28.2.17

Виртуальная и дополненная реальность проникают в кибербезопасность

Считается, что большинство современных аналитиков и киберразведчиков ИБ пришло из поколения игроков в "игры". И дело не только в различных шутерах и стратегиях, сколько вообще в отношении к многим аспектам жизни как к игре. Отсюда большой интерес к применению в кибербезопасности технологий виртуальной (virtual reality, VT) и дополненнной (augmented reality, AR) реальности, что и было продемонстрировано на прошедшей RSAC. Причем в совершенно различных вариантах, что доказывает, что эта тема станет некоторым трендом на ближайшее время.


Самый бюджетный вариант представила ISACA :-) Это был конструктор "собери сам". Конечно, это не виртуальная, и даже не дополненная реальность, но отсыл к ней был самый что ни на есть прямой.


Очень хорошо накладывалась тема VR/AR на Интернет вещей. Например, у ForeScout вам надевали VR-очки и вы прослушивали короткую лекцию об опасности Интернета вещей с точки зрения кибербезопасности. Вы погружались в виртуальную комнату, где, "крутя головой" вокруг, выхватывали различные объекты (термостаты, часы, погодные станции, точки доступа, будильники, фитнес-браслеты и т.п.) и получали краткий обзор проблем с их безопасностью. 

Виртуальная реальность ForeScout
На стенде RSA схожая идея была реализована на Microsoft Hololens, но в формате AR. И в отличие от ForeScout с их статическим обучающим роликом (думаю, что это станет основным применением VR в ИБ ввиду его простоты) RSA сделала интерактивный Holographic Challenge, чем-то схожий с Pokemon Go!.

Некоторые компании пошли чуть дальше и сделали свои VR/AR-продукты еще более интерактивными и динамичными. Например, у Webroot с помощью Google Cardboard демонстрируется контекстная база данных ИБ. Cisco с помощью VR-очков показывает сложность современных атак и как они реализуются во временном промежутке.

Виртуальная реальность Cisco
Упомянутый в прошлой заметке Cylance с помощью VR показывал работу своего искусственного интеллекта, но не впечатлило. 


Одно из интересных решений показывала Landrian Networks - они активно используют VR для автоматизации работы SOCов. С помощью Occulus они очень интересно визуализируют различные процессы изучения угроз, расследования инцидентов, анализа поведения пользователей и т.п. Поигрался я с этой штукой - интересно, но без опыта работы в виртуальной реальности постоянно тыкаешь не туда.


По сравнению с прошлым годом применение VR/AR в кибербезопасности сделало большой скачок. Все-таки человеку свойственно анализировать причинно-следственные связи и виртуальная реальность легко позволяет реализовать такую возможность. В том числе и в кибербезопасности, где такие связи не всегда очевидны, а данных для их поиска слишком много. Правильная аналитика наряду с визуализацией позволит сильно облегчить эту работу.

ЗЫ. Не могу не вспомнить про вступающее летом в силу 541-ПП с новыми требованиями к лицензированию деятельности SOCов. Оно по сути запретило работу виртуальных SOCов (VSOC), когда аналитики находятся в разных точках своей компании, особенно территориально-распределенной, но при этом составляют единую команду расследования и реагирования на инциденты ИБ. Так вот, технологии виртуальной реальности очень хорошо ложатся на работу SOC и могут стать следующим этапом в развитии моделей организации центров мониторинга, согласно которому аналитик может находится даже не в офисе, а, например, дома или в ехать в "Сапсане", но при этом с помощью VR-очков быть погружен (в прямом смысле этого слова) в анализ событий безопасности. Но новое Постановление Правительства, разработанное ФСТЭК по наветам российских владельцев коммерческих SOC, поставило крест на такой возможности, ибо аттестовать мобильное и динамично изменяющееся рабочее место по ГИС1 невозможно.

ЗЗЫ. Не большой знаток VR-технологий, но когда я тестировал их на стендах в рамках RSAC, столкнулся с проблемой. Я ношу очки, а на них VR не надевается. Возможно они могут быть настроены под конкретного человека с "минусом или плюсом", но на выставке это не было.

27.2.17

Процесс безопасной разработки ПО в Cisco (видео)

Вдогонку к своей презентации с конференции ФСТЭК по тому, как в Cisco устроен процесс безопасной разработки ПО, выкладываю и видео по ней. Это не запись с конференции - я отдельно записывал видео, чтобы не быть ограниченным 20-тью минутами, как это было на мероприятии.


Впечатления от RSA Conference/Expo

На неделе 12-17 февраля в Сан-Франциско прошла очередная, уже 26-я, конференция и выставка RSA, которая является крупнейшим событием в области информационной безопасности в мире. В этом году это мероприятие посетило 43 тысячи человек. Я планирую посвятить этому мероприятию несколько заметок (есть еще и непубличный обзор технологий, но его я оставлю для себя), тем более что там было что посмотреть и что узнать, а пока я хотел бы поделиться краткими зарисовками с RSAC, которые дополнят мои прошлогодние записи (тут, тут, тут и тут).


Начну с патриотического :-) В этом году на выставке RSA были стенды уже трех наших компаний (EgoSecure не в счет - они упорно отказываются признавать, что ими владеют русские) - Лаборатория Касперского, ERPScan и Wallarm. Также на выставке я видел большую делегацию из 6 человек от Positive Technologies, а на конференции часто пересекался с чуть менее многочисленной делегацией Инфотекса.

Стенд Wallarm
Касперский уже не первый год активно седлает тему безопасности промышленных сетей. Они и выступают по ней (кстати, других наших я что-то в программе не заметил), и спонсируют отдельный раздел выставки под названием ICS Sandbox. В этом году, помимо своего (вроде как свежего стенда по АСУ ТП), показывали еще концепцию виртуального симулятора промышленного предприятия для отработки на нем различных сценариев негативных воздействий. Пока это только концепция и симулятор имеет только один сценарий, но выглядит перспективно. Я слышал о таких разработках по заказу МинЭнерго США, а тут разработка отечественной компании (пусть и создавал ее американец).

Виртуальный симулятор от ЛК
Стенд от ЛК
Продолжая тему патриотизма хочу сказать и про русских хакеров, которые в прошлом году были одной из пугалок RSAC (еще до взлома демпартии США и других "медвежьих" атак). В этом году про русских хакеров "в погонах" почти не говорили. Исключая выступления Альперовича из CrowdStrike, замеченного в особой любви к России, и выступления аналитика по киберразведке из американского МинОбороны, который оперировал классическими клише и не представлял никаких доказательств.

Аналитик киберразведки иллюстрировал рассках о русских хакеров картинками с сайта ФБР
А вот про русских хакеров-киберпреступников говорилось много. Причем, что интересно, говорилось это преимущественно нашими соотечественниками - либо ЛК делала доклад про русско-язычную киберпреступность, либо про это говорили эмигрировашие в США русские, пристроившиеся в американских компаниях. Местами было достаточно забавно слушать такие рассказы от людей, которые, видимо, в России и не бывали, но с уверенностью рассказывающие о "крестных отцах" русской кибермафии и, предполагая, что в зале никто не понимает по-русски, пуская "хакерский рэп" с отборным русским матом.

Вот он, крестный отец русской кибермафии

На выставке в этом году в качестве раздатки были популярны книги - как из классической серии "для чайников", так и более интересные и объемные по материалу. Экспоненты начинают понимать, что макулатура уже мало кого интересует и пытаются маскировать свои продукты и технологии под видом полезного контента; местами действительно полезного.


Китайцев стало больше; существенно больше - и с точки зрения участников, и с точки зрения стендов. Они стали более грамотные и действительно стараются ориентироваться на американский рынок. Если в прошлом году у них раздатка была вся на китайском, то в этом они почти все перевели на английский язык и даже стендисты у них понимают азык той страны, в которой они выставляются. Тихой сапой, но они действительно завоевывают рынок кибербезопасности.

Группы китайцев фотографирутся после конференции
Не буду сильно погружаться в технологические новации, которые я видел на стендах, хотя я и делал большой обзор всех новаций, но для внутреннего потребления. В условиях импортозамещения это не столь актуально для отечественного потребителя - многие продукты никогда до России не дойдут. А отечественным вендорам, которые хотят улучшить свои решения, стоит самим посетить такое мероприятие (или хотя бы лондонскую Infosecurity). Но я отметил, что на выставке практически не было SIEMов (тема сдулась похоже) и сканеров безопасности (кроме традиционных Qualys и Tenable). С последними все понятно - в круглосуточном режиме копаться в уязвимостях систем могут далеко не все - это требует своего исследовательского центра и соответствующих компетенций, что на рынке ИБ редкость. Зато было много Threat Intelligence, аналитики ИБ (это не совсем SIEM), UEBA, обманных систем, а также услуг по расследованию инцидентов, повышению осведомленности персонала, борьбе с фишингом. Красной нитью через многие стенды проходила идея применения искусственного интеллекта. Даже в аэропорту, когда я улетал в Москву, меня настигла реклама одной из компаний, которая утверждает, что у нее атаки ловит исскуственный интеллект. Правда, результаты независимых тестов показывают что искусственный интеллект еще слаб и система защиты пропускает вредоносные программы, что привело к судебному иску со стороны авторов рекламы. У упомянутой выше CrowdStrike, кстати, схожая проблема.


Традиционно, RSA - это место, куда стремятся стартапы и где они могут продатьпоказать себя. Ходя по стендам и разговаривая с некоторыми из стартапов сделал для себя несколько наблюдений. Во-первых, стартапам становится сложно выбирать имена. Поэтому они поступают просто - берут название любой собаки, овоща, "еще чего-нибудь" и добавляют к ним слово Security (например, Avocado Security). Простенько и со вкусом :-) Второе наблюдение касается одежды стартаперов. Они не утруждают себя выбором чего-то адекватного месту, куда они приходят. По тому, как одет персонал на стенде, можно понять, кто является основным заказчиком у компании и что это за компания. Например, у BAE Systems стендисты были людьми в годах и все в пиджаках - солидные люди для МинОбороны США. У стартапов же "фаундеры" и "кофаундеры" одеваютя презанятнейше. Если они и одевают пиджаки, то выглядят при этом несуразней некуда. Ну и третье наблюдение. На одном из заинтересовавших меня стендов я попробовал выяснить детали представляемой технологии и не смог. "Фаундер" сломал ногу, катаясь в Тахо (это курорт на границе Калифорнии и Невады), что и обусловило его отсутствие на выставке. А без него никто не мог объяснить, что же такого прорывного в продукте компании. Этот случай показывает риски работы со стартапами. Да, они динамичны, незабюрократизированы, гибки. Но при этом у них очень высока зависимость от основателя. Стоит ему заболеть, сломать ногу, попасть в декрет или автокатастрофу, потерять интерес к бизнесу и все, компания умирает :-( Интересно посмотреть на списки участников сколковского конкурса стартапов по ИБ, в котором ежегодно участвует несколько десятков компаний, в финал пробиваются обычно уже и не совсем стартапы, а оставшиеся за рамками финалистов обычно не выживают в течение года :-(


Отдельно хотелось бы отметить работу организаторов конференции. Я, бывая на многих мероприятиях, нигде не видел сурдопереводчиков, которые бы переводили слушателям с ограниченными возможностями озвучиваемый контент. А на RSAC я это увидел и это было реально круто.


Собственно, как и обеспечение безопасности на мероприятии - выборочный осмотр сумок, охрана, собаки, ищущие взрывчатку и т.п. И никаких рамок-металлодетекторов, которые бы превратились в узкое горлышко на событии для нескольких десятков тысяч человек.


При этом ярко проявляется демократия - около конференции активно бастовали демонстранты, обвинявшие HP в израильском аппартеиде и никто их не трогал. Ну протестуют и пусть...


Среди докладчиков, а также стендистов, было немало бывших представителей американских спецслужб - анбшников, црушников, спецагентов Минобороны или ФБР. В отличие от наших специалистов, американские не стесняются своего прошлого места службы, а даже рассматривают это как принадлежность к избранным, которые обладают сокровенным знанием. Правда не без курьезов. Например, страничка одного из спикеров в приложении конференции выглядит так, что достаточно странно для людей, которые привыкли выставлять напоказ свои достижения. Но когда видишь имя этого спикера все встает на свои места - это бывший директор АНБ, основавший с сослуживцами после ухода со службы свою компанию.


Кстати, забавно, но на конференции я столкнулся с такой вот точкой доступа:

Что еще можно отметить применительно к RSA? Традиционно проводимые киберучения в виде мозговых штурмов и CTF, различные форматы дискуссий, мастер-классов, фасилитаций (вот уж дурацкий, но прижившийся у нас термин)... Даже тему борьбы с дронами не забыли.

CTF от SANS
Борец с дронами
Пожалуй, это пока все. В остальных заметках я уже более подробно освещу отдельные темы, на которые меня натолкнула выставка и конференция RSA.

22.2.17

Sophos покупает Invincea

8 февраля Sophos объявила о покупке компании Invincea, являющейся лидером (а кто ж не лидера купит) на рынке средств борьбы с вредоносным кодом следующего поколения. Стоимость сделки - 100 миллионов долларов США.

Конференция ФСТЭК: финальный аккорд, МСЭ, БДУ и ЧПУ

Пора уже завершать рассказ о конференции ФСТЭК, а то затянул я что-то. Правда, есть тому объяснение - я все ждал, что ФСТЭК выпустит обещанное информационное письмо по применению межсетевых экранов, о котором много говорилось на конференции, но, видимо, пошло что-то не так. Поэтому, не дожидаясь письма подведу краткое резюме по тому, что я услышал. Основная проблема с МСЭ возникла после публикации информационного письма ФСТЭК, в котором было написано, что с 1-го декабря разрабатываемые, производимые и поставляемые МСЭ должны соответствовать новым требованиям к МСЭ, разработанным ФСТЭК. Проблема возникла именно с поставкой после 1-го декабря МСЭ, сертифицированных еще по "старым" требованиям. И вот ФСТЭК дала разъяснения:
  • Новый РД устанавливает новые требования к классу защитных средств, их функциональности и процессу разработки, а вот возможность применения этого класса защитных средств определяется иными документами, а точнее 17/21/31-м приказами, которые и говорят, какого класса МСЭ в какого класса ГИС/ИСПДн/АСУ ТП можно применять. Поэтому пока эти документы не изменены, можно спокойно использовать "старые" МСЭ с действующим сертификатом.
  • Разработка МСЭ должна уже вестись по новому РД. Сертификация новых МСЭ также должна уже вестись по новому РД.
  • Производство и поставка "старых" МСЭ возможна при наличии действующего сертификата. Сертификация их по "старым" требованиям также возможна. Например, в случае использования в аттестованной ГИС, в которой не меняются условия функционирования и для нее просто продлевается аттестат. Правда, с течением времени таких ситуаций должно становиться все меньше и меньше.
  • Сертификация уже снятых с производства, но ранее сертифицированных МСЭ, тоже возможна. Но при условии отсутствия известных уязвимостей и после согласования с ФСТЭК. Правда, такая ситуация скоро будет маловероятна. Если вернуться к моей презентации, то если МСЭ снят с производства, то у некоторых производителей заверщается и его поддержка, а некоторые продлевают выпуск обновлений для него еще на некоторый период (у Cisco, например, 5 лет). Если в течение этого периода у снятого с производства МСЭ будут устраняться уязвимости, то почему бы его и не сертифицировать (хотя логика подсказывает, что смысла в этом не много). Но на НДВ уже врядли - производитель не сможет предоставить информации по снятому продукту. К слову, тем заказчикам, которые до сих умудряются использовать сертифицированные Cisco Pix, лучше задуматься о переходе на новые модели МСЭ - устранение уязвимостей в них уже невозможно - продукт перестал выпускаться 10 лет назад, а поддерживаться лет пять назад.
  • Применение "старых" МСЭ возможно, если требования (из публичных - это 17/21/31-е приказы) это допускают. Выбрасывать "старые" МСЭ никто не заставляет - пока действует их сертификат они вполне легитимны к применению. Если бы это было не так, то проще было просто аннулировать все сертификаты на "старые" МСЭ и решить вопрос кардинально.
  • Аналогичная ситуация и с аттестацией. Аттестат действует - продолжаете использовать "старые" МСЭ. Продлеваете аттестат - продолжаете использовать "старый" МСЭ (с устраненными уязвимостями).
  • На момент конференции существовало уже 5 МСЭ, сертифицированных по новым версиям, но этот список постоянно пополняется. Единственное, на что стоит обратить внимание - не всегда выдаются новые сертификаты, иногда обновляются "старые". Например, такое вы увидите в таблице ниже по "Рубикону", "Континенту", Cisco...


C межсетевыми экранами, пожалуй, все. Пару слов надо сказать про Банк данных угроз и уязвимостей, который по заданию ФСТЭК создавал и ведет Воронежский ГНИИ ПТЗИ, и который все больше становится ключевым звеном в новых подходах ФСТЭК по моделированию угроз, по устранению уязвимостей, по выработке требований к средствам защиты и информационным системам.

Ключевые изменения в БДУ представлены на слайде, я только упомяну официальный Twitter БДУ, на который можно бесплатно подписаться и получать обновления информации об уязвимостях и угрозах.


Из планов на 2017-й год я жду следующего:
  • новая классификация угроз (если ФСТЭК ее примет)
  • переход на CVSS 3.0
  • база шаблонов опасных конструкций для разных языков программирования (в контексте активизации темы по SDLC очень полезно)
  • личный кабинет пользователя
  • поддержка OVAL
  • "зал славы" и ведение рейтинга исследователей, пожелавших сообщить об обнаруженных уязвимостях в ГНИИ ПТЗИ/ФСТЭК.
Ну и в заключение заметки хотелось бы обратить внимание на выписку из плана ФСТЭК по разработке нормативных актов. По нашей теме там всего два последних пункта - разработка обновленной версии 17-го приказа и выпуск нового приказа для ОПК - "Об утверждении требований к обеспечению безопасности информации, содержащейся в информационных системах управления производством, используемых организациями оборонно-промышленного комплекса, в том числе в системах автоматизированного проектирования, системах управления станками (оборудованием) с числовым программным управлением". С одной стороны документ по ЧПУ у ФСТЭК уже есть, а с другой, видимо, назрела необходимость его обновления и расширения именно для объектов ОПК (в условиях текущей геополитической ситуации).


Вот такой мне запомнилась конференция ФСТЭК 2017-го года.

20.2.17

Конференция ФСТЭК: сертификация средств защиты

Продолжаем обзор новостей с конференции ФСТЭК, прошедшей на позапрошлой неделе. Очень интересным было выступление Дмитрия Шевцова, начальника 2-го управления ФСТЭК, который осветил планы регулятора по выпуску новых требований к средствам защиты, планы по новой нормативной базе, а также описал типовые проблемы, возникающие в деятельности производителей, подающих свою продукцию на сертификацию. Есть видео выступления, поэтому я обращу внимание на следующие моменты:

  • С 2011-го года ФСТЭК уже утвердила требования к 6-ти типам средств защиты - системам обнаружения вторжений, антивирусам, средствам доверенной загрузки, средствам контроля съемных машинных носителей, межсетевым экранам и операционным системам. По одному средству защиты в год…
  • В 2017-м году планируется принятие требований к СУБД и средствам управления потоками информации (они уже написаны и готовятся к утверждению), а также требования к средствам виртуализации. Больше никаких планов озвучено не было, что и понятно - ФСТЭК их не соблюдает с завидной регулярностью. Находятся более приоритеные задачи (то разработка новой версии СТР, то еще что-то), которые, в условиях нехватки персонала и отсутствии Agile-методологии разработки нормативных актов, не позволяют ФСТЭК выпускать документы с такой же скоростью, что, например, тот же NIST.
  • Также ФСТЭК планирует выпустить методички по поиску НДВ и уязвимостей (при наличии или отсутствии исходных текстов ПО). Заявляется, что методы будут отличаться в зависимости от класса и типа ПО. Это позитивно. Негативно то, что эти документы обещают выпустить уже года два; как и методику моделирования угроз.
  • ФСТЭК стала большее внимание уделять не просто первичной сертификации, а именно поддержке сертифицированного продукта в актуальном и защищенном состоянии. Для этого ФСТЭК регулярно проверяет устранение известных уязвимостей из БДУ ФСТЭК и даже проводит эксперименты по социальному инжинирингу, звоня в службы поддержки производителей и проверяет качество их работы с потребителями. Неудовлетворительная работа производителей/заявителей заканчивается внушением со стороны регулятора, а иногда и более серьезными последствиями. В частности, на конференции прозвучало, что отозвано было 3 сертификата на средства защиты, в которых заявитель отказался устранять уязвимости и повторно проводить инспекционный контроль сертифицированного изделия. На фоне почти 4-х тысяч сертификатов число 3 невелико, но с другой стороны, это первый шаг в усилении контроля со стороны ФСТЭК и обеспечении реальной, а не бумажной защищенности предприятий, использующих сертифицированные реешения.
  • Вопросу качества сертифицированных решений вообще было посвящено много внимания. Например, ФСТЭК сетует на отсутствие у многих российских производителей практики и процедур безопасной разработки (о том, как это сделано у импортных производителей я и рассказывал в своей презентации), что приводит к увеличению сроков устранения уязвимостей (некоторые заявители, особенно сертифицирующие по схеме “партия” и “единичный экземпляр”, и вовсе забивают болт не только на уведомление потребителей о найденных и устраненных уязвимостях, но и на само устранение).
  • Для ФСТЭК, как мне показалось, стало сюрпризом, что отдельные производители сертифицированных решений специально ищут уязвимости в продукции своих конкурентов и “сливают” эту информацию в ФСТЭК в рамках конкурентной борьбы. Регулятор обещал бороться с такими случаями.


Вообще ФСТЭК меняется в лучшую сторону в части изменения и подходов и требований к средствам защиты, которые в условиях импортозамещения должны встать на защиту российских организаций. Правда, самих средств больше не становится (часть 1 и часть 2 про это), а учитывая усиление требований к сертификации, к заявителям, к самим продуктам, и не станет. Тут, увы, либо шашечки, либо ехать. Либо требования усиливать, как того велит Верховный главнокомандующий, либо рынок средств защиты развивать, которому надо дать свободу на первых порах и только потом уже загонять в определенные рамки. Я вернулся вчера из США, с конференции/выставки RSA, где уже не первый раз наблюдаю интересную картину - каждый год пояляется с несколько десятков новых игроков, предлагающих либо новый взгляд на известную проблему, либо совсем новое решение. И никто их не загоняет в прокрустово ложе каких-то там требований. Если стартап, конечно, не хочет идти в госсектор или в Минобороны. Вот тогда от него потребуют по максимуму. На коммерческом же рынке раздолье и всем находится место. Ну да ладно, история рассудит, в правильном ли направлении мы движемся.

15.2.17

Конференция ФСТЭК: мониторинг ИБ и SOCи

По SOCам на конференции ФСТЭК особо ничего нового не прозвучало, кроме нескольких отдельных моментов:
  • Все опубликованные ФСТЭК требования к SOC (услуге по мониторингу) придуманы не ФСТЭК, а поставщиками услуг ФСТЭК, которые были приглашены в ноябре в ФСТЭК для обсуждения требований к новому виду деятельности. Это прозвучало интересно на фоне того, что во время обсуждения моей заметки в Фейсбуке, участвующие во встрече поставщики услуг SOC, заявили, что они были против того, что появилось в финальной версии документа. Если все были против, а ФСТЭК сама ничего не придумала, то кто все это придумал?
  • Требования к SOC прописаны по максимуму, что было мотивировано тем, что к владельцу SOC может обратиться владелец ГИС 1-го класса защищенности и владелец врядли откажется от денег за мониторинг. Отсюда и максимальные требования. При этом никаких делений по видам деятельности клиентов не предусмотрено, так как закон о лицензировании отдельных видов деятельности, как и 79-е Постановление Правительства также не проводят никакого водораздела. 
  • Позицию ФСТЭК по списку обязательного для получении лицензии ФСТЭК оборудования я не понял. С одной стороны мысль о том, что SOC, имеющий доступ к средствам защиты заказчика, должен и сам быть защищенным, вполне разумна. Но вот дальше не совсем понятно. Почему список используемых средств именно такой? И ЧТО ТАМ ДЕЛАЮТ WAF?  На конференции прозвучало, что WAF должен быть не у SOC, а у заказчика, которого взяли на мониторинг. ЗАЧЕМ??? Если уж SOC должен быть аттестован на соответствие требованиям к ГИС 1-го класса, то зачем отдельно устанавливать еще какие-то требования к номенклатуре средств защиты, применяемых для защиты SOC? 
  • SOC должен быть аттестован по требованиям к ГИС 1-го класса. Эта позиция была уже обоснована выше. Если к владельцу SOC придет владелец ГИС 1-го класса, то два владельца смогут подружиться, только имея системы с одинаковым уровнем защиты. А то, что владелец SOC может быть ориентирован только на малый бизнес и вообще не хотеть работать с госорганами, так это ФСТЭК не особо волнует, так как они исходят из худшего сценария развития событий (worst case).
  • Непрозвучавшая на конференция тема с применением только сертифицированных СКЗИ от SOC до объектов мониторинга особо развернута не была. С одной стороны ФСТЭК утверждает, что это придумали сами владельцы SOC. С другой - в кулуарах была высказана версия, что как раз Национальный координационный центр по компьютерным инцидентам при ФСБ (НКЦКИ), отвечающий за ГосСОПКУ, такие требования даже не планировал устанавливать, понимая, что это малореально. А малореально это потому, что существует большое количество сценариев, где сертифицированных СКЗИ попросту нет. Но владельцы SOC дышат оптимизмом - в запале дискуссий на эту тему они даже заявляют, что у них и сейчас клиенты присоединяются к SOC с помощью сертифицированных VPN.

Ситуация с SOCами мне сейчас видится не очень позитивной. С одной стороны отрадно, что регулятор столь оперативно обратился к ней. А с другой, выставленные требования не очень-то и разовьют эту нишу рынка ИБ. И дело тут не в отсутствии конкуренции (иностранным SOCам кислород перекрыли, видимо, опасаясь сравнения не в свою пользу), а в недальновидности. Любой только зарождающийся рынок надо развивать и стимулировать, а не ставить препоны в виде жестких требований, которые в России способны выполнить единицы. В любом случае посмотрим, что с этой темой выгорит.

14.2.17

Конференция ФСТЭК: новые требования к лицензиатам

После вчерашней заметки, я бы хотел обратиться к более конкретным темам, прозвучавшим на конференции ФСТЭК. Одна из них - новые требования к лицензиатам ФСТЭК, описанные в 541-м Постановлении Правительства, и вступающие в силу в июне этого года.

Установлены непростые требования к персоналу. Пока это звучит как на каждый вид лицензируемой деятельности/работ нужно по 2 человека с трехлетним стажем. Причем прописан он должен быть в трудовой книжке. Хотите вы, например, предлагать услуги SOC, вынь да положь аналитика с соответствующей записью в трудовой да еще и исследователя вредоносной активности (ну или опять аналитика) также с записью в трудовой (помимо руководителя лицензируемого вида деятельности). Ну это вроде как логично - хочешь заниматься лицензируемой деятельностью, будь добр иметь соответствующий персонал. Хорошо, что требуется всего двое, а не 6 - для посменной работы. Но дальше начинается самое интересное. Вот хотите вы оказывать еще и услуги по пентесту или, куда его относят в ФСТЭК, контролю защищенности, и вам нужно еще 2 человека, у которых в трудовой написано, что они занимались контролем защищенности. То есть уже четыре человека и руководители. И так на каждый вид работ, которым вы хотите заниматься. В принципе, все это логично и укладывается в распоряжение Президента об усилении требований к лицензиатам, но далеко не все компании смогут выполнить новые требования - останутся только крупные компании.

Но… допустим занимались вы мониторингом ИБ на работе и могли бы рассчитывать, что ваша квалификация и стаж подойдут ФСТЭК при рассмотрении документов на лицензирование. Но в трудовой книжке у вас написано традиционное - “инженер по технической защите информации”, “техник по защите информации”, “главный специалист по технической защите информации” или “администратор по обеспечению безопасности информации”. А почему нет? Именно так должности звучат в приказе Минздравсоцразвития от 22 апреля 2009 г. № 205 «Об утверждении единого квалификационного справочника должностей руководителей, специалистов и служащих, раздел «квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации».


И как понять, что техник или главный специалист занимались мониторингом ИБ? Только из должностной инструкции. И вот тут очередная засада - хорошо, если речь идет о компании с давней историей, в которой сотрудники работают по много лет. Представить органу по лицензированию такие инструкции не представит большой сложности. А если компания новая или она наняла новых сотрудников, которые на прошлом месте занимались мониторингом, но в трудовой у них все равно написано “техник по защите информации”? И как убедиться органу по лицензированию, что техник был аналитиком, а не настройщиком средств защиты? Только по заверенной должностной инструкции, которую сотрудник должен получить на старом месте работы… если оно еще существует… и если ему эту инструкцию выдадут.

Еще интересный вопрос. Когда руководитель отдела лицензирования ФСТЭК рассказывал о лицензионных требованях к соискателям, у меня возник вопрос по квалификации и стажу руководителя, который не имеет специализированного образования в области ИБ. Кстати, что это означает? Вот у меня в дипломе написано, что я инженер-математик со специализацией по защите информации. У меня какое высшее образование? По направлению в области ИБ или по направлению в области математических и естественных наук, инженерного дела, технологий и технических наук? Если вдруг я перейду на руководящую должность, мне понадобится 5 лет стажа или 3? И вновь возникает вопрос с тем, что у меня должно быть написано в трудовой книжке, по которой ФСТЭК будет определять мои компетенции. Кстати, интересно, много ли в России руководителей, у которых есть пятилетний стаж управления SOCом (мониторингом ИБ), а ведь без него лицензии не получить?

Интересная ситуация со сроками лицензирования. По озвученной на конференции версии ФСТЭК податься на получение лицензии вы можете только с момента вступления в силу соответствующего Постановления Правительства №541. И понятно, что должно пройти определенное время прежде чем ФСТЭК проверит все документы (включая и квалификационные требования к персоналу). И как тогда осуществлять деятельность тем, кто ее уже оказывает, в период между подачей на лицензию и ее получением? Незаконно? А если в этот момент прокурорская проверка нагрянет? Опять одни вопросы.

А ведь лицензиатам на новый вид деятельности по мониторингу еще нужно аттестовать свою инфраструктуру по требованиям к ГИС К1, а для этого выполнить требования по защите к таким ГИС, закупить оборудование и программные средства, заключить соответствущие договора. А Постановление вступает в силу в июне, а список требований к обязательному оборудованию появился на сайте ФСТЭК только в январе. Успеют ли?

Понятно, что это все ФСТЭК делает не по своей воле - у них есть распоряжение Президента России по усилению требований к лицензиатам, но некоторые вопросы можно было бы проработать заранее более внимательно.

ЗЫ. А еще меня удивило число лицензиатов ФСТЭК в России. Я никогда не думал, что у нас столько разработчиков средств защиты информации.


13.2.17

Конференция ФСТЭК: общие впечатления

На прошлой неделе прошла конференция “Актуальные вопросы защиты информации”, традиционно проводимая ФСТЭК России. У меня будет еще несколько фокусных заметок по отдельным темам, озвученным на мероприятии, а сейчас я бы хотел тезисно осветить то, что мне запомнилось из общих тем:
  • Уже традиционно могу отметить готовность регулятора к диалогу, умение вести дискуссию, навыки чтения презентаций. Это позитивно и улучшается каждый раз, что я вижу публичные выступления ФСТЭК.
  • Некоторые коллеги обвиняют ФСТЭК в картельном сговоре с крупными разработчиками и интеграторами, которые диктуют свои условия и пытаются монополизировать рынок. Я с этим не могу согласиться, считая взаимодействие ФСТЭК с бизнесом примером государственно-частного партнерства, пусть и не без косяков.
  • Проект нового 17-й приказа появится к концу этого года, когда будут приняты поправки в ФЗ-149 и доработаны в связи с этим требования по защите информации. ФСТЭК обещает выложить проект приказа для всеобщего обсуждения.
  • Из под действия поправок в ФЗ-149 выведены госкорпорации - остались только организации, которые обрабатывают информацию, обладателем которой является государство. На них, а точнее на куски информационной системы, которые обрабатывают такую информацию. Это может быть и госкорпорация, выполняющая работы по госзаказу, и банки, подключившиеся к ГИС ГМП, и многие другие организации. Но на эти куски ИС будет распространяться новый 17-й приказ.
  • Учитывая предыдущий пункт, встает вопрос о способе подтверждения соответствия ИС требования 17-го приказа. Для госорганов (и, возможно, муниципалов) аттестация останется обязательной. Для остальных организаций вопрос с оценкой соответствия будет решаться. Хочу обратить внимание, что в случае принятия законопроекта (а сомневаться в этом не стоит - он разработан во исполнение распоряжения Президента), спектр ИС в госорганах, попадающих под аттестацию расширится. Если раньше это требование многие заказчики распространяли только на ГИС, а вопрос с классификацией ГИС всегда вызывал вопросы, то сейчас совершенно неважно, есть у вас ГИС или нет; достаточно наличия информации, обладателем которой является государство, а у госов - это почти любая система.
  • В новом ФЗ-149 будет установлена обязанность уведомлять ФСТЭК и ФСБ об инцидентах. На эту тему будет принят отдельный НПА, согласованный с двумя регуляторами. Но опять хочу обратить внимание, что данное требование об уведомлении распространяться будет не на организации различных видов собственности, а на вид информации, которая обрабатывается в информационной системе. Произошел, например, у банка инцидент в месте сопряжения с ГИС ГМП, и все, надо уведомлять. На мероприятии была упомянута ГосСОПКА, как тот инструмент, который будет принимать такие уведомления, но прозвучало не очень конкретно - думаю, ясности еще по этому вопросу нет.
  • Когда я описывал промежуточный проект 17-го приказа, я уже упоминал, что пентесты включили в список аттестационных мероприятий со всеми вытекающими отсюда последствиями. На конференции прозвучало, что ФСТЭК решила исключить пентесты из этого вида деятельности. По крайней мере на текущий момент, пока не разработаны соответствующие методические и нормативные документы. Однако по-прежнему пентесты относятся к такому виду деятельности как контроль защищенности.
  • ФСТЭК переходит на новую классификацию сертифицированных средств защиты (6-4 классы для конфиденциалки и 3-1 - для гостайны). Отсюда изменения и в соотнесении этих классов защиты с классами защищенности ГИС и АСУ ТП и уровнями защищенности ИСПДн. В 17-й приказ такие изменения будут внесены в самое ближайшее время, а в 21/31 приказы такие изменения не за горами. Соответственно средства защиты 6-го класса можно будет применять в ГИС и АСУ ТП 3-го класса и в ИСПДн 3-4-го уровней защищенности; средства защиты 5-го класса - в ГИС, АСУ ТП и ИСПДн 2-го класса/уровня, а средства защиты 4-го класса - в ГИС, АСУ ТП и ИСПДн 1-го класса/уровня.

Из ключевых тезисов, пожалуй, все. В следующих заметках попробую пересказать то, что ФСТЭК рассказала о новых требованиях к лицензированию, о SOC, о сертификации средств защиты и о межсетевых экранах.

ЗЫ. Выступал я с презентацией по CSDL.

10.2.17

Применение концепции "Окна Джохари" в ИБ (видео)

3 месяца назад я написал заметку про "Окно Джохари" и применение этой концепции в области информационной безопасности. Спустя месяц была презентация на эту тему, а в предваряющей ее заметку я написал, что мы планировали в Cisco провести мероприятие, посвященное этой теме, более полно раскрывающей вопросы обнаружения как простых и известных атак, так и сложных и неизвестных. Мы провели эту конференцию в Москве 26-го января (материалы можно посмотреть тут - чуть выше на странице), на которой, благодаря BIS-TV, было записано на видео два больших обзорных доклада (без рекламы). Один был посвящен тактикам, техникам и процедурам, применяемым злоумышленниками, а второй как раз рассказывал о концепции "Окна Джохари" в ИБ. Ниже вы и увидите эту презентацию:


9.2.17

Cyber Security Forum: КИИ и ПДн в моем фокусе

Если вы ждали сегодня обзора вчерашней конференции ФСТЭК, то вы ошиблись - сегодня будет обзор позавчерашнего Cyber Security Forum, на котором мне довелось выступить в секции про "Эпоху 4.0", а также помодерировать секцию по персональным данным. Вообще это мероприятие у меня всегда вызывает определенный диссонанс. В его названии встречается слово "кибербезопасность", но вот про классическую кибербезопасность на мероприятии практически ничего нет (за редкими вкраплениями). CSF посвящен тому, что на Западе вкладывают в термины "Governance" и "Policy", то есть обсуждению государственных, окологосударственных, юридических вопросов. Большое внимание уделяется вопросам защиты детей, контентной безопасности и блокировкам в сети Интернет, культуре и т.п. Отсюда совершенно иная аудитория, отсутствующая на "наших" привычных поибшных тусовках.


Мой доклад (а уже выложены все презентации) был посвящен фантазиям на тему, как стоило бы развиваться законодательству по безопасности критической инфраструктуры.  Выделено мне было 10-15 минут, а я, как многие знают, сегда выступаю против таких коротких выступлений. Считаю, что за такой интервал времени очень сложно донести что-то практически полезное до аудитории. Хотя в последнее время меня часто просят именно в сжатом виде рассказать непрофильной аудитории про ИБ. Приходится потеть, чтобы это сделать - все-таки это не презентацию на 500 слайдов в течение 8 часов читать - тут приходится приоритезировать и выделять самое главное. Так было и в этот раз. Утешало одно - на моем выстулпении сидел заместитель министра связи, который внимательно слушал то, что я говорил и местами удивленно поднимал брови, впервые услышав об отдельных положениях законопроекта по безопасности КИИ. Надеюсь, что его внимание поможет повлиять на благоприятное развитие ситуации с активно обсуждаемым законопроектом последнего времени.



Презентация удивительно коротка для меня :-) но ключевые моменты в ней я отразил. По сути я повторил ключевые положения заключения кластера по ИБК на тройку законопроектов по безопасности КИИ.

В финальной части CSF я модерировал секцию по персональным данным, которая для меня оказалась неожиданно интересной. За последние годы тема эта поутихла, а когда всплывает, то говорят про нее преимущестенно в контексте ожидаемых штрафов (а Президент подписал во вторник поправки в КоАП, но об этом я напишу отдельно). В этот же раз все было совсем по другому. Дмитрий Сидорин из одноименной лаборатории рассказывал прикольнейшие кейсы про утечки в соцсетях, про то, как распространяется информация в Интернете и т.п. Я же смотрел на его доклад с точки зрения ИБ - как публикация селфи на фоне экранов с паролями или планов перспективного развития может навредить компании. Очень живая презентация от человека, который раньше работал в Инфовотч и Крибрум.

В докладе Дмитрия Малышева из MADCRUSH говорилось о другой проблеме со стороны сотрудников - об инсайдерах, которые торгуют персональными данными (и иной информацией компании) на специализированных биржах, готовых покупать инсайд, нанося тем самым ущерб компаниям. Тоже нечасто об этом говорят, преимущественно концентрируясь на теме соответствия требованиям регулятора, а не реальной необходимости защищать информацию.

Финальным аккордом стало выступление Максима Лагутина из Б-152 (не путать с популярным коктейлем), который систематизировал свой опыт участия в трех десятках проверок РКН за прошедший год. Очень отрезвляющее выступление с конкретными примерами, что и как смотрит РКН во время проверок операторов ПДн. Учитывая, что я схожую информацию слышал еще из нескольких источников я склонен ей верить и рассматривать ее как сложившуюся практику. Но про эту тему я хотел написать отдельную заметку на следующей неделе.

8.2.17

Моя презентация с конференции ФСТЭК по CSDL

8-го февраля я выступал на конференции ФСТЭК с рассказом о практике безопасного программирования в Cisco и о том, как мы взаимодействуем с российскими заявителями и потребителями в части поддержки сертифицированных средств защиты и устранения уязвимостей в них. Рассказ о самой конференции я еще буду делать в виде отдельной заметки (или традиционно серии заметок), а пока хотел бы просто выложить свою презентацию.


Проблемы безопасной разработки и поддержки импортных средств защиты информации from Aleksey Lukatskiy

ЗЫ. В течение пары дней организаторы конференции выложат материалы всех выступлений и я рекомендую посмотреть презентацию Шевцова Д.Н., начальника управления ФСТЭК, который как раз рассказывал о типовых ошибках, допускаемых российскими компаниями, являющимися разработчиками и заявителями сертифицированных средств защиты. Моя презентация звучит в унисон выступлению представителя ФСТЭК и рассказывает, как эти упомянутые задачи решаются у крупного иностранного разработчика средств защиты.

3.2.17

ФСТЭК установила требования к SOCам и пентестерами. Нет слов :-(

ФСТЭК выложила у себя на сайте перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. №79, который расширен за счет новых видов деятельности по ТЗКИ, включая пентесты и мониторинг ИБ (то есть SOC).

Чтобы мне хотелось отметить и на что обратить внимание:
  1. Теперь я не понимаю, куда относятся пентесты. Я считал, что это контроль защищенности информации от несанкционированного доступа. Но последние поправки в 17-й приказ отнесли пентесты к одному из виду аттестационных испытаний, что коренным образом меняет требования к тем, кто занимается таким видом деятельности (в сторону усиления требований). По утвержденному перечню это минимум пункт "г.1", а в случае применения Red Team - "г.2" или "г.3". Вперед, к получению селективных вольтметров, вибродатчиков, осциллографов и рефлектометров. Хорошо, если это будет просто пункт "б", но упоминание в пп.18-22 пункта "г.1" говорит, что пентест может вполне рассматриваться одним из видов аттестаций со всеми вытекающими отсюда последствиями, упомянутыми выше.
  2. От SOC зачем-то требуется наличие сертифицированных WAF, МСЭ, антивируса и IDS. Сертификат не ниже 4-го класса, то есть максимально возможный не для гостайны. Честно говоря я не понимаю этого требования. Зачем SOCу эти средства защиты? Для предоставления услуг? Ну так обычно SOC мониторит средства защиты заказчика. Для собственной защиты? И в этом случае это странный набор. 
  3. SOCу требуется обязательно "песочница" и платформа Threat Intelligence. Требований к ним пока нет и по каким критериям орган лицензирования будет оценивать выполнение этого требования не совсем понятно. Стоит учесть, что в России число своих песочниц можно пересчитать по пальцам одной руки и они рынку практически неизвестны, а уж опыта работы с ними нет ни у кого. По моему опыту почти все отечественные SOC используют "песочницы" зарубежные, а это в свою очередь заставляет задуматься над соотнесением новых требований с требованиями о локализации техсредств ГИС и ПДн россиян на территории России.
  4. SIEM должна быть и должна иметь сертификат ФСТЭК. Требований пока еще нет, но ТУ никто не отменял. Но НДВ4 вынь да положь. А вы много помните таких SIEM? Я вот в последнем списке сертифицированных СрЗИ ФСТЭК нашел только ArcSight  и все. Даже "КОМРАД"а там нет. Предоставит ли тот же Splunk свои исходники - большой вопрос. И о какой конкуренции тут может идти речь? Скорее о ее искусственном ограничении.
  5. Каналы передачи данных от SOC до контролируемой системы должны быть защищены средствами шифрования, имеющими сертификат ФСБ. Требование вполне реализуемое, но денег потребуется дофига. Особенно в тех случаях, когда у разных заказчиков SOC разные VPN-решения используются - SOCу тогда придется строить шлюз из стека шифраторов разных производителей. Либо заставить всех заказчиков ставить на связь с SOC одно и тоже VPN-решение. Второй вариант менее вероятен, а первый сложен с практической точки зрения (да и с финансовой). Например, многие организации не используют сертифицированные в ФСБ СКЗИ. И как им быть, если они хотят подключиться к SOC? Покупать еще и VPN?
  6. Информационная система SOC не только должна располагаться по адресу, указанному в лицензии (что сильно осложняет жизнь компаниям, использующим концепцию виртуальных SOCов), но и выполнять требования к ГИС 1-го класса. Это еще одно требование, которое непонятно зачем установлено. С одной стороны, если мы мониторим ГИС 1-го класса, то в SOC может попадать информация соответствующего уровня и SOC должен быть того же уровня защищенности. Но что делать, если SOC хочет мониторить только ГИС 2-го класса? Или ИСПДн 3-го класса? Или вообще не планирует мониторить классифицированные ИС? Зачем тогда выполнять требования, максимально возможные в современной России? А тут еще и непонятная ситуация с аттестацией SOC. Если он должен выполнять требования к ГИС, то может быть нужна и аттестация? Или SOC, не являющийся ГИС, не должен получать аттестат? Одни вопросы.
Коллеги пишут, что требования адекватные и были согласованы со всеми основными поставщиками услуг SOC в России во время совещания в ФСТЭК. Ну что сказать? Либо поставщики согласились со всем, не вдумываясь, либо надеются все это выполнить, либо... А фиг его знает. Я не знаю, как можно было соглашаться на такое?..

ЗЫ. Про западных поставщиков услуг SOC, которые в России уже предоставляют свои услуги, видимо все забыли (возможно, сознательно). Но выполнить указанные требования они будут не в состоянии, что закроет им еще и этот сегмент рынка.