18.05.2017

Основные направления регулирования ИБ в России (презентация)

Вчера выступал в Челябинске на ИТ/ИБ-форуме и делал там краткий обзор основных направлений регулирования ИБ в России. Выкладываю эту презентацию.



Обязательное согласование моделей угроз и ТЗ для ГИС (обзор ПП-555)

Есть такое Постановление Правительства под номером 676 от 6 июля 2015 года. Устанавливает оно требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации. И до недавнего времени это Постановление никоим образом не касалось вопросов защиты информации. Минкомсвязь, инициировавший данное Постановление, жил в своем ИТ-мире и никак не пересекался с миром ИБ, в котором правили ФСТЭК с ФСБ со своими нормативными актами. Но в конце 2015-го года Президент поручил множеству разных министерств и ведомств усовершенствовать защиту информации в Российской Федерации и, в частности, в государственных органах. А тут еще в Минкомсвязь нагрянул новый заместитель министра, г-н Соколов, который стал курировать вопросы информационной безопасности. И произошло чудо... Позиции Минкомсвязи и ИБ-регуляторов стали сближаться.

Сначала ФСТЭК приняла поправки в 17-й приказ, которые синхронизировали порядок создания государственных информационных систем, установленный в ПП-676, с требованиями по ИБ 17-го приказа. А 11-го мая Правительство приняло инициированное Минкомсвязью Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.

Документ, вступающий в силу 23-го мая, обязал органы исполнительной власти во всех мероприятиях, связанных с ГИС, учитывать требования ФСТЭК и ФСБ по защите информации. Но самое главное, что по этому Постановлению требуется согласовывать модели угроз и ТЗ на созданию/модернизацию ГИС с ФСТЭК и ФСБ, должностные лица которых должны утверждать эти документы. Вот такой сюрприз! Причем для всех - и для пользователей ГИС, и для регуляторов.

Смею предположить, что ни ФСТЭК, ни ФСБ не имели отношения к данной норме, так как еще совсем недавно, когда я обсуждал этот вопрос с ними, они прямо говорили, что массовое утверждение модели угроз не входит в их компетенцию и у них нет ресурсов делать это для каждого госоргана, который к ним обращается. Поэтому они делали это в исключительных случаях, для значимых информационных систем. И тут вот такой поворот. Как из него будут выкручиваться, пока сложно сказать. Ведь методику моделирования угроз ФСТЭК не приняла до сих пор (с ФСБ ситуация чуть проще - у них зона ответственности меньше). И что делать законопослушным госорганам, которые с 23-го мая будут вынуждены отправлять свои модели угроз в ФСТЭК и ФСБ?

При этом, новое ПП-555 также фиксирует, что ГИС не может быть введена в эксплуатацию без:
  • выполнения требований ФСТЭК и ФСБ, включая отсутствие соответствующего аттестата,
  • записи в реестре о местонахождении элементов ГИС (они не могут находиться за пределами РФ),
  • устранения нарушений, выявленных в рамках контроля и надзора за вводом в эксплуатацию отдельных ГИС,
  • оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.
В ФСБ направлять свои модели угроз надо сразу в центральный аппарат - терорганы не занимаются этими вопросами. По ФСТЭК возможно и удастся распределить эту нагрузку между управлениями по федеральным округам, но встанет вопрос компетенций и временных затрат на такие согласования. Если же ФСТЭК тоже будет всех заворачивать в Москву, во 2-е Управление, то оно просто "умрет" под ворохом таких запросов и на выработку других документов (новых РД, методичек, новых приказов) сил у них уже не останется - все погрязнет в рутине.

Пока вопросов больше, чем ответов. Совершенствование защиты информации - это, конечно, хорошо и полезно, но вот так вот "менять коней на переправе"?.. Если же перейти из плоскости теоретической в практическую, то могу порекомендовать начать работу над моделью угроз (если у вас ее еще нет) с сервиса, созданного Булатом Шамсутдиновым - www.threat-model.com.


Как и положено сервис базируется на банке данных угроз ФСТЭК, а в качестве методологии взят за основу последний публичный проект методики ФСТЭК, выложенный на сайте регулятора. На самом деле с того момента этот проект был сильно переработан, но как точка отсчета этот бесплатный сервис, созданный Булатом, подходит как нельзя лучше. Удачи!

15.05.2017

Почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ?

Пока специалисты, выйдя из отпусков и выходных, разбирается в WannaCry (вот тут можно про это более подробно почитать), решил я опубликовать философскую заметку. В продолжение темы Стратегии развития информационного общества. На самом деле речь пойдет не только о Стратегии, но и, например, о Доктрине ИБ, в разработке которой мне довелось участвовать и я даже получил благодарность СовБеза, и о проекте Стратегии кибербезопасности РФ, которая писалась в Совете Федерации, и о ряде других доктринальных и стратегических документах.

Начну с банального тезиса - в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) - есть куча приглашенных для работы над "Стратегией/Доктриной" экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает "вот эта идея прикольная, вставлю ее в финальный документ". И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу - набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как "в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности". Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.

Я всегда считал, что стратегия - это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: "Надо понимать, что стратегия определяет тактику" С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? "Пользователями Интернет в 2016-м году стали", "В России с 2014-го осуществляется подключение" и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния "как есть" в состояние "как хочется". Это и будет стратегия. Но у нас все объединяют вместе и получается...

Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что "отсутствие конкретики и показателей эффективности - это правильно". Если нет измеримой цели, то двигаться можно куда угодно - все направления будут одинаково хороши.

Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура - VSE, которая рассшифровывается как "Vision. Strategy. Execution" ("Миссия. Стратегия. Исполнение"). Циничные продавцы превратили ее в "Vision, mission и comission" ("Миссия и комиссия", то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.

Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с "Россия должна..." или "Россия может...". Я это "должна" и "может" уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.

Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.

ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).

12.05.2017

Обзор московского семинара Gartner по ИБ (часть 2)

В своей второй презентации на семинаре Gartner Антон Чувакин пытался вкратце рассказать о выпущенном недавно исследовании по SOCам (несколько десятков страниц).


Вообще у Gartner много исследований по этой теме и понятно, что за час было сложно бы рассказать обо всех из них. Да этого и не требовалось - все-таки задача семинара была совсем в другом.


Но было сделано несколько интересных замечаний, о которых мне хотелось бы поведать. Во-первых, Антон начал с фразы: "Когда я вижу, что компания продает SOC, я начинаю нервничать" :-) Таким образом Антон в очередной раз вернул многих продавцов SOCов с небес на землю, указав, что SOC - это процессы, люди и только потом технологии. Когда в 2007-м году мы в Cisco только выходили на рынок услуг по мониторингу ИБ, мы тоже говорили об этом - сначала процессы и люди, а уж потом различные продукты по мониторингу и аналитике. Да, без них сложно выстроить современный SOC, но не с них надо начинать этот длинный путь.

На семинаре специально не стали вдаваться в долгую терминологическую дискуссию, что такое SOC, сразу дав свое определение, от которого Gartner и отталкивается. Но самое главное, что надо помнить, задумываясь о SOC, - это то, что он требует определенного, и немаленького, уровня зрелости. Сегодня только ленивый не задумывается о том, что у себя в компании не назвать купленный ArcSight или скачанный OSSIM SOCом, но... повторюсь. SOC - это процессы, люди и только потом технологии. Если в компании нет процессов (или они приобретены у крупного консалтера без понимания их сути) - к SOCу компания не готова. Если в компании есть только МСЭ на периметре и антивирус на персоналках - к SOCу компания не готова. Нужно дозреть и только наткнувшись на невозможность решить возникающие проблемы текущими средствами, можно задумываться о переходе на новый уровень. Как мне кажется, с аутсорсингом та же ситуация.


Согласно подходу Gartner современный SOC базируется не только на SIEM (хотя понятно, что с него многие начинали и начинают). Сегодня SOC должен включать помимо анализа логов (с помощью SIEM), еще анализ сетевого трафика (и тут нужны решения класса NTA/NBAD/NFT), а также анализ активности на оконечных устройствах (решения класса EDR). Если же вернуться к SIEM, то по словам Антона, лучше плохой SIEM с хорошей командой, чем офигенный SIEM с плохой командой. Например, в Cisco (про наш подход я рассказывал на недавнем SOC Forum в Астане) мы отказались от архитектуры SOC, построенной вокруг только SIEM:


и построили новую архитектуру, где в центре находится набор технологий для мониторинга - мониторинг логов на базе Splunk, мониторинг сетевого трафика на базе Cisco Stealthwatch, мониторинг активности по ПК на базе Cisco AMP for Endpoints и ряда других технологий.


При этом Антон Чувакин отметил, что сегодня многие SOC начинают включать в себя технологии UEBA (как самостоятельные решения или как часть SIEM).


На вопрос, почему в список ключевых (это не закрытый перечень) технологий SOC не вошли средства управления уязвимостями, Антон ответил (и для меня это было некоторым сюрпризом), что клиенты Gartner в последнее время не то, чтобы совсем отказываются от устранения уязвимостей и выстраивания патч-менеджмента, но и не ставят эти процессы во главу угла. При среднем времени устранения уязвимостей в 30 дней и более (по исследованиям Cisco устранение заказчиками уязвимостей в сетевом оборудовании или серверном ПО может длиться и пять лет) говорить об оперативности не приходится - отсюда и исключением этого процесса из списка ключевых для SOC. Нередко клиенты мирятся с наличием дыры и поэтому не имеют выстроенного процесса устранения уязвимостей :-( Тем интереснее сравнивать этот взгляд с российским, где только совсем недавно регуляторы обратили внимание на анализ защищенности и сделали его обязательной частью любой системы защиты (по требованиям ФСТЭК, ЦБ, ФСБ), а также частью обязательных требований при получении лицензии ФСТЭК на деятельность SOC.

Как развитие темы управления уязвимостями, я спросил Антона, а что думает Gartner про решения по построению топологии сети и автоматизации процесса определения векторов атак на базе корреляции информации о сетевой топологии, информации об уязвимостях и конфигурации сетевого оборудования и средств защиты (например, RedSeal)? Ответ Gartner был удручающим - их клиенты редко используют такие решения, ввиду их сложности и неочевидности эффективности. На этом фоне новость о том, что отечественный MaxPatrol SIEM теперь умеет все это делать, выглядит презабавно. В защиту этой технологии могу сказать, что у нас в Cisco она используется достаточно успешно.

Еще одним "откровением" стало пассаж Антона о том, что в современном мире с его динамически изменяющимся ландшафтом угроз и ростом квалификации злоумышленников надо быть готовым, что "выгнать" злоумышленника из своей сети не удастся, возможно, никогда. Это надо осмыслить и если вдуматься, то возможно Антон не так уж и неправ (а он транслируют проблемы многих своих заказчиков). Я помню как админил сетку на несколько сот компьютеров (по Москве) и когда у нас вдруг появлялся вирус на дискетах с игрушками, я брал антивирус с обновленными базами и мотался по всем нашим магазинам (а мы тогда, в начале 90-х, были одним из крупнейших ритейлеров России), вычищая эту заразу. Вычистив все компы можно было на несколько недель успокоиться. Сегодня, во времена APT, увы, покой нам только снится. Даже при наличии серьезного арсенала защитных средств (и может быть даже с аналитикой ИБ) гарантировать полное очищение нельзя. А значит надо строить свой SOC (а, вспоминая определение Gartner, он обеспечивает управление инцидентами) исходя именно из этой парадигмы и готовить к ней свое руководство, которое до сих пор живет в плену иллюзии, что можно достичь 100%-й безопасности.

Вот таким мне запомнился приезд Антона Чувакина из Gartner в Москву и его выступление на закрытом мероприятии, прошедшем между майскими праздниками.

Обзор Стратегии развития информационного общества

9 мая Президент подписал Указ №203, утвердив новую Стратегию развития информационного общества до 2030-го года. Прежняя была реализована неполностью и вот новая попытка. Сложно говорить о том, насколько она будет успешной (все-таки срок стратегического планирования отодвинут до 2030 года, а это значит, что как в притче про Ходжу Насредина - "либо ишак, либо эмир, либо Ходжа". Поэтому дистанцируясь от реалий, поделюсь тезисно тем, что мне запомнилось из этого документа применительно к теме ИБ:

  • Вводится достаточно много новых терминов, имеющих более привычные нам английские аналоги - Big Data, Fog computing, Industrial Internet, Internet of Things, Cyberspace и др.
  • В отличие от прошлой стратегии в нынешней много говорят (местами завуалированно) о безопасности, включая и безопасность критической информационной инфраструктуры.
  • Вводится понятие "безопасного ПО и сервиса", под которым понимается сертифицированное по требованиям ФСБ и ФСТЭК ПО и сервис. Умолчим о том, где у нас требования по сертификации сервисов, но движение в этом направлении понятно и предсказуемо. Правда зачем нужно это понятие по тексту Стратегии непонято - оно нигде не упоминается.
  • Вводится понятие "технологически независимого ПО и сервиса", то есть такого, которое обслуживается и поддерживается в Крыму, не обновляется принудительно из-за рубежа (даже в случае наличия в нем критических уязвимостей), не управляется из-за рубежа, а также которые не передают ничего несанкционированно за пределы РФ (укол в сторону Windows 10?). Вообще про защиту от несанкционированной и незаконной трансграничной передачи информации говорится в нескольких местах. Как и в случае с понятием "безопасного ПО" термин "технологически независимое ПО" тоже непонятно зачем введен в Стратегии - он нигде не упомянут.
  • Терминология в части КИИ совпадает с законопроектом по безопасности КИИ, а значит, что упомянутые мной в декабре проблемы со списком отраслей, где могут быть критические инфраструктуры остались нерешенными и, видимо, их и оставят нерешенными (а то получится, что в законе по КИИ у нас одни отрасли, а в указе Президента - другие).
  • Иностранные технологии официальны признаны угрозой национальной безопасности и мешающими защите граждан и государства в информационной сфере.
  • Официально объявленный курс на изоляционизм и протекционизм как-то сочетается с желанием вывести отечественные технологии на мировой рынок и сделать их конкурентноспособными. То, почему это будет сделать сложно, хорошо написал Александр Чачава в своей недавней статье.
  • В очередной раз заявлено о необходимости создавать и развивать нормативную базу под ГосСОПКУ. Я про это писал пару лет назад, но с тех пор нормативки по ГосСОПКЕ у нас почти не появилось (кроме методички по созданию центров ГосСОПКИ - часть 1, 2 и 3).
  • Интернет-сайты, соцсети и мессенджеры будут регулировать еще больше.
  • Информационная инфраструктура РФ (читай, Рунет) должен централизованно мониториться и управляться. Как это сделать применительно к изначально децентрализованному Интернету не совсем понятно, но отдельные идеи в прессу просачиваются. Вполне допускаю, что Минкомсвязь вытащит из под полы проект приказа по использованию для управления магистральным оборудованием только сертифицированных по требованиям ИБ средств управления.
  • Также требуется обеспечить устойчивость, безопасность и независимость функционирования российского сегмента Интернет. Про это уже не раз Минкомсвязь выпускал нормативку, но как обычно забивал болт на контрол ее исполнения (по крайней мере РКН, который уполномочен это делать, занимается совсем другими вещами).
  • В очередной раз требуется перейти на использование отечественной криптографии при обмене не только между госорганами и муниципалами, но и с гражданами и предприятиями. Видимо прошлое поручение Президента пока не спешат реализовывать.
  • В информационной инфраструктуре необходимо заменить все импортное на свое родное, а также защитить ее с помощью ГосСОПКИ (раньше ГосСОПКУ распространяли только на критическую информационную инфраструктуру). Требование про непрерывный мониторинг и анализ угроз при наличии ГосСОПКИ, которая это и делает, не совсем понятно. Видимо, разные люди писали. На свои технологии надо также перейти в госорганах, органах местного самоуправления и компаниях с госучастием. В сетях связи должно использоваться оборудование и ПО, производство и ремонт которых (а также запчастей) должно производиться на территории России (и процессоры?).
  • В очередной раз требуется создать сугубо отечественное системное и прикладное ПО, железо и пользовательские устройства (очередной Йотафон?) и чтобы там непременно были встроенные российские средства защиты информации.
  • 31-й пункт вроде посвящен защите данных (не информации), но что хотели сказать авторы не до конца понятно, кроме общих фраз по защиту прав субъектов персданных и контроль трансграничной передачи ПДн.
  • Постулируется необходимость одновременно обеспечивать конфиденциальность пользователей и исключать их анонимность.
  • Предлагается усилить участие России в международных организациях по стандартизации.
  • Технологии ИБ должны стать одним из направлений развития отечественных ИТ. Это позитивно, но хотелось бы увидеть конкретные шаги для этого (пока ни один из регуляторов не сделал ничего для развития отрасли средств защиты информации). Про это в Стратегии написано много, но пока на уровне хотелок.
  • Говорится о трансфере иностранных технологий и применение лучшего зарубежного опыта в сфере ИТ. Интересная идея, но вот как она будет реализовываться на фоне существенного сокращения применения иностранных технологий и по сути постепенного запрета работы иностранных ИТ-компаний в России?
  • Развитие технологий удаленной идентификации и аутентификации пользователей, а также формирование трансграничного пространства доверия к электронной подписи.
  • В НПС рекомендуется применять сертифицированные средства защиты информации. Про это я уже писал в контексте новых требований ЦБ по ИБ.
  • Локализация не только ПДн, но и всей информации, которая создается и обрабатывается иностранными организациями в рамках цифровой экономики России. Это требование будет покруче ФЗ-242 по локализации ПДн россиян.
В целом Стратегия выглядит немного странновато - очень много повторов и пересечений между разделами. Такое впечатление, что документ писался разными экспертами (так оно и было на самом деле), но потом кто-то не очень сведущий в предмете регулирования свел все предложения воедино, не сильно задумываясь над конечным результатом. Главное, чтобы документ читался и в нем были правильные слова. Вот эта задача была выполнена на 100%. Подождем конкретных НПА, которые должны реализовать все указанные в Стратегии положения. В течение полугода они, как минимум, основные, должны быть приняты Правительством и ФОИВами.

11.05.2017

Обзор московского семинара Gartner по ИБ (часть 1)

Между майскими праздниками тихо и без помпы прошло одно из тех редких в Москве мероприятий, которые стоят того, чтобы утверждать, что рынок ИБ-мероприятий еще не до конца потерян и у него есть перспектива; разумеется при соблюдении ряда условий, одним из которых является правильный контент и докладчик. В Москве прошла непубличное мероприятие Gartner, на котором Антон Чувакин выступал с двумя связанными темами:
  • cybersecurity advanced analytics (почему название на английском, я напишу чуть ниже)
  • особенности построения SOCов.


Первая тема официально звучала как "Последнее слово техники в сфере Аналитики Безопасности", а по-английски - "State of the Art of Security Analytics". Вообще фраза "последнее слово" на русском имеет несколько смыслов (от криминального до ритуального) и этот казус хорошо отражает вообще проблему с терминологией в ИБ. Об этом Антон говорил в обоих презентациях, специально огорившись, что переводить на русский "security analytics", "big data", "machine learning", UEBA, SOC, "operations", "management", "threat intelligence", "orchestration", "engineering", "workflow" он не будет, так как получится полный бред. В этом плане английские емкие термины гораздо лучше, чем громоздкие русские переводы.

--- лирическое отступление 1 ---

Использование английских терминов и подготовка презентаций целиком на английском языке для русскоязычной аудитории - это две большие разницы. Первое я допускаю и сам регулярно использую. Второе считаю неверным, если не сказать больше.

--- конец лирического отступления 1 ---

Ключевая идея первого доклада Антона заключалась (в моем понимании и изложении), что сегодня дискретных правил (шаблонов/сигнатур) и базового матстата для работы систем ИБ уже явно недостаточно и нужно то, что называется security analytics. При этом мы не должны ограничиваться только событиями ИБ, которые нам отдают МСЭ, IDS, антивирусы и т.п., а брать все, что будет полезно для принятия решений - данные из HR, СЭБ, видеонаблюдение и т.п. Ровно то, о чем я говорил в прошлом сентябре на "Коде ИБ" в Челябинске.


Соответственно все эти данные уже не могут быть обработаны как раньше и для обнаружения необнаруживаемого (я про это говорил на Коде ИБ в Нижнем Новгороде, а потом стал эту тему активно использовать) нужны "продвинутые" средства аналитики.

--- лирическое отступление 2 ---

Gartner у российских безопасников часто ассоциируется с магическими квадратами, что не есть верно. У Gartner есть замечательный сервис GTP, который позволяет приобщиться к мировой аналитике (по ИБ в данном контексте) и получить обезличенные данные об опыте применения тех или иных технологий или, даже, продуктов. В этом, на мой взгляд, и есть сила Gartner, который аккумулирует у себя мировой опыт (преимущественно по крупным заказчикам), которым он и делится в своих материалах и консультациях.

--- конец лирического отступления 2 ---

При этом Антон сделал несколько важных замечаний относительно технологий аналитики ИБ:

  • Эффективность технологий ИБ-аналитики зависит в первую очередь не от алгоритмов, а от данных, которые на них подаются. Gartner пока не нашел доказательств, что один алгоритм анализа неструктурированной информации дает лучший эффект, чем другой.
  • Эффективность технологий ИБ-аналитики может меняться от компании к компании - у одних взлетает, у других - нет.
  • Для работы технологий ИБ-аналикити, которые якобы "сокращают" число дорогих специалистов по ИБ, часто может понадобиться еще более дорогой специалист по прикладной математике (сдуть пыль что-ли со своего диплома по примату?..), которых на рынке просто нет (какую бы зарплату им не предлагали). Нужно комбинировать (воспитывать) аналитиков ИБ и аналитиков данных.
  • Если подождать пару-тройку лет, то многие методы с приставкой "advanced" войдут в традиционные продукты, те же SIEMы. Но тут стоит добавить, что до России с ее курсом на изоляционизм и вышибание иностранных игроков с рынка (а большинство технологий к нам все-таки приходит оттуда) этот прогноз может и не сбыться вовсе.


  •  Gartner советует присмотреться к 4-м направлениям технологий ИБ-аналитики, от которых может быть толк (с учетом всего вышесказанного):
    • UEBA (user entity behavior analytics) - анализ поведения пользователей и иных сущностей
    • CASB (cloud access security broker) - контроль происходящего в чужих облачных средах
    • EDR (endpoint detection & response) - защита ПК следующего поколения
    • NTA (network traffic analytics) - анализ сетевого трафика на предмет аномалий (это эволюция NBAD) и т.п.


  • Многие продукты по ИБ-аналитике сегодня не работают без сопутствующих услуг, что плохо и Gartner считает, что они гораздо хуже, чем продукт, который работает хуже, но из коробки. Причин тут несколько - и высокая цена, и зависимость от вендора, и неоправданные ожидания, и чувство ложной защищенности.
Но в целом Антон, подводя итоги своей первой презентации, полный вариант которой будет читаться на ближайшем Gartner Security & Risk Management Summit в США, сказал, что пока клиенты мало понимают, как работает аналитика ИБ (да и сами вендоры не всегда это понимают) и берут ее для улучшения своего текущего положения в ИБ, надеясь на нее как некую "кремлевскую таблетку".

Во второй части я расскажу про следующий доклад Антона Чувакина про SOCи...

05.05.2017

Видео мастер-класса по борьбе с фишингом с CISO Forum 2017

Выложил видео со своего мастер-класса по борьбе с фишингом, который проводил в рамках CISO Forum 2017. Неоднозначное впечатление. Звук не совпадает с мимикой, а сама демонстрируемая презентация и вовсе не показывается. То есть это просто запись "as is", без монтажа. Сравнение ее с видео мастер-класса по киберпреступности, прочитанного в Сбербанке, не в пользу первого :-( Но все-таки озвучка есть, поэтому пусть тут лежит.


Обзор проекта новой редакции 382-П

На сайте ЦБ выложен проект новой редакции Положения 382-П по защите информации в Национальной платежной системе. Новая редакция вносит следующие изменения в действующий нормативный акт Банка России:
  • Уточняется понятие инцидента ИБ, к которому теперь относятся "события, которые возникли вследствие нарушения или попыток нарушения целостности, конфиденциальности и (или) доступности защищаемой информации, в состав которых включаются инциденты из перечня, размещаемого Банком России на официальном сайте Банка России в информационно- телекоммуникационной сети "Интернет". Ждем перечня инцидентов от FinCERTа? Пока же можно посмотреть на временный регламент передачи данных в FinCERT, в котором перечислены такие инциденты, как вредоносный код, несанкционированный доступ, эксплуатация уязвимости, DDoS, перебор паролей, фишинг, командные сервера ботнетов, вредоносный ресурс, сканирование и общая категория "другие".
  • Прикладное ПО, используемое для осуществления переводов денежных средств, должно быть сертифицировано на отсутствие уязвимостей или в отношении которого проведен анализ уязвимостей. Если быть более точным, то применяется схожая с описанным ранее ГОСТом концепция:
    • сертификация на отсутствие НДВ или сертификация по уровню ОУД4 (привет PA DSS)
    • ежегодные пентесты и анализ уязвимостей инфраструктуры (привет PCI DSS)
    • проверки уязвимостей проводится только лицензиатами ФСТЭК.
  • Уточняется порядок работ по применению СКЗИ для защиты персональных данных. Если принимается решение, что защита ПДн будет обеспечиваться с помощью СКЗИ, то их применение должно соответствовать 378-му приказу ФСБ. Но не забываем, что СКЗИ не являются обязательными для обеспечения конфиденциальности ПДн, - существует и куча других методов, которые я неоднократно описывал в блоге.
  • Вводится обязательное разделение контуров подготовки и подтверждения платежных поручений, в том числе и в ДБО. Компенсирующей мерой для разделения контуров является введение ограничение на параметры операций, что является актуальным именно для физлиц, которые не захотят применять два компьютера или две виртуальных машины для проведения обычных платежей, например, с помощью мобильных устройств. Нового в этом требовании ничего нет - его давно обещали ввести. Да и в 552-П схожая конструкция применяется.
  • Вводится обязанность по информированию ЦБ об инцидентах ИБ, а также о планируемых мероприятиях по раскрытию информации о инцидентах. В первом случае информирование будет осуществляться согласно порядка, опубликованного на сайте ЦБ (смотрим выше про временный регламент). Единственное, что я бы поправил, это внес в сам документ сроки уведомления (по аналогии с 552-П). А то иначе все будут забивать болт на соблюдение этих сроков, а наказать за это будет нельзя - указание срока и порядка уведомления на сайте не является нормативным актом Банка России, за несоблюдение которого можно будет наказать.
  • Исключается оценка соответствия в форме самооценки. Теперь только внешняя оценка (читай, аудит) с помощью лицензиатов ФСТЭК. Это жесткая позиция ЦБ, которая была озвучена еще на заседании ПК1 ТК122 в контексте проекта ГОСТа по оценке соответствия. Никакой отсебятины - только внешний аудит со стороны доверенных фирм. Небольшим банкам будет сложно, но увы... А учитывая, что ЦБ ужесточил недавно требования к обычным аудиторам, не исключаю, что у ЦБ и требования к аудиторам ИБ появятся тоже. Тем более, что раньше, в одной из прежних редакций проектов 382-П, такая идея уже была и реализовать ее хотели через АБИСС (сейчас таких членов всего 6). Правда, тогда ее отмели по ряду причин, но ничто не мешает к ней вернуться вновь.
  • Оператор национально значимой платежной системы обязан информировать ФСБ о применяемых СКЗИ.
Новая редакция 382-П должна быть введена с 1-го июля 2018-го года, а в части сертификации на НДВ или ОУД4 и разделения контуров - с 1-го июля 2019 года.

Можно заметить, что ничего нового по сравнению с ранее обещанным не вводится. Ну разве что применение 378-го приказа ФСБ, но формулировка используется дипломатичная, позволяющая СКЗИ для защиты ПДн не применять. Требование по уведомлению об инцидентах с одной стороны ново, а с другой - после после принятия 552-П и роста роли FinCERT это было только вопросом времени. Я на курсах с обзором новинок в области законодательства ИБ для финансовых организаций говорю про это достаточно давно.

По рынку ходят разговоры о введении требования наличия антифрода в новом проекте, но это не совсем так. Требование наличия антифрода было уже в предыдущей версии 382-П (п.2.3), а в п.2.8 (про защиту ДБО) было требование использования различных ограничений на операции. Последний вариант просто был расширен в новом проекте и стал применяться в случае отсутствия разделения контуров.

Единственным новым пунктом можно считать требование уведомлять ЦБ о проведении мероприятий по информированию клиентов об инцидентах минимум за сутки. То есть финансовая организация должна будет сообщить о проведении пресс-конференций, публикации пресс-релизов и т.п. событиях. Именно уведомить, а не согласовывать. Это важно, так как в условиях цейтнота согласовывать такие вещи с ЦБ было бы неразумной тратой времени.

ЗЫ. До 11 мая принимаются предложения и замечания по проекту данного нормативного акта. Очень удачно выбрано время для выкладывания проекта - майские праздники, отпуска... :-(

04.05.2017

Финальная редакция ГОСТа ЦБ по защите информации

Пришла пора сформулировать свои впечатления от последних инициатив ЦБ по части нормотворчества, а таких инициатив по-крупному было две:
  • утвержденная финальная редакция ГОСТа с базовыми защитными мерами для финансовых организаций
  • проект новой редакции 382-П.
Начну с первого документа (в следующей заметке будет обзор поправок в 382-П), который вызвал достаточно бурные обсуждения в апреле, так как он вводит сертификацию используемых финансовыми организациями средств защиты и платежных приложений (тут и тут детальнее), что, мягко говоря, изменяет сложившуюся годами практику и заставит многие компании если не выбросить имеющиемя решения по ИБ на свалку, то сильно потратиться на приведение себя в соответствие, что в условиях и так непростой ситуации с небольшими банками, теряющими лицензии, может еще больше проредить банковские ряды.

К изменениям, которые вошли в финальную редакцию (по сравнению с предыдущей), можно отнести:
  • Распространение действия стандарта еще и на субъектов НПС, а не только на финансовые кредитные и некредитные организации.
  • Включение пункта о возможности формирования нескольких контуров безопасности, для которых и устанавливаются уровни защищенности, определяемые нормативными актами Банка России. На мой взгляд, именно эта тема сейчас вызывает основные вопросы - никто не знает, какие уровни и для кого/чего будут установлены? Я еще недавно был уверен, что эти уровни будут устанавливаться отдельными нормативными актами Банка России, например, 552-П, 382-П, 437-П, 483-П и т.п. Но на заседании ТК122 представитель ЦБ сказал, что будет один нормативный акт (до конца года), который и определит эти уровни для разных типов организаций и платежных процессов. Первый вариант мне казался более логичным, так как второй врядли сможет учесть все возможные ситуации, что потребует регулярного его пересмотра, что не так быстро. Допускаю вариант, что ЦБ пока вообще не думал о форме установления этих уровней защищенности, так как есть более приоритетные задачи, а до принятия ГОСТа еще не далеко.
  • Помимо контроля отсутстви известных (описанных) уязвимостей добавили требование про их оперативное устранение (срок "оперативности" не определен).
  • Стирание информации может быть обеспечено не только средствами гарантированного стирания информации, но и способами (методами), обеспечивающими невозможность их восстановления. О том, что это за методы, могу посоветовать почитать мою заметку 2012-го года, в которой я делал обзор NISTовского стандарта на эту тему.
Наибольшее обсуждение вызвала тема сертификации. В отличие от предыдущей формулировки, которую я приводил в блоге раньше, удалось ее изменить и вернуться к тому, что было определено еще в прошлом году. Сейчас формулировка звучит следующим образом: "применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности) в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации". В таблице же требования РЗИ.11-РЗИ.13 стали звучать как "Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже Х класса**", где примечание (**) звучит как "В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации".

По сути повторяется формулировка из 21-го приказа ФСТЭК по защите персональных данных, а мы помним, что ФСТЭК сейчас не требует обязательной сертификации средств защиты для коммерческих организаций. Об этом я писал ровно год назад, приводя ответ ФСТЭК. Об этом говорилось на последней конференции АЗИ. Об этом же сказал представитель ФСТЭК и на заседании в Банке России во время обсуждения ГОСТа, приведя в пример даже крупную финансовую организацию, где эта схема была официально согласована (и это не ЦБ, и не Сбербанк).

В части сертификации платежных приложений формулировка теперь такая: "Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей (это добавление - выделено мной), в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013***", где примечание звучит как "В случаях, предусмотренных нормативными актами Банка России, и (или) если в соответствии с моделью угроз и нарушителей безопасности информации финансовой организации, угрозы, связанные с наличием уязвимостей и недеклалированных возможностей в прикладном ПО АС признаны актуальными".

Все бы ничего, но на заседании одним из участников был задан вопрос, можно ли отказаться от сертификации средств защиты, если, согласно п.6.4 ГОСТа будет признано, что применение сертифицированных решение экономически нецелесообразно? И вот тут началось :-) Представитель ФСБ высказался категорически против такой трактовки, а вот представители ЦБ после долгой дискуссии нехотя согласились с тем, что такая трактовка имеет право на существование и они разделяют ее правомерность. Я тоже считаю, что это вполне логично, так как наличие сертификата ничего не добавляет к защищенности, а только удорожает и так возросшую в требованиях систему защиты информации. Теперь стоит дождаться финального принятия ГОСТа (потребуется ли согласование со стороны ФСБ?) и правоприменительной практики.

Против нового ГОСТа голосовало три человека - я, ФСТЭК и одна крупная финансовая организация. Мотивация у всех, насколько я понял, была разная. Мне не понравилась спешка, в которой принимался стандарт. После жесткой дискуссии на тему сертификации стоило бы зафиксировать текст и разослать его еще раз членам ТК122 на финальное согласование. Я предпочитаю видеть текст, прежде чем соглашаться с ним. В данном же случае текст поправок даже не был озвучен и все соглашались с ними "на веру". Против самого стандарта я ничего против не имею (хотя надо признать - его будет сложно выполнить небольшим банкам). Представитель финансовой организации (не буду называть имя) считал, что требование по сертификации и средств защиты (пусть и в такой дипломатической формулировке) и особенно прикладного ПО на данном этапе избыточно. Его стоило бы включать во второй версии, после апробации самого стандарта на практике. Против самого стандарта он не возражал. А вот ФСТЭК возражала против самого стандарта, считая, что он ничего нового не несет с точки зрения требований по ИБ и по сути повторяет уже существующие приказы ФСТЭК. 6 членов ТК воздержалось, большинство же в едином порыве голосовало "ЗА".

По срокам принятия данного ГОСТа пока сказать нечего. Сроком его введения в действие предполагается сделать 1-е января 2018-го года, но это не значит, что к этой дате надо бежать его и выполнять. Срок введения и срок вступления в силу - это, обычно, разные даты и могут быть разнесены на длительные временные периоды. Например, ГОСТ Р 56939-2016 по SDLC был принят 1-го июня 2016-го года, а введен в действие (вступает в силу) - 1-го июня 2017-го года. Что же касается 1-го января 2018-го года, то я пока скептически отношусь к этой дате - не помню случаев, чтобы ГОСТ так быстро проходил через все согласования в Ростехрегулировании. Более реальной я бы назвал дату 1 июня 2018 года. Иными словами сам ГОСТ может стать обязательным с 2019-го года (но это мои предположения).

03.05.2017

Нюансы функционирования SOC в Cisco (презентация)

На прошлой неделе, когда в Гармише завершался форум по МИБ, в Питере проходил "Код ИБ" и мероприятие по ИБ электроэнергетике, а также парочка других мероприятий по ИБ в Москве и ближайшем Подмосковье, я вырвался за пределы России в столицу Казахстана, где проходил первый зв пределами России SOC Forum. Там, помимо модерирования пленарной секции, я пытался рассказать 20 минут нюансы функционирования Cisco SOC. Обычно эта презентация занимает у меня около часа, а тут пришлось урезать все в три раза :-(

Выкладываю свою презентацию:



02.05.2017

Анализ рынка киберпреступности (видео)

Недавно мне довелось выступать в Сбербанке на тему рынка современной киберпреступности. В течение двух часов я рассказывал о том:
  • Как устроен рынок киберпреступности
  • Каковы бизнес-модели онлайн-криминала
  • Чем торгуют на «чёрном рынке» «ДаркНета»
  • Сколько можно заработать на уязвимости iOS
  • Каковы ваши шансы попасться на удочку мошенников
  • Кто из ваших друзей в соцсетях — «бот»
  • Как выглядят «партнёрские программы» в преступном мире
  • Какова структура прибыли и издержек криминального «IT-бизнеса»
  • Какие продукты и сервисы востребованы сегодня на рынке киберпреступности?
Коллеги из BIS-TV, за что им отдельное большое спасибо, сделали видео данного выступления и выложили у себя на сайте. Выложу его и я: 



Как и в случае с мастер-классом по борьбе с фишингом, который я читал на CISO Forum, данная презентация тоже является частью более полного материала, который состоит из шести больших блоков, 5 из которых описывают основные типы злоумышленников:


  • киберкриминал (этому блоку как раз и посвящено видео выше)
  • инсайдеры
  • хактивисты
  • террористы и экстремисты (их на картинке нет, так как они стоят немного особняком от всех)
  • хакеры на службе государства.
Шестой блок - это обзор TTP, используемых злоумышленниками, уже независимо от их типа. Некоторые слайды из этого блока я использую в различных презентациях в последнее время, например, вот тут.