30.3.17

О нетрадиционном применении криптографии

Модерируя секцию по нестандартному применению криптографии на Рускрипто, и слушая доклады Руслана Иванова из Cisco и Федора Синицина из Лаборатории Касперского, я в очередной раз задумался о роли криптографии в обеспечении информационной безопасности в России.


Вообще, я начинал свою деятельность на ИБ-поприще как раз с разработки СКЗИ в одном из московских "ящиков" в далеком 91-м году. С тех пор я не очень люблю эту тему, так как считаю, что она излишне жестко зарегулирована в России, а местами даже хиреет.

У нас в России признано всего три стандарта (открытых) по криптографии - на блочные шифры (Кузнечик), на хеш (Стрибог) и на электронную подпись (кстати, у него есть неформальное название?). Разработка, производство, распространение, техобслуживание СКЗИ - лицензируемый вид деятельности и "чужие там не ходят". ФСБ признает только сертифицированные СКЗИ, число которых очень ограничено, а под многие применения их попросту нет. При этом у нас есть федеральный государственный образовательный стандарт (ФГОС) по этому направлению, по которому готовятся и выпускаются молодые специалисты, которые непонятно для чего нужны (без обид). Разработка СКЗИ ограничена только разрешенными стандартами, а их применение описано в ТУ на СКЗИ - никакой свободы творчества.

При этом на РусКрипто активно обсуждаются SNP-шифры, гомоморфное шифрование, постквантовые алгоритмы, блокчейн и многое другое. По сути РусКрипто - это такая отдушина для тех, кто занимается направлениями, не имеющими практического смысла в России в обозримом будущем (по крайней мере мне так кажется). Любая же секция, на которой поднимаются вопросы практического применения криптографии (в финансовых операциях, в Интернет, в облаках, в АСУ ТП, в Интернете вещей, в блокчейне, в виртуализации, в трансграничном обмене...) разбивается об отсутствие четкой сформулированной позиции регулятора и его нежелание (как мне кажется) хоть что-то делать в этой области.

Да, ТК26 работает, выпускает различные рекомендации, методические документы, но крутятся все эти документы вокруг тех же трех стандартов и носят скорее теоретический характер, чем нечто прикладное и применимое в реальной жизни. Я помню свои дискуссии с покойным Кузьминым Алексеем Сергеевичем еще несколько лет назад на CTCrypt в Екатеринбурге. Поднималось некоторое количество вопросов "от потребителей", о которых 8ка обещала подумать и... воз и ныне там. И, видимо, уже там и останется :-(

Но оставим в стороне это лирическое отступление, поговорим о теме, вынесенной в заглавии заметки. Очень интересными оказались два доклада, которые показали криптографию немного с иной стороны. В докладе Руслана Иванова рассматривалось исследование (видео на английском), в котором была продемонстрирована возможность обнаружения вредоносного кода в зашифрованном TLS-трафике. Когда эта тема только заявлялась на РусКрипто, мне задавали вопросы, как это вообще возможно, ведь суть шифрования именно в том, чтобы нельзя было без ключа понять, что скрывается в закрытом потоке данных. Ну так вот исследования показали, что никакого ключа знать не надо и никакого перебора всех возможных вариантов тоже не требуется. Просто изучаются комбинации различных атрибутов сетевого трафика, по которым и принимается решение о наличии или отсутствии вредоносной активности. Эффективность детектирования для разных семейств вредоносного кода показана в таблице (все разъяснения даны в исследовании по ссылке выше):

Надо признать, что показатели в 99+% выглядят очень и очень многообещающе в условиях роста зашифрованного трафика в Интернет и пересечении 50%-го рубежа.

На схожую тему было выступление Федора Синицына из Лаборатории Касперского. Он также говорил о применении шифрования разработчиками вредоносного кода, но его рассказ касался внутренней кухни антивирусного вендора, который вынужден не просто детектировать вредоносный код в зашифрованном трафике, а бороться с уже зашифрованными файлами и шифровальщиками, вымогающими деньги у пользователей.

Из доклада Федора я сделал несколько выводов:
  • Авторы вредоносного кода сами не разрабатывают алгоритмы шифрования и криптобиблиотеки тоже не пишут. Они предпочитают использовать готовые инструменты - CryptoAPI, OpenSSL, LibTomCrypt и т.д.).
  • Используются различные схемы распределения ключей, сложность которых растет. Например, многие вредоносы используют отдельный ключ на каждый шифруемый файл и сам ключ генерится на командном C&C-сервере и отправляется вредоносному ПО по запросу (а не хранится на зараженном ПК, как это было раньше).
  • Хорошая реализация криптофункций в вредоносе приводит к невозможности расшифрования/дешифрования файлов. Таких случаев все больше. Злоумышленники стали применять очень непростые схемы и протоколы.
  • Злоумышленники применяют только западную криптографию в своих творениях. Федор упомянул только один случай, когда вредоносное ПО использовало наш ГОСТ и то только потому, что автор вредоноса задействовал библиотеку Delphi, содержащую набор реализаций криптоалгоритмов, включая и отечественный ГОСТ.
  • Злоумышленникам не нужны никаких лицензии на разработку или распространение, а также не требуется сертификация на законченные изделия - они не скованы никакими ограничениями, присущими законопослушными потребителями СКЗИ. Это дает авторам вредоносного ПО большую фору и только случайность или невнимательность разработчиков вредоносного ПО позволяет антивирусным компаниям найти в них изъяны.
  • От себя добавлю, что в условиях активного развития схемы Ransomware-as-a-Service, злоумышленникам вообще не требуется никаких знаний криптографии - все за них делают специально обученные люди.

В обоих докладах хорошо продемонстрировано, что основная проблема кроется не в самой криптографии, как таковой, а в ее практическом применении. В контексте борьбы с вредоносным кодом это позволяет "взломать" или "обойти" криптографические механизмы. А вот в контексте легального применения СКЗИ практики, прикладной эксплуатации как раз не хватает. Применение известных или рекомендованных алгоритмов или библиотек создает иллюзию безопасности, в то время как на самом деле ситуация далека от идеальной. Но, как я уже выше написал, серьезных подвижек в улучшении ситуации я не вижу.

29.3.17

Конфуз с атрибуцией "русских хакеров"

Не раз обращась к теме атрибуции атак, уже высказывал мысль, что в современных условиях это очень непростая задача, которая сегодня носит скорее политизированный характер, чем позволяет реально обнаруживать истинных злоумышленников, стоящих за той или иной атакой. И вот на днях разгорелся скандал с известным обличителем "русских хакеров" - компанией CrowdStrike, которую основал родившийся в Москве в 1980-м году Дмитрий Альперович, уехавший в 1995-м году вместе с семьей в Канаду.

Напомню предысторию. 22 декабря прошлого года CrowdStrike опубликовала отчет с результатами своего расследования, согласно которому "русские хакеры", стоявшие за взломом DNC (а его также расследовала компания Альперовича), взломали и артиллерийское приложение, разработанное в Украине, что позволило российскому ГРУ получать доступ к координатам украинской артиллерии и выводить ее из строя. По версии CrowdStrike благодаря "русским хакерам" Украина потеряла до 80% своей боевой техники определенной модели.


23-го марта Международный институт стратегических исследований обвинил CrowdStrike в подтасовке данных, а точнее в манипулировании выводами, сделанными на основе данных, собранных IISS. Это привело к тому, что CrowdStrike вынуждена была сначала убрать нашумевший отчет со своего сайта, а потом внести в него несколько изменений, дезавуировавших прошлые заявления о потерях ВСУ.


Правда, удалили спорные цифры не везде :-)


При этом компания Альперовича продолжает настаивать на том, что "русские хакеры" взломали артиллерийское приложение, отказавшись только от заявлений о потерях военной техники. Однако, официальные представители ВСУ Украины отрицают факт взлома и считают, что это стало бы сразу известно. Об этом же говорит и автор приложения, высказавший серьезные сомнения в уме тех, кто писал этот отчет. Позже выяснилось, что в данном приложении вообще отсутствовал функционал, связанный с передачей местоположения артиллерийских установок.


Однако заявление и Шерстюка, и МинОбороны Украины не имело столь широкого резонанса, как отчет CrowdStrike, который активно обсуждался в американских СМИ и послужил еще одним кирпичиком в стене доказательств атак "русских" на американскую демократию. Этот же отчет усилил ранее высказанные обвинения CrowdStrike в атаках на сайт Демпартии США.

В настоящий момент Альперович отказывается от интервью и комментариев на эту тему, а пресс-служба CrowdStrike продолжает настаивать на своей первоначальной версии. Оно и понятно. Оказавшиеся шитыми белыми нитками доказательства по атаке на украинское мобильное приложение ставит под сомнение и отчет CrowdStrike по русскому следу в атаках на DNC, которое уже распиарено больше некуда и на которое Альперович сделал очень большую ставку, обвиняя страну своего рождения во всех смертных грехах. Признать свой провал в отчете по атрибуции атак на артиллерийское приложение, значит признать провал и в отчете на DNC, что имеет далеко идущие последствия для всех тех, кто использовал его как базу для своих обвинений России. Да и для Альперовича такое признание потаканию сиюминутной геополитической выгоде может оказаться финальным аккордом в карьере.

А тут еще масла в огонь подлила утечка из ЦРУ, в результате которой, на портале WikiLeaks стали публиковаться доказательства наличия у этой американской спецслужбы не только богатого арсенана кибервооружений, но и способности маскироваться под уже известных нарушителей, в том числе и из других стран. Иными словами, WikiLeaks опубликовала доказательства возможности (неизвестно, применялась ли данная тактика в реальности) ЦРУ выдавать себя за других хакеров. Интересно, что примерно в это же время специалисты по кибербезопасности компании BAE Systems опубликовали исследование, в котором исследуется тактика неизвестных хакеров маскироваться под "русских" в атаких на польские банки и другие организации в конце прошлого - начале этого года. Обнаружив русский язык в теле вредоносных программ, польские политики поспешили обвинить Россию в атаких на себя, однако на деле оказалось, что кто-то просто пытался замаскировать свою активность, пользуясь шумихой вокруг "русских хакеров в погонах". Так что получается, что данные WikiLeaks не являются вымыслом, а вполне могут быть реальной практикой, применяемой американскими (возможно и иными) спецслужбами для затруднения атрибуции кибератак. На этом фоне цена утверждений CrowdStrike о русском следе падает еще сильнее.

Я могу понять желание Альперовича нажиться на теме с русскими хакерами. Тут и бюджеты от государства, и бесплатный PR в СМИ и новые заказчики, и нелюбовь к бывшей Родине (в своих интервью он нелицеприятно высказывался о своем детстве в Советском Союзе, необходимости молчать о том, что думаешь, поездках отца на устранение аварий в Чернобыле, смерти и болезнях от радиации близких друзей). С другой стороны он сильно подмочил свою репутацию непроверенными до конца фактами. Мог бы ограничиться только публикацией индикаторов компрометации и артефактами, но он решил погрузиться в атрибуцию и прогорел. Предположу, что сейчас многие заказчики откажутся от услуг (но не факт, что продуктов) CrowdStrike после того, как выяснилось, что эта компания подменяет результаты своих расследований в угоду сиюминутной политической повестке дня.

Данный кейс лишний раз показывает, что атрибуция кибератак сегодня - это не так просто, как кажется. Это совсем не threat hunting, столь модный в последнее время. Тут последствия гораздо серьезнее. Можно как взлететь на волне PR о <имярек> следе и происках хакеров, спецслужб, киберпреступников, имеющих национальную принадлежность. А можно и крупно провалиться, если станет известно, что доказательства подтасованы, а заявления не основаны на реальных фактах, а базируются на заголовках СМИ или неподтвержденных фактах. Желание присосаться к бюджету и бесплатному PR понятно, но стоит учитывать последствия, когда в угоду политической ситуации, начинают жертвовать своим профессионализмом.

ЗЫ. А пока CrowdStrike будет под присягой отвечать перед Конгрессом за подтасоку фактов.

28.3.17

Обзор долгожданного письма ФСТЭК по МСЭ и утвержденных поправок в 17-й приказ

Сегодня я хотел опубликовать немного другую заметку, но тут в ночи ФСТЭК разродилась парочкой новостей, которые я не могу не прокомментировать. Начну я с информационного письма ФСТЭК по межсетевым экранам, которое регулятор обещал выпустить еще в феврале, но что-то затянул до конца марта. Никаких сюрпризов по сравнению с ранее озвученным ФСТЭК на своей конференции и описанным мной я в письме не обнаружил:
  • Серийное производство уже сертифированных МСЭ продолжается в соответствии с выданными сертификатами, то есть производство и поставка сертифицированных по старым требованиям МСЭ допускается при наличии действующего сертификата.
  • В созданных в соответствии с 17/21/31-м приказом ИС/ИСПДн/АСУ ТП возможно применение МСЭ, сертифицированных по старым требованиям до окончания срока действия сертификата.
  • После принятия поправок в 17/21/31-е приказы ФСТЭК, в вновь создаваемых ИС/ИСПДн/АСУ ТП необходимо применять МСЭ, сертифицированные по новым требованиям. 
  • В ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможно применение МСЭ, сертифицированных по старым требованиям.
  • Аттестация вновь создаваемых принятия поправок в 17/21/31-е приказы ФСТЭК ИС/ИСПДн/АСУ ТП проводится только при условии применения в них МСЭ, сертифицированных по новым требованиям.
  • Повторная аттестация ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможна с применением МСЭ, сертифицированных по старым требованиям (при наличии действующего сертификата).
Вторая новость касается принятия 15-го февраля ФСТЭКом и регистрации 14-го марта в Минюсте приказа ФСТЭК № 27 о внесении изменений в 17-й приказ, о котором я уже писал. Какие изменения я увидел по сравнению с проектом? Их несколько:
  • В проекте требовалось, чтобы по результатам анализа уязвимостей было подтверждено отсутствие в ГИС уязвимостей из БДУ ФСТЭК. В финальной редакции добавили, что также возможно доказать невозможность использования этих уязвимостей при их наличии (хорошее дополнение).
  • В проекте говорилось о том, что не допускается выполнение одним лицом функций проектирования и внедрения системы защиты ГИС. В финальной версии зачем-то добавили слово" должностное", что привело к новым вопросам (на мой взгляд). В законодательстве термин "должностное лицо" применяется только к органам власти, а аттестацией у нас ханимаются преимущественно коммерческие компании, к которым термин "должностное лицо" не применяется (кроме КоАП и УК). Отсюда вопрос, что имели ввиду во ФСТЭК, когда добавляли "должностное"? Раньше ФСТЭК использовала фразу "руководитель, иное должностное лицо или уполномоченный представитель лицензиата", которая лучше отражала круг лиц, на которых распространялись требования ФСТЭК.
  • Убрали термин "тестирование на проникновение" и вообще сократили описание данного вида аттестационных испытаний. Кроме того, убрали обязательность данного вида испытаний для ГИС 1-го и 2-го классов.
  • А на русский язык-то не проверили до конца. Например, в п.17.6 предлагается такая формулировка "должны используются" вместо "должны использоваться" или "используются". Интересно, как правильно?
  • Целиком переписали п.25 (в проекте его не было) про учет потенциала нарушителя при выборе защитных мер.
Приказ вступил в силу в течение 10 дней с момента его регистрации в Минюсте, то есть он уже действует. Всем удачи в его выполнении...

UPDATE: Пропустил. Оказывается в финальной версии изменилась также таблица с базовыми защитными мерами. В частности изменения претерпели следующие меры - УПД.3 (управление потоками) и ЗСВ.10 (сегментирование виртуальных сред); теперь они включены в базовый набор, начиная с 3-го класса защищенности информационной системы.

27.3.17

Брейн-ринг "Криптографические этюда" на #ruscrypro

На прошедшей на прошлой неделе РусКрипто мне вновь довелось проводить интеллектуальные игры на околокриптографические темы. И хотя традицией это пока еще не стало, два раза - это уже два раза. В прошлый раз я остановил свой выбор на "Своей игре", а в этот организаторы попросили устроить "Что? Где? Когда?", а точнее "Что? Где? Зачем?".


На самом же деле, учитывая наличие двух команд, речь шла о брейн-ринге, который я посвятил, как это ни странно, криптографии. Отличительной особенностью брейн-ринга от "Своей игры" является упор на сообразительность, чем на знания.


Поэтому вопросы скорее можно было назвать заданиями, в которых надо было проявить знания, сообразительность, реакцию и скорость. Всего было подготовлено 11 вопросов в расчете на максимально возможный счет 6:5. В итоге счет оказался 6:4. На игру ушел один час, что, на мой взгляд, достаточно для таких игр. Как показывает опыт проведения аналогичных затей, больше чем 1,5 часа выделять под них бесмыссленно. Зрители начинают скучать. 1-1,5 часа - в самый раз.

Еще одно наблюдение - такие игры не для проходных и не для столичных мероприятий. Одно дело, когда вы находитесь за городом и вечером вы стоите перед выбором - пойти в бар или заняться интеллектуальной игрой? И совсем другое, когда вы прослушали доклады/мастер-классы и между вами и поездкой домой (в том же городе, что и место проведения мероприятия) стоит игра. Что вы выберете? Предположу, что желающих остаться поиграть будет гораздо меньше, чем в случае загородных игрищ. По этой причине я отказался от проведения "100 к 1" в рамках десятого юбилейного CISO Forum, проходящего в апреле в Москве. Как мне кажется, эта интеллектуальная игра там не пойдет (хотя я был бы рад ошибаться).

Сразу отвечу на вопрос - когда будет выложена презентациями с вопросами/заданиями? Никогда. Я не исключаю, что я буду использовать эту игру еще где-нибудь и поэтому мне не хотелось бы вновь тратить немало времени на подготовку к игре и формирование пула заданий/вопросов. Желающие могут это проделать самостоятельно. Могу подсказать несколько ссылок, которые помогли мне в моей работе:

Например, вот эту головоломку я придумал, когда решал головоломки с дочерью. Правда, у нее матрица была поменьше, но суть та же. В данной головоломке по горизонтали и вертикали зашифровано 35 имен российских и зарубежных криптографов.


Кстати, во время игры на Рускрипто ее целиком так и не решили - одной команде удалось найти 17 имен, второй - 15. При этом команды применяли разные методы поиска. В одной, как мне показалось, поиск был хаотичным и каждый член команды повторял работу других. В другой матрица была разбита на сегменты и каждому участнику был выделен свой кусок работы. Когда я проверял, за сколько времени можно решить эту задачу, я поступил иначе - с помощью линейки открывал линию за линией, выискивая последовательности, похожие на фамилии.

В любом случае мне игра вновь понравилась. Она дала возможность получить мне новые знания и навыки и дать участникам игры возможность с пользой и удовольствием провести время. Хочу поблагодарить организаторов Рускрипто (Вику, Игоря, Свету, Юлю, Юру) за приглашение и возможность провести эту игру. Надеюсь, что это может стать хорошей традицией для конференции. Тем более, что неиспользованными еще остались такие форматы, как "Как стать миллионером?", "100 к 1", "Умницы и умницы" и другие.

ЗЫ. Positivные коллеги прогнозируют такое развитие событий :-)


24.3.17

Криптография как метод обезличивания ПДн и решения проблем с ФЗ-242

На окончившейся сегодня РусКрипто мне довелось не только вести аналог "Брейн-ринга" на криптографическую тему, но и выступать в секции "Нетрадиционное применение криптографии", которую я же и модерировал. Для этой секции я подготовил презентацию по применению криптографии (шифрования и хеширования) для обезличивания персональных данных в целях снижения обременений на операторов ПДн, вынужденных разрываться между необходимостью заниматься бизнесом и выполнять ФЗ-242. Вот моя презентация:



Сразу хочу отметить один момент - РКН может быть не согласен с такой постановкой задачи, так как она явно противоречит их установкам заставлять всех перености ПДн российских граждан в Россию. Поэтому надо быть готовым к отстаиванию своей позиции, если у вас не остается иных вариантов, как только обезличивать ПДн и передавать их за пределы РФ. Надо отметить, что криптографические преобразования полностью соответствуют не только международным нормам по обезличиванию, но и российским - тому же приказу №996 Роскомнадзора. Скажу даже больше - в первоначальной версии проекта этого приказа криптография была упомянута в числе других методов обезличивания. Но в финальной версии, после настойчивой просьбы ФСБ и не имея желания отстаивать позицию, РКН исключил шифрование и хеширование из списка.

В отдельных случаях РКН заявляет, что шифрование не может применяться для обезличивания, так как это защита информации. Это бред. Криптографические преобразования могут применяться не только для защиты информации, но и для ряда других задач, среди которых и обезличивание. Уж РКН будет последним, чьим мнением я бы интересовался относительно вопросов защиты информации и примененимости криптографии.

В любом случае презентация есть - может кому будет полезно.

20.3.17

Модель угроз мобильного устройства

Заказывали у меня тут курс по безопасности мобильной и беспроводной инфраструктуры, для которого, очевидно, надо было составить модель угроз мобильным устройствам, от которой затем отталкиваться в самом материале, описывая для каждой угрозы соответствующие меры нейтрализации. Решил поделиться полученной моделью угроз.


Пока не систематизировал полученный перечень угроз, как и не расставлял их приоритеты и актуальность. Понятно, что у каждого специалиста будет свое видение этого вопроса.


Постарался учесть все, что пришло в голову, касающееся и программных и аппаратных угроз, а также такие вещи, как кража легитимного ПО и контента (нечастая проблема, наверное), ПЭМИН (очень специфическая угроза) и т.п.


Вспоминая про регулярную подмену данных геолокации около Кремля, не мог не включить и эту угрозу. В отдельных случаях это может привести к направлению жертвы по ложному пути/адресу.


На днях прошла новость о том, что можно узнать пароль (PIN) от смартфона по тепловому следу на клавиатуре/экране мобильного устройства. Угрозу инфракрасному каналу тоже включил, хотя давно не видел устройств с таким интерфейсом.


Ну и следуя модным тенденциям, не забыл включить угрозы со стороны инфраструктуры производителей (несанкционированное обновление, несанкционированное/случайное копирование данных с устройства в облако производителя и т.п.). Спецслужбы (несмотря на скандал с ЦРУ / Vault 7) не включал, так как они являются источником угроз, а сами угрозы реализуют те, что в модели перечислены.


Жизнь постоянно преподносит сюрпризы, показывая возможность реализовать угрозы, которые раньше считались или теоретическими или вообще невозможными. Поэтому, не претендуя на полный список всех угроз, я посчитал нужным включить два слайда с архитектурой мобильного устройства и экосистемой их взаимодействия с внешним миром. Эти слайды позволяют увидеть угрозы, которые я по каким-то причинам не включил.


Слайд с экосистемой очень общий и в каждом конкретном случае может быть расширен. Например, уточнен список облачных сервисов приложений, которые могут добавить ряд новых угроз, отсутствующих изначально в списке.


ЗЫ. Если что-то не включил, то буду рад дополнить и обновить слайды.

10.3.17

Визуализация необходимости обеспечения киберустойчивости

Согласно исследованиям Cisco большинство компаний в мире (от небольших до очень крупных) строят свою систему защиты в пропорции 80-15-5, где 80% ресурсов (временных, финансовых, людских и иных) уходит на предотвращение угроз (МСЭ, контроль доступа, поиск и устранение уязвимостей, VPN и т.п.), 15% - на обнаружение (IDS/IPS, антивирусы, сисемы контентной фильтрации, DLP и т.п.) и оставшиес 5% - на реагирование на уже произошедшие инциденты (расследование, мониторинг аномалий и т.п.). До сих пор многие компании тратят львиную долю своих усилий именно на первый блок защитных мероприятий, забывая или не уделяя должного внимания оставшимся двум.

К чему приводит такое пренебрежение? Попробуем визуализировать. В момент реализации атаки или наступления инцидента (спорить о терминах сейчас не будет) у нас наступает определенная деградация системы и чем серьезнее атака и чем слабее система защиты, тем дольше эта деградация по времени и по масштабу у нас длится. Если посмотреть на график, то это отрезок А, отражающий способность системы деградировать под атакой и, возможно, смягчать/ослаблять эффект от атаки при наличии защитных мер. В какой-то момент времени мы останавливаем негативный эффект от атаки (точка В) и он начинает либо выправляться (значение Вт равно нулю), либо длится какое-то время до момента принятия нами мер реагирования, задача которых вернуть систему в предатакованное состояние (отрезок С).


Если у меня хорошая система предотвращения угроз (что обычно и бывает), но слабое обнаружение и реагирование, то график потерь будет выглядеть следующим образом. При понимании конкретных показателей продуктивности атакованного ресурса или системы мы можем даже посчитать все в количественном выражении.


Если с обнаружением и реагированием у меня все в порядке, но слаба системе предотвращения, то у нас будет затяжное пике с последующим быстром возвратом из него.

Худший сценарий - это когда у меня слабы все три составляющие - предотвращение, обнаружение и реагирование. Тогда после очень затяжного пике наступает длительный период нанесения ущерба и не менее длительное восстановление, которое (в зависимости от реализованных мер) может затянуться очень надолго.


Очевидно, что правильным было сбалансировать все механизмы между собой, быстро предотвращая, обнаруживая и реагируя на атаки/инциденты. Зеленым показан возврат от новых функций/преимуществ, которые получает предприятие, правильно инвестировавшее ресурсы в систему защиты. В зависимости от отношения к ИБ (центр затрат или бизнес-функция) зеленой области может и не быть (точнее ее сложно будет подсчитать), но как минимум, будет достигнут эффект у снижение красной зоны по сравнению с предыдущими тремя графиками.

Вывод простой - необходимо балансировать меры защиты, равномерно распределяя их по жизненному циклу атаки "ДО - ВО ВРЕМЯ - ПОСЛЕ". А для того, чтобы понять, каких защитных мер вам не хватает, можно воспользоваться матрицами NIST или МинОбороны США, о которых я уже писал. Матрица NIST, кстати, хорошо ложится на перечень защитных мер в приказах 17/21/31 ФСТЭК и даже на проект нового ГОСТа ЦБ по ИБ

ЗЫ. Я надыбал эти картинки из курса по киберустойчивости (cyber resilience), который в прошлом году проходил у нас в компании, и которые мне настолько понравились своей простотой и понятностью, что я их даже отрисовал для своих презентаций по измерению ИБ.

9.3.17

Развлечения и призы на мероприятиях по ИБ, включая RSAC

После праздников, пусть и непродолжительных, хотелось написать о подарках на мероприятиях ИБ. В последнее время их (подарки и призы) стали разыгрывать для привлечения внимания к продукции или услугам или самой компании. Этого не чураются как на конференциях, так и на выставках по ИБ. И делают это как небольшие стартапы, так и крупные игроки. Поскольку скоро у нас начнется весенний сезон мероприятий по ИБ (CISO Forum, РусКрипто, PHDays, ITSF, Код ИБ, питерский BIS Summit и т.д.), то хотелось бы обратить внимание коллег на ряд моментов:

  • Не стоит путать приз и подарок. Второй дают просто так, а первый нужно заслужить. Например, на RSAC активно раздавали всякие недорогие подарки всем участникам, зашедшим на стенд какой-либо компании - ручки, сумки, USB-презервативы, книжки и т.п.

Это не приз, а подарок (игральные карты)
Snorty в качестве подарка
  • Приз - это нечто более ценное, что не раздают направо и налево. Его надо заслужить. Например, отслушать презентацию на стенде и потом поучаствовать в розыгрыше (за "просто послушать презентацию" дают подарок, но не приз). И дальше как повезет. Например, можно выигрыть дрона или очки виртуальной реальности или скидочные карточки Amazon или скидку на обучение в сумме 1-2 тысяч долларов или еще что-нибудь. Если компания богатая, то она может позволить себе разыгрывать призы, например, после каждой презентации. Если компания - стартап, то они обычно собирали визитки, а в конце каждого дня приглашали на розыгрыш призов, мотивируя тем самым человека прийти на стенд еще раз.
  • Многие компании добавляли элемент случая в свои розыгрыши призов, предлагая посетителям самим крутить "колесо Фортуны" и дальше положиться на волю случая.
  • Посетители вам ничего не должны. Они ходят между сотнями стендов и заинтересовать их не просто. Заставит вернуться на стенд еще сложнее. Вспомните себя, когда вы пришли в торговый центр с кучей магазинов. Как часто вы говорите: "Я еще посмотрю и вернусь" и не возвращаетесь? Тут тоже самое. Чтобы посетитель вернулся - его надо мотивировать.
  • "Мы вам подарим/вручим хороший приз" - это неконкретно. Нужна точная информация и заранее. Кому-то он хороший, а кому-то и нет. Когда я слышу "хороший приз", я понимаю, что либо приз - дешевка или полная хрень и это пытаются скрыть, либо приз еще неизвестен. Такое бывает в разных конкурсах перед мероприятиями или на самих мероприятиях.
  • Приз должен быть мотивирующим или желанным. Например, когда мы проводим Cisco SecCon и даем карточку для посещения спонсоров, то по итогам, среди тех, кто прошел по всем стендам, разыгрывается что-то солидное - планшетник или электронная книга или еще какой-то гаджет. Магнитики в качестве приза мало кого мотивируют.
Из развлечений на стендах было мало чего нового - стрелялки и т.п.


Запомнился мне, пожалуй, стенд какой-то компании, где разносили вдребезги аппаратные решения по безопасности. У меня вот до сих нереализованная мечта юности - бейсбольной битой размочить монитор компьютера или телевизор. Тут эта мечта трансформируется в мочилово неугодных вендоров :-)


В заключение хочу обратить внимание на применению геймификации, которая активно проникает в нашу отрасль. Например, на одном из стендов была вот такая "игра в клубочки". Проходя несколько раз мимо этого стенда, я постоянно видел толпы людей, желающих пораспутывать хитросплетения ИБ.


А вот BAE Systems вновь удивила. В прошлом году она показывала очки виртуальной реальности со стрелялкой - надо было мочить вирусы, вредоносные программы и т.п. В этом году они сделали игру, схожую по принципу с игрой KIPS от Касперского. На входе вам выдавали определенное количество денег, ставили задачу и вы должны были, выполнив несколько заданий, дойти до финала с наилучшими результатами.


Вот совсем короткое видео этой "игрушки" - сотрудники BAE запретили мне дальше снимать, заявив, что это их интеллектуальная собственность :-(


Вот как-то так...

7.3.17

CA покупает Veracode

6 марта CA Technologies объявила о подписании соглашения о покупке компании Veracode, известной своей облачной платформой по анализу безопасности кода приложений. Цена сделки - около 618 миллионов долларов.

Обзор нового ГОСТа ЦБ по защите информации

Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.

Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.

Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.

Стандарт определяет три уровня защиты информации:
  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.

Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
  • вида деятельности финансовой организации,
  • состава реализуемых бизнес-процессов и (или) технологических процессов
  • объема финансовых операций
  • размера организации
  • отнесения финансовой организации к категории малых предприятий и микропредприятий
  • значимости финансовой организации для финансового рынка и национальной платежной системы.
Как можно было заметить в 5-й редакции СТО БР ИББС, тему ПДн ЦБ перестал драйвить и попросту отсылает всех к 21-му приказу ФСТЭК. Так и в ГОСТе - никаких отдельных защитных мер для ПДн нет. ЦБ просто соотносит уровни защиты нового ГОСТа и уровни защищенности ПДн ЦБ:



Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
  • выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
  • уточнение (включает дополнение или исключение)
  • дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.


Обратите внимание, теперь не будет закрытого и неизменного списка защитных мер, как это прописано в СТО БР ИББС или в 382-П или в иных документах Банка России. Теперь этот перечень будет зависеть от множества факторов - для каждого случая будут установлены уровни защиты, а их реализация будет базироваться на новом ГОСТе. Получится вполне дифференцированный подход.

Структура нового ГОСТа будет следующей:
  • Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
  • Общие положения
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части - сами меры защиты, меры по управлению и требования к жизненному циклу.

Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
  • Обеспечение защиты информации при управлении доступом
    • управление учетными записями и правами субъектов логического доступа 
    • идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
    • защита информации при осуществлении физического доступа
    • идентификация, классификация и учет ресурсов и объектов доступа
  • Обеспечение защиты вычислительных сетей
    • сегментация и межсетевое экранирование вычислительных сетей
    • выявление сетевых вторжений и атак
    • защита информации, передаваемой по вычислительным сетям
    • защита беспроводных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Антивирусная защита
  • Предотвращение утечек информации, защита машинных носителей информации (МНИ)
  • Управление инцидентами защиты информации
    • мониторинг и анализ событий защиты информации
    • обнаружение инцидентов защиты информации и реагирование на них
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Фрагмент блока требований по управлению доступом
Блок управления состоит из четырех компонентов:
  • Планирование системы защиты информации
  • Реализация системы защиты информации
  • Контроль реализация системы защиты информации
  • Совершенствование реализация системы защиты информации.

Фрагмент блока требований к планированию системы защиты информации
Ну и блок требований к жизненному циклу защиты информации:

Фрагмент блока требований к жизненному циклу
Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется "рекомендация по стандартизации" с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим...

ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.

6.3.17

Поправки ФСТЭК в 21-й и 31-й приказы

ФСТЭК опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем персональных данных и АСУ ТП соответственно. Об этих изменениях говорилось на конференции ФСТЭК и вот теперь они опубликованы в виде проекта, который врядли будет отличаться от своей финальной версии.

Итак, что же говорит новая редакция 31-го приказа? Вместо следующей схемы применения сертифицированных средств защиты информации (если это необходимо):


предлагается вот такая схема. По сути поменялось мало что - ФСТЭК всех приводит к единому знаменателю.


С 21-м приказом ситуация схожая. Было сложно (есть Интернет или нет, какие угрозы актуальны...):


Стало: 


Единственное, что добавится в 21/31-й приказ, это следующая формулировка: "В автоматизированных системах управления [информационных системах] могут применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований". Тоже понятный пассаж - кроме требований на промышленные МСЭ больше у нас ничего для АСУ ТП нет (РД на промышленные антивирусы только пишется) и поэтому логично, что ФСТЭК прямо разрешает сертификацию на ТУ или ЗБ. Ситуация с ИСПДн чуть лучше, но и там тоже рынок сертифицированных продуктов далек от идеала. Ни продуктов отечественных нет под все требования 17-го приказа, ни требований на сертификацию (их всего 6 пока + СВТ). Раньше ФСТЭК заявляла, что не приветствует сертификацию по ТУ/ЗБ и всех будет переводить на РД. Но пока не успевает.

И опять же помним, что сертификация средств защиты по 21/31-му приказам нужна только в тех случаях, когда оператор/владелец ИСПДн/АСУ ТП сам этого захотел - обязанности сертифицировать средства защиты для ИСПДн/АСУ ТП нигде не установлено (только оценка соответствия в установленном порядке).

3.3.17

Зарядка смартфона как угроза утечки информации

На RSAC достаточно популярной было наличие зарядных станций на стендах участников выставка. Оно и понятно, аккумулятор при активном использовании уходит в ноль за полдня и остро встает задача зарядки своего мобильного устройства.


На стендах же вы часто тратите по 10-15 минут, общаясь с представителями компаний и за это время вы вполне можете поднять зарядку своего смартфона на 10%. Тут 10%, там 10%... Глядишь, аккумулятор вновь полный.


Только мы не так уж и часто задумываемся о том, что подключая свои носители конфиденциальной информации к таким зарядным станциям, мы не только получаем от них электрический ток, но и можем отдавать информацию, которая хранится на устройстве. Ведь обычно для зарядки используется тот же самый кабель, что и для синхронизации, а он подразумевает двустороннуее взаимодействие со всеми вытекающими отсюда угрозами. Правда, для этого, вы должны "доверять" компьютеру, который захочет получить доступ к информации на вашем компьютере, что требует определенных действий от пользователя (по крайней мере на iOS это так). Но где гарантия, что этот механизм "доверия" нельзя обойти? А может быть на мобильном устройстве его и вовсе нет?

Я специально для таких задач ношу с собой внешнюю батарею, которой хватает на несколько циклов зарядки. Но понятно, что это бывает не всегда. Кому-то лень таскать с собой дополнительный аккумулятор, кто-то забыл его подзарядить, а кто-то понадеялся на то, что батареи хватит на весь день. Но не срослось и вот перед нами задача зарядки нашего устройства через недоверенную зарядную станцию. Что делать?

Вот к китайцам у меня недоверие и у них бы я никогда не заряжал свой смартфон
В этом году на RSAC была модной вот такая сувенирка (нарядку со шторками для камеры ноутбука). Специальные зарядные кабели, у которых физически отсутствует возможность синхронизации. Дешево, практично и безопасно.



В одном случае я получил вот такое вот изделие, суть которого та же, что и у односторонних кабелей, но вот удобство на порядок ниже. Ведь помимо этого устройства, предотвращающего синхронизацию, мне все равно понадобится кабель для зарядки.


Но помните, что для удовлетворения потребностей посетителей конференций и выставок, а также для их удобства, часто стали предлагать вот такие зарядные станции с интегрированными кабелями разных типов (micro-USB, mini-USB и др.).


В таком случае представленные выше варианты защиты не подойдут. Исключая ситуацию с зарядкой USB-USB; тогда устройство на предпоследней фотографии подойдет как нельзя лучше. Если бы такие были для всех типов интерфейсов, то проблема была бы решена.

В любом случае стоит помнить об этом риске и быть заранее готовым к управлению им. Не исключаю, что скоро появятся желающие протестировать безопасников на уровень их параной путем установки зарядной станции на какой-нибудь конференции или выставке по ИБ :-) Ведь фальшивые точки доступа регулярно ставят на мероприятиях по ИБ, а потом делятся временами забавными результатами. Так, кстати, было и в этот раз - почти пятая часть всех участников RSAC подцепилась на фальшивую точку доступа.

2.3.17

Гламурные средства утечки информации

Многие коллеги по цеху знают, что существуют организации в России, в которых запрещено проносить телефоны, фотоаппараты, диктофоны и флешки во избежании утечек информации. Для этого на входе размещаются металлоискатели, а также шкафчики (или камеры хранения), в которые и помещаются все запрещенные к проносу устройства.

Я всегда считал, да и до сих пор считаю, что это параноидальная безопасность, которая, к тому же, и никакого эффекта не дает. И подтверждение этому я в очередной раз нашел во время посещения  конференции RSA. Не то чтобы я только там это обнаружил, просто так совпало. За углом моей гостиницы обнаружился международный шпионский магазин, приторговывающий различной “шпионской” техникой - видеокамерами, встроенными в плюшевых медведей, очки или автомобильные брелоки, диктофоны в ручках, переносных кружках-термосах или наручных часах, и т.п.


Кстати, недавний скандал на Украине, с бывшим депутатом Онищенко, связан был именно с наручными часами, в которые был встроен диктофон, которым и были записаны якобы компрометирующие нынешнего Президента Украины разговоры. Часы в магазине тоже были, как и другие средства для видео/аудио-фиксации происходящего вокруг. Например, вот такой прелестный медвежонок (этакий Cozy Bear :-).


И вот там же я наткнулся на большую витрину, на которой было представлено большое количество различных флешек на 4-16 Гб, замаскированных под запонки или женские кулоны (кстати, на Интернет-сайте этого магазина таких товаров нет).

Флешки-запонки
И как контролировать такие устройства? Проверять каждую запонку на рентгенографическом аппарате? А женщин заставлять снимать их украшения? Представляю, какими скандалами будет сопровождаться каждая такая просьба. И, самое главное, быть уверенными, что найдутся все возможные побрякушки с встроенными флешками, все равно будет нельзя. Например, у меня в пиджаке завалялась с какой-то конференции флешка в виде кредитной карты (может быть чуть толще). А еще флешку можно спрятать в очки, перстень, пряжку ремня или женской сумки. Да мало ли вариантов подскажет нам фантазия, просмотр шпионских фильмов или посещение шпионских музеев в США или в России (раньше был закрыт для свободного посещения).

Флешка-кулон
Флешки-кулоны
Был и такой еще вариант скрытия носителей информации - внутри монеты. Правда российских рублей я там не видел, но лиха беда начало (да и наличие американских денег в кармане сегодня уже врядли кого удивит).

Что делать с этим каналом утечки информации? Сходу видится несколько стратегий управления этим риском (от худшей к лучшей):

  • Запретить USB либо физически (эпоксидка в USB-порт, заказ техники без USB-портов) либо путем использования соответствующего ПО или встроенных возможностей ОС. Не самый удачный вариант, так как USB-порты могут понадобиться для подключения мыши, синхронизации с мобильными устройствами, зарядки или иных задач (я, например, в командировках часто подключаю смартфон к ноутбуку в качестве модема).
  • Разрешить использование только флешек из белого списка, выдаваемых работодателем и соответствующих образом маркируемых. ПО на рабочих местах контролирует применение флешек и блокирует любое отклонение от разрешенного списка. Вариант чуть лучше предыдущего, но все равно не такой гибкий. Мне вот регулярно в руки попадают флешки с материалами разных конференций, или контрагенты договор какой передадут на своей флешке, или еще что. И как быть в таком случае? Организовывать отдельный процесс переноса данных с получаемых флешек на разрешенные в организации?
  • Применение DLP-решений. Отличие от предыдущего вариант простое - акцент делается на контенте, который заливается на флешки, которые в свою очередь могут быть совершенно различными - корпоративными, личными, чужими. 
  • Реализация принципа минимума привилегий с целью сокращения и числа лиц, которые имеют доступ к конфиденциальной информации, и источников информации, к которым имеют доступ сотрудники компании. На мой взгляд это лучший сценарий в российских условиях, но он требует и гораздо большей проработки, как организационной, так и технической. По сути речь идет о выстраивании целой системы контроля доступа к информации на предприятии. Многим гораздо проще пойти по запретительному сценарию, который не приводит к нужному эффекту и только озлобляет персонал.
  • Не запрещать, уделяя внимание работе с персоналом. Самый правильный, но и сложно реализуемый в России сценарий. Различными мерами (преимущественно нетехнического характера) надо сделать так, чтобы у работников вообще не возникало мысли красть информацию. Тогда и контролировать пронос флешек и иных машинных носителей не придется. Только вот в России к этому варианту обращаются реже всего :-(
  • Комбинированный способ.
ЗЫ. Предвидя комментарий, что кому не нравится досмотр, тот может валить из компании, отвечу: “Да! Именно так и надо вести с работниками, являющимися человеческим капиталом, и приносящим компании доход!”

ЗЗЫ. А вообще защита от флешек должна быть такой: