетевой трафик. Очевидно, что записать его не составляет большого труда, но где гарантия, что в нем есть соответствующие следы несанкционированной активности? Есть ли где-нибудь уже записанные фрагменты сетевого трафика с вредоносным кодом, которые можно было бы скачать и использовать в рамках CTF, лабораторок в ВУЗах или собственных исследований?

Да, ресурсы, содержащие записанные pcap-файлы, существуют и их немало. Например, на сайте Wireshark выложено большое количество семплов различных протоколов (около сотни), в том числе и с вредоносным содержанием. Но именно "вредоносных" семплов на Wireshark не так уж и много, в отличие от блога Contagio, где выложена целая коллекция семплов вредоносного кода в формате pcap для проведения анализа (там выложены и другие семплы - не только pcap).

Однако наибольшая из известных мне коллекций pcap находится на сайте Netresec, компании, специализирующейся на мониторинге и проведении расследований сетевых событий. Netresec собрал у себя ссылки на pcap с различных CTF (например, с DEFCON), киберучений (например, MACCDC), тренингов, челенджей и просто Интернет-ресурсов, эпизодически выкладывающих различные pcapы, которые можно скачать и использовать для своих нужд.

11.04.16

Твою ж... кому же должна подчиняться служба ИБ?

А ответа на вопрос, заданный в заголовке, нет :-) Как и серебряной пули в ИБ тоже нет. На Западе CISO часто подчиняется вообще COO (операционному директору). В прошлом году этот вопрос я задавал ИТ-директорам на IDC CIO Summit в Питере. Ответы выглядели следующим образом:


Неделю назад я задал аналогичный вопрос в своем Twitter. Ответило более 100 человек и ответы распределились следующим образом:

Интересно, что несмотря на серьезные различиях в аудитории, распределение ответов практически совпало в обоих случаях.

Если прочитать две предыдущие заметки (тут и тут), то может сложиться мнение, что ИБ не может быть ни под ИТ, ни под ИБ. На самом деле это все-таки не совсем так. Если за много лет служба ИБ все-таки чаще всего входит в состав ИТ, значит такой сценарий вполне возможен. Да, это так, кто бы и что бы ни говорил. Не забываем, что гораздо важнее подчиненности уметь разруливать конфликты и находить общий язык между подразделениями. Я много раз видел, когда ИБ и внутри ИТ неплохо существует, и когда ИБ, вынесенная отдельно, живет с ИТ как кошка с собакой, не говоря уже о восприятии ИБ рядовыми пользователями компании или руководством.

Но если все-таки посмотреть на эту проблему отстраненно, то куда лучше рапортовать ИБ?


Все очень зависит от того, зачем служба ИБ вообще создается на предприятии. Причин ведь может быть несколько:
  • Наладить процесс управления и обеспечения ИБ
  • Наладить процесс управления и обеспечения ИБ так, как это видит руководство (это не тоже самое, что в предыдущем варианте)
  • Создать службу, чтобы «как у всех»
  • Потому что так требует закон, регулятор и т.п. (он, правда, требует, чтобы безопасник выделенный был всегда, но не обязательно с подчинением топ-менеджменту)
  • Потому что был инцидент с безопасностью
  • Создать видимость работ, но не давать им делать реальное дело (а то еще вскроют махинации топ-менеджмента или приближенных лиц).
Мы видим, что причины разноплановые. И именно от того, какой вариант взял верх, и зависит место ИБ в иерархии на предприятии. Если информационная безопасность рассматривается руководством с классической точки зрения (защита информационных систем), то и место ее будет под ИТ. Если нужно бороться с инсайдерами или обеспечивать во что бы-то ни стало конфиденциальность, то ИБ вероятно попадет под СБ / СЭБ. Если же ИБ нужна именно для развития бизнеса, если CISO может показать, что он может стать агентом изменений на предприятии (не единственным, разумеется), то и место ИБ будет совсем другим - под CEO или, если компания большая и распределенная, под COO (операционный директор), но на одном уровне с ИТ.



Вообще, когда кто-то безапелляционно заявляет, что ИБ может и должна быть только под первым лицом, то это означает, что человек не работал в действительно крупном холдинге и компании, в котором может насчитывать несколько десятков тысяч, а то и сотен тысяч человек. Ни о каком подчинении первому лицу в такой ситуации быть не может - хорошо, если второму, а то и третьему. Это тоже надо четко понимать - масштаб имеет значение.

Разумеется, в ИТ остается достаточно большая часть функций ИБ. Кому-то же надо управлять учетными записями, устранять уязвимости, обновлять антивирусы, разбираться с межсетевыми экранами, настраивать VPN. Все это по-прежнему остается в ИТ, но за ИБ остается роль ГИБДД - она устанавливает правила и следит за их соблюдением, попутно занимаясь и другими важными задачами - повышением осведомленности пользователей, разбирательством инцидентов ИБ, внедрением культуры ИБ, взаимодействием с правоохранительными органами, внутренним и внешним compliance, а также другими задачами.


Не стоит забывать, что на место ИБ в иерархии влияет также и отрасль, в которой работает предприятие, на котором создается служба ИБ. Например, в компании, в которой информационные технологии играют важную роль, ИБ может вполне претендовать на роль за пределами ИТ и СБ. А вот на промышленном предприятии, на котором на 10 тысяч работников всего 100 компьютеров, а остальные работники заняты на производстве, ждать, что ИБ будут придавать много внимания не стоит. Ее, конечно, и на воде и хлебе держать не будут, но и пряников с черной икрой (крутое сочетание) не дождешься.

На прошедшей RSAC 2016 тема подчиненности ИБ поднималась неоднократно, но немного с другой точки зрения. Мало кто прямо говорил, что ИБ должна быть там-то или там-то. Как мне кажется, на Западе давно уже поняли, что это не тема для обсуждения. Совсем не важно, что у тебя написано на визитке (с точки зрения решения задачи, а не с точки зрения карьерного роста и самомнения), важнее - чем ты занимаешься и как тебя воспринимают окружающие. И будучи на втором уровне иерархии можно противопоставить себя всем в компании и превратиться во врага с большими регалиями, но отсутствием влияния. А можно и обычным специалистом по ИБ внутри ИТ-службы заслужить авторитет, к которому будут прислушиваться на самом верху.

Большинство докладчиков RSAC поднимали вопрос о роли CISO на современном предприятии. Именно роли, а не места. Ведь человек красит место, а не наоборот. Поэтому именно от того, как себя поставит CISO (или директор по ИБ, или руководитель отдела защиты информации) и зависит его место в иерархии и место его службы. Будет заниматься реализацией требований регуляторов, поиском инсайдеров с последующим и увольнением или закручиванием гаек в ИТ-сфере, так и останется в подчиненной роли (это нехорошо и неплохо - просто так есть). Будет пытаться "выйти" на уровень бизнеса, найти с ним общий язык и показать свой вклад в достижение бизнес-задач - сможет подняться гораздо выше; не только формально, но и фактически.

На RSAC много говорили не о CISO, а о сдвиге в сторону CIRO (Chief Information Risk Officer)

ЗЫ. Что-то затянула меня эта тема :-) Дальше попробую вспомнить, что говорили на RSAC касательно роли современного CISO, куда ему стремиться и чем он должен заниматься.

ЗЗЫ. В среднем у 8-11% компаний нет не то, что CISO, но и вообще выделенного безопасника... Но об этом поговорим отдельно :-)

ЗЗЗЫ. И все это мы будем также обсуждать на межотраслевом форуме директоров по ИБ 18-19 апреля в Москве.

08.04.16

Как на RSAC мне предлагали стать спецагентом ФБР

Не отпускает меня RSAC :-) Все вспоминаются и вспоминаются какие-то новые темы, о которых я не написал раньше. Одна из них - регуляторы на RSAC. Надо признать, что регуляторы - они везде регуляторы и их не очень любят с их требованиями, которые часто мешают или препятствуют развитию бизнеса. Но не отметить, что американские регуляторы на RSAC, а их было несколько - АНБ, ФБР, Министерство национальной безопасности (DHS), МинОбороны и генеральная прокуратура, - благожелательно относятся к специалистам по ИБ я не могу. Более того, они всеми силами (опять же несмотря на свои требования, местами даже нарушающими права граждан) стараются сформировать о себе благоприятное впечатление.

Помните ли вы, когда в последний раз видели стенды ФСТЭК или ФСБ на наших немногочисленных выставках по ИБ? Я помню стенды ФАПСИ (сам стоял на таких) в незапамятные годы, вот и все, пожалуй. На RSAC же стенды были и у АНБ, и у DHS, и у ФБР.

Стенд АНБ
Стенд DHS
Стенд ФБР
Наибольшее число людей было на стенде ФБР, что в общем-то и понятно - эта структура наиболее близка к бизнесу, проводя расследования киберпреступлений, а также иных преступлений с участием кибер-составляющей.

У себя на стенде ФБР активно набирало кандидатов на должности спецагентов (мыслимо ли такое у нас?). Меня спрашивали, какие там требования предъявляются; отвечаю. Как минимум, надо быть гражданином США :-) А вообще вот тут все написано. Меня тоже пытались зазвать в ряды доблестных рыцарей виртуальных плаща и кинжала, но не поддался я :-)


На стенде ФБР была представлена и история ведомства, которое еще не так давно занималось борьбой с нелегальным алкоголем и поимкой гангстеров. Одной из визитных карточек ФБР является пистолет-пулемет Томпсона, который также был представлен на стенде ФБР.


История не была забыта и на стенде АНБ, которое представило известную шифровальную машину "Энигма".


На стенде АНБ тусили и известные криптографы, выступавшие на криптографической панели конференции. Вот, например, я случайно узрел Диффи (Хеллман - это другой человек), одного из авторов известной схемы распределения ключей. Хотя если уж вспоминать историю до конца, то авторов было трое - Меркль (или Меркл) тоже был причастен к разработке этого протокола и в уже истекшем патенте США он указан вместе с Диффи и Хеллманом. Ну а чтобы уж совсем закрыть тему истории в этой заметке, то после снятия грифов секретности с ряда документов оказалось, что двумя годами ранее Малькольм Вильянсон предложил алгоритм, который является аналогом того, что придумали Диффи с Хеллманом. Но про него никто не знает и не говорит :-(


АНБ не набирало людей, но зато раздавало технологии; как бы смешно это не звучало. В АНБ запущена специальная программа Technology Transfer Program, задача которой делиться со всеми желающими технологиями, разработанными АНБ в области акустики, математики, микроэлектроники, коммуникаций, оптики и, конечно же, безопасности. В частности, АНБ предлагает запатентованные технологии обнаружения вторжений, аутентификации пользователя по лицу, обнаружения удаления SIM-карты из телефона, защиты USB, анализа защищенности и т.п. В России такое предложение было бы встречено смехом, но для дружественных США государств и компаний из них, это вполне реальное подспорье в случаях, когда надо "вчера", а разрабатывать самим нет времени.


Не знаю, есть ли в этих технологиях закладки, но АНБшный backdoor на RSAC я все-таки нашел. Вот он:

Backdoor на стенде АНБ
А еще АНБ распространяло классные раскраски и загадки для детей. Разумеется, с криптографическим уклоном. Вообще у АНБ на сайте отличный детский раздел. Можно их ругать как угодно и подозревать в чем угодно, но важность работы с подрастающим поколением они понимают и уделяют этому внимание. А у нас я по советским временам помню только гаишников, которые ходили по школам и рассказывали о ПДД. Да в старших классах приходили люди в штатском, выбирали лучших математиков и зазывали к себе на службу. Сейчас даже смешно вспоминать...


И конечно же нельзя не вспомнить про выступления регуляторов. Без бумажки, все по делу. Не со всем можно соглашаться, но и американские и российские спецслужбы в этом одинаковы. У них на первом месте - защита интересов государства и только потом все остальное. И если интересы граждан от этого страдают, то увы. Собственно об этом и говорил глава АНБ, адмирал Роджерс.


Разумеется, он не обошел вниманием и вопрос сотрудничества американских компаний с американскими же спецслужбами, к которому он призывал, но к которому готовы не все (вспоминая кейс Apple против ФБР). Об этом же говорила и генеральный прокурор США в своем выступлении. Кстати, слушая Роджерса у меня всплыла в голове известная загадка о том, чем отличаются "шпион" и "разведчик". Так и в ИБ. Когда американская спецслужба просит свои компании помочь - это угроза, а когда отечественные компании помогают ФСБ - это патриотизм. Все относительно... Поэтому у нас не доверяют американским компаниям, а у них - российским. И ничего с этим не поделаешь. Даже передача исходных кодов не сильно помогает :-( И это тоже печально. Американская компания, передавшая для анализа исходники своего софта и схемы железа, так и остается недоверенной стороной, а российская ИТ-компания, даже не отличающая аттестацию от сертификации и, разумеется, никаких исходных кодов не представляющая, будет считаться доверенным поставщиком и на ее продукцию будут советовать переходить российским госорганам.


Посетил RSAC и министр обороны США (вот у нас официальные представители МинОбороны как-то стороной обходят мероприятия по ИБ, исключая, быть может, Инфофорум, где я их видел один-два раза). Он посетил сессию, где в формате киберучений оценивалась способность США противостоять современным киберугрозам со стороны потенциальных противников - террористов, отдельных государств и блоков. Там же он выступил с краткой речью о важности кибербезопасности и государственно-частного партнерства.


Ну и в заключении пару слов о сувенирке от регуляторов. Да-да, у них была сувенирка. Блокноты и ручки АНБ, нашивки и брелоки от ФБР, мягкие игрушки... Пустячок, а приятно. АНБшный блокнот при возвращении домой я положил на самый верх чемодана в надежде, что ничего из вещей не вытащат. Ничего не вытащили :-)





Вот таким мне запомнились американские регуляторы... Нашим бы стать чуть более открытыми, цены бы им не было.

ЗЫ. Нацгвардии США на RSAC не заметил, хотя у них тоже есть свои киберподразделения. И это направление они активно развивают. Аккурат в прошлом декабре они создали 13 новых подразделений по кибербезопасности в разных штатах, задача которых помогать Вооруженным силам и Военно-воздушным силам США бороться на кибер-рубежах и готовить высококвалифицированные кибер-команды для защиты американской нации. 

07.04.16

Битва 30 директоров по информационной безопасности

Последние 2-3 недели я активно пишу то о впечатлениях о посещенной конференции RSAC, то о том, куда должна рапортовать службы ИБ и какой процент на ИБ надо тратить от ИТ-ресурсов? Скоро, всего через полторы недели у нас будет возможность объединить эти темы - в Москве состоится межотраслевой форум директоров по информационной безопасности, который может стать "русской RSAC" :-)

Чем мне нравится данное мероприятие и чем оно отличается от многих остальных, проводимых в России и в Москве в частности? Оно действительно делается директорами по ИБ (или руководящими работниками по ИБ) для таких же как они руководителей по ИБ. Как вы думаете, сколько тех, кто каждый день занимается ИБ (а не продает ее) будет выступать на форуме? Именно выступать, а не сидеть в зале и слушать. Беглый анализ программы показал, что больше тридцати (!). Это очень и очень достойный показатель, который говорит, что программа форума действительно больше рассчитана на тех, кто приходит за решением проблем, а не за тем, чтобы слушать рекламу. Конечно, представители вендоров тоже будут; куда же без них. Но их будет меньше в 2-2,5 раза, чем "говорящих" ИБ-руководителей, а это очень хороший для российских мероприятий по ИБ показатель. Я не хочу сказать, что спикерам от вендоров/интеграторов сказать нечего. Есть. Но как показывает опыт многих прошедших мероприятий, они часто "гонят" рекламу, что сказывается на качестве мероприятия и отзывах участников.

Что я для себя бы выделил в программе этого года? Несколько фишек:
  • Интервью "один на один" с Барановым Александром Павловичем "Жизнь после 8-го Центра". Кто следит за выступления Баранова отмечает, что он нередко критикует своих бывших коллег из 8-го Центра ФСБ за определенную медлительность и узколобость. А ведь еще недавно он сам был по ту сторону баррикад и задавал тон государственной политике в области криптографии. Мне будет интересно послушать, что он говорит, уйдя с государственной службы на сторону заказчика.
  • Нередкая, но от этого не менее интересная тема взаимоотношений ИБ и ИТ. В данном случае речь пойдет о взаимоотношениях на критически важных объектах, что придает новизну этой дискуссии. Ну и классический вопрос о подчиненности ИБ тоже можно будет задать участникам :-) Кстати, теме подчиненности ИБ будет посвящен и отдельный доклад
  • Очень интересной должна быть секция "Бывших не бывает. Есть ли жизнь после ИБ". И не только потому, что я буду ее модерировать :-) Просто тема интересная и люди, которые раньше занимались ИБ, а потом ушли из нее. Андрей ушел в ИТ, Варвара ушла в операционное управление, Женя запустила кучу разных стартапов. Очень интересная должна получиться дискуссия.
  • Секция "ИБ под каблуком", модерируемая Алексеем Волковым, тоже обещает быть очень интересной :-) Нечасто у нас целая секция посвящается прекрасному полу, да еще и руководителям ИБ. Предвкушаю жаркие баталии и проявления мужского шовинизма :-)
  • Год назад на питерском IDC CIO Summit я подсмотрел идею в организации круглых столов, посвященных тем или иным темам. Фишка именно в круглых столах, вокруг которых собирается 10-15 человек, обсуждающих разные важные для них темы. Известно, что в споре рождается истина, и такой формат круглых столов как раз и призван вовлечь людей в общение и сообща прийти к некоторому решению или обменяться полезными мнениями. Будет целых 10 круглых столов - по CERTам, APT, Threat Intelligence (веду я), облакам, DDoS, WAF, АСУ ТП, NGFW и SIEM.
  • В ИБальных залах в конце первого дня пройдут краткие, но зажигательные речи практиков-ибшников на разные темы - взаимодействия с силовиками при поимке хакеров,  управление взаимоотношениями с третьими лицами, получение международного сертификата специалиста по ИБ и т.д.
  • Второй день тоже стал находкой организаторов - больше никаких коротких спичей. 10 мастер-классов по 1-1,5 часа каждый. Оценка финансовой эффективности ИБ, моделирование угроз, аудит безопасности АСУ ТП, программа повышения осведомленности сотрудников по ИБ, обоснование перехода на аутсорсинг ИБ, построение собственного SOC (аккурат после предыдущего доклада :-), анализ судебной практики по защите коммерческой тайны... Очень много полезных и практичных мастер-классов.
  • Завершать мероприятие будет молодежная сессия, на которой молодежь и бизнес обсудят потребности друг друга и, возможно, найдут точки соприкосновения.
В целом в этом году программа получается очень интересной и насыщенной, с минимумом неприкрытой рекламы. Но есть у меня и одно опасение, которого я и жду и боюсь одновременно. Мы сойдемся с Димой Мананниковым в битве за голоса участников :-) К кому они пойдут? На мой мастер-класс про моделирование угроз секс‐игрушкам (да, опять), беспилотным дронам, часам Apple Watch, АСУ ТП или Интернет‐банку? Или на мастер-класс Димы по финансовой оценке проектов по ИБ? Ведь будут идти они параллельно...


06.04.16

Выставка RSA: впечатления

Только сейчас обратил внимание, что я так ничего и не написал про выставку RSA, которая проходила параллельно с конференцией RSAC, о которой я уже писал. В отличие от российских мероприятий, на которых выставка (а точнее набор стендов) просто сопровождает конференцию или наоборот конференция сопровождает выставку (например, InfoSecurity Russia), выставка RSA была самостоятельна. За нее даже платить надо было отдельно (целых 100 долларов США). И именно это, на мой взгляд, и позволило выставке быть самодостаточной и независимой от деловой программы.

В отличие от российских мероприятий на RSA компании выкладывались по полной. Это выражалось и в самих стендах, которые не только не были похожи друг на друга, но и не выглядели как сиюминутные временные конструкции.

Стенд RSA
Стенд AlienVault

Даже небольшие компании и то старались показать себя, а не строить безликие конструкции из белых "палок" и орголитовых листов.

Стенд OpenDNS
Стенд BlackDuck
Стенд Lancope

На самих стендах тоже делалось многое для привлечению посетителей. Кто-то приглашал звезд-шоубизнеса, которые раздавали автографы, кто-то предлагал виртуальные 3D-стрелялки, кто-то выставлял какие-то запоминающиеся штуки - от коровы или робота до хайтек-мотобайка или шифровальной машины Энигма.




У ряда стендистов был даже выдержан единый стиль в одежде, что тоже привлекало внимание.


Кстати, полуголых девиц в этом году не было - организаторы запретили таким образом привлекать внимание, рекомендовав участникам выставки использовать другие способы запомниться посетителям. Практически у всех была своя собственная программа презентаций, рассчитанная на все три дня конференции. Вот так, например, выглядела программа на нашем стенде.



И поскольку далеко не все посетители выставки смогли посетить конференцию, то они слушали доклады на стендах компаний. Причем практически всегда были аншлаги и все места были заняты.



Правда, одна компания у меня вызвала вопросы - FireEye. Ее стенд был прямо за нашим и я регулярно наблюдал вот такую картину на ее стенде. Выглядело странновато - у всех доклады и аншлаги, а у FireEye пустой стенд. Ну да ладно. Может мне просто не повезло и я приходил на наш стенд, когда у FireEye был перерыв.


Компании-участницы пытались завлечь на свои стенды участников не только докладами, но и различной сувениркой - световые мечи (я сыну такой притащил), кошельки для защиты бесконтактных карт, футболки, зарядки для мобильных устройств, селфи-палки, фитнес-браслеты, умные часы, дроны, подарочные карты, смартфоны, планшеты, наушники и т.п. У меня даже сложилось впечатление, что каждый участник выставки при желании мог получить какой-либо солидный сувенир или приз, а участников было много.


В первый день, до официального открытия выставки, был устроен фуршетик, который и стал началом трехдневной эпопеи под названием RSA Expo. Мясо, вино, пиво, закуски... Всего этого было много, а на многих стендах были еще "накрыты" и отдельные столы.


В этом году на выставке было представлено около 500 компаний, как именитых, так и стартапов, представляющих широкий спектр продуктов и услуг в области ИБ. Я провел анализ тем, которые представляли на стендах участники, и получилась следующая картина:

Топ13 тем выставки RSA
Я уже рассказывал на мероприятии ФРИИ о ключевых темах, интересующих отрасль ИБ.
Самые редкие темы выставки RSA

Из россиян в этом году было представлено две компании - одна явная и вторая скрывала свое происхождение. Первой была Лаборатория Касперского, которая имела солидный стенд  и хорошую презентационную программу на нем. Второй компанией была... EgoSecure, одним из владельцев которой является Наталья Касперская. Правда, русские корни EgoSecure не светила и вообще стояла на объединенном стенде Германии.


Объединенный стенды были также у Китая, Израиля и Кореи, что показывает поддержку этих государств своих инновационных компаний, желающих выйти на новые для себя рынки. У России по понятным причинам своего стенда на американской выставке не было, а вот на других выставках объединенный стенд России бывает, например, на лондонской InfoSecurity.


Вот такой мне и запомнилась выставка RSA, значительное событие в области мировой информационной безопасности.