25.04.2017

Государственно-частное партнерство на примере последнего документа ФСТЭК по SOC

Сегодня я должен был выступать в Гармиш-Партенкирхене на конференции по международной ИБ и рассказывать о возможных шагах по улучшению государственно-частного партнерства в области информационной безопасности на примере законопроекта "О безопасности критической информационной инфраструктуры". Но, увы, не сложилось. Визу получил только вчера и лететь было уже поздно.

Но сама тема внезапно получила продолжение после публикации в пятницу обновленного списка контрольно-измерительного оборудования, необходимого для получения лицензии ФСТЭК, в том числе и лицензии по мониторингу ИБ (SOC). Первоначальная версия этого документа не выдерживала никакой критики, что вызвало дискуссию в социальных сетях и... сподвигло ФСТЭК на беспрецедентный шаг - пригласить экспертов для обсуждения поправок в данный документ.

Предвидя закономерный вопрос, что надо было сразу делать нормально и тогда не потребовалось бы вносить изменения, отвечу. Первая версия документа писалась тоже экспертами, но работающими в отечественных компаниях, которые занимаются SOCами, что и обусловило некоторый перекос в требованиях. Я на первом заседании, на котором обсуждался этот перечень не присутствовал и не знаю, что и как там предлагалось. Но вот на последнее совещание меня позвали :-)

Общие замечания относительно этого перечня были следующими:
  • требование наличия некоторых средств защиты являются избыточными
  • требование наличия некоторых инструментов для SOC являются избыточными
  • требования по сертификации некоторых инструментов SOC являются избыточными
  • требования по аттестации на ГИС1 являются избыточными.

В итоге:
  • Средства контроля целостности были убраны из требований к лицензированию SOC.
  • Средства, предназначенные для пентестов, WAF, МСЭ, антивирус, IDS были удалены совсем, так как изначально было непонятно, для чего они нужны. Для защиты SOC или для мониторинга с помощью SOC?
  • Средства автоматизированного реагирования на инциденты объединили с другими инструментами.
  • Поменяли местами формулировки. Например, раньше мониторили средства и системы информатизации, а сейчас информационные системы; добавили термин "песочница", "системы" заменили на "средства" и т.д.
  • Сертификаты должны быть только у сканеров безопасности, SIEM и средств защиты каналов связи. Остальные решения могут обойтись формулярами, составляемыми разработчиками или лицензиатами ФСТЭК. Это было сделано для тех случаев, когда используются различные open source или freeware решения. Требования к составу и содержанию формуляра описаны в ГОСТ 19.501-78.
  • Убрали требование по нахождению SOC по адресу осуществления данного вида деятельности (виртуальные SOC вновь могут жить).
Требование наличия сертифицированных VPN (даже несмотря на то, что представители ГосСОПКИ не требовали этого) осталось. Как и требование ГИС1 к системам защиты SOC. Тут надо дать пояснения. В первоначальной версии перечня последний пункт звучал не совсем так, как об этом говорили представители ФСТЭК в частных беседах. Читалось, что сам SOC должен быть аттестован на ГИС1, включая и используемые им инструменты - SIEM, управление инцидентами, сканеры безопасности и т.п. А так как речь шла о ГИС1, то сертификация должна была быть произведена и на отсутствие НДВ, что было малореально. В итоге текущая формулировка теперь касается только системы защиты самого SOC, а не входящих в него компонентов.

Кстати, VPN и ГИС1 - это требования, не относящиеся к переченю контрольно-измерительного оборудования, необходимого при оказании услуг. И вообще-то они должны были быть вынесены за скобки этого документа, например, на уровень ПП-541 по лицензированию (там как раз и прописываются требования к лицензиату). Но тогда об этом не подумали и поэтому пришлось вносить эти пункты в отдельный НПА ФСТЭК (хотя требование сертифицированных VPN вообще ни к селу, ни к городу в обоих документах - выбивается оно).

И хотя не все пожелания экспертов были учтены (читай, мои рекомендации по отказу от требования сертифицированных VPN и ГИС1 для небольших SOCов), все-таки такое государственно-частное партнерство (пусть и без формализации) в деле разработки нормативных документов я считаю очень и очень позитивным. Сейчас перечень требований к лицензиатам SOC стал гораздо более выполнимым и адекватным.

Схожая деятельность ведется и другими регуляторами (исключая, пожалуй, РКН, который идею консультативного совета превратил в фикцию), но, может быть, не так активно. Тот же Банк России активно собирает мнения от участников отрасли в рамках ТК122. ФСБ пытается работать с частным бизнесом через ТК26, но туда попасть могут не все и взаимодействие, как мне кажется, не является равноправным. Как собственно и другие направления сотрудничества ФСБ.

ЗЫ. Были и другие поправки в перечне контрольно-измерительного оборудования, которые не имели отношения к SOC:
  • средства контроля эффективности применения СЗИ разделили на средства поиска остаточной информации на машинных носителях и средства контроля подключения устройств (что не совсем логично, на мой взгляд)
  • исключили необходимость наличия оборудования для некоторых видов работ.

24.04.2017

PlayStation 4 могли использовать для общения террористов, экстремистов и шпионов

Презабавнейший случай вновь произошел на просторах России, а точнее на ее границах. Житель Сургута решил заказать себе из Германии игровую приставку PlayStation 4, что с превеликим удовольствием и сделал, уже предвкушая вечера и ночи, проводимые у этого дьявольского изобретения, которое сжирает время, отупляет людей, разрушает семьи… Интернет у нас еще свободный, а оплата кредитными картами зарубежным лицам пока тоже не запрещены, и заказ в заграничном Интернет-магазине прошел без каких-либо проволочек. И вот настает долгожданный миг, счастливому покупателю приходит уведомление о том… нет, не о том, что его товар доставлен и его можно забрать на почте, а о том, что он нарушил законодательство, его товар будет изъят, а сам он будет оштрафован за нарушение таможенного законодательства, которое требует наличия специальных документов (нотификаций) на ввозимое в страну шифровальное оборудование. Да-да. Игровая приставка у нас считается шифровальным оборудованием, как и множество иных устройств, про которые мы даже не знаем, что они имеют встроенную криптографию, о чем я уже не раз писал (и вот тут еще).

Собственно на этом можно было бы и закончить историю (вспомнив попутно, что незнание законов не освобождает от ответственности), но я эту заметку затеял не ради рассказа об очередной жертве российского произвола законодательства. Я просто хотел обратить внимание, что число таких ситуаций может только возрастать и мы должны еще сказать спасибо российской таможне, которая не в полной мере реализует свое право по изъятию неверно декларируемых или иным образом нарушающих нормативные акты таможни товаров. Ведь по сути все те гаджеты, которые мы заказываем в зарубежных Интернет-магазинах и привозим в Россию, часто не имеют никаких разрешительных документов.

Например, больше года назад (или уже два?) заказанная мной из Amazon электронная книжка Kindle была отправлена назад, так как на нее еще не было нотификации. Хорошо, что служба доставки тогда меня предупредила об этом и получив ответ, что заниматься оформлением нотификации я не буду, отправила Kindle обратно, а мне пришлось покупать ее срочно в Москве (дороже, как водится). А могли бы и оштрафовать... Когда я вез с SANSовского тренинга промышленный ИБ-симулятор Cybati с встроенным Arduino (а у него есть встроенная криптография), я тоже не особо задумыался о том, что у меня могут его изъять на границе (на него не то, что не было нотификаций, но, боюсь, и не будет никогда). А всяческая электроника с AliExpress, которая массово закупается у китайских умельцев? На нее подчас тоже нет никакой разрешительной документации.

В условиях роста Интернета вещей и желания российских граждан (как минимум, прогрессивной их части) приобщиться к новомодной тенденции, число ввозимых устройств с встроенной криптографией будет только расти. И тут впору бы задуматься о внесении изменений в таможенное законодательство, регулирующее вопросы ввоза устройств, содержащих функции шифрования для частного применения. Но… в этом плане я скептичен, так как помню еще эпопею с принятием последнего пакета поправок в эти нормативные акты, которые обсуждались и принимались в 2009-м году. Ведь мы живем по этим правилам уже 7 лет, с 1-го января 2010 года. Технологии и индустрия за это время сделали гигантский скачок вперед, а вот нормативная база осталась прежней :-(

ЗЫ. Вообще PlayStation 4 имеет нотификацию, но заказанная модель нет.

ЗЗЫ. Перечитал заметку и удивился. Как это мне удалось написать про эту тему и ни разу не упомянуть ФСБ :-) Да-да, куратором изменений в данное законодательство у нас является ФСБ и я не предвижу в текущих условиях изменений ситуации в лучшую сторону.

20.04.2017

Борьба с фишингом. Пошаговая инструкция

Выкладываю презентацию с мастер-класса по борьбе с фишингом, которую читал на CISO Forum 2017 в Москве. Это чуть более подробная версия, чем та, что читалась (часть слайдов в рамках выступления я скрыл, чтобы хватило времени за час все рассказать). Но есть и более полная версия, раскрывающая в деталях вопросы использования отдельных инструментов злоумышленников (тот же Social Engineering Toolkit, Evilginx, Punycode и др.) и защитных мер (фишинговые симуляторы, обучение сотрудников и т.п.). Полный вариант у меня занимает около 4-х часов.


Борьба с фишингом. Пошаговая инструкция from Aleksey Lukatskiy

В рамках мастер-класса было несколько демонстраций, которые, к сожалению, не очень хорошо были видны на малом экране с малым разрешением. Поэтому выкладываю отдельно и видео. В некоторых из них, в качестве примера взят Сбербанк, как наиболее лакомая и популярная мишень у злоумышленников. Если коллег из Сбербанка эти ролики будут напрягать, то удалю их, заменив на более нейтральные примеры.

Анатомия атаки:


Подбор фальшивых доменов с помощью URLcrazy:



Сбор контактных данных с помощью TheHarvester:



Сбор контактных данных с помощью Recon NG:



Поиск фальшивых и вредоносных доменов с именем sberbank в названии доменов:



Клонирование сайта с помощью Clone Zone:



Клонирование сайта с помощью SET:



Организация Spear Phishing с помощью SET:




12.04.2017

Accenture покупает iDefense

Компания Accenture объявила 3 апреля о завершении сделки по приобретению у VeriSign подразделения iDefense Security Intelligence Service, которая была анонсирована в феврале.

07.04.2017

Тенденции в области кибербезопасности Industrial IoT (презентация)

На Cisco Connect среди четырех прочитанных мной презентаций была и одна, практически не имеющая привязки к решениям Cisco, поэтому осмелюсь ее выложить сюда. Посвящена она некоторым последним трендам в области кибербезопасности Industrial IoT или просто промышленных сетей.


06.04.2017

АБС и финансовые приложения должны быть сертифицированными. Так сказал ЦБ

Ну и чтобы уж завершить начатую вчера тему с требованиями ЦБ по обязательной сертификации, покажу еще один фрагмент из проекта ГОСТа, который я упомянул во вчерашней заметке:


Тут все предельно понятно - АБС, мобильный банковское ПО, приложения для ведения брокерской деятельности, ПО страховщиков (в том числе на сайте - для выписки ОСАГО) и др. должно быть сертифицировано на отсутствие уязвимостей по ОУД4 по ГОСТ Р ИСО/МЭК 15408-3. Это то, что прописано в дорожной карте Банка России на 2016-2018 годы.

Позиция ЦБ понятна - разработчики АБС не спешат повышать качество своего ПО с точки зрения безопасности, чем и пользуются злоумышленники. Поэтому ЦБ, уже по традиции, устанавливает требования для своих подопечных, которые должны будут заставить разработчиков прикладного ПО выполнить требования ГОСТа. Такой же фокус был проделан и в 552-П, который обязал перенести функцию электронной подписи из АРМ КБР в АБС.

Правда, с текущим требованием есть ряд отличий. Во-первых, 552-П касалось только банков, а новый ГОСТ распространяется на все финансовые организации. И как будет, например, микрофинансовая организация сертифицировать свое прикладное ПО по "Общим критериям" я представляю с трудом. Во-вторых, согласно ГОСТ Р ИСО/МЭК 15408-3 оценка должна быть внешней и независимой, то есть разработчикам придется дополнительно раскошелиться на приглашение компании, которая займется анализом кода (а у нас их в России раз-два и обчелся). В-третьих, оценка соответствия в "Общих критериях" все-таки проводится не на соответствие ГОСТу, а на соответствие разрабатываемому заданию по безопасности, в котором надо учесть и среду функционирования и модель угроз. А кто будет это ЗБ разрабатывать? Заказчик ПО или его разработчик? Боюсь, что большинство разработчиков этого слова вообще не знают. Но в любом случае цена на ПО вырастет.

Требования ОУД4
С предложенным ЦБ уровнем доверия ОУД4 есть тоже нюансы. Согласно ГОСТу "ОУД4 – самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке уже существующих продуктов". При это необходимо с помощью выборочного независимого анализа уязвимостей продемонстрировать противодействие попыткам проникновения нарушителей, обладающим усиленным базовым потенциалом нападения. Базовым?! Но ломающие те же банки нарушителя врядли могут быть отнесены к базовому потенциалу нападения (даже усиленному). А значит и проверки тут нужны более глубокие, то есть ОУД6, а то и ОУД7. Но это уже будет за гранью разумного. И возникает вопрос - обеспечивает ли ОУД4 эффективное противодействие действиям злоумышленников или это просто некоторая золотая середина, которая должна отсечь разработчиков, явно неспособных хотя бы задумываться о безопасности своих творений?

Вот такие вопросы возникают и как на них отвечать, лично я пока не знаю. Писать свои собственные требования, по аналогии с PA DSS, ЦБ, видимо, не готов (много ресурсов нужно). Поэтому он пошел по вот такому пути - отсылкой на существующие требования. И смогут ли их выполнить отечественные разработчики платежных приложений - вопрос открытый.

05.04.2017

ЦБ вводит обязательную сертификацию средств защиты информации

Хочу вернуться к недавно мной описанному проекту ГОСТа ЦБ с набором базовых защитных мер для финансовых организаций. На днях на сайте ТК122 появился практически финальный проект этого документа, который 13-го апреля будет обсуждаться в ЦБ и, возможно, будет вынесено на голосование его принятие.

По сравнению с предыдущей в новую версию проект проникло очень интересное дополнение, которое обязывает финансовые организации применять только сертифицированные в ФСТЭК средства защиты информации. И речь идет не о пресловутых СКЗИ, уровень сертификации которых установлен классом КС2 (знакомая по СТО БР конструкция), а именно о всех остальных средствах защиты - МСЭ, IPS, антивирусы, DLP, сканеры безопасности, средства контроля доступа, системы идентификации и аутентификации, а также множество других защитных средств, описанных в ГОСТе. Выглядит этот фрагмент таким вот образом:


Надо признать, что на прошлом заседании ПК1 ТК122 эта тема также озвучивалась, так как в первом проекте также было указано про сертифицированные средства защиты, но не про все, а только про СВТ, МСЭ, IDS и антивирусы (то, на что у ФСТЭК были соответствующие РД).


На совещании была достигнута договоренность (мне так казалось, так как это требование многие банки - участники ПК1 ТК122 посчитали избыточным), что жесткую формулировку про обязательную сертификацию уберут и заменят ее дипломатичной "оценкой соответствия в установленном порядке" - так, как это написано в документах ФСТЭК по персональным данным или по защите АСУ ТП. И ЦБ вроде принял это предложение. И вот нате вам, сюрприз :-(

На мой взгляд, сюрприз неприятный, так как заставит все финансовые организации, включая малые банки, микрофинансовые организации, страховые, ломбарды, брокеров, негосударственные пенсионные фонды, операторы платежных систем и другие, выбросить то, что ими применялось до сих пор (а в массе своей оно было несертифицированным, исключая СКЗИ и некоторые крупные кредитные организации) и искать продукты, которые будут не просто сертифицированы как МСЭ или IDS или еще что-то, а искать продукты, проверенные на отсутствие НДВ (у МСЭ - это требование с 5-го класса, у IDS - пока с 4-го). Много ли у нас таких продуктов на рынке? И если с МСЭ или IDS еще можно поискать, то вот что делать с другими типами средств защиты, упомянутыми в проекте ГОСТа, но которые даже на ТУ не сертифицировались, не говоря уже про отсутствие НДВ.

Не знаю, многие ли финансовые организации с радостью воспримут такое нововведение? И есть ли у них бюджеты на это? А время на реализацию еще не принятого и не выпущенного документа? Это же не одномоментно делается - особенно если сертификата на средство защиты нет и надо подавать их на сертификацию. А процесс этот непростой и небыстрый. Число испытательных лабораторий в России ограничено.

В целом, какое-то у меня пессимистичное отношение к данной новации. Никакого отношения к реальной защите наличие или отсутствие бумажки с голограммкой не имеет и уж коммерческие организации вольны сами принимать решения о том, какие средства защиты применять - на то они и занимаются предпринимательской деятельностью, то есть на свой страх и риск. Ну да финансовому регулятору виднее.

ЗЫ. И самое интересное, что в дорожной карте Банка России с переченем мер по повышению уровня защищенности финансовой системы Российской Федерации эта норма (по сертификации средств защиты) отсутствует :-(

03.04.2017

Моя презентация с BIS Summit SPb 2017 (по критической инфраструктуре)

Моя презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго, а также планов по ним. Было всего 20 минут на выступление, так что пробежался по верхам, хотя в более полной версии каждый упомянутый документ расписан более подробно.