19.06.2018

F-Secure покупает MWR InfoSecurity

18 июня финская F-Secure подписала соглашение о покупке MWR InfoSecurity, занимающуюся threat hunting, пентестами и антифишингом. Размер сделки составляет 91 миллион евро.

Новая отечественная TI-платформа и здоровая конкуренция между двумя главными банками страны

К этой заметке я подступался уже много раз на протяжении последних пары лет. Но вчерашние события в итоге сподвигли меня на ее написание. Ассоциация банков России (не путать с Ассоциацией российских банков) объявила о запуске пилотной версии платформы обмена данными об угрозах (презентация), о которой было стало известно еще в апреле этого года. Интересно, что решение о создании этой платформы, что удивительно, было принято в АБР только 27 марта, а спустя месяц уже был готов проект системы.

Интерфейс TI-платформы (фото BIS Journal)
Платформа обмена данными позволит участникам АБР в режиме реального времени получать самую актуальную информацию о киберугрозах, злоумышленниках и их методах работы (речь идет о TTP), и автоматически применять ее в своих защитных решениях через API. Что интересно, участники АБР могут направить (и уже направили) в BI.ZONE данные о своих средствах защиты, которые можно будет автоматически интегрировать с Платформой.

Компания BI.ZONE ("дочка" Сбербанка) - технический провайдер сервиса. В течение бесплатного пилотного периода, который продлится 3 месяца, информация (читай, индикаторы компрометации) в Платформу будут поступать только из потока данных BI.ZONE. После этого возможность загружать данные получат все организации-участники сервиса. База индикаторов компрометации и обширная контекстуальная информация помогут повысить защищенность инфраструктуры, снизить количество инцидентов и, в конечном счете, ущерб от атак киберпреступников. На данный момент к Платформе подключились «Сбербанк России», «Кубань Кредит» и Саровбизнесбанк. В ближайшее время также ожидается подписание соглашений с 17 другими банками, также выразившими желание присоединиться к Платформе.

Но заметка посвящена не этому знаменательному событию, а тому, что находится немного в его тени. Обратили ли вы внимание на некоторую конкуренцию, которая существует между двумя основными банками страны - Сбербанком и Банком России? Я попробовал составить некоторые ключевые вехи, которые в разное время звучали из уст представителей двух финансовых организаций.


То ЦБ был первым, то Сбербанк, то наоборот. Но в целом они идут ноздря в ноздрю, занимаясь в целом важным для финансовой отрасли делом - повышением ее кибербезопасности. Один банк имеет функции регулятора и может проводить многие решения в виде нормативных актов (своих или на уровне законодательства), другой имеет большую свободу в финансировании своих проектов и поэтому динамичнее в тех вопросах, где надо заплатить, привлечь лучшие умы страны и, возможно, всего мира (вы видели программу международного форума по кибербезопасности, который организует Сбербанк 5-6 июля?). ЦБ в этом плане менее поворотлив и поэтому Сбер часто опережает финансового регулятора там, где последний начинал первым. Например, про обучение банковских безопасников на Уральском форуме заговорили пару лет назад, а программы переподготовки должны быть еще только подготовлены, а Сбер запустил свою Академию Кибербезопасности еще в прошлом году. ФинЦЕРТ запущен уже несколько лет, но до сих пор так и не запустил автоматизацию процесса обмена данными об угрозах и индикаторами компрометации. Отчасти из-за бюджета, отчасти из-за необходимости согласования такого обмена с форматами и протоколами ГосСОПКИ (для этого как раз разработан стандарт СТО 1.5). Сберу ни с кем ничего согласовывать не надо и через свою дочку BI.ZONE этот процесс можно сделать гораздо быстрее, что и было продемонстрировано выше. В конце марта этого года на заседании АБР упомянули о важности такой платформы, в апреле был представлен проект и архитектура системы, а вчера запущен пилот. Зато у Сбера нет таких возможностей по продвижению своих инициатив на уровне Правительства (даже несмотря на вхожесть Грефа в высокие кабинеты).

Получается этакая здоровая конкуренция, которая движет рынок вперед. Тем интереснее будет увидеть планы, которые были озвучены Станиславом Кузнецовым (зампред Сбербанка по безопасности) в январе этого года:

  • Оповещать кредитные организации о рисковых событиях по абонентам, в том числе при выдаче дубликатов и замене SIM-карт.
  • Обеспечить выявление мошеннических и спам-рассылок SMS-сообщений в SMS и мессенджерах.
  • Законодательно закрепить ответственность социально значимых Интернет-проектов к информационному обмену с банками информацией о рисковых событиях и реализации собственной системы защиты от мошенничества. Мне казалось, что идею с "социально значимыми Интернет-проектами" похоронили :-(
  • Предусмотреть на законодательном уровне возможность создания площадки обмена данными о мошенниках в режиме реального времени. У ЦБ был (и сейчас он рассматривается) схожий законопроект, но без привязки к режиму онлайн.
  • Создать Национальную Образовательную и Исследовательскую организацию 0 Академию Кибербезопасности. Ну вроде как уже создали и запустили пилотные курсы.
  • Создать эффективную систему контроля защищенности ИТ-инфраструктуры банков страны.
  • Создать Национальный координационный центр по информационной безопасности.

Интересные проекты, которые действительно могут поднять уровень кибербезопасности не только финансовых организаций, но и остальных российских предприятий, на более высокий уровень. И тут стоило бы двум главным банкам страны, как мне кажется, начать сотрудничать более тесно, чем это происходит сейчас. Тогда и дело пойдет быстрее.

15.06.2018

Инфовотч продала немецкую "дочку" EgoSecure

События такого плана нечастые, поэтому и тега в блоге у меня для них нет. Хотя я даже и не знаю как я бы назвал этот тег. "Расконсолидация"? "Распродажа"? Короче. Infowatch вчера объявила о продаже своей немецкой "дочки" EgoSecure, которая и так скрывала на всех мероприятиях (что InfoSecurity в Лондоне, что RSAC в Сан-Франциско) свои "русские" деньги. Наталья Касперская связывает продажу с информационными атаками на нее в немецкой прессе и обвинения в связях с Кремлем и ФСБ, что привело к потере нескольких клиентов. Как бы то ни было, контрольный пакет EgoSecure продан немецкому поставщику офисного ПО - Matrix42.

13.06.2018

Capgemini покупает Leidos Cyber

Французская консалтинговая ИТ-фирма Capgeini 7 июня анонсировала приобретение киберподразделения Leidos Cyber у американской Leidos, которая раньше называлась SAIC. Размер сделки не сообщается.

Переход НПС на российскую криптографию и квантовые атаки

Решил продолжить предпоследнюю заметку и немного приземлить ее на отечественную реальность. Речь пойдет о постквантовой криптографии. В ФБ некоторые коллеги говорят, что Gartner - это не истина последней инстанции и он может ошибаться. На самом деле постквантовой криптографией занимаются многие компании (у Cisco тоже много внутренних проектов ей посвященных) и квантовые вычисления действительно могут быть определенной вехой в развитии не только вычислительной техники и коммуникаций, но и криптографии и всего, что на ней построено (того же блокчейна, криптовалют и т.п.).

Большинство современных средств криптографической защиты с симметричными алгоритмами, в том числе и встроенных в различные популярные продукты, базируются на предположении, что взломать криптографию в лоб очень сложно; при текущем уровне развитии вычислений на это уйдет тысячи лет. С асимметричными алгоритмами ситуация немного иная. Иная ситуация с квантовыми компьютерами, которые ускоряют процесс вычислений и делают многие криптографические системы уязвимыми к квантовым атакам.

Сейчас много говорят про уязвимость криптовалют к квантовым компьютерам. Согласно исследованиям текущая криптография во всех современных блокчейн-схемах будет взломана квантовыми компьютерами к 2027-му году. Это признает тот же Бутерин, который уже писал про квантовые атаки на криптовалюты. Решением проблемы могла бы стать модификация кошельков (хотя это тоже та еще работка). А вот защитить от квантовых атак майнинг гораздо сложнее. Но гораздо более опасны квантовые атаки для обычной криптографии.

Как показывают многочисленные исследования криптоалгоритмы, базирующиеся на сложности факторизации целых чисел (например, RSA) или дискретного логарифмирования (например, Эль-Гамаль или эллиптические кривые), находятся под ударом - они не являются квантовобезопасными, так как не могут адаптироваться к квантовым атакам просто увеличивая длину ключа (Диффи-Хеллман тоже уязвим). Симметричные алгоритмы AES или ГОСТ Р 34.12-2015 считаются квантовобезопасными, так как всего лишь достаточно увеличить длину ключа (считается, что квантовые компьютеры снижают эффективную длину криптографических ключей в два раза - ГОСТ с длиной ключа 256 бит для квантового компьютера - это тоже самое, что и ГОСТ с длиной ключа 128 бит для обычного компьютера).

Тем не менее у квантовобезопасных симметричных алгоритмов остается проблема распределения ключей, которая может быть решена с помощью соответствующих квантовых вычислений. Не случайно 20 июля 2017 года ФСБ утвердила «Временные требования к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну». А что с самими криптографическими алгоритмами? И вот тут мы плавно подходим к тому, ради чего эта заметка писалась.

На заседании ПК1 ТК122 в Банке России 30-го мая прозвучало, что в новую редакцию 382-П, которая уже прошла все согласования и находится на регистрации в Минюсте, внесли требование по использованию в НСПК с 2024 года HSM российского производства, а с 2031 года - переход всей крипты в национально значимых платежных системах на российские алгоритмы. Обратите внимание, речь идет только о национально значимых; то же ПП-127 по категорированию объектов КИИ касается только системно или социально значимых. По данным на 8-е июня к национально значимым платежным системам относились (понятно, что этот список будет меняться):
  • Юнистрим
  • НКК
  • Юнион Кард
  • HandyBank
  • BLIZKO
  • НРД
  • Таможенная карта
  • Лидер
  • УЭК
  • Мультисервисная платежная система
  • Платежная система ВТБ
  • Платежная система Сбербанк
  • REXPAY
  • БЭСТ
  • CONTACT
  • Sendy.

Понятно, что переход на отечественную криптографию в масштабах упомянутых платежных систем будет происходит неодномоментно и потребует немало ресурсов (временных и финансовых) на протяжении оставшихся 13 лет (а для НСПК 6 лет). И начнут многие финансовые организации уже скоро. И вот тут основной вопрос. А на какую отечественную криптографию переходить? Учитывают ли принятые и введенные в действие ГОСТы по шифрованию, ЭП, хэшу квантовые атаки? Являются ли наши ГОСТы по электронной подписи и хэшу квантовобезопасными? А "симметричные" ГОСТы? Если да, то останутся ли они таковыми к 2031-му году, учитывая существующие прогнозы? Если нет, то каковы сроки внесения изменения в ГОСТы и реализации этих изменений в отечественной криптопродукции? И какова стоимость обновления текущих решений на будущие, квантовобезопасные?


Думаю, что оба регулятора, и Банк России, и 8-й Центр ФСБ, прекрасно все понимают и имеют ответы на поставленные вопросы и они готовы к ответу на них, если таковые будут от финансовых организаций. А они будут, как только 382-П будет зарегистрирован и увидит свет.

08.06.2018

SIGMA - новый язык описания индикаторов компрометации для SIEM

Пока все ждут от ФСБ документов по ГосСОПКЕ и, в частности, по правилам и форматам передачи данных об инцидентах, я бы хотел поговорить об одном из недавно появившихся стандартов описания индикаторов компрометации. Но сначала вопрос. Какие языки для описания индикаторов компрометации / сигнатур / шаблонов для файловых атак вы знаете? Первое, что приходит на ум, - это YARA. А для сетевых атак? Правильно, Snort. А что для системных событий? И вот тут мы пасуем. Наши SIEM просто берут данные в форматах syslog или Event Log и анализируют по сути сырые данные. Существует ли язык, который мог бы помогать SIEM анализировать события?


Оказывается да. Это SIGMA, язык появившийся год назад, который позволяет легко описывать события для анализа в SIEM и делиться ими между различными организациями в рамках информационного обмена. По мере получения популярности SIGMA для логов должен стать тем же, что YARA для файлов и Snort для сетевого трафика.

Вот так, например, будет выглядеть очистка одного из логов Windows:

title: Очистка EventLog
description: один из логов Windows очищается
author: Florian Roth
logsource:
  product: windows
detection:
  selection:
    EventLog: System
    EventID: 104
  condition: selection
falsepositives:
    - Unknown
level: medium

А вот так выглядит описание сценария, когда офисный документ запускает интерпретатор командной строки cmd.exe:

title: Макрос в офисном документе запускает cmd.exe
status: экспериментальный
description: правило для Windows
references: - https://www.hybrid-analysis.com
author: Florian Roth
logsource:
  product: windows
  service: sysmon
detection:
  selection:
    EventID: 1
    ParentImage:
      - '*\WINDOWRD.EXE'
      - '*\EXCEL.EXE'
    Image: '*\cmd.exe'
  condition: selection
fields:
    - CommandLine
    - ParentCommandLine

А вот так будет выглядеть описание сценария с несколькими неудачными попытками входа под разными учетными записями с одной рабочей станции:


Наконец, вот так описывается один из тригеров DragonFly:

action: global
title: CrackMapExecWin
description: Обнаружение активности CrackMapExecWin как описывает NCSC
status: экспериментальный
references: - https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control
author: Markus Neis
detection:
  condition: 1 of them
falsepositives: - None
level: critical
--- # Сначала анализируем Windows Audit Log 
logsource:
  product: windows
  service: security
  description: 'Requirements: Audit Policy : Detailed Tracking > Audit Process creation, Group Policy : Administrative Templates\System\Audit Process Creation'
detection:
  selection1:
  # Does not require group policy 'Audit Process Creation' > Include command line in process creation events
     EventID: 4688 
     NewProcessName: - '*\crackmapexec.exe' 
--- 
# Затем анализируем Sysmon 
logsource:
  product: windows 
  service: sysmon 
detection: 
  selection1: 
  # Does not require group policy 'Audit Process Creation' > Include command line in process creation events 
   EventID: 1 
   Image: 
     - '*\crackmapexec.exe'

Достаточно несложно и эффективно. Однако есть один нюанс - нужны средства автоматизации для работы со сценариями SIGMA. Пока это делает только MISP (для обмена индикаторами компрометации) и Splunk через соответствующий App - TA-Sigma-Searches. Также SIGMA поддерживает Elastic и kibana. У автора SIGMA были планы по интеграции своего языка в различные SIEM (например, ArcSight и QRadar), но пока они не реализованы. Может отечественные производители будут первыми?

ЗЫ. Кстати. Вы слышали что-нибудь про JA3, метод описания цифровых отпечатков для SSL/TLS-клиентов, который может использоваться в рамках Threat Intelligence? Вот так выглядит отпечаток JA3 для Dridex - 74927e242d6c3febf8cb9cab10a7f889.

07.06.2018

О чем говорили у Gartner'а

На этой неделе в пригороде Вашингтона прошел очередной Gartner Risk & Security Management Summit. В этот раз я на него не смог поехать, но пристально следил за тем, что там происходит, получая информацию от коллег или из Интернет. Некоторым образом меня зацепило во всем потоке информации три тенденции, на которые я бы хотел обратить внимание.

Первая касается планов по распределению бюжетов на покупку новых технологий в ближайшие 2 года. Да, это результаты опроса среди преимущественно американских компаний. Да, в США немного иной процент проникновения технологий, о которых в России либо еще не слышали, либо внедрения носят эпизодический характер. Но как взгляд на то, что происходит на самом крупном рынке ИБ, эта картинка очень интересна. Посмотрите, в Топ 6 технологий, которые будут привлекать новые бюджеты входят:

  • Cloud Access Security Broker (у нас отечественных решений такого класса нет и вроде как никто и не разрабатывает)
  • Управление привилегированными запиясми (особенно учитывая, что данная защитная мера наряду с обновлениями ОС и приложений, а также замкнутой программной средой позволяет закрыть 85% всего угроз)
  • Контроль поведения пользователей (пресловутая UEBA)
  • Тестирование безопасности приложений
  • Шифрование и токенизация (думаю, к нам эти технологии с Запада не придут ввиду особенностей отечественного законодательства по криптографии)
  • SIEM (ох уж эти SIEMы).


Еще в сентябре я писал про каталог новых профессий АСИ, в котором нашлось место и новым специальностям по кибербезопасности, которые будут востребованы в ближайшем будущем. На мероприятии Gartner эта тема тоже не была обойдена вниманием и было представлено 4 новых профессии:

  • Охотник за киберугрозами (threat hunter). Ну тут все понятно - в условиях усложнения угроз и неспособности ловли их в автоматическом режиме, возрастает важность специалистов, которые могут выявлять эти проблемы.
  • Аналитик в области контршпионажа. Все говорит о том, что использование кибератак на геополитической арене только усилится и поэтому специалисты по атрибуции киберугроз, введении хакеров в заблуждении и их обмане, дезинформации, будут очень востребованы.
  • Инноватор в области обнаружения инцидентов, который должее разрабатывать новые методы обнаружения атак.
  • Защитник бренда. Специалисты этого профиля будут следить за сайтам-клонами, бороться с тайпсквоттингом, мониторить соцсети и т.п.


На самом деле, в оригинальном материале, опубликованном в апреле этого года, говорилось не о 4-х, а о 7-ми новых профессиях. К упомянутой выше четверке еще надо добавить:

  • Стратег по кибербезопасности, который должен определять путь движения компаний в области ИБ с учетом всех тенденций - в области ИТ, угроз, бизнеса, регуляторики и т.п.
  • Эксперт по продуктивности / QA / стюард по процессам. Человек, чья задача будет заключаться в улучшении гигиены безопасности, росте эффективности процессов ИБ, разработка корпоративных правил и мониторинге их применения.
  • Пиарщик по ИБ / евангелист / гуру маркетинга по ИБ. Данная роль означает не только формирование позитивного образа ИБ внутри организации (внутренний маркетинг), но и ответственности в области повышения осведомленности сотрудников по вопросам кибербезопасности.

Третьим наблюдением, стало обращение Гартнера к постквантовой криптографии, в рамках которой выступающие предрекли гибель традиционной криптографии и переход на постквантовую, неподверженную угрозам со стороны пока еще не существующих, но активно проектируемых квантовых компьютеров.


Помимо мрачных прогнозов были даны и некоторые направления, в которых можно искать пути решения для постквантовой криптографии.


Ну и последним штрихом стал прогноз, сделанный Gartner'ом, относительно пентестов, которые должны не то, чтобы умереть, сколько существенно потесниться, уступив место либо внутренним Red Team командам, либо специализированному ПО класса BAS (Breach & Attack Simulation). Это новый класс средств защиты, который ввел Gartner в прошлом году, и примеры которого можно было найти на RSA на протяжении последних пары лет. Автоматизация работы пентестеров уже предсказывалась некоторое время назад - пришло время воплощать это в жизнь.


Каких-то выводов делать не буду - каждый пусть сам их делает - потребители, отечественные разработчики, регуляторы...

05.06.2018

Fortinet покупает Brafdord Networks

4 июня американская компания Fortinet объявила о завершении покупки американской же Bradford Networks, занимающейся технологиями контроля сетевого доступа. Размер сделки составляет от 17 до 19 миллионов долларов.

Впечатления от темы искусственного интеллекта и ИБ

К моему удивлению тема искусственного интеллекта и кибербезопасности оказалась более чем востребованной. Я уже 4 раза читал в разных местах регулярно обновляемую презентацию и еще как минимум 3 заказа есть на ближайшее время. И так как я не люблю повторять презентации, то для каждого выступления добавляю что-то новое, все больше погружаясь в тематику, которая, на мой взгляд сейчас больше смахивает на очередной хайп.


Да, ИБ-стартапы (не в России) активно применяют (или заявляют об этом) различные варианты искусственного интеллекта (как правило, машинное обучение) в своих продуктах, делая именно на ни ставку. За прошедшие 6 лет было совершено более двухсот сделок в этой области и рынок кибербезопасности входит в Топ 5 сфер для сделок слияний и поглощений в этой сфере. Очень активны в этой области различные инвестиционные фонды, которые, как мне кажется, просто хотят нажиться на горячей теме, чем продвинуть ее в массы. Хотя наличие среди самых активных инвесторов ЦРУшной In-Q-Tel заставляет думать и об обратном.


Но какие наблюдения у меня родились в процессе подготовки различных версий презентации по ИИ и кибербезопасности? Их несколько. Во-первых, многие "апологеты" и "евангелисты", похоже, не учили математику в своей юности (или юность их не так далеко от них ушла) и поэтому они почему-то считают, что ИИ - это что-то новое и он вот-вот поработит нас, как Скайнет в "Терминаторе". Но разочарую - этой теме уже с полсотни лет и пока никакого порабощения нас роботами и компьютерами не произошло (и пока нет уверенности, что это произойдет в ближайшем будущем). Я вспоминаю свое обучение в институте по специальности "Прикладная математика" и многое из того, что сегодня преподносят как новое, на самом деле является хорошо забытым старым. Кстати, одна из курсовых у меня была посвящена созданию экспертных систем (да, это еще не Big Data и не совсем ИИ, но многое из области эксертных систем потом перешло в область искусственного интеллекта).

Очень мало где говорится об атаках на искусственный интеллект, позволяющих превратить все новомодные модели в тыкву. Безопасникам же наоборот требуется смотреть на все новомодные штуки именно с прицела "как можно ее обойти" или "как можно использовать ее во вред". Об этом пишут не так уж и много, так как исследователей ИИ в первую очередь интересует положительная сторона их творений (как тут не вспомнить Манхеттенский проект).


Еще меньшее число исследований говорит о том, как защитить ИИ от негативных направленных воздействий? Как защитить обучающую выборку? Как защитить модели от внедрения некорректных данных или использования "белых пятен" в алгоритмах ИИ? Как обеспечить целостность данных и моделей и защититься от манипуляции с ними? Про SecOps для ИИ тоже мало кто говорит, хотя в этой нише как раз много наработок из традиционной корпоративной сферы.


Наконец, мало говорят о том, как искусственный интеллект может быть использовать во вред, то есть применен для обхода систем защиты. И дело не в банальном обходе CAPTCHA, а в более сложных механизмах уклонения от антивирусов и системы защиты от вредоносного кода, от систем контентной фильтрации, от систем сетевой безопасности. Такие технологии активно тестируются различными сторонами - от хакеров до военных ведомств разных государств, что вновь обращает нас к мысли, что не стоит так уж бездумно бросаться в тему искусственного интеллекта. Вот уж, кстати, дурацкое название. Кому в голову пришла мысль перевести "intelligence" как "интеллект" (при наличии английского "intellect")?


К чему это я? Какой-то конкретной цели заметка не преследует. Скорее это наблюдение, которым я решил поделиться и которое мне не хотелось терять в суматохе. В любом случае стоит помнить о здравом скепсисе, который должен сопровождать безопасника при изучении/внедрении новых технологий. Без этого жить становится сложно.

01.06.2018

Немного юмора по ИБ

Пятница... Первый день лета. Можно и пошутить немного :-) Решил собрать последние мемы и шутки, которые замутил с начала года. Хотя, как известно, в каждой шутке есть доля... то ли шутки, то ли правды :-)

Надоело быть просто специалистом по ИБ? Хочешь быть президентом собственного объединения или ассоциации? Не знаешь какое название дать своему союзу? Воспользуйся методичкой и у твоего партнерства по ИБ будет свое уникальное имя. Не забудь в начало добавить "независимый" или "некоммерческий" :-)


Как отличить криптографа от нормально человека?


На борт раньше красили звездочки по количеству подбитых самолетов/танков. Сегодня спецам по ИБ нужны такие стикеры для ноутов по количеству отраженных хакерских группировок:


И тоже самое для "бумажных" безопасников (это часть возможных стикеров - в списке отсутствует, например, GDPR):


Взгляд на деятельность службы ИБ с точки зрения самой службы и с точки зрения бизнеса:


Мозг ибешника перед сном:


Популярная стратегия кибербезопасности:


Thoma Bravo покупает контрольный пакет LogRhythm

31 мая инвестиционный фонд Thoma Bravo, известный своими поглощениями на ниве ИБ, объявил о подписании соглашения о покупке контрольного пакета акций SIEM-производителя LogRhythm. Остальные детали сделки не разглашаются.