22.01.2018

Как использовать базу знаний ATT&CK?

Продолжу пятничную заметку про базу знаний ATT&CK. Ее идея появилась не на пустом месте. Если посмотреть на методы, которыми сегодня пользуется большинство безопасников, то несмотря на все новомодные технологии типа Threat Intelligence, SOC, SIEM и иже с ними, все они базируются на знании прошлого. Те же индикаторы компрометации (IoC) даже в своем названии "признают", что они фиксируют уже случившийся факт заражения узла или сети. И эффективность системы защиты будет измеряться тем, насколько быстро мы сможем внедрить IoC для обнаружения того, что уже умеют делать злоумышленники. Как бы не назывались эти индикаторы, по сути это обычные сигнатуры, просто более комплексные и включающие в себя сразу несколько элементов. А как ловить неизвестных нарушителей и атаки, для которых еще нет сигнатур и индикаторов компрометации?

Корпорация MITRE предлагает новую парадигму, которая предлагает осуществить сдвиг от IOC в сторону IOA (индикаторов атак), то есть пытаться детектировать что-то в процессе действия злоумышленника, изучая в реальном времени его поведение. Не опираясь на сигнатуры уже известных атак, а именно на поведение нарушителя, которое, при всем их разнообразии опирается на конечное число возможных тактик и техник. Задача ATT&CK как раз и сформировать базу таких техник и атак, которые могут быть описаны (некоторые вендоры на Западе начинают ориентировать свои продукты на базу знаний ATT&CK). Чем-то это ситуация схожа с тем, чем отличается IPS от NGIPS (кстати, на днях Gartner выпустил свой магический квадрат по IPS за 2018 год - его можно найти в Интернет). Не буду говорить за всех вендоров, скажу, как обстоит дело у нас с Cisco NGIPS. Мы ловим не атаки или эксплойты в сетевом трафике, а факт использования уязвимостей. Например, WannaCry. Его известно свыше 400 разных модификаций. Можно иметь 400+ сигнатур и для каждого нового семпла WannaCry писать новую, а можно иметь всего одну, сфокусированную на использовании уязвимости ETERNALBLUE и сколько бы атак ее не использовали, одна сигнатура будет ловить их все. Вот с шаблонами атак ситуация схожая. Какая разница, какой вредонос или хакерская кампания использует технику "Man in the Browser"? Это может быть Cobalt Strike, а может что-то новое появится в будущем. Если вы это ловите, то вы будете ловить все, что работает по этой технике.

Вот на таких рассуждениях MITRE и предложил новую парадигму, опирающуюся на 5 новых принципов (ну не совсем новых, но просто их мало кто сейчас реально использует):
  1. Обнаружение компрометации. Это то, что пытаются делать продукты класса EDR или сервисы класса MDR, то есть признание того факта, что нас могут взломать и на это нельзя закрывать глаза, а надо пытаться оперативно обнаружить факт компрометации и локализовать ее, не давая злоумышленнику развивать атаку и расширять плацдарм во внутренней сети.
  2. Фокус на поведение. Сигнатуры и индикаторы - это важно и нужно, но обязательно надо смотреть в сторону поведения злоумышленника. Вспомните мое описание последнего семинара Gartner в Москве, где Антон Чувакин рассказывал про UEBA. Одним из признаков технологии UEBA является использование на статических и заранее описанных правил, а применение машинного обучения и других технологий, названных advanced analytics, которые позволяют сами (после обучения или сразу) детектировать неизвестные атаки, нарушения, аномалии и т.п. Вот тут всплывает эта тема вновь - обнаруживать известное важно и нужно, но еще важнее детектировать неизвестное, а для этого надо изучать поведение.
  3. Моделирование угроз. Нельзя сегодня выстраивать систему защиты, не понимая кто вам противостоит. Хорошая модель угроз как раз и отвечает на вопрос, какова реалистическая и релеватная картина нарушителя, действующего против вас. Отсюда и выплывает тема с его мотивацией, возможностями, компетенциями, инструментарием и атаками, которые он может запустить против вас.
  4. Динамичный дизайн. Ландшафт угроз, техник и тактик хакеров постоянно меняется. Также динамично, постоянно и итерационно должна меняться и система защиты, подстраиваясь под новые вызовы, внедряя новый инструментарий, новые модели и техники защиты.
  5. Разработка в реалистичном окружении. Разработка системы защиты должна происходить в максимально реалистичном окружении, которое позволит учесть многие нюансы из реальной жизни. Никакого ковыряния в носу и высасывания из пальца.

Вот база знаний ATT@CK и родилась в результате различных натурных экспериментов, исследований, пентестов, которые проводила MITRE за последние годы. 10 категорий тактик содержат почти 200 техник, которые активно применяются злоумышленниками (и пентестерами) в своей работе. Не останавливаясь на изучении хакероы, корпорация MITRE стала разрабатывать реестр методов обнаружения поведения нарушителей, описываемого в ATT&CK. Этот реестр называется Cyber Analytics Repositiry (CAR). Эта работа началась позже ATT&CK и пока не завершена даже в первом приближении. Но уже сейчас на сайте CAR можно посмотреть ряд методов обнаружения техник и тактик злоумышленников. Для того, чтобы облегчить сопоставление ATT&CK с CAR разработан прототип инструмента CARET (Cyber Analytics Repository Exploration Tool), который представляет собой графический интерфейс, который помогает ответить, например, на следующие типы вопросов:
  • Какие известные нарушители (в базу входит множество известных групп - Lazarus, Cobalt, APT28, APT3 и т.п.) могутбыть детектированы или не детектированы?
  • Какие методы защиты могут детектировать конкретные техники злоумышленников или конкретные хакерские группы?
  • Какие данные требуются для ваших методов защиты?
  • Какие инвестиции надо сделать для борьбы с определенными нарушителями или методами атак?
Например, вы хотите посмотреть какие техники и тактики использовала хакерская группа APT28: 



Или вас интересует, какие технологии защиты вам помогут бороться с Lazarus или Dragonfly (Energetic Bear):


ATT&CK, CAR и CARET - cугубо практичные и расширяемые инструменты, которые вы можете наполнять или использовать по своему усмотрению (вы можете скачивать смоделированные вами данные в JSON). Заказчики могут понять, чего им не хватает для борьбы с современными и вполне конкретными хакерскими группировками. Разработчики могут получить готовый набор тактик и техник хакеров, а также набор методов их детектирования для включения в свои продукты. Просто специалисты по ИБ могут расширить свой кругозор за счет более понятного и простого описания того, что и как реально делают злоумышленники.

Я уже это писал как-то, но повторюсь. Эти три проекта MITRE - это именно то, чтобы хотелось видеть как цель развития БДУ ФСТЭК, которая пока содержит простой перечень угроз (даже не атак), который фиг знает, как применить на практике. То есть вроде и каталог угроз есть и он относительно неплохой, но практическое его применение сопряжено с большими трудностями. Никакой автоматизации, никакой связки с защитными мерами, никакой связки с атаками, которые могут быть реализованы в рамках той или иной угрозы. Практичности не хватает. ФСТЭК по понятным причинам врядли сможет использовать ATT&CK, CAR и CARET в своей работе (пусть и полезные инструменты, но потенциального противника), но заказчики (как минимум, коммерческие) не скованы такими геополитическими ограничениями и могут себе позволить применять то, что удобно, а не то, что квазипатриотично. Хотя если у нас появится что-то свое, то буду только рад.

19.01.2018

WatchGuard покупает Percipient Networks

17 января компания WatchGuard объявила о покупке небольшой компании Percipient Networks, которая фокусируется на малом бизнесе и предлагает решения по фильтрации DNS-трафика (анализ и фильтрация DNS-трафика - вообще модная тема нынче). Размер сделки не сообщается.

Крупное обновление ATT&CK - базы знаний тактик и техник злоумышленников

В 2016-м году я уже писал про интересный проект корпорации MITRE, известной по своим инициативам в области ИБ, самой популярной из которых является проект CVE, а также стандарты STIX и TAXII. Так вот матрица ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) по сути является базой знаний и моделью для оценки поведения злоумышленников, реализующих свои активности на последних шагах нападения, обычно описываемого с помощью понятия Kill Chain, то есть на этапах после проникновения злоумышленника во внутреннюю сеть предприятия или на мобильное устройство. Первоначально в базу знаний входило описание 121 тактики и техники, используемых при нападении. По сути речь шла об атаках, позволяющих реализовать различные угрозы (например, из того же высокоуровневого банка данных угроз ФСТЭК). В начале этой недели произошло крупное, уже третье обновление ATT&CK, в результате которого база знаний расширилась до 188 тактик и техник атак (уже существующие были серьезно обновлены), каждая из которых подробно описана в формате Wiki.

В чем вообще смысл и польза базы знаний ATT&CK? Давайте вспомним мою другую заметку 2016-го года, посвященную разным моделям описания защитных мер - от NIST CSF до МинОбороны США. В чем плюс этих высокоуровневых моделей? Они позволяют оперативно понять, каких механизмов/технологий/мероприятий защиты вам не хватает.


Но у нас нет аналогичной модели, которая бы систематизировала методы, используемые злоумышленниками в рамках своей деятельности. Да, есть Kill Chain, но эта концепция очень высокоуровневая и не разъясняет, как можно реализовать этап проникновения или расширения плацдарма на Windows или MacOS. Так вот именно эту задачу (систематизация методов хакеров) и решает модель ATT&CK. Пока так называемая корпоративная версия (ATT&CK for Enterprise) ориентирована только на 3 платформы - Windows, Linux и MacOS.

Корпоративная версия ATT@CK
Разработана и первая версия "мобильной" (ATT&CK for Mobile) базы знаний методов злоумышленников, разделенная на три части - получение доступа к устройству:


использование доступа к устройству:


и сетевые эффекты:


Чтобы уйти от просто перечисления и систематизации техник и тактик хакеров (хотя тоже очень полезная вещь), MITRE пошла дальше и начала разработывать Adversary Emulation Plans, то есть наборы документов, которые позволяют защитникам протестировать свои сети и системы, встав на место злоумышленников. По сути Adversary Emulation Plans - это готовые инструкции по созданию собственных Red Team и эмуляции различных техник и тактик нападющих.


Вот такой вот полезный инструмент, систематизирующий наши знания о методах злоумышленников, которые уже проникли в нашу сеть и которые пытаются расширить свой плацдарм и как можно дольше оставаться незамеченными. В следующей заметке я расскажу о том, как извлечь практическую пользу из ATT&CK (хотя эта база знаний полезна и сама по себе) и оценить на ее основе свои защитные возможности.

В заключение хочется отметить, что ATT&CK не спонсируется и не разрабатывается каким-либо вендором или интегратором или консультантом и не привязана к каким-либо продуктам. Вы можете сами поучаствовать в проекте, если вам есть что сказать и добавить в набор используемых тактик и техник.

ЗЫ. У ATT&CK есть свой API, который позволяет вытаскивать из Wiki информацию по нужным техникам/тактикам и вставлять их, например, в собственный портал по ИБ или в собственные решения по ИБ. Есть даже скрипт на PowerShell, задействующий данный API и демонстрирующий работу с ним.

ЗЗЫ. Еще одна интересная модель, систематизирующая мотивацию хакеров и защитников изложена в моей заметке от 2012-го года.

17.01.2018

Об утечках через DNS, которые не ловит ни одна DLP

Наверное то есть, кто давно занимается информационной безопасностью помнят, что в 1996-м году была очень популярная вредоносная программа Loki, которая позволяла организовывать туннели внутри ICMP-протокола, обычно не контролируемого распространенными на тот момент межсетевыми экранами. Идея Loki была проста - путем обмена командами ECHO REQUEST и ECHO REPLY (то есть обычный Ping) в поле данных пакета ICMP можно было засунуть все, что угодно. Детектировать такие атаки на МСЭ почти невозможно и помогали их обнаруживать только IDS, для которых писались правила, отслеживающие длину запросов и ответов ICMP (она должна быть равна 42 байтам), а также смотрящие за тем, чтобы поле данных ICMP-пакета было пустым (с нулевой длиной). С разной эффективностью схожий метод использовался некоторыми другими вредоносными программами, которые появлялись уже позже, в 2000-х годах, и в 2010-х.

Интересной интерпретацией данного метода стала утилита PingFS, которая позволяла, по словам ее автора, создать истинно облачное хранилище данных. PingFS - это файловая система, которая хранится в самом Интернете, а не каком-то из отдельных серверов или группе серверов. Все просто - данные о файлах постоянно циркулируют между узлом и Интернет в обычных пингах (и ответах на них). Понятно, что это достаточно вырожденный случай и в реальной жизни врядли у PingFS найдется применение, исключая небольшое количество не очень больших по объему файлов - все-таки производительность такой файловой системы невысока. Да и потери пакетов могут привести к сбою в "файловой системе". Но сама идея достаточно интересна и ее подхватили и другие авторы. Например, создав DNSFS, утилиту, работающую по тому же самому принципу, но обмен происходит по протоколу DNS и данные о файлах хранятся в кэше DNS, что устраняет ряд проблем, имеющихся у PingFS.

Для работы DNSFS нужны открытые DNS-резольверы и чем их больше, тем отказоустойчивее будет схема. В принципе доступ к таким серверам должен блокироваться извне на МСЭ, но как часто бывает, многие забывают или не могут правильно настроить безопасность своей инфраструктуры и это приводит к дырам в системе защиты. Автор DNSFS с помощью утилиты masscan происканировал все доступное Интернет-пространство и обнаружил около 4 миллионов открытых DNS-резольверов (Россия на 4-м месте по их числу после Китая, США и Южной Кореи). Это позволило ему создать работающий прототип распределенной файловой системы на базе DNS, который может быть использован для различных целей, включая и вредоносные. Меня же во всей этой конструкции заинтересовала сама идея туннелирования в рамках DNS-трафика, который, в отличие от ICMP, очень часто разрешен на периметровых МСЭ, которые не умеют его контролировать.

Посмотрите на эту картинку:


Она отражает распределение длин имен субдоменов. Логично предположить, что на первом месте у нас будут субдомены длиной 3 символа (пресловутый www). А вот дальше длины субдоменов будут идти по нисходящей и мы увидим, что в обычной жизни сложно встретить субдомены длиной более 30 символов. Даже DGA-домены обычно гораздо короче. Но если задаться вопросом, а могут ли встречаться субдомены длиной более 30 или 50 или даже 100 символов, то мы увидим, что на границе в 200 символов проявляется аномалий - число субдоменов такой длины непропорционально высоко. Почему?


Ответ прост - злоумышленники используют особенности работы DNS в качестве инструмента для утечки данных (не фишинг, не DGA, не редиректы, не Fast Flux, а именно утечка), которые скрываются в названии субдомена, направленного на DNS-сервер, находящийся под контролем злоумышленников. Именно на нем происходит распознавание (часто и расшифрование) информации в пришедшем DNS-запросе. Такая вот проблемка, которая находится вне контроля абсолютного большинства современных МСЭ, даже NGFW. Да и IPS тоже не всегда способны ловить такие вещи, хотя на них можно создать правила, отслеживающие длину DNS-запроса.

В любом случае этот пример показывает, что мониторинг трафика - задача важная и опираться в ней нужно не только на привычные периметровые средства защиты, но и на иные решения, которые позволяют заглядывать внутрь различных протоколов и выявлять в них аномалии. Это и решения класса NTA, и защищенные DNS-сервера с функцией инспекции трафика, и другие типы средств контроля и защиты трафика.

ЗЫ. Если вдруг вам тема безопасности DNS интересна, то 24-го января пройдет бесплатное онлайн-мероприятие по этой теме, где будут рассмотрены различные атаки на DNS и способы их обнаружения и нейтрализации - платные и нет, коммерческие и open source.

ЗЗЫ. Да, про DLP забыл упомянуть. Так вот DLP не ловят утечки через туннелирование конфиденциальной информации в разрешенные протоколы. Вообще с туннелированием они не работают. 

16.01.2018

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть вторая, эпистолярная

Уважаемые судари и сударыни, позвольте мне продолжить обзор плана мероприятий направления "Информационная безопасность" программы "Цифровая экономика". Можно заметить по прошлой заметке, что не только сам план готовился в спешке (а это уже само по себе гарантирует не самый качественный результат - стратегические документы надо перепроверять по несколько раз, чтобы не упустить все ляпы и неточности, которые потом могут аукнуться), но и его реализация запланирована в очень сжатые сроки, что также вызывает сомнение в реализуемости всей задумки. Но отбросим скепсис и вернемся ко второй части плана, посвященной обеспечению технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики. Что меня зацепило в этом разделе:
  • К июню планируется создать проект архитектуры некой базы знаний по ИБ, которую должен вести Минобрнауки.
  • В прошлый раз я писал, что в первой части плана постоянно смешиваются понятия "массивы больших данных" и "большие данные". Во второй части добавились еще и "большие пользовательские данные", которые будут регулироваться Роскомнадзором.
  • Также до конца 2019 года планируется урегулировать вопрос обработки ПДн облачными провайдерами. За это будет отвечать... нет, не РКН, а Минкомсвязь. Стоимость разработки типовой формы соглашения между пользователем и провайдером "облачных" услуг составляет 1 миллион рублей (чтоб я так жил).
  • РКН, Минкомсвязь, ФСБ, ФСТЭК и МВД (а они-то зачем) должны создать ресурс, обеспечивающий гражданам России доступ к информации о случаях использования их персональных данных, а также возможность отказа от такого использования (судя по всему на базе ЕСИА). К концу 2020-го года его должны ввести в эксплуатацию.
  • Сколково с Минкомсвязью хотят обязать всех пользователей коммуникационных сервисов идентифицироваться. Также к пользователям приравняли и Интернет вещей, который также будет как-то идентифицироваться. Последний пункт, конечно, вызывает огромное количество вопросов. Единые правила по идентификации Интернет-вещей, произведенных разными производителями в разных странах?.. Но идея государства взять под контроль всё и всех, что и кто подключен к Интернету, очевидна.
  • К июню следующего года хотят установить обязательную установку на все ввозимые и создаваемые в РФ компьютеры отечественные антивирусы. Зачем? Кому это нужно (кроме пары отечественных вендоров)? Предвижу запросы со стороны иностранных антивирусных вендоров в ФАС и судебные иски по поводу неравных условий для работы антивирусных компаний. Зачем этот пункт вообще попал в план при и так почти полном доминировании ЛК и Доктор Веба на территории нашей страны (кстати, в первоначальном варианте стояла задача предустанавливать отечественные антивирусы на все компьютеры в ЕАЭС, а не только в России)?
  • На основе национальной электронной библиотеки (вы вообще ею пользовались когда-нибудь?) планируется создать информационную платформу онлайн-курсов по ИБ и ее наполнение (на первой стадии не менее 20 курсов). Этакая "русская ИБ Coursera". Идея неплохая, но отвечать за ее будут Минкомсвязь и Минобрнауки, "известные" на ниве ИБ регуляторы.
  • До конца года хотят сделать прототип аналога ГосСОПКИ не для субъектов КИИ, чтобы и рядовые граждане и компании могли сообщать о признаках противоправной деятельности. Ввести его в действие должны до конца 2019-го года.
  • До конца года должен быть разработан ресурс антивирусного мультисканера и проверки на наличие признаков вредоносной активности. Думаю, уже и исполнитель по данному пункту известен, учитывая что за его выбор отвечает только ФСБ (в то время как за остальные пункты данной задачи также ФСТЭК и Минкомсвязи).
  • ФСБ к концу 2020-го года хочет получить прототип национальной базы знаний индикаторов вредоносной активности. Тут у меня конечно вопросы по срокам. Гораздо более сложные задачи заявлены на конец этого или следующего годов. Тут, правда, тоже накосячили. К этому же сроку должен быть готов не только прототип и архитектура системы, но и сама система должна быть введена в эксплуатацию. Видимо, никто диаграмму Ганта не строил по данному плану и не увидел таких нестыковок. А там ведь еще и проектный офис у этой "Цифровой экономики" есть. Как же там проектами управляют? 
  • До 2024 года хотят создать сеть ргеиональные РКЦКИ в составе ГосСОПКИ (кто-нибудь вообще смотрел раздел "Ожидаемые результаты" для проекта по созданию РКЦКИ?).
  • В разделе по ИБ-образованию написаны здравые вещи, но в целом он выглядит хаотично. Как будет надергали идей из разных источников, включая неслучившие "Основы госполитики в области формирования культуры ИБ в РФ" СовБеза. Подождем, может в целевой программе "Подготовка кадров в области информационной безопасности" на 2020 – 2025 года" будет более целостный взгляд на обучение специалистов, начиная со школьной скамьи (хотя в плане говорится про возраст, начиная с 6-ти лет). В разделе по обучению есть и совсем непонятные мероприятия. Например, "внедрен пилотный многофункциональный центр". Центр чего? Какие у него задачи? Причем тут обучение? Там же в этом разделе встречается аббревиатура, которая нигде не раскрыта и встречается в единственном числе, - "МОЦ". Это явно какой-то центр. Возможно образовательный, а может и окружной. Но фиг знает...
  • В плане говорится о том, что необходимо разработать процедуру обязательной оценки соответствия (сертификации) компонентов платежной инфраструктуры, используемых для переводов денежных средств в НПС. К июлю 2019-го года. А ведь эта процедура уже есть в утвержденном ГОСТ 57580.1, а также в проекте новой редакции 382-П. И уж ГОСТ-то был принят к моменту начала работы над "Цифровой экономикой".
  • Рекомендуется (но не обязывается по тексту) перейти на отечественную криптографию в НПС. К концу 2019-го года ТК26 должен разработать рекомендации по стандартизации по этому вопросу. Дальше дело за ЦБ, который может обязать это сделать или нет.
  • В прошлой заметке я писал, что в первом разделе хотели стимулировать отечественных разработчиков софта и железа, но не производителей ИБ. Во втором разделе (почему не в первом?) решили и про них указать - это большой плюс. Много разных льготных мер хотят запустить до конца 2020-го года (но большая часть до конца 2018-го). Особенно мне понравилось два пункта - "Сформированы требования к иностранным производителям по предоставлению ими протоколов взаимодействия (API) для встраивания отечественных ИБ- продуктов в их разработки там, где это необходимо для обеспечения безопасности страны" и "Утвержден нормативно-правовой акт по внедрению пакета мер по принуждению иностранных производителей ИКТ-продуктов, использующихся на территории РФ, к встраиванию отечественных ИБ-продуктов там, где это необходимо". По принуждению...
  • А вот в чем разница между "Определение соответствия примерных основных профессиональных образовательных программ по специальностям и направлениям подготовки в области информационной безопасности целям и задачам цифровой экономики и их корректировка" и "Определение перечня профессиональных стандартов и внесение изменений в части освоения требований в области информационной безопасности". Ведь об о одном и том же, но в разных разделах и с разным финансированием.
  • Планом предусмотрено активное развитие страхования киберрисков; первоначально добровольного, но рассматривается возможность и обязательного. Особо меня зацепил вот этот пункт, в очередной раз отражающий квалификацию тех, кто готовил и принимал план - "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность ( в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем)" (выделение жирным мое). Вы помните в каком году отменили классификацию ИСПДн? Фактически в 2011-м, после принятия поправок в ФЗ-152, а формально в 2012-м, после принятия соответствующего приказа. Так, блин, о каких классах ИСПДн говорит план Правительства, утвержденный спустя 6 лет после отмены классов ИСПДн? "Ну кто так строит..." (с) Но про финансовую гарантию "хорошо" получается. Или отложи бабки на покрытие рисков (Базель II по ПДн) или сам страхуй. Если это норма пройдет, то это реально подхлестнет рынок "добровольного" страхования киберрисков, о которых очень активно недавно стал говорить Сбербанк. Кстати, в другой строке этого раздела вместо "уровень защищенности" написано "класс защищенности"...
  • Хотят создать реестр аккредитованных экспертных организаций в области компьютерной криминалистики, и систему контроля качества оказываемых ими услуг. В Фейсбуке на эту тему дискуссия была, но к единому мнению мы не пришли. У меня более пессимистичный взгляд на то, кто хочет и будет рулить этой темой, а у коллег более оптимистичный. Рад буду ошибиться. Самое интересное, что хотят нормативно закрепить обязанность привлекать эти аккредитованные организации при расследовании инцидентов. Вот это будет круто - хошь-не хошь, но привлекай их при инцидентах, что потребует отдельного бюджетирования.
  • Опять повторяется пункт (конечно же с отдельным финансированием) про "анализ перспектив развития информационных систем, выявление потребностей в недостающих средствах защиты" из первого раздела (там правда формулировка иная, но суть таже). И про безопасную разработку тоже повторяется раздел.
  • План предусмотривает внесение изменений в Уголовный кодекс Российской Федерации, касающихся расширения криминализации новых типов деяний, совершенных с использованием информационных технологий.
  • Фанфары... Теперь у нас появляется новый термин применительно в Big Data - "большие массивы данных". Ранее у нас были "массивы больших данных", "большие данные" и "большие пользовательские данные". Так вот операторы больших массивов данных должны обмениваться данными об инцидентах с НКЦКИ ФСБ. Зачем? Почему? О каких инцидентах? Кто это придумал?
  • Немало написано про продвижение российских решений по ИБ и идей по стандартизации зарубежом, но без конкретики. Также предполагается создание единых нормативных документов, стандартов и программ обучения по ИБ на уровне ЕАЭС (надо ли это странам ЕАЭС - большой вопрос).
  • Интересно, киберучения упоминаются только в рамках раздела по ИБ в ЕАЭС, но совсем не упоминается в чисто российском контекте.
  • Да-да, суверенный Интернет тоже предусмотрен в этой части (почему не в инфраструктурной?).
  • Интересно, что из финальной части целиком исчез раздел про международный обмен информацией об угрозах, атрибуцию угроз, запрет кибероружия. Вот это обидно. Мы когда на рабочей группе обсуждали это направление как раз говорили, что попытка на международном уровне договориться о суверенности Интернета - это утопия и на ее фоне надо хоть что-то полезное предложить. Но увы... Идеи экспертов не поддержали в очередной раз.
Отдельно хотелось бы пройтись вкратце по разделу финансирования. Считать чужие деньги конечно неправильно, но приятно :-) Особенно когда не можешь их найти в утвержденном бюджете РФ. Но разброс цен на выполнение работ конечно впечатляет. Например, развитие Рунета с учетом модернизации ведомственного центра ГосСОПКИ выделено за три года 0 (ноль) рублей, а на создание национального удостоверяющего центра 1 миллиард 100 миллионов рублей. Вообще, смотря на план финансирования у меня возник вопрос, что значит отсутствие выделения денежных средств на то или иное мероприятие? Что оно не будет реализовано? Что на него реализацию не надо денег? Или что деньги появятся потом, может быть, когда-нибудь? Например, выявление утечек Интернет-трафика не стоит ничего, как и создание национальной базы знаний и ее наполнение, как и строительство РКЦКИ (проектные работы по ним - 1 миллиард), как и единое пространство доверия электронной подписи в рамках ЕАЭС.

Есть в плане классное мероприятие - "создание механизма поддержки центра компетенций по импортозамещению в сфере ИКТ". На это мероприятие (не на поддержку, а на создание механизма поддержки) выделено 203 миллиона рублей. И вот таких вот статей затрат (на мой взгляд совершенно бестолковых) там немало - по 10-20 миллионов рублей тратится на определение и оценку показателей развития ИКТ, актуализацию критериев и классификатора и т.п. Интересно, что на "разработку требований к отечественным средствам ПО/железа/ИБ", "разработку предложений по стимулированию...", "анализ потребностей..." выделяется денег больше, чем на стимулирование самой разработки. На мониторинг использования в российских ЦОДах российских комплектующих и софта/железа (именно российских, что мониторится очень легко) выделено 10 миллионов, а на разработку модели ЦОДа на отечественном софте/железе/комплектущих выделено 0 рублей. Оно и понятно, мониторить использование отсутствующего своего проще, чем разрабатывать свое. На мониторинг закупок отечественного и иностранного ПО выделено 30 миллионов, а на создание базовой инфраструктуры многофакторной цифровой идентификации - 0 рублей. На разработку технологий доверенной третьей стороны на основе российской криптографии выделено 0 рублей, а на разработку проекта дорожной карты по российской криптографии в Рунете - 9 миллионов. На ресурс по оценке уязвимостей в web-приложениях выделено 441 миллионов, а на разработку различных стандартов - 0 рублей. Создание аналога ГосСОПКИ не для КИИ обойдется в 25 миллионов, а ресурса по контролю за использованием ПДн в 235 миллионов (за перве отвечает ФСБ, а за второй - Минкомсвязь, ответственное за весь план мероприятий). Ввод этих центров в эксплуатацию обойдется в 60 и 203 миллиона соответственно. На разработку отечественного ПО, акселерацию стартапов, гранты и т.п. для разработчиков отечественного софта и железа выделено около 15 миллиардов, а на разработку и совершенствование средств ИБ - 800 миллионов рублей.

Пожалуй, все с "Цифровой экономикой". Слишком велико количество ляпов в стратегическом документе такого уровня. И это все я нашел всего лишь за 3 часа чтения документа во время подготовки двух заметок. Наспех слепленный, он также будет и реализовываться. Хотя в контексте "Цифрового кодекса" вероятность его реализации уже вызывает вопросы. Но даже если что-то и будет сделано, то в первую очередь имеющее мало отношения к классической ИБ, а скорее к тому, за что отвечает Минкомсвязь. По цифрам затрат видно, что максимальные суммы выделены на понятные Минкомсвязи темы - импортозамещение, суверенитет Рунета и т.п. На классику ИБ деньги либо не выделены, либо мизерны. А некоторые основополагающие статьи затрат (например, стандартизация) не имеют бюджета вовсе. Зато на образование денег не пожалели - это плюс (если выделят и правильно потратят).


15.01.2018

FireEye покупает X15 Software

12 января FireEye анонсировала поглощение частной компании X15 Software, которая никогда не работала в сегменте ИБ, но зато разрабатывала технологии работы и анализа больших данных. Показательная сделка - ИБ-вендор начинает искать не ИБ-стартапы, а компании, которые занимаются аналитикой и которые позволят улучшить принимаемые решения в области ИБ. В видео по перспективным технологиям кибербезопасности я про это говорил; аналитика - это сегодня must have. А при большом объеме данных для анализа без Big Data не обойтись. Стоимость сделки составила около 20 миллионов долларов.

12.01.2018

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть первая, поэтическая


Посмотрите на эту фотографию. Она очень хорошо отражает то, что сегодня происходит с направлением информационной безопасности в рамках правительственной программы "Цифровая экономика". Вроде бы и можно было свернуть с имевшего в последние годы пути ведущего нас в темноту и повернуть к свету, но нет, мы упорно премся вперед, не сворачивая и залезая все глубже и глубже в непроходимые снега, где вместо движения по проторенной кем-то дорожке, мы пытаемся тропить свою собственную лыжню, которая может нас и приведет в светлое будущее, но не завтра, не всех и верится в это с трудом. И все это на фоне новостей о том, что топ-менеджеры ряда компаний отечественной ИТ-индустрии (в том числе активно участвующих в разработке "Цифровой экономики" и ратующих за цифровой суверенитет и ИТ-патриотизм) в декабре получили гражданство Мальты. Как тут не вспомнить строки из "Геофизического танго" Владимира Туриянского:

"Во дни разлук и горестных сомнений"
Как нам писал из Франции Тургенев.
Не надо слез и горьких сожалений,
Она уехала с другим купаться в Крым...

Так вот о "Цифровой экономике". 18 декабря Правительство утвердило план мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика". Я ознакомился с текстом (124 страницы мелким кеглем) и могу сказать, что мои, не раз уже высказываемые опасения оправдались. Документ получился очень сырым, а местами просто безграмотным как с точки зрения здравого смысла (но это мы оставим на совести экспертов, вносивших предложения, и экспертов, пропустивших их дальше), но и с точки зрения юридической. Попробую тезисно отметить мягко говоря спорные идеи, которые, по мнению Правительства, должны сдвинуть нашу аналоговую экономику в сторону цифровой трансформации (перечислять буду не все 124 страницы, а только то, что запало мне в мозг во время прочтения):
  • Почему-то данный план никак не синхронизирован с планом законопроектной деятельности Правительства, утвержденного двумя неделями позже. Весь план по ИБ рассчитан до 2024-го года и начинается по нему работа с 2018-го, но Правительство не планирует готовить никаких НПА по этому направлению. Почему? У меня есть ответ на этот вопрос, но я его оставлю при себе. Пусть те, кто считают, что "Цифровая экономика" действительно взлетит, и дальше остаются в шорах своей предубежденности.
  • На 3-й странице плана представлены ключевые показатели и индикаторы достижения задач, стоящих перед направлением ИБ "Цифровой экономики". Это замечательно, что в Правительство и АНО "Цифровая экономика" знают, что такое KPI. Но как можно принимать план, в котором по 25% показателей стоят прочерки? То есть показатель есть, но достигать его не надо. Эти 25% касаются закупки иностранного оборудования (то есть даже в Правительстве понимают, что отечественная индустрия "железа" не взлетит?), населения, использующего средства защиты (не знают как заставить применять отсутствующие отечественные средства защиты для частных лиц?), юрлиц, использующих НПС, субъектов, использующих стандарты безопасного взаимодействия государственных и общественных институтов (что это?).
  • Кстати, обратили внимание, в предыдущем пункте упоминалась НПС? Это вообще песня. У нас сегодня ВСЕ хозяйствующие субъекты используют НПС, так как в соответствие с ФЗ-161 "НПС - это совокупность операторов по переводу денежных средств, банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры". То есть миновать этих субъектов НПС при оплате чего-то бы-то ни было нельзя. Авторы имели ввиду (скорее всего) не НПС, а НСПК, то есть национальную систему платежных карт и карту "Мир". Но никто почему-то не стал исправлять этот ляп (хотя про него говорили на встречах в Центре компетенций).
  • Как вам фраза "рассмотрены уязвимости, связанные с киберпреступностью"?..
  • К концу 2019-года должна быть запущена в эксплуатацию централизованная система управления российскими сетями общего пользования. Хакеры всего мира (ну и спецслужбы, конечно, тоже) ждут, когда же у нас появится единая точка отказа управления, которую можно будет DDOSить, перехватывать управление и т.п. Чтобы хакеры не смогли надолго вывести ее из строя (интересно, как будут работать сети, если система управления ими выведена из строя), она должна интегрироваться с ГосСОПКОЙ. И эта централизованная система мониторинга ССОП - это не ГИС "Интернет" из законопроекта Минкомсвязи о критической инфраструктуре Рунета.
  • ГИС "Интернет" занимается совсем другим - обеспечением целостности, устойчивости и безопасности функционирования Рунета. С этой целью к концу 2020-го года должно быть создано ПО для ведения реестра маршрутов, мониторинга маршрутов, замещения корневых DNS-серверов, блокирования противоправного контента, национального удостоверяющего центра, взаимодействия с ГосСОПКОЙ. Кроме того, планируется общероссийский WAF для защиты всех сайтов в Рунете от атак (мне кажется, я даже исполнителя для последней задачи знаю, но это не тот, о ком вы подумали). Правда, последний пункт про WAF, кажется, совершенно случайно затесался в план - в списке мероприятий он есть, а в ожидаемых результатах нет.
  • К маю 2018-го года (осталось 4 месяця) Фонд "Сколково" должен разработать требования к устойчивости и безопасности сетей связи и оборудования органов государственной власти (за исключением высших органов государственной власти) и организаций различных организационно-правовых форм. Что это и как соотносится с требованиями, которые содержатся в приказе №1 Минкомсвязи или в существующих приказах ФСТЭК и ФСБ? И причем тут вообще Сколково?
  • Отечественных разработчиков компьютерного, серверного и телекоммуникационного оборудования хотят стимулировать налоговвыми льготами и таможенными пошлинами, а разработчиков средств защиты почему-то забыли. Зато последних хотят стимулировать льготными кредитами и инвестициями ВЭБа.
  • К концу 2020-го года разработчики компьютерного, серверного и телекоммуникационного оборудования должны использовать преимущественно отечественную электронную компонентную базу (где она, ау?).
  • Российские ЦОДы хотят заставить перейти на отечественное компьютерное, серверное и телекоммуникационное оборудование к концу 2019-го, а всю информационную инфраструктуру России - к концу 2024 года. Тут правда есть косяк. В разделе ожидаемых результатов написано, что надо достичь целевых показателей, а эти значения, как я указал выше, как раз и не определены (в плане стоят прочерки).
  • К концу этого года должны быть определены методология оценки рисков, методы и меры обеспечения информационной безопасности систем, реализованных на технологиях облачных, туманных, квантовых, виртуальных [забыли слово "вычислений", похоже], искусственного интеллекта и дополненной реальности, требования к стандартизации в сфере оценки рисков и обеспечения безопасности таких систем. Все это должен разработать опять Фонд "Сколково". До конца года? Требования по безопасности туманных и квантовых вычислений (по виртуализации у нас, к счастью, есть ГОСТ Р 56938-2016, разработанный в ФСТЭКоском  ТК 362, а по облакам, помимо ISO/IEC 27036-4:2016, отечественный ГОСТ находится на стадии проекта)? У нас дофига специалистов по безопасности туманных и квантовых вычислений? Про виртуальную и дополненную реальность, а также искусственный интеллект вообщу молчу. У нас интеллекта-то еще нет искусственного, а требования по его защите уже разработают в самой инновационной организации России, куда хрен доберешься. Кстати, авторы этого куска, похоже сами путаются между "виртуализацией" и "виртуальной реальностью". Они постоянно смешивают и путают эти понятия по тексту. К сентябрю 2019-го у нас должны быть разработаны стандарты ИБ по этим направлениям, а приняты они к июню 2020-го. Тогда и заживем в виртуальной реальности безопасно.
  • К маю этого года ФСБ, ФСТЭК во главе с Минкомсвязью, должны провести анализ мировых тенденций и долгосрочный прогноз развития ИТ в области ИБ (именно так - ИТ в области ИБ), а к сентябрю должен быть уже сформирован перечень перспективных технологий, которые могут надеяться на инвестиционную поддержку от российского государства. Это будет очередной foresight, который у нас так любят проводить всякие АСИ, Минкомсвязи и другие инноваторы. Почему-то эти долгосрочные прогнозы они делают раз в год, но видимо это традиция в России такая. Дороги у нас тоже раз в год ремонтируют и перекладывают асфальт и тротуарную плитку. 
  • Чтобы подчеркнуть важность процесса анализа разрыва между ожидаемым и реальным, слово "gap" в плане мероприятий написано заглавными буквами (GAP-анализ). А может это просто фирма GAP проспонсировала ее упоминание :-)
  • К июню этого года лицензиатами ФСБ (вообще странная конструкция) должен быть разработан проект плана мероприятий ("дорожная карта") "Российская криптография в российском сегменте Интернет". И вот на этой странице я понял, что скоро всем наступит давно обещанный коллапс экстаз. Российский сегмент Интернет хотят перевести на российскую криптографию, Web-сервера должны будут использовать TLS на базе ГОСТ 28147-89 в варианте "Кузнечик", а все браузеры должны реализовывать российскую криптографию. В условиях, когда разработка СКЗИ - это лицензируемый вид деятельности, а 99% браузеров у нас иностранного происхождения (Chrome, IE, Safari, Firefox), я с трудом себе представляю, как легально встроить в иностранное ПО российскую криптографию... и получить на нее сертификат ФСБ до конца 2020-го года. На все про все дается 3 года. 
  • Центр компетенций по импортозамещению в сфере ИКТ должен до конца 2020-го года запустить государственную программу Bug Bounty, где "победители получают денежные призы (гранты) за найденные уязвимости, разработчики их исправляют, а программное и программно-аппаратное обеспечение становится надежнее" (ожидаемый результат из плана Правительства).
  • К концу этого года должны быть созданы прототипы, а к сентябрю 2020-го уже финальные версии отечественных ОС, СУБД (правда, в термине "системы управления базами данных" почему-то забыли слово "данных" и получилось "системы управления базами"), офисных и иных (каких?) прикладных пакетов.  
  • С какого-то перепугу в стратегический документ попал целый раздел, посвященный уязвимостям Web-приложений. Согласно нему до июля 2018-го года не только должен быть проведен анализ уязвимостей всех web-приложений Рунета (а после июля не надо, да?), но и должен быть к концу 2019-го года создан единый ресурс по информированию и проверке угроз уровня web-приложений, находящийся под крылом ГосСОПКИ. Это аналог английского Web Check?
  • До конца 2020-го года хотят создать систему сертификации ПО, которое будет оцениваться по уровню локализации, степени правообладания и уникальности кода (ё, кто и как будет оценивать уникальность), после чего ПО будет присвоен определенный класс.
  • До конца этого года хотят определить (с помощью Роскомнадзора), как защищать массивы больших данных (видимо речь идет о Big Data), а до конца следующего года уже иметь стандарты по защите Big Data (их в мире-то еще нет, а у нас уже планы). В другом месте плана, правда, говорится, что эти стандарты должны быть готовы к марту 2019-го года. По тексту, кстати, постоянно смешивают то "массивы больших данных", то "большие данные". Сделано ли это специально или по недомыслию, не могу сказать. За разработку стандартов отвечает Сколково, а за инструментальный контроль использования Big Data ФСБ :-) 
  • С какого-то перепугу в раздел по ИБ попало регулирование онлайн-агрегаторов товаров, онлайн-рекламы, кинотеатров и средств виртуализации (что это и как соотносится с виртуальными вычислениями и виртуальной реальностью?).  И ведь на этапе обсуждения этот вопрос поднимали, что не место этой шняге в ИБ. Но нет. С упорством, достойным иного применения, эта тема теперь относится к ИБ.
  • К концу 2019-го года должны быть разработаны модели угроз и нарушителей для Интернета вещей для отраслей экономики (каких, не сказано).
  • Вместо "критической информационной инфраструктуры" План использует термин "критическая инфраструктура". Ну "экспертам" Правительства позволительно не знать уже принятого к моменту утверждения плана законодательства по КИИ.
  • К лету 2020-го года должны быть разработаны правила реагирования на инциденты безопасности киберфизических систем, включая Интернет вещей (пересекаются ли они с КИИ, ответить не могу, как и "эксперты"), а разработать их должны Минкомсвязь, Минпромторг, ФСТЭК и Роскомнадзор (ну эти-то куда). А как же ФСБ?
С русским языком по тексту тоже проблемы постоянно. Пропадают слова, меняющие смысл мероприятий дорожной карты. Например, в одном пункте написано "Утверждение национальных стандартов безопасности киберфизических систем, включая "Интернет вещей". Вроде все четко и понятно. Но сразу за ним, в итоговой строке раздела написано уже "Приняты национальные стандарты киберфизических систем, включая "Интернет вещей" (куда дели "безопасность"?), а в ожидаемых результатах опять "Национальные стандарты безопасности киберфизических систем, включая "Интернет вещей", утверждены". Тут впору вспомнить Тургенева, с упоминания которого я начинал заметку:

Во дни сомнений,
во дни тягостных раздумий
о судьбах моей родины,-
ты один мне поддержка и опора,
о великий, могучий, правдивый и свободный
Русский язык!

Не будь тебя -
как не впасть в отчаяние
при виде всего,
что совершается дома?
Но нельзя верить,
чтобы такой язык
не был дан великому народу!
Правдивый и свободный
Русский язык!

На этом заканчивается один из двух разделов Плана мероприятий по направлению ИБ в рамках "Цифровой экономики". Он посвящен обеспечению единства, устойчивости и безопасности информационно-телекоммуникационной инфраструктуры Российской Федерации на всех уровнях информационного пространства. Второй раздел, про обеспечение технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики я рассмотрю в понедельник. Там бросившихся мне в глаза мероприятий не меньше, чем в первой части, и поэтому лучше посвятить ей отдельную заметку (хотя деление на эти два раздела весьма условное).

Можно ли было родить в сложившихся условиях адекватный документ? Не знаю. Я, к сожалению, выпал из процесса на второй стадии. После сбора и составления перечня проблем, которые происходили в условиях жесточайшего цейтнота (всего за неделю надо было сформировать список проблем с ИБ в России), вторым этапом должен был стать мозговой штурм (опять за неделю) по формированию перечня мероприятий, которые бы устраняли проблемы и выводили отрасль ИБ из тьмы веков на свет. Но, блин, я эту неделю пропустил, побывав в трех командировках и не успев подготовить свои предложения (хотя часть из них я успел отправить еще на первой стадии). И после этого я уже потерял контроль над процессом - в нем участвовало уже ограниченное число лиц, а промежуточных результатов плана мероприятий Центр компетенций не рассылал (несмотря на обещания). В итоге я увидел финальную версию только в декабре, когда было уже поздно что-то менять. Да и бессмысленно, если честно. Получая информацию не только из центра компетенций, но и из других источников, уже стало понятно, что благие намерения экспертного сообщества не очень стыкуются с тем, что хотели сделать на верху "пищевой цепочки". Покаялся и ну и ладно.

Завершить столь "позитивную" заметку я бы хотел вновь строками из Владимира Туриянского:

Я устал от идиотов
От вождей и патриотов
От безумных финансистов
Демократов от сохи
От бездарных Центробанков
От рок-музыки и панков
И от суверенитета
Для республики Сахи...
Ткни любого депутата
У него ума палата
Все он знает и предвидит
Как премудрейший пескарь
Как преодолеть разруху
Как пройти водой посуху
Выясняется, что это
Бывший третий секретарь...

11.01.2018

Ландшафт технологий кибербезопасности (видео)

Я уже писал про Академию кибербезопасности Сбербанка, на которой я выступал с рассказом о новых технологиях ИБ, которые могут стать актуальными в среднесрочном горизонте планирования до 2025 года. Свою презентацию с этим обзором я уже выкладывал. Теперь пришло время для видео, которое я записал по мотивам этой презентации (с некоторыми вкраплениями технологий Cisco, которые учитывают описанные тенденции). Заняло это 1,5 часа, но возможно кому-то будет не лень это все слушать и смотреть :-)


10.01.2018

Barracuda покупает PhishLine и еще три интересных поглощения

3 января американская Barracuda анонсировала приобретение одного из игроков рынка симуляторов для социального инжиниринга и обучения по ИБ, компанию PhishLine. Финансовые условия сделки не раскрываются.

9 января Threatcare объявила о покупке Savage Security. Обе компании абсолютно неизвестны в России, но меня заинтересовало данное поглощение потому, что Threatcare работает в совершенно новом сегменте решений по автоматизации и симуляции атак, о котором только-только начинает писать Gartner и который еще совсем не сформировался.

5-го января Verizon объявила о покупке частной компании Niddel, которая занималась threat hunting'ом на базе машинного обучения для расширения сервиса MDR, который Verizon двигает в сторону своих клиентов. А другая американская компания, Cyxtera Technologies, занимающая защищенной инфраструктурой, объявила 8 января о покупке небольшой частной компании Immunity, которая основана бывшим сотрудником АНБ и занимается различными offensive-проектами - пентестами, разработкой эксплойтов, исследованиями уязвимостей и т.п. Среди прочего у Immunity есть и ряд инструментов (например, INNUENDO и CANVAS), которые также относятся к категории симуляторов атак. Тут я вижу две интересных тенденции - скупка небольших игроков рынка ИБ более крупными, "инфраструктурными" компаниями, которые расширяют свое портфолио решеними по ИБ (операторы связи - яркий представитель таких инфраструктурных компаний), и активное появление на рынке решений для автоматизации симуляции атак, позволяющих заменить немасштабируемый, но зато формализуемый труд пентестеров (я про это писал в 2016-м году).

Блиц-обзор основных ИБ-новостей за прошедшие праздники

Вообще я не хотел писать эту заметку, но несколько коллег вчера спросили меня, буду ли я по традиции делать обзор того, что произошло за новогодние праздники, чтобы понять, не пропустили ли они чего-нибудь важного, проведя время в Мексике, Тайланде, США и других прекрасных частях света, полностью дистанцировавшись от профессиональных новостей. И посколько таких запросов было больше одного, я не стал противиться и составил свой топ новостей за прошедшие пару недель, взяв за точку отсчета последнюю неделю декабря (многие уже не работали в последние пару дней). Итак мой топ таков:
  • Правительство утвердило план мероприятий по направлению "Информационная безопасность" в рамках программы "Цифровая экономика". Я уже высказывался по поводу этой программы и финальный план меня окончательно убедил, что далека она от того, чтобы хоть как-то выправить ситуацию в индустрии; скорее наоборот. Думаю, на днях более подробно распишу про этот документ.
  • В начале января стало известно о наличии в процессорах Intel, AMD, Qualcomm и др. уязвимостей, названных Meltdown и Spectre, которые позволяли красть конфиденциальную информацию с устройств, на которых можно было запустить пользовательский код (в том числе и с помощью JavaScript). Часть вендоров пользовательских и серверых ОС уже отчиталась о выходе патчей (которые могут привести либо к неработоспособности системы определенной конфигкрации, либо к некоторому замедлению работы), часть тормознула из-за новогодних праздников. В любом случае последнюю неделю разговоры в открытых и закрытых группах и чатах ведутся только об этих уязвимостях, преподносящихся как очередной (или даже более серьезный "Heartbleed"). На мой взгляд это совсем не "ужас-ужас", как говорилось в одном анекдоте. Не надо срочно бежать и менять (как иногда советуют) все уязвимые процессора на новые (кто гарантирует, что там нет этих "уязвимостей" или закладок?). На мой взгляд достаточно начать с правильной защиты пользовательских ПК - ограничение (не тупой полный запрет) работы скриптов JavaScript с помощью бесплатного NoScript или AdBlock и использование решений класса EDR (а не просто сигнатурных антивирусов). Дополнительно необходимо контролировать доступ к вредоносным сайтам, эксплуатирующим эти уязвимости (с помощью решений класса SIG, обычных URL-фильтров или DNS Firewall), а также использовать IPS, детектирующие использование указанных уязвимостей. Иными словами, старая добрая эшелонированная защита, которая помогла бы в случае с WannaCry, Neytya, Bad Rabbit и множеством других "ужас-ужасов". Гораздо более неприятная ситуация ждет производителей сертифицированных в ФСТЭК (с ФСБ не уверен, что они сильно парятся на тему уязвимостей в сертифицированных СКЗИ) средств защиты, которым придется доказывать отсутствие влияния новых уязвимостей, уже попавших в БДУ ФСТЭК.
  • Американские министерства торговли и нацбезопасности выпустили проект отчета для Президента (виданное ли дело, публиковать проекты отчетов для руководства страны?) по усилению устойчивости американской телекоммуникационной инфраструктуры и Интернет к различным распределенным киберугрозам (ботнетам и т.п.).
  • Wi-Fi Alliance  анонсировал новую версию протокола защиты беспроводных сетей WPA3, среди обновлений которого можно назвать защиту от перебора паролей при аутентификации в беспроводных сетях, а также улучшения криптографической подсистемы.
  • VirusTotal запустил новый инструмент визуализации VirusTotal Graph, позволяющий визуализировать взаимосвязи между файлами, URL, доменами и IP-адресами.
  • Министерство промышленности и информатизации Китая выпустило план действий по защите своих систем промышленной автоматизации "Industrial Control Systems Information Security Action Plan (2018-2020)".
  • Российский хакер Козловский признался в том, что это он создал WannaCry по заказу ФСБ. История с этим Козловским мутная донельзя - на его странице в Фейсбуке выложены десятки стран уголовного дела, в котором он "признается", что работал по заказу арестованных по делу о госизмене бывших сотрудников ЦИБ ФСБ Сергея Михайлова и Дмитрия Докучаева. По словам Козловского, именно он, сотоварищи, взломал американские выборы в 2016-м году. 
  • Был подготовлен законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  • Минкомсвязь подготовило проект приказа об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
  • 29 декабря Президент подписал закон об удаленной, читай, биометрической, идентификации клиентов финансовых организаций, за которым последуют и нормативные акты самого ЦБ. Банковским безопасникам стоит готовиться в этом вопросе - он может очень быстро стать актуальным, а может быть и обязательным (как "Мир", НСПК и иже с ними).
  • Директор АНБ и глава американского киберкомандования Майкл Роджерс решил уйти в отставку, что и должно произойти весной этого года. За прошедшие 4 года, что Роджерс руководил АНБ, произошло немало событий, которые, как мне кажется, и повлияли на решение об отставке. Тут и утечка арсенала АНБ через взлом The Equation Group, и противостояние с Трампом, которого Роджерс прямо обвинил в сговоре с Россией.

Вот такой новогодний топ-лист новостей по ИБ...


ЗЫ. Принятые в прошлом году и готовящиеся к принятию в этом нормативные акты можно посмотреть в одной из последних заметок блога.

28.12.2017

Список мероприятий по ИБ в России на 2018-й год

И вновь по сложившейся традиции выкладываю список мероприятий по ИБ на следующий год. Включил в него только то, что я нашел в Интернет и чьи планы уже известны и опубликованы. Критерии внесения не менял:

  • известная дата
  • возможность попасть со стороны (пусть и за деньги, но не по приглашениям и закрытым спискам)
  • невендорские
  • достаточно массовые 
  • очные (онлайн/вебинаров в списке нет)
  • только Россия
  • широко известные (про многие региональные мероприятия я просто ничего не знаю)
  • ИБшные (ИТшные с вкраплениями ИБ не включаю)
  • неВУЗовские (у них своя целевая аудитория и специфика).

В принципе в 2018-го году мероприятия (столичные или питерские) распределены вполне себе равномерно по календарю и не пересекаются по датам, что позволяет спокойно посещать их, не боясь просылать халявщиком, посещающим мероприятия ради обеда или фуршета. Единственная накладка - пересечение по датам ФСТЭКовской конференции 14 февраля и Уральского форума по банковской ИБ. Раньше они обычно проходили на соседних неделях и можно было посетить оба мероприятия; теперь участникам придется выбирать.



ЗЫ. Будут дополнения - пишите в комментариях или мне лично (организаторы мои контакты обычно знают :-)

ЗЗЫ. Проект http://risc.events похоже умер - никакой активности ни на сайте, ни в его Твиттере я не видел давно. А жаль :-( Но лишний раз доказывает, что при отсутствии человека, который это делает не из под палки, а реально горит любимым делом, все загибается и приходит в упадок :-(

27.12.2017

Список НПА по ИБ, принятых в 2017-м году и готовящихся к принятию в 2018-м

Продолжая подведение итогов, свел в единой заметке все нормативно-правовые и нормативные акты, которые появились в 2017-м году; как в виде уже принятых документов, так и в виде проектов, которые будут приняты в году 2018-м (исключая электронную подпись и Интернет-тематику - мессенджеры, анонимайзеры, VPN и т.п.). Начну я с двух документов, которые были приняты еще в 2016-м, а в 2017-м году вступили в силу. Таких нормативных актов я бы отметил два:
  1. Закон о внесении изменений в КоАП в части увеличения размера штрафов за нарушение законодательства по персональным данным, а также изменения правил назначения  (полномочия от прокуратуры перешли к РКН) и расчета (кумулятивная сумма может превышать даже максимум по GDPR) этих штрафов.
  2. Вступило в силу ПП-541 о лицензировании деятельности по технической защите конфиденциальной информации, в котором впервые в России была установлена обязанность получать лицензию для всех SOCов, предоставляющих услуги внешним лицам (даже в рамках холдингов или групп компаний). На мой взгляд это отбросит эту сферу назад, так и не дав ей нормально развиться и перенять лучшие мировые практики в деле SOCостроительства.


Из принятых документов я бы отметил:
  1. ЦБ разработал и через ТК122 провел новый ГОСТ по базовым мерам защиты информации в финансовых организациях, который не только знаменут собой новый подход к ИБ в финансовой отрасли (гибкий выбор защитных мер против жестко зафиксированного, три уровня защищенности против одного для всех), но и стал первой ласточкой в наборе из двух десятков новых стандартов, которые Банк России запланировал разработать в ближайшие годы.
  2. ФСБ стала инициатором трех законов, ставших основой нового законодательства по безопасности критической информационной инфраструктуры. Речь идет о ФЗ-187, ФЗ-193 и ФЗ-194, которые, соответственно, устанавливают основные требования по безопасности, вводят уголовную ответственность за несоблюдение правил доступа к КИИ и атаки на них, а также вносят ряд изменений в иные законодательные акты в связи с принятием ФЗ-187. Во исполнение этих законов должно быть разработано около 20-ти нормативных актов, большая часть из которых разработана, но еще не принята (это произойдет не раньше конца января - середины февраля - Минюст просто не успеет раньше все оценить). Про это я еще буду писать в будущем не раз, так что сильно погружаться в эту тему не буду; хотя по некоторым темам я уже проходился (тут, тут, тут, тут, тут и тут). 
  3. Указ Президента РФ №569 по наделению ФСТЭК полномочиями по регулированию вопросов безопасности КИИ, а также снятию с нее полномочий по регулировании вопросов безопасности КСИИ. Ресурсов для реализации новых полномочий, правда, не добавили.
  4. Указ Президента №620 по совершенствованию ГосСОПКИ и возложению на ФСБ функций регулятора в области ГосСОПКИ, что требовалось для реализации ФЗ-187 и выпуска ФСБ соответствующих нормативных актов. Также данный Указ возложил на ФСБ часть функций по защите (криптографическими методами) суперкомпьютерных и грид-технологий. Это интересное дополнение, которое еще требует отдельного осмысления.
  5. Методические рекомендации ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ (тут, тут и тут). 
  6. Два Указа Президента, №169 и №308, вносящих изменения в Указ Президента №1203 о перечне сведений, составляющих гостайну. Скоро в него и еще внесут изменения, в связи с принятием ФЗ-187, в котором, сведения о мерах обеспечения безопасности в КИИ отнесены также к гостайне.
  7. Распоряжение Правительства №1632 по программе "Цифровая экономика". Я про это уже писал (тут, туттут и тут) - повторяться не буду. Не взлетит она.
  8. Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.
  9. ФСТЭК в феврале выпустила 31-й приказ по мерам защиты информации в ОПК. Это вообще анекдотичная тема - выпустить приказ с тем же номером и почти теми же объектами защиты (АСУ ТП), но в другой сфере экономики (оборонно-промышленный комплекс). Документ закрытый - комментировать не буду.
  10. ФСТЭК внесла косметические изменения в 17-й приказ по защите ГИС, синхронизировав его с другими НПА и сложившейся практикой защиты государственных и муниципальных информационных систем.
  11. ФСТЭК внесла также косметические изменения в 21-й и 31-й приказы по защите ИСПДн и АСУ ТП.
  12. Президент подписал "Стратегия развития информационного общества", на фундаменте которой базируется "Цифровая экономика". Побуду скептиком, но думаю, что и этот вымученный людьми, далекими от ИТ, документ не взлетит.
  13. Евросоюз принял новый свод требований по защите персональных данных (GDPR), который распространяется и на российские компании, работающие с ПДн граждан Евросоюза. И хотя РКН осенью заявил, что как раз на отечественные предприятия GDPR не распространяется, я бы РКН не верил (их знание законодательства оставляет желать лучшего). Как минимум, стоит напрячься тем компаниями, которые имеют представительства в Европе или активно работают с европейскими компаними.
  14. ФСБшный ТК26 разработал и провел через Росстандарт больше 5 рекомендаций по стандартизации в области криптографической защиты информации (особоенно интересна не разработчикам вот эта, принятая вчера).
  15. 29 декабря Президент подписал закон об удаленной, читай, биометрической, идентификации клиентов финансовых организаций, за которым последуют и нормативные акты самого ЦБ. Банковским безопасникам стоит готовиться в этом вопросе - он может очень быстро стать актуальным, а может быть и обязательным (как "Мир", НСПК и иже с ними).
Ну и, наконец, последняя порция нормативных актов, работа над которыми началась (а местами уже и закончилась), но они еще не были приняты:
  1. ЦБ подготовил ГОСТ по оценке соответствия в пару с уже принятым ГОСТом 57580.1. Он уже согласован в ТК122 и отправлен в Росстандарт для прохождения официальной процедуры принятия.
  2. Также Банк России разработал стандарт по рискам кибербезопаснсти при использовании аутсорсинга. Он прошел уже несколько итераций и должен быть принят в самое ближайшее время.
  3. Финансовый регулятор также разработал новую редакцию 382-П, о которой я уже писал, и которая вводит ряд новых ключевых требований по ИБ (разделение контуров, оценка соответствия платежных приложений, оперативное уведомление об инцидентах, применение сертифицированных СКЗИ для защиты ПДн). Документ сейчас проходит согласование в ФСБ и должен быть принят в самое ближайшее время, чтобы вступить в силу с лета или, в крайнем случае, с осени 2018-го года. Кстати, ссылок на ГОСТ 57580.1 в нем не будет - это будет в следующей версии.
  4. В пару с новой редакцией 382-П подготовлена и новая редакция 2831-У, которая знаменует собой окончательный переход на новую стратегию уведомления об инцидентах и состоянии защищенности финансовых организаций.
  5. В Госдуму было внесен еще один законопроект, имеющий прямое отношение к ЦБ и ИБ. Речь идет о нормативном акте (есть две версии - аксаковская, майская, и правительственная, октябрьская), который не только устанавливает новые правила по борьбе с мошенничеством, ведение базы инцидентов, немедленное уведомление о мошеннических операциях, но и наделяет ЦБ полномочиями по выработке требований по защите информации не только в рамках НПС, но и для всех остальных финансовых организаций. В январе его должны рассмотреть в первом чтении депутаты.
  6. Минкомсвязь в декабре подготовил проект внесения изменений в Приказ №1, посвященный защите от несанкционированного доступа на сетях связи. Посмотрим, что там будет и как операторы будут его выполнять. Раньше они не особо стремились к этому, да и РКН (а именно он надзорный орган по ИБ для операторов связи) не особо проверял его исполнение занимаясь более насущными задачами (блокировки, защита детей, регулирование спектра, работа с матом в СМИ и т.п.).
  7. В рамках реализации ФЗ-187 Правительство готовит проект своего постановления по категорированию объектов КИИ. На данную процедуру выделяется полтора года с момента принятия НПА (не реньше января, а то и февраля), по итогам которых вы получите список значимых объектов, на которые и будут распространяться требования по защите ФСТЭК.
  8. Проект Постановления Правительства об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов КИИ устанавливает правила присоединения значимых объектов к сетям связи (в нем тоже немало интересного).
  9. Проект Постановления Правительства о порядке осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ.
  10. ФСТЭК в свою очередь подготовила и уже выложило для ознакомления несколько проектов приказов:
    • Требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования
    • Требования по обеспечению безопасности значимых объектов КИИ
    • Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ.
    • Об утверждении порядка ведения реестра значимых объектов КИИ
  11. ФСБ также подготовила и выложила вчера для ознакомления ряд проектов приказов в рамках своей деятельности (борьба с атаками и реагирование на инциденты):
    • Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
    • Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения
    • О Национальном координационном центре по компьютерным инцидентам (НКЦКИ)
  12. ФСТЭК готовит в первом квартале проект своего приказа «Об утверждении Положения о сертификации средств защиты информации по требованиям безопасности информации».
  13. Будет принято еще некоторое количество документов в части международной ИБ. Тут и всяческие двусторонние соглашения по ИБ, и блоковые документы. Одним из таких станет проект распоряжения Правительства Российской Федерации «Об одобрении проекта программы Союзного государства «Совершенствование системы защиты информационных ресурсов Союзного государства и государств-участников Договора о создании Союзного государства в условиях нарастания угроз в информационной сфере» («Паритет»), который готовит ФСТЭК.
ОБНОВЛЕНИЕ от 30.12.17:
  1. Законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  2. Проект приказа Минкомсвязи об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
Число сопоставимо с тем, что было в 2016-м году Есть, что поизучать и применить (или обосновать отсутствие необходимости применять). Кстати, обратите внимание, что из планируемых к принятию в 2017-м году, половина так и не была принята - либо документ был внесен и завис в Госдуме, либо по нему до сих пор идут споры среди ведомств и экспертного сообщества.


ЗЫ. Допускаю, что что-то упустил. Буду рад, если сможете в комментариях дополнить - я внесу в список.

26.12.2017

Мой Топ событий кибербезопасности в уходящем году

Решил по сложившейся традиции подвести некоторые итоги года и сформулировать список событий, которые мне запомнились в нашей отрасли. В отличие от прошлого года, когда я разделял события на отечественные и зарубежные, в этот раз я решил дать все одним списком. При этом стоит отметить, что данный событийный пьедестал является субъективным, так как отражает сугубо мою точку зрения на все происходящее. Итак, я бы выделил следующих 7 событий, которые на мой взгляд на только являются самыми значимыми (по крайней мере для меня), но и, отражая очень интересные, но не всегда явные тенденции, могут иметь определенные, далеко идущие последствия:


  1. Слитый в Интернет архив АНБ/ЦРУ ShadowBrokers / Vault 7. Данное событие малоинтересно с точки зрения того, что утекло и у кого (помним, что существует два типа организаций - тех, кого уже взломали, и тех, кто еще об этом не знает). Ну с кем не бывает? При таком количестве лиц, имевших доступ к этим архивам (говорят о 5000 человек), утечка была только вопросом времени. Отсутствие схожих утечек в России говорит не только об уровне секретности в наших спецслужбах, но и о количестве лиц, допущенных к такого рода инструментарию (а он есть, тут я не сомневаюсь). О тысячах говорить не приходится; думаю и о сотнях тоже. Но данные истории интересны другим. Они по сути уравняли технические возможности (думаю, не надолго, но все-таки) рядовых киберпреступников и спецслужб. А это в свою очередь влияет на оценку потенциала нарушителя, если следовать терминологии ФСТЭК, или модели нарушителя, если следовать терминологии ФСБ. В первом случае потенциал оценивается как функция от двух переменных - мотивации и возможностей. Возможности обычного хакера и хакера в погонах теперь равны, а мотивацию оценить бывает и вовсе невозможно. Отсюда получается, что закладываться в модели угроз ФСТЭК надо на максимально возможный вариант, что грозит завышенными затратами и существенным снижением удобства системы защиты. В случае с ФСБ мы приходим к тому, что против нас почти всегда действует нарушитель Н6, то есть приравненный к спецслужбам иностранного государства; опять, со всеми вытекающими отсюда последствиями и затратами.
  2. Эпидемии WannaCry, Neytya и BadRabbit. Я уже писал, что сами по себе данные угрозы не стоят и выеденного яйца, так как они не настолько опасны, как об этом пишут в СМИ. Ну пострадало от WannaCry 400 тысяч компьютеров и что? Вирус ILOVEYOU, Conficker, да даже Locky или Dridex заразили гораздо больше жертв, а их авторы получили гораздо больше выгод, чем в случае с WannaCry и иже с ними. Но... данные эпидемии интересны по другим причинам. Я бы назвал две. Во-первых, они показали абсолютное раздолбайство большинства заказчиков, до сих пор считающих, что пары МСЭ + AV достаточно для борьбы с вредоносными программами. Да даже если для защиты использовалось больше этих двух типов защитных устройств. Ну как вообще можно было пропустить то, что использовало известные уже не одну неделю уязвимости?  Оказалось можно. А во-вторых, названные  угрозы в очередной раз продемонстрировали неспособность антивирусных производителей (да и не только их) бороться с банальными проблемами. Вспомните, что они вам говорили после начала эпидемии? "Мы умеем бороться с WannaCry. Просто включите механизм мониторинга системной активности". То есть? А он не был включен? А почему? Ааа, так он вешает компьютер, загружая процессор на 100%? Тогда понятно. А фразу о том, что антивирусный вендор научился распознавать вредоносное ПО через час после начала эпидемии? А как же хваленое обнаружение 100% неизвестных вирусов и эвристические механизмы (кстати, вы же не думаете, что антивирус хранит на каждом защищаемом компьютере всю базу вирусных сигнатур, которая может насчитывать сотни миллионов и миллиарды семплов)? А как быть с тем, что уязвимость, используемая WannaCry, была известна уже месяц? Все это лишний раз доказывает, что никакие APT не нанест такого ущерба, как раздолбайство самих специалистов по ИТ или ИБ, занимающихся не реальной, а мнимой безопасностью. А самое интересное, что эти эпидемии показывают, что ничего не изменится в области ИБ в ближайшее время. Люди как доверяли купленным железкам и софту, отключая мозг, так и будут доверять.
  3. Прохождение сертификации ФСБ на многопротокольное оборудование, а также сертификации ФСТЭК на отсутствие НДВ для маршрутизаторов Cisco ISR. Да, это событие локальное и моновендорное, но для меня не менее значимое; особенно в текущей ситуации с импортозамещением, санкциями, разговорами о возобновлении холодной войны и т.п.
  4. "Цифровая экономика". Про эту государственную программу я уже писал (тут, тут и тут) и повторяться не буду. Для меня данное событие значимо по ряду причин. Во-первых, оно подтвердило мой прошлогодний прогноз об усилении роли Сбербанка в обеспечении кибербезопасности на национальном уровне. Сбербанк реально пытается что-то сделать лучше в нашей сфере (Академия кибербезопасности - это одно из таких начинаний, Центр компетенций по ИБ в рамках цифровой экономики - другое). Я еще напишу, видимо уже в следующем году, о том, в каком направлении движется Сбербанк в части кибербезопасности (у них немало интересных проектов, как показали выступления на Академии кибербезопасности). Просто они слишком опережают время и, не учитывая политическую составляющую процесса, бегут впереди паровоза. Так было и с центром компетенций по ИБ, в работе которого изначально не пригласили (я уже писал про это) ни одного из регуляторов по ИБ (ни ФСТЭК, ни ФСБ, ни ЦБ), что и сказалось на результатах, которые немного отличаются от первоначальной задумки - и по количеству инициатив, и по финансированию, и вообще по самой дорожной карте. Не буду вдаваться в детали, но судя по всему, данная программа, в том виде, в котором она преподносилась, мягко говоря, отошла на второй план. Не скажу, что работа прошла впустую, но и запланированного выхлопа от нее не будет. Лично для себя я получил список интересных инициатив, в количестве нескольких сотен, часть из которых можно попробовать пропихнуть при очередной попытке улучшить отрасль ИБ в России (а их было уже немало).
  5. ФЗ "О безопасности критической информационной инфраструктуры". Это законодательство (а это около двух десятков нормативно-правовых актов от ФСТЭК, ФСБ, Правительства, Президента, Минкомсвязи и др.) интересно не тем, что оно символизирует собой новый этап в развитии отечественного рынка ИБ, как считают многие специалисты. Как раз наоборот. Оно ничего не символизирует. Почему в России что-то делают с ИБ только под влиянием регулятора и штрафов? Почему нельзя оценивать реальные угрозы или влияние ИБ на бизнес? Почему все ждут, что принятие нового законодательства что-то изменит с безопасности критических инфраструктур? Почему все считают, что ГосСОПКА как-то улучшит ситуацию с атаками (WannaCry-то прошел, и Neytya тоже, и Bad Rabbit)? Лично для меня ФЗ-187 и иже с ними запомнился совсем другим. Во-первых, полным нежеланием ФСБ прислушиваться к мнению экспертного сообщества (не надо сразу думать, что я о себе, - было много предложений из разных источников, которые были проигнорированы). Во-вторых, демонстрацией того, что в сжатые сроки (два с небольшим месяца) "родить" нормативку можно, но качество ее будет не самым высоким. В-третьих, убеждением, что ФСТЭК реально заинтересована в государственно-частном партнерстве (чтобы это ни значило) и привлечении экспертного сообщества при подготовке своих нормативных актов (сколько было заседаний по проектам приказов и не сосчитать). В-четвертых, уверенностью, что курс на цифровой изоляционизм, который сейчас активно продвигается со всех сторон, ожидаемого эффекта не даст, а только отбросит Россию назад. Мы это уже проходили, но можно и повторить :-(


  6. Напряженная геополитическая ситуация. Эта тема не нова и длится уже года три, с момента внезапного желания Крыма присоединиться к России, завершившегося нашей пирровой победой. И дело не в санкциях (которые усилятся в начале 2018-го года), и не в возможном сценарии повторить путь Северной Корее, находящейся в мировой изоляции, и даже не в импортозапрещении, в результате которого российская отрасль ИБ пока так ничего и не родила (хотя даже слонам для рождения своих детенышей нужно всего около 2-х лет). Меня во всей этой ситуации смущает Китай. Государство, которое способно строить Великую Китайскую стену почти 20 столетий, не отступая от принятой изначально стратегии, способно на многое. В отличие от западных "торопыг", китайцы готовы долго ждать установления своего господства. И для этого они готовы идти на жертвы - внедряться в разные компании под видом "чернорабочих", отдавать свое оборудование даром (и даже выдавать миллионные кредиты на него), спускать на тормозах международные инициативы, которые вредят Китаю, строить из себя падаванов Великой Америки. И вот так, тихой сапой, они становятся гегемонами и в мировой ИБ. И к чему это приведет, пока сказать сложно. Даже секретные письма о запрете китайского оборудования не сильно помогают - китайцы все равно проникают повсюду. А бороться с ними сложно - совершенно иная культура, отличная от более привычной нам западной.
  7. Финальным аккордом я бы назвал историю с Центром информационной безопасности ФСБ, которая длится уже больше года, начавшись с задержания одного из высокопоставленных сотрудников этого центра, борющегося в России с киберугрозами. После этого были регулярные вбросы в СМИ различных непроверенных (но как обычно полученных из "достоверных" источников) фактов, которые еще больше набрасывали удавку бросали тень на работу центра. То бывший сотрудник Лаборатории Касперского обвиняет ФСБ в найме киберпреступников на работу. То эту тему подхватывает еще один бывший, на этот раз сотрудник ФБР. Сами киберпреступники вдруг тоже начинают из тюрьмы публиковать разоблачения и обвинять ЦИБ в найме хакеров на работу для взлома американской демократии. Слишком уж много вливается из разных "независимых" источников одной и той же информации. Правдива ли она? Отрицать не буду - я допускаю такой вариант. Но дело в другом. Шумиха вокруг ЦИБа сильно мешает ему осуществлять свою работу по поимке реальных киберпреступников. И в этом я вижу крайне отрицательное влияние этой ситуации на отрасль ИБ. С другой стороны, ФСБ занимает выжидательную позицию, молча и никак не комментируя все творящееся вокруг ЦИБа. То ли его хотят утопить, то ли просто нет у ФСБ своей "Захаровой", которая бы отвечала на нападки. С PR (и борьбой с черным PR) у ФСБ все не очень хорошо, о чем я тоже уже писал.
Вот такая субъективная "великолепная семерка" получилась. Посмотрим, к чему она приведет в году желтой земляной собаки.