17.01.2020

10 способов убить свою карьеру в ИБ

Наткнулся тут на статью с одноименным названием, вольный и облегченный перевод которой и предлагаю.


Большинство CISO считают, что инциденты ИБ не приведут к их увольнению. Только 6.8% CISO считают, что крупная утечка или иная проблема с ИБ могут повлечь за собой разрыв трудового договора. 21,7% считает, что инцидент может стать причиной только выговора, а 56% и вовсе думает, что руководство компании поможет им решить возникшие из-за инцидента проблемы. С другой стороны 55% CISO работает в своей должности менее 3-х лет, а еще 30% - менее двух лет. По оценкам экспертов, многие руководители ИБ покидают свои компании на хороших условиях, с "золотым парашютом". Но немалое количество руководителей кибербезопасности действительно покидают свои насиженные места по причинам, далеким от инцидентов ИБ. Можно выделить 10 таких причин:
  1. Неумение говорить с руководством на бизнес-языке. Коль скоро тема ИБ все чаще ложится в повестку дня советов директоров и исполнительных органов компании, то руководство ожидает от CISO умения донести понятным языком сильные и слабые стороны политики ИБ и как они укладываются в общую стратегию бизнеса. Многие CISO попадают на свои позиции благодаря своим техническим навыкам и это приводит к тому, что через какое-то время бизнес разочаровывается в своих ставленниках и отправляет их в отставку, пытаясь найти им более бизнес-ориентированных безопасников.
  2. Маскировка проблем. Многие CISO показывают своему руководству только положительные новости, считая, что демонстрация негатива приводит к их негативной оценке со сторону топ-менеджмента. Они не хотят выглядеть некомпетентными и поэтому скрывают все плохое. Кто-то считает, что излишние технические детали только мешают руководству разбираться в ИБ и поэтому почти ничего не рассказывают на управляющих комитетах, что в итоге играет плохую шутку с CISO. Если последний не может быть честным и открытым перед руководством, то доверие к нему падает, а за ним грядет и увольнение. Проблемы есть у всех. Грамотный CISO отличается от своего "шапкозакидательного" коллеги тем, что не только признает негативные стороны в своей работе, но и имеет план по устранению проблем и улучшению ситуации.
  3. Сюрприз для руководителя. Никто не любит сюрпризов и никто не хочет попасть впросак из-за инцидента, о котором CISO не предупредил своего босса, и который (инцидент, а не босс) требует крупных и незапланированных затрат на восстановление. Гораздо хуже, если топ-менеджмент узнает об инциденте не от своего руководителя, а из СМИ или от коллег на каком-либо публичном мероприятии.
  4. Остаться в одиночестве. Нередко бывает так, что руководство не хочет замечать бревна в своем глазу и признавать, что у них есть проблемы в ИБ, о которых говорит честный CISO. Это может привести к тому, что CISO останется в одиночестве и ему придется выбирать - остаться честным перед самим собой, честно рассказать о проблемах и их последствиях и, возможно, уйти из компании, в которой не любят "правдолюбов", говорящих о проблемах, или дуть в общую дуду "у нас все хорошо, у нас нет проблем", как это делают другие руководители подразделений, вешающих лапшу руководителю, который и рад ловиться на эту удочку.
  5. Человек "нет". Нередко безопасники дуют на воду и ставят палки в колеса всем новым и, якобы, небезопасным бизнес-инициативам. Вместо того, чтобы вместе с инициаторами разработать план снижения рисков при внедрении новой идеи или проекта, они просто говорят им "нет". Один раз "нет", второй, третий... И вот "нет" уже говорят самому CISO, когда он заводит разговор о росте своей зарплаты или соцпакета или численности сотрудников и бюджетов. А потом "нет" слышит и сам CISO на вопрос о том, есть ли у него перспективы в компании. Надо уметь двигаться вместе с бизнесом, а не тянуть его на дно своими опасениями, что "мы все умрем".
  6. Пропуск чего-то важного. Да, возможно вас не уволят из-за крупного инцидента. Но если вы допустили серьезную дыру в процессах приобретенной компании или недооценили риски в своем предприятии или незаметили тенденций в области угроз, которые нанесли вам ущерб, то у руководства может возникнуть недоверие к вам и вашей способности учитывать интересы бизнеса, а это первый шаг к увольнению.
  7. Забывчивость о конкурентах. Руководство имеет возможности оценивать то, что происходит у конкурентов, если не с точки зрения бюджетов и ресурсов на ИБ, то с точки зрения потерь от каких-либо инцидентов. Вас могут уволить за то, что ваша компания потеряла больше, чем ваши конкуренты, которые тоже пострадали от той же проблемы, но пострадали меньше.
  8. Падающий парень. Если CISO берут на позицию, которая на несколько уровней ниже других руководителей со схожим кругом обязанностей и ответственности, то дни такого безопасника сочтены. Скорее всего его берут для того, чтобы повесить на него всех собак и потом с "почестями" уволить, если что-то пошло не так. В зависимости от того, где в иерархии находится CISO, зависит то, является ли ИБ для компании фактором развития или центром затрат.
  9. Нелюбящий пролетариат. В оригинале идея звучит немного не так, но в том варианте, как мне кажется, для России это неактуальная проблема. По мнению автора, если CISO в своем команде не толерантен к расовым, этническим, половым или иным меньшинствам, то высока вероятность, что руководство компании не будет мириться с таким низким уровнем культуры в подразделении ИБ и сменит главного безопасника.
  10. Некомандный игрок. Нельзя все делать в одиночку. Те, кто это пробует делать, не только будут перегружены работой, но и демонстрирует неспособность делегировать задачи, что ставит компанию под угрозу. Если CISO не окружает себя умными специалистами, которые знают, как поступать правильно без подсказки сверху, то у таких CISO не получится выстроить эффективную службу ИБ и они будут обречены на провал. CISO должен уметь нанимать нужных людей и иметь возможность это делать. Если руководство дает карт-бланш главному безопаснику, но не дает ему ресурсов, то дни такого безопасника сочтены - он просто не сможет ничего сделать в одиночку. Первоклассная команда не только способна решать самые сложные задачи, но и показывает, что CISO относится к касте высших руководителей, а не прозябает в условиях нехватки ресурсов со студентами, которые "пороха не нюхали".

16.01.2020

7 сценариев, когда в организации используются 2 разных SIEM

В чатике про SOCи зашла тут дискуссия на тему, может ли, и если да, то зачем, использовать SOC два разных SIEM (именно SIEM, а не SIEM и LM или SIEM и UEBA). Вынесу я эту тему в блог, чтобы не забылась она и не затерялась. Я сталкивался с такими ситуациями не раз и поэтому не могу назвать это изначально неправильной идеей. Есть несколько сценариев, когда такая схема возможна:
  1. SIEMы для работы и в рамках импортозамещения. На Западе этот сценарий встретить невозможно (разве, что в Китае, но это уже Восток), а вот в России он не редкость. Компания долгое время жила на зарубежном SIEM, но ввиду либо ухода Splunk из России, либо требований по импортозамещению (для госорганов и госкомпаний) вынуждена переходить на отечественные продукты. Да, тут речь идет о переходе, но для таких проектов он обычно длится не один год и поэтому в организации сосуществуют два SIEM. Иногда, правда, переход даже не планируется, так как отечественный SIEM работает, мягко говоря, неидеально.  Например, крупная холдинговая структура строит SOC на все часовые пояса по всей России. SOC двухуровневый - региональные мини-SOCи и один главный в центре. На регионы решили поставить отечественный SIEM. Когда его пытались натянуть на центр, оказалось, что по EPS он не тянет от слова совсем и надо либо ставить кластер из SIEM, что дорого, либо ставить другой, более производительный SIEM.
  2. SIEM для работы и для compliance. Это частный случай предыдущего кейса, но у него немного иная мотивация. Один SIEM, как правило, зарубежный, используется для реальной работы, а второй, как правило, отечественный, для демонстрации регуляторам при проверках или для сопряжения с ГосСОПКОЙ. В последнем случае до сих пор нет ясности, должны ли средства ГосСОПКИ быть только российского происхождения или нет. С одной стороны, нормативные акты ФСБ говорят, что да. С другой стороны, практика утверждает обратное. Возможно, это явление временное, так как ни ФСБ еще не разработала регламента оценки соответствия средств ГосСОПКИ, ни российские вендоры пока еще не подсуетились с выпуском продуктов под них. В любом случае, видел проекты, где используется Arcsight или QRadar для основного мониторинга, а решение от Positive Technologies использовалось для передачи данных в ГосСОПКУ. 
  3. SIEMы от мамы и от поглощенной компании. Ну тут очевидная история.  Купленная компания использует один SIEM, а купившая - второй. У первой достаточно большая автономия и менять шило на мыло она не готова (инвестиции сделаны, люди обучены, плейбуки написаны). Вторая может только в свой план развития включить переход на единый SIEM. Но будет это через несколько лет. А пока надо сосуществовать вместе. При этом речь не идет о том, что эти SIEM независимы - головная компания требует передачи данных из подчиненного SIEM в головной, что можно сделать как на уровне отправки данных об инцидентах, так и в виде отправки определенных или всех событий.
  4. SIEMы для себя и для предоставления услуг. У нас в рамках оказания услуг по проектированию SOC, один из задаваемых заказчику вопросов звучит так: "Вы планируете использовать SOC для себя или будете предоставлять на нем услугу внешним заказчикам?" От ответа на него зависит многое - не в части процессов или компетенций специалистов (хотя и они немного отличаются), а в части именно технологического стека. "Для себя" можно сделать "на коленке", не очень красиво, но так чтобы работало. Для внешней аудитории или для демонстрации руководству "на коленке" уже не работает и могут понадобиться немного иные решения. Да и совмещать внутренние и внешние источники и события безопасности в одном решении не совсем разумно. Поэтому снова возникает тема с 2 SIEM, хотя в данном случае она и вырожденная, - управляют ими разные подразделения, обменивающииеся, разве что, общими данными Threat Intelligence.
  5. SIEM для корпоративной сети и для АСУ ТП. Нередко АСУ ТП делают изолированными от внешнего мира и даже от корпоративных сетей. Да и за безопасность АСУ ТП может отвечать подразделение, отличное от корпоративной ИБ. Поэтому и SIEM могут быть изначально разные, которые со временем могут начать обмениваться данными между собой для выявления сложных атак, подразумевающих проникновение через корпоративную сеть (как первый этап kill chain).
  6. SIEM для корпоративной сети и для облачных сред. Кейс, схожий с предыдущим, но отличающийся тем, что для мониторинга облачных сред Azure, GCP или AWS используются встроенные в облачные платформы SIEM, а корпоративная сеть мониторится "по старинке". Я про эту историю писал большой обзор на Хабре (часть 1 и часть 2).
  7. SIEM для базовой аналитики и а-ля SIEM для глубокого анализа (Big Data Security Analytics). Наверное, это не совсем история про два классических SIEM, так как второй компонент больше относится к инструменту анализа, чем к инструменту визуализации событий безопасности. Но все-таки, учитывая, что SIEM используется для сбора данных и их анализа, могу отнести его к ситуации, когда в организации используется два разных решения. Второй SIEM нередко даже пишут сами на базе open source компонентов, закладывая в него богатый инструментарий для глубокой аналитики событий ИБ на базе машинного обучения. Например, в Cisco именно так родился OpenSOC, про который я писал 3 года назад на Хабре.
  8. SIEM подороже и подешевле. Учитывая, что SIEM часто лицензируются по EPS и при большом потоке событий цена решения может быть достаточно велика. Поэтому возникает соблазн, когда вы вместо дорогого SIEM берете тот, у которого цена лицензии на EPS обходится дешевле, или тот, у которого вообще схема лицензирования, отличная от EPS.
  9. SIEM побыстрее и помедленнее. В зависимости от архитектуры SIEM, использования реляционной или нереляционной базы данных, скорость индексации и поиска событий ИБ может стать ключевым фактором при выборе SIEM. Мы в Cisco в свое время, среди прочего, по этой причине отказались от одного из SIEM и стали писать свой OpenSOC. При этом у нас продолжает использоваться Splunk для работы с краткосрочной аналитикой и для визуализации. А OpenSOC работает с долгосрочными данными, ретроспективой и неструктурированной информацией.
Да, у вас будут сложности при объединении двух разных SIEM в единый комплекс, когда одно из решений выступает в качестве источника событий для другого. Особенно учитывая, что они могут иметь разные форматы данных, разные их схемы. Но при желании такой вариант все-таки возможен. В ряде случаев поток событий будет распараллеливаться между двумя SIEMами. В ряде случаев у вас IRP/SOAR может работать с двумя SIEMами. Все эти варианты непросты в реализации, что повышает вероятность ошибки. Но и отбросить этот вариант тоже не совсем правильно - иногда применение двух SIEM вполне оправдано. В любом случае описанные выше сценарии вполне рабочие, чтобы разговор о двух разных средствах мониторинга событий ИБ можно было рассматривать как глупую шутку или вырожденный кейс.

Но при этом, если уж вы идете по пути двух и более (и такое тоже бывает) SIEM, убедитесь, что они обладают продвинутым API, который позволяет не только делать им запросы друг к другу, но и который поддерживается вашей IRP/SOAR. Тогда интеграция SIEM станет возможной.

В 2017-м году для SOC Forum я сваял много демотиваторов и мемасиков, одним из которых был такой:


И ведь как в воду глядел. Спустя год с лишним предсказание сбылось, правда для другого вендора. Поэтому вопрос про 2 SIEM вполне себе насущный :-)

15.01.2020

Метод "пяти почему" в ИБ

Основатель компании Toyota, господин Тойода, постоянно пользовался правилом "пяти почему" или "пять зачем", которое помогало ему добраться до сути многих сложных процессов и разбираться во многих непонятных ситуациях.

Давайте попробуем применить его к кибербезопасности. Например, стоите вы перед выбором, купить вам межсетевой экран с сертификатом ФСТЭК или купить что-то более функциональное. И продавцы сертифицированных МСЭ так и вьются вокруг вас, а вы находитесь в раздумьях. И вот вы начинаете применять к этой ситуации метод "пяти почему".

Спрашиваете себя - почему я хочу сертифицированный МСЭ? Это первое «почему». Отвечаете: потому что так написано в законодательстве. ОК, переходим ко второму «почему». Почему вы думаете, что так написано в законодательстве? Ответ: Потому что все про это говорят и продавцы МСЭ тоже. Третье «почему»: Почему все, включая продавцов, говорят о необходимости сертификации МСЭ? Ответ: Потому что они хотят заработать денег на мне. Четвертое «почему». Почему они хотят заработать денег? Ответ: Потому что по другому их продукция не продается. Пятое «почему». Почему она не продается? Ответ: Потому что их продукция говно менее функциональная и может похвастаться только сертификатом с высоким уровнем соответствия требованиям регулятора. Ну вроде очевидный ответ, но он ни слова не говорит вам, почему именно вам нужен именно сертифицированный МСЭ? Может вас устроит и несертифицированное решение?

Давайте попробуем пройти эту процедуру еще раз. Начнем сразу со второго "почему". Почему вы думаете, что так написано в законодательстве? Ответ: Потому что я верю тем, кто говорит средства защиты должны иметь сертификат. Третье «почему». Почему я им верю на слово? Ответ: Потому что они лучше меня разбираются в законодательстве. Четвертое «почему»: Почему они лучше разбираются? Ответ: Потому что им надо продать мне свою продукцию. Пятое «почему»: Почему она не продается? Ответ: Потому что их продукция говно... Ой, опять тоже самое :-)

Давайте снова запустим метод "пяти почему". Начнем с третьего "почему". Почему я им верю на слово? Ответ: Потому что я сам не разбирался в хитросплетениях нашего сложного законодательства. Четвертое «почему»: Почему я не разбирался в законодательстве? Ответ: Потому что мне не хочется разбираться в скучном законодательстве. Пятое «почему»: Почему мне не хочется разбираться в скучном законодательстве? Ответ: Потому что... вот тут может несколько причин. Мне не хочется спорить с регуляторами. У меня нет юридического образования. У меня нет юристов, которые бы помогли мне. Мне, у меня, я... Последнее "почему" можно сформулировать проще, не прячась за отговорками. Я НЕ ХОЧУ НАПРЯГАТЬСЯ и МНЕ ТАК ПРОЩЕ.

И скажите теперь, при чем тут сертификат на МСЭ? Мы покупаем сертифицированное решение по одной простой причине, если, конечно, мы не госорган, - нам не хочется напрягаться, чтобы разобраться в отечественном законодательстве и понять, кому и в каких ситуациях требуется сертификат ФСТЭК, а в каких можно обойтись иными формами оценки соответствия.

Какой еще пример можно привести? Допустим, в компании утекла база данных и был нанесен слишком большой ущерб. Мы хотим понять, в чем причина этого и почему утекло так много данных. Первое "почему" так и будет звучать: Почему у нас утекло так много данных? Ответ: потому что мы слишком поздно среагировали на инцидент. Второе "почему" мы сформулируем как: Почему мы слишком поздно среагировали на инцидент? Ответ: потому что мы слишком долго расследовали утечку. Третье "почему": Почему мы слишком долго расследовали утечку? Ответ: у нас не хватает компетенций (вариацией ответа может быть "у нас не хватает соответствующего playbook" или "у нас не хватает нужного инструмента" или "у нас не выстроен процесс борьбы с утечками" или "у нас не вся организация покрыта средствами мониторинга" или "). Четвертое "почему": Почему у нас не хватает компетенций? Ответ: нас не учили бороться с утечками (или "мы не проводили практические киберучения" или ""). Финальное "почему": Почему нас не учили бороться с утечками? Ответ: у нас нет денег (у нас нет понимания необходимости обучения).

Обратили внимание, что в зависимости от того, как вы выстроили цепочку из пяти "почему", у вас выявляются разные первопричины? Очень редко когда она одна. Это как корневая система у растения - есть основной, а есть дополнительные и придаточные корни.


Господин Тойода считал, что в ответе на пятое "почему" и кроется первопричина наших (или не наших) поступков и действий, которая на первый взгляд не прослеживается. Именно она отражает то, что мы скрывали сами от себя и что действительно является важным.

14.01.2020

Не бывает одинаковых SOCов

Под конец года немного высвободилось времени и можно наконец-то оформить зарисовки, которые у меня накопились по результатам посещения SOC Forum, а также по результатам ряда проектов и предпроектных переговоров, в которых мне довелось участвовать.

Одним из популярных вопросов является такой "Мы решили построить у себя SOC. А что он должен делать?" Или компания имеет SOC (по крайней мере она так считает) и хочет сравнить себя с другими SOCами на рынке. Обе этих темы, особенно первая, говорит о двух вещах. Во-первых, сегодня нет устоявшегося определения, что же такое Security Operations Center? Даже по-крупному, можно выделить три ключевых направления, каждое из которых может называться модным термином SOC:
  • Группа реагирования на инциденты (CSIRT). Основное предназначение такого подразделение - бороться с инцидентами и мониторинг только способствует решению этой задачи. Но его может и не быть вовсе внутри CSIRT или он может быть вынесен за пределы CSIRT, например, в ИТ. Схожая схема уже много лет реализована в Cisco и при правильно выстроенных процессах и взаимодействии между ИТ и ИБ является вполне работоспособной.
  • Центр мониторинга ИБ. Это, можно так назвать, классическое понимание SOC, в ядре которого размещается SIEM и который, получая сигналы тревоги от кучи источников, запускает процессы обогащения этих данных и реагирования на инциденты, если они подтверждаются.
  • Центр управления кибербезопасностью. Этот вариант реализуется в компаниях, в которых давно и успешно для компании выстроены процессы ИБ, но они достаточно монолитны и их сложно разделять. В таком сценарии мониторинг ИБ или реагирование на инциденты сложно отделить от управления средствами защиты - все делается всеми. 
  • Центр поддержки ИБ. Это вольная трактовка аббревиатуры CDC, Cyber Defense Center, которая означает создание государственного центра ИБ, основная задача которого собирать данные об инцидентах и на их основе формировать рекомендации по борьбе с ними. Это некий аналог наших ФинЦЕРТ или ГосСОПКИ.

А все потому, что SOC строится исходя из разных предпосылок и задач. Даже на технологическом уровне, от того, с какими типами источников вы работаете, будет зависеть, будут похожи SOCи между собой или нет. Но SOC - это не только связка SIEM, SOAR и TIP, как трех основных платформ (их на самом деле чуть больше, но NTA, UEBA, EDR, находятся на стыке источников данных и платформ мониторинга). Это еще и сервисная стратегия, которой мало уделяют внимания при строительстве SOC, но которая и определяет каким он в итоге будет. Без нее SOC строится "снизу вверх", от технологического стека к набору процессов и поддерживающих их playbook.


С сервисной стратегией мы строим SOC "сверху вниз" и отталкиваемся от того, что нужно бизнесу в части мониторинга. Но про это я уже отдельно писал. Но даже если вернуться к более распространенной модели построения SOC "снизу вверх", даже в этом случае могут быть реализованы совершенно различные сервисы, которые повлияют и на упомянутый вначале заметки вопрос.


Вы только мониторите события безопасности, полученные из разнородных источников, или еще проводите активный Threat Hunting? Вы потребляете или создает контент Threat Intelligence? Вы "делаете SOC" для себя или помогаете внешним организациям? Red Team и фишинговые симуляции являются частью вашего SOC? Достаточно посмотреть на эти 4 вопроса (а их можно задать гораздо больше), чтобы понять, что сервисный каталог SOC, а значит и он сам, будет отличаться от организации к организации. Даже при его совпадении у вас начнутся отличия в сервисной модели (что-то вы будете делать самостоятельно, а что-то отдадите на аутсорсинг), а также на уровне технологического стека и компетенций аналитиков.


Отсюда простой вывод, который подтверждается практикой построения и аудита SOCов в Cisco, - двух одинаковых SOCов не бывает. Поэтому и не бывает универсального ответа на вопрос "Что такое SOC?". Поэтому так важно уметь сначала договориться о терминах, а уже потом спорить :-)

13.01.2020

Является ли ГОСТ по ИБ обязательным к применению?

Обновляя курс по законодательству ИБ, который я читал в декабре прошлого года, я существенно обновил некоторые разделы и один из них касается вопросов национальной стандартизации, а точнее одного вопроса - может ли ГОСТ быть обязательным? Учитывая, что Банк России активно помещает свои требования по ИБ в ГОСТы и планы по развитию ГОСТов достаточно агрессивные, то стоит понимать, каков статус у этого документа и насколько он является обязательным для финансовых организаций. Картина получается следующей.


В 2015-м году был принят закон "О стандартизации в Российской Федерации", 6-я статья которого так и называется "Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией". Согласно этой статье порядок стандартизации вопросов ИБ устанавливается только Правительством РФ.


Правительство в стороне не осталось и спустя полтора года с момента принятия ФЗ-162 выпустило свое Постановление под номером 1567 (оно отменило ранее действующее ПП-822 на ту же тему), которое утвердило два положения:
  • о стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, а также процессов и иных объектов стандартизации, связанных с такой продукцией
  • о стандартизации в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией.
"Нашу" тему затрагивает второе положение. Оно очень короткое - в нем всего 10 пунктов (по сравнению с полусотней в положении о стандартизации оборонной продукции".


Согласно нему стандартизацией ИБ у нас занимаются ФСТЭК, ФСБ, МинОбороны и СВР, а утверждает разработанные ими стандарты Росстандарт. ЦБ в списке нет.


Предметом стандартизации этих ГОСТов (в том числе и ограниченного распространения) является продукция и связанные с ней процессы. Предметом регулирования ГОСТ 57580.1 является не продукция и не процессы, а уровни и требования.


Отсюда возникает закономерный вопрос - на каком основании ГОСТ Р 57580.1 считается обязательным? В самом стандарте написано, что область его применения устанавливается в нормативных актах Банка России путем включения в них ссылки на ГОСТ, что разрешено 27-й статьей закона "О стандартизации в Российской Федерации". Ни слова про то, что ГОСТ в этом случае является обязательным. Так является ли он таковым?


Стоит обратиться к другим нормативным правовым актам. В частности к Положению Банка России от 22.09.2017 №602-П "О правилах подготовки нормативных актов Банка России", в котором перечисляются нормативные и ненормативные акты Банка России:


Национальных стандартов в их числе нет. При этом любые обязательные нормативные и нормативные правовые акты, включая и документы ЦБ, которые устанавливают обязательные требования к своим "подопечным" должны быть официально зарегистрированы в МинЮсте. Это вытекает из 1009-го Постановления Правительства.


Разумеется, не все нормативные акты ЦБ подлежат регистрации. Но согласно 602-П список нерегистрируемых документов четко определен и ГОСТы к их числу не относятся.


Согласно же разъяснениям МинЮста, утвержденным приказом от 04.05.2007 №88, национальные стандарты можно не регистрировать, но только если они не содержат нормативных предписаний. Поэтому получается, что если рассматривать ГОСТ 57580.1 как содержащий такие предписания, то он должен быть зарегистрирован МинЮстом, а это условие выполнено не было и, как следствие, применению этот ГОСТ не подлежит. Если же рассматривать ГОСТ просто как сборник рекомендаций, то тогда все нормально - это руководство к действию, но не более. Обязать его исполнять и тем более наказывать за его неисполнение нельзя.


Ну и еще. Вспоминая законы "О Центральном банке" и "О Национальной платежной системе", Банк России имеет право устанавливать обязательные требования по защите информации, но только по согласованию с ФСБ и ФСТЭК. Согласно уже упомянутому Положению Банка России 602-П, нормативный правовой акт считается совместно изданным, если он подписан/утвержден руководителями соответствующих ФОИВ, то есть в нашем случае с ФСТЭК и ФСБ.  Те же 382-П, 683-П, 684-П были согласованы с указанными регуляторами по ИБ. И соответствующий гриф согласования должен быть на совместно принятом нормативном правовом акте. А вот ГОСТ 57580.1 это требования снова нарушает - никаких согласующих грифов на нем нет.


Не буду делать финальных выводов по обязательности принятого Банком России ГОСТа для финансовых организаций. Это пусть банковские юристы об этом думают. Но на мой взгляд, обязательными ГОСТы бывают только в случае их разработки Министерством Обороны, Федеральной службой безопасности, Службой внешней разведки и Федеральной службой по техническому и экспортному контролю. В остальных случаях увы...

10.01.2020

Как стать SOC-аналитиком?

Коллеги из Ангары, которая отмечает 5 лет своего существования на российском рынке ИБ, опубликовали заметку о том, как стать SOC-аналитиком и какими навыками и компетенциями должен обладать аналитик SOC. На первое место они поставили знание законодательства по ИБ. Я в корне не согласен с такой постановкой вопроса, так как считаю, что аналитикам SOC вообще не нужно знание законодательства, которое никак не помогает в работе по обнаружению инцидентов ИБ. Но на самом деле статья Ангары заставила меня задуматься, а какими знаниями и навыками должен обладать аналитик SOC?


С точки зрения необходимых знаний, я бы выделил следующие:
  • знание сетевых протоколов и принципов построения сетей, в том числе беспроводных, мобильных, телефонных, Интернет, спутниковых (при необходимости)
  • знание принципов и протоколов сетевой адресации и маршрутизации, а также особенностей влияния локального и глобального сетевого оборудования на них
  • знание основного сетевого оборудования, его архитектуры и особенностей его конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основных СУБД, их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основных типов ПК, их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также особенностей подключения периферийных устройств, а также анализа
  • знание основ виртуализации, контейнеризации, терминального доступа, их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основ основных ОС (Windows, Linux, MacOS, Android, iOS), их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основ сетевой и системной безопасности (МСЭ, IDS, WAF, антивирус, IDM, обманные системы, песочницы и т.п.)
  • знание угроз и уязвимостей, реализуемых на разных уровнях - сетевом, системном, прикладном
  • знание типов атак (DDoS, подбор пароля, сканирование, подмена, перехват, переполнение буфера, скрытые каналы, CSS, PL/SQL Injection, вредоносный код и т.п.)
  • понимание последствий от реализации угроз
  • знание принципов и протоколов web, включая web-почту, web-сайты, CMS, cookie, а также инструментов их анализа
  • знание принципов и протоколов построения e-mail, а также инструментов ее анализа
  • знание принципов и протоколов построения инфраструктуры DNS, а также инструментов ее анализа
  • знание принципов и протоколов построения IP-телефонии, мессенджеров, VPN и т.п., а также инструментов их анализа
  • знание принципов сбора информации, управления этим процессом, его возможностей и ограничений
  • знание принципов расследования инцидентов
  • знание принципов сбора доказательств и обеспечения их сохранности
  • знание основ и методов обнаружения атак на уровне сети и хостов
  • знание концепции Kill Chain и методов, используемых злоумышленниками (TTP)
  • знание способов обхода средств защиты (evasion)
  • знание методов сбора и анализа метаданных (e-mail, http, netflow и т.п.)
  • знание основных протоколов и форматов регистрации событий безопасности (например, syslog)
  • знание основных SIEM, их архитектуры и особенностей их конфигурирования, механизмов сбора и регистрации событий, а также анализа
  • знание основ/стандартов написания правил обнаружения атак и корреляции событий, а также индикаторов компрометации
  • знание основ визуализации собранной информации и формирования отчетов
  • знание признаков физического и психологического поведения, характеризующего аномальную или подозрительную активность

К необходимым навыкам я бы отнес:
  • умение писать простые скрипты для автоматизации рутинных задач
  • умение писать сигнатуры и правила для обнаружения атак и инцидентов (например, Yara, SIGMA, Snort и т.п.)
  • умение анализировать сетевой трафик
  • умение анализировать журналы регистрации событий ОС, сетевого оборудования, СУБД, приложений и т.п.
  • умение захватывать сетевой трафик и вычленять из него важную информацию
  • умение подключать удаленные источники событий
  • умение работать с индикаторами компрометации и OSINT
  • умение идентифицировать, локализовывать и отслеживать устройства в инфраструктуре 
  • умение выявлять пробелы в собранной информации и формулировать требования по их устранению
  • умение интерпретировать собранные данные, выявлять атаки и уязвимости, аномальную активность
  • умение работать с SIEM, IRP/SOAR, TIP, NTA, EDR, UEBA, CASB, песочница
  • умение работать с системами представления результатов анализа и генерации отчетов
  • presentation skills
  • writing skills (а фиг знает, как это емко сформулировать)
  • умение принимать решения
  • soft skills
  • критическое мышление
Вообще в статье Ангары есть некоторая недосказанность, так как не совсем понятно, под "аналитиком SOC" понимается специалист 1-ой, 2-ой или 3-ей линий, или любой специалист SOC, включая аналитиков Threat Intelligence, специалистов по реагированию на инциденты, специалистов по форензике и другие роли в SOC. Даже если речь идет о L1-L3, то в зависимости от линии, наполнение ролей и, как следствие, требуемые навыки и знания, будут разными. Но, думаю, основные моменты я все-таки учел. 

09.01.2020

Новости ИБ за новогодние праздники

Это мы с вами гуляли больше недели, в то время как все прогрессивное человечество начало активно работать, атаковать и защищаться уже со 2-го января. По традиции решил выделить ключевые новости, которые произошли за прошедшие новогодние праздники. В отличие от прошлого года в этом новостей было поменьше:

  • Убийство официального лица Ирана, генерала Сулеймани, привело к тому, что американское агенство по информационной безопасности выпустило предупреждение о возможных геополитических кибератаках, особенно со стороны Ирана, который пообещал 13 катастрофических сценариев ответных действий на агрессию со стороны США (и уже искал экспертов для атак на критическую инфраструктуру США). Это уже привело к тому, что отдельные штаты начали отчитываться о том, что они фиксируют десятки тысяч кибератак со стороны Ирана (хотя в реальности они фиксируют всего лишь сканирования портов). Но, думаю, мы еще увидим последствия этой эскалации в киберпространстве.
  • ФБР снова просит Apple разблокировать iPhone двух обвиняемых в незаконной стрельбе.
  • Dell ищет покупателя на подразделение RSA Security, а также конференцию RSA Conference.
  • Конгресс подготовил отчет, который должен быть представлен в марте-апреле и реализация мероприятий которого должно повысить уровень защищенности частных американских компаний. Интересно, что они, по слухам, хотят чуть ли не вписать правило "1-10-60" как рекомендацию по ИБ.
  • Accenture покупает бизнес услуг ИБ Symantec, включая и 6 SOCов, разбросанных по всему миру. Вообще Accenture за последние несколько лет скупил уже с полдесятка ИБ-стартапов,  желая стать серьезным игроком этого рынка.
  • Исследователи смогли реализовать новую, более эффективную и практичную атаку на SHA-1.
  • Было несколько успешных атак шифровальщиков, заставивших жертв выплатить выкуп, кииберпреступникам. Но мне запомнился один кейс с одной из фирм США, занимающейся телемаркетингом. После неудачного восстановления от последствий шифровальщика, за день до Рождества, 300 сотрудников компании получили письмо от генерального директора о том, что они могут искать новую работу, так как компания не смогла восстановиться после кибератаки.
  • MITRE выпустила новую матрицу техник, тактик и процедур злоумышленников - на этот раз для промышленных систем. Это первая версия, которая готовилась более двух лет, но которая продолжает наполняться новыми TTP.

31.12.2019

С наступающим Новым годом и Рождеством!

Все пытался сформулировать какие-то пожелания и подвести какие-то персональные итоги, но понял, что в 2016-м уже все написал. Почти все, что я сказал тогда, я могу повторить и сегодня. Поэтому не буду повторяться и просто поздравлю всех читателей с наступающим Новым Годом! Пусть он пройдет у вас под четырьмя "З". Чтобы был у вас ЗАДОР на все ваши идеи и начинания! Чтобы было у вас ЗДОРОВЬЕ на реализацию всех ваших идей и начинаний! Чтобы вы могли ЗАЩИТИТЬ все ваши идеи и начинания! И чтобы при этом у вас всегда находилось время на получение новых ЗНАНИЙ! Ура!


ЗЫ. Вся команда блога (для тех, кто думает, что я его веду не один) уходит на новогодние каникулы и вернется 9-го января :-)

30.12.2019

Мой краткий локальный прогноз на год мыши (под коньяк)

В прошлой заметке я описал некие тенденции на поле нормативной брани деятельности, которые я отметил за прошедших 2,5 с половиной года, но совершенно забыл сделать некоторый прогноз на ближайшее время. Исправляюсь...

Я уже не раз признавался, что мне нравится то, как действует ФСТЭК и как она пытается регулировать отрасль ИБ в условиях имеющихся ограничений, сдержек и противовесов. Но в последнее время у меня все меньше поводов для оптимизма :-( При этом регулярно слыша критику в адрес регулятора, я иногда встаю на его защиту, так как вижу немного больше того, что видно снаружи. Вот, например, одно из последних критических замечаний коснулось планируемой методики моделирования угроз, которую, по словам коллег, "ФСТЭК не может уже 4 года принять" (на самом деле даже больше).

И вот в канун Нового года у меня в рамках одного неформального мероприятия, после ряда алкогольных возлияний и вдыхания коньячных паров, у меня состоялась короткая беседа на тему будущего ИБ в России. А о чем еще говорить под бокал коньяка в среде специалистов :-) Хотя началась она забавно.

- Слушай, Лех, а чего тебе ФСТЭК медаль не дает?
- Что? Медаль? С какого перепугу?
- Нууу... Ты делаешь для рынка больше, чем сами регулятора. Ты толмач их документов, которые в здравом уме никто понять не может. А ты простым языком объясняешь, что и как. Да и помимо регуляторов делаешь до хрена. На твоем блоге не одно поколение уже выросло. По сути ты делаешь то, что должно делать государство.
- И как ты себе это представляешь? Я же иностранный агент в глазах регуляторов. Контакты со мной вообще токсичны. У одного регулятора я черном списке. Другой старается поменьше контактировать со мной на официальном уровне, включая только в неформальные рабочие группы. А ты предлагаешь мне еще медаль выдать. Их же сразу в госизмене обвинят :-)
- Вот, мля. Я бы дал. Давай еще по одной?..
- ...
- Лех, ты же должен признать, что мы катимся в пропасть?
- Почему? Не без перекосов, но могло же быть и хуже.
- Да куда уж хуже? Устаревшее законодательство, полное засекречивание, закрытие рынка... Железный занавес, да и только.
- Ты никогда не думал, почему так?
- А чего думать-то, там же старперы одни. Они не знают, с какого боку подойти к компьютеру. Отсюда и все требования.
- Нет, не все так просто.

Потом еще долго длилась душещипательная беседа, выводы из которой я попробую кратко сформулировать. В октябре 2015-го года Президент Путин дал ряд поручений по вопросу совершенствования защиты информации, сформулированных в соответствующем непубличном документе Пр-2172. К счастью, далеко не все из них были реализованы (хотя соответствующие законопроекты и были разработаны). Спустя два года, тоже в октябре, но уже 2017-го года, Президент Путин вновь сформулировал ряд поручений по развитию ИБ в России. Их можно выделить 5:
  • импортозамещение
  • суверенный Интернет
  • усиление защиты госорганов
  • развитие ГосСОПКА
  • международное сотрудничество (но немного не в том смысле, как это понимается обывателем).

И хотя у нас далеко не все поручения Президента выполняются (достаточно вспомнить поручение трехлетней давности о переводе всех госорганов на российскую криптографию при общении с гражданами, от которого у нас остался только отказ от HTTPS на сайтах многих госорганов), многие все-таки претворяются в жизнь. Особенно ФСТЭК с пиететом относится к таким поручениям и старается их выполнять в срок и с усердием (хотя, думаю, если бы наш Президент служил прежде в этом ФОИВ, то ситуация была бы иной).

И, как мне кажется, именно этим объясняется все, что сейчас происходит в отрасли ИБ в России. И импортозапрещение (запретить просто и можно на уровне ФСБ или ФСТЭК, в отличие от развития отечественной отрасли ИТ/ИБ), и "засекречивание" документов ФСТЭК и ФСБ, и усиление требований к иностранным вендорам, и снижение числа контактов с "иностранцами". Иногда это доходит до маразма - достаточно вспомнить пресловутый приказ Миинобразования, жестко ограничивающий контакты ВУЗов и научных организаций с сотрудниками иностранных компаний (правда, потом было устное разъяснение от Минобразования, что приказ можно игнорировать, так как он не зарегистрирован в Минюсте, но кто посмеет ослушаться подписанного министром приказа). У наших отраслевых регуляторов до такого еще не дошло, но определение охлаждение отношений с иностранными вендорами чувствуется :-(

Поэтому регуляторы, возможно, и хотели бы быть более открытыми, динамичными и учитывающими современные тенденции, но увы, они скованы вышестоящими властными структурами и государственными интересами, которые, как известно, отличаются от интересов бизнеса, общества и граждан (я про это уже писал в 2013-м году и позже). Но оправдывать их этим, конечно, можно, но результат мы видим перед глазами и он печален. Тенденции именно таковы, это все не случайно. Поэтому в год мыши вряд ли что-то изменится в лучшую (по моему мнению) сторону. Побуду совсем пессимистом и предположу, что этот курс сохранится как минимум до 2024 года, а если разговоры об объединении России и Беларуси к этому моменту воплотятся в реальность (за чем последует изменение Конституции и обнуление сроков президентства Путина), то этот курс может сохраниться и на последующие 12 лет, до 2036-го года.

Кстати, по поводу маразма. На Медузе была статья пару дней назад о том, что в МИРЭА читается курс по национальной системе информационной безопасности, созданный бывшим преподавателем Высшей школы КГБ.


В рамках этого курса, судя по слайдам в Твиттере, рассказывается о скрепах, духовных войнах, пси-лучах, боевых мемах и т.п.


Полная бредятина... Жаль мне мою альма-матер - в бытность моего обучения там преподаватели Вышки читали совершенно иные курсы, более приземленные и более практичные. Но если уж ВУЗ разрешил читать такое, то это хорошо укладывается в описанные мной тенденции и, даже если сам президент страны таких поручений не давал, находится немало одаренных людей расширительно толкующих его слова и ведущих отрасль ИБ в пропасть :-(



Вот такой апокалиптический прогноз получился в канун Нового года. Остается только надеяться, что это результат коньячных паров и отсутствие солнца в Москве уже на протяжении нескольких недель :-)

ЗЫ. А пока я писал эту заметку наткнулся на две новости - в МИД создан департамент международной информационной безопасности и Генассамблея ООН приняла российскую резолюцию по борьбе с киберпреступностью. Это как раз показывает один из пяти трендов, о которых я написал выше.

27.12.2019

Нормативка по ИБ. Что изменилось за 2,5 года?

В начале этой недели я читал двухдневный курс по всему спектру законодательства ИБ - основы права, персданные, финансовые организации, КИИ, лицензирование, сертификация, ответственность, госорганы, надзор и т.п. Вообще я не очень люблю этот курс, так как два дня непрерывного погружения в законодательство, это скучно и нудно. Да и не очень очевидна целевая аудитория для этого курса, который затрагивает интересы разных отраслей. Разве, что для интеграторов и разработчиков это может быть полезно. Ну да не про это разговор. Не очень я люблю это свое детище, которое описывает всю нашу нормативку, от Доктрины ИБ до ведомственных приказов.


Последний раз я читал его в 2017-м году и сейчас, когда я его обновлял (то еще приключение) по прошествии двух лет, я сделал несколько интересных наблюдений, касающихся нормативного регулирования ИБ в России:

  1. Несмотря на то, что ФСТЭК провозгласила своим основным приоритетом защиту информации в госорганах, новых НПА для них почти и не появилось. Есть 17-й приказ и... и все. Куча остальных НПА (приказы 390, 149, 120, 104, 470, 221 и 190 Минкомсвязи, совместный приказ ФСТЭК и ФСБ, приказы Минэкономразвития и ФСО и т.п.) как были, так и остались и никто их не трогал, чтобы привести в соответствие (разве, что есть частные разъяснения Минкомсвязи по поводу своих приказов и их соотнесению с 17-м приказом ФСТЭК). Отчасти это хорошо - госам не надо отслеживать кучу новых и постоянно меняющихся нормативных актов, как тем же финансовым организациям.
  2. За два года сильно разрослась ветка регулирования безопасности критической информационной инфраструктуры. Но это и понятно - совершенно новое регулирование, требующее своей нормативной базы.
  3. Финансовая сфера оказалась самой зарегулированной. Чуть ли не половина курса (как минимум, его треть) посвящена нормативке Банка России - куча положений и указаний, ГОСТы, СТО и РС. Жалко "банкиров". Когда они успевают с реальными угрозами бороться непонятно :-(
  4. По защите ПДн за два года тоже ничего не произошло, кроме косметических правок в 21-й приказ. Зато усиливается карающая сторона законодательства - законопроектов по штрафам появилось не меньше пяти и часть из них уже принята. А вот законопроекты по внесению изменений в ФЗ-152 как-то буксуют. Я уже молчу про "наш" законопроект "Гаттарова-Матвиенко", который мы писали лет пять назад и который должен был помочь разъяснить некоторые неочевидные конструкции законодательства о персональных данных.
  5. "Операторский" блок охарактеризовался уходом от направления ИБ в сторону суверенного Интернета - число нормативных актов по этой части в разы превышает число приказов Минкомсвязи именно по защите информации у операторов связи. Но это и понятно в современной геополитической ситуации.
  6. Интересно, что наши регуляторы активно нарушают правила принятия обязательных НПА. Я про это еще отдельно напишу в следующем году. Там есть интересные следствия, например, в части требований по сертификации средств защиты информации.
  7. Интересно смотреть было на презентации ФСТЭК, где из года в год указываются планы по выпуску различных требований к средствам защиты или методических документов (по защите информации в Wi-Fi, по защите информации на беспроводных устройствах, по ЦОДам и т.п.), но потом эти планы так и не воплощались в жизнь.
  8. Кстати, еще одна тенденция - "засекречивание" нормативных актов ФСТЭК и ФСБ. Но если от второго регулятора это видеть привычно (хотя закрытие многих документов НКЦКИ и выглядит странно), то ФСТЭК раньше была более открытой. При этом своей цели такое "засекречивание" не достигает, а вот удобства становится явно меньше.
  9. Наконец, интересная ситуация сложилась с ГОСТами по ИБ, которые продвигает Банк России, называя их обязательными к исполнению. Так вот это не так очевидно, как об этом говорит регулятор. Но об этом я тоже напишу отдельно в следующем году.
  10. Ужесточилась позиция регуляторов в отношении сертификации средств защиты информации, несмотря на отсутствие нормативных актов, которые бы к этому вели. Ни одного нового Указа, Федерального закона или Постановления Правительства в этой части принято не было, но почему-то отдельные регуляторы стали считать, что они могут требовать обязательной сертификации.
Вот таких десять наблюдений, которые характеризуют изменения нормативного поля ИБ за 2 с лишним последних года. Не буду давать им оценку, - это просто наблюдения. Но объем курса вырос на 250 слайдов и с трудом укладывается теперь в два дня по 8 часов :-)

25.12.2019

Стратегия CISO по модели 3-3-4-5

Вот представьте, что сегодня вы едете на работе в лифте, открываются двер, заходит генеральный директор и вдруг, ни с того, ни с сего спрашивает вас: "А какая у вас, мил человек, стратегия по ИБ?" Вы начинаете хватаеть воздух ртом, пытаясь сформулировать за несколько секунд, а какая же у вас стратегия в ИБ и есть ли она вообще? Так вот вам вариант, который я стащил у Рафика Римана и который перевел на русский язык и чуть-чуть подправил.

Рафик назвал ее стратегией 3-3-4-5, так как она состоит из 3 компонентов, каждый из которых состоит из 3, 4 и 5 частей соответственно. Выглядит она следующим образом:


Первый компонент помогает ответить на вопрос: "Чего я хочу достичь?". Вспоминая все, что я уже писал и посмотрев на название блога в шапке, мы ставим на первое место содействие бизнесу, его задачам, целям и приоритетам. На второе место мы ставим более близкое ИБ, но сформулированное на понятном бизнесу языке - управление рисками на приемлемом уровне. Третье место мы отдаем вопросам взаимодействия - справа-налево или с востока на запад, то есть между ИТ, ИБ и бизнесом, и сверху-вниз или с севера на юг, то есть между руководством, CISO и командой ИБ.

Второй компонент помогает вам сформулировать направления ваших инвестиций - как времени, так и денег. Тут работает классическая формула 4П (персонал, процессы, продукты, партнеры), которая и на английском звучит ровно также (people, processes, products, partners). Персонал надо нанимать (если есть ставки) или выбивать новые ставки, удерживать (удержание персонала обходится дешевле его найма) и повышать его компетенции и навыки. Персонал не должен действовать хаотично и неэффективно. Поэтому нужно выстраивать процессы, оптимизировать и упрощать существующие. Вручную ИБ не всегда построишь, поэтому нам нужны продукты, включая технологии, сервисы и консалтинг, которые помогут персоналу достигать поставленных целей с учетом выстроенных процессов. Наконец, так как своими силами ИБ не всегда можно реализовать целиком, нам могут понадобиться помощники или партнеры - внутренние или внешние.

Любая стратегия должна помогать нам ответить не только на вопрос "Что", но и "Как", поэтому третьим компонентом нашей стратегии ИБ будет "Как я хочу это сделать?". Рафик берет за основу фреймворк NIST Cybersecurity Framework и его пять компонентов (Identify, Protect, Detect, Respond, Recovery). Можно наверное использовать и серию стандартов ISO 2700x, и ISF, и CoBIT, но это уж как кому нравится. NIST CSF на мой взгляд более практичный, более простой и более проработанный инструмент, чем остальные. Увы, но в России фреймворков по ИБ так и не появилось. Ни ГОСТы ЦБ, ни серия приказов ФСТЭК не дотягивают до полноценного фреймворка.

Да ну, фигня, какая-то, - скажите вы. Нам что-нибудь попроще и поконкретнее. Да, пожалуйста. Вот вам чеклист CISO, который я презентовал в январе 2019-го года и который ставил 11 задач, которые можно было решать в течение всего года, тратя на них по одному месяцу (один в резерве). Его можно повторить и в 2020-м году - он не теряет своей актуальности.

В любом случае, теперь, если вы вновь столкнетесь с генеральным в лифте, вы знаете, что ему ответить. Знаете же?

24.12.2019

Новая аббревиатура по ИБ - SASE (произносится как "СОСИ")

На последнем SOC Forum, под влиянием просмотра множества выступлений, родилось у меня четверостишье:

SOAR, SIEM, CASB и TIP
ГосСОПКА, ФСТЭК и IRP
Ты сокращенья должен знать
Иди учи их. Не тупи!

Не так давно Gartner порадовал нас новой, столь ласкающей слух русского человека, аббревиатурой - UEBA (User Entity Behavior Analytics) и многие отечественные производители ринулись осваивать новую нишу. И вот новый сюрприз от Gartner - они вводят в обиход новое сокращение - SASE (произносится как "sassy"), расшифровывающееся как Secure Access Service Edge. Однако в данном случае эта аббревиатура врядли станет распространенной в России, так как стоящие за ней технологии малоприменимы в российских реалиях, где государство думает о суверенном Интернете, а регуляторы блокируют применение облачных решений по ИБ. Зато Gartner угадал с русскоязычным произношением этой технологии, которая не будет применяться в России. Но чтобы не заканчивать на этой пессимистичной ноте, я все-таки расскажу что такое SASE и куда движется мысль прогрессивной ИБ.

Идея для новой аббревиатуры возникла не на пустом месте. Мир меняется и все чаще пользователи, а также приложения, устройства и данные находятся за пределами корпоративного периметра. При этом потребность в обеспечении их защиты меньше не становится, а даже возрастает.

Есть сценарии, когда весь внешний трафик заворачивается на корпоративный периметр, где и контролируется традиционными средствами ИБ - МСЭ, IPS, DLP и т.п. Но работает он далеко не всегда и в какой-то момент начинает мешать бизнес-процессам, который не может мириться со сложностью и задержками, вносимыми ИБ-решениями, неспособными подстроиться под дивный чудный мир без границ. Возникает идея объединить средства сетевой безопасности с сетевыми решениями и вынести их в облако, объединив концепции Network-as-a-Service и Network Security-as-a-Service.



Это и есть концепция SASE, которая объединяет SD-WAN и МСЭ, оптимизацию WAN и CASB, CDN и мониторинг DNS, управление полосой пропускания и SWG (Secure Web Gateway), маршрутизатор и VPN, Zero Trust и удаленную изоляцию браузеров. По сути речь идет о решении класса Secure Internet Gateway или SIG (да-да, еще одна аббревиатура), но наделенного расширенными сетевыми возможностями. Иногда, можно встретить и термин Firewall-as-a-Service, который применялся до очередного творческого порыва Gartner (а может быть будет применяться и после, так как более понятен). Но если посмотреть на картинку ниже становится понятно, почему FWaaS неполно отражает суть SASE - в последней гораздо больше разных защитных функций, чем даже в самых навороченных NGFW или UTM. И все это из облака и прозрачно для пользователя. Удобно.


Чтобы эта схема заработала в полную силу, точки присутствия SASE должны быть размещены по всему миру, ну или, в случае с нами, по всей России. Тогда можно будет говорить о низких задержках и повсеместном защищенном доступе. Учитывая наш телекоммуникационный рынок такое можно развернуть только на площадках нескольких операторов - Ростелеком, Orange и, может быть, у большой тройки мобильных операторов. Либо надо строить решение самостоятельно на базе различных IaaS-провайдеров, что будет непросто. Поэтому Gartner дает сдержанные прогнозы по применению SASE - в 2018-м году только 1% предприятий использовал подход SASE, а спустя 5 лет таких должно стать около 40% (это немного на фоне остальных прогнозов).


Однако если немного дистанцироваться от SASE, то почти все аналитики сходятся во мнении, что будущее сетевой безопасности - это облака, которые дают по сравнению с традиционной моделью сетевой ИБ много преимуществ:
  • снижение сложности и затрат
  • улучшение производительности и снижение задержек
  • прозрачность для пользователей
  • улучшенная безопасность
  • снижение операционных издержек
  • снижение зависимости от компетенций персонала
  • централизованное управление
  • возможности запуска новых цифровых сервисов.


Жаль, что в России это будущее пока туманно...

23.12.2019

Кибербезопасность "утопающих" дело рук самих "утопающих"

Как-то в Фейсбуке, устав от совершенно дурацкой рекламы, я задался целью настроить показ рекламы таким образом, чтобы получить хоть какую-то пользу. Но результат оказался нулевым -  это как борьба с ветряными мельницами. Зато мне стали показывать мошенническую рекламу, которая крутилась вокруг трех тем:
  • "платформа Дурова", которая помогает за день заработать столько, сколько за месяц,
  • Сбербанк, который платит деньги за прохождение опросов,
  • выплаты от государства "по закону".

Масштаб такого мошенничества в ФБ, конечно, поражает. За три недели под сотню показов и все совершенно разные, но эксплуатирующую вполне конкретную тему - мы поможем быстро заработать или получить много денег.

Самое неприятное, что в отличие от фишинговых сайтов и сайтов клонов, которые можно выявлять и блокировать, на ФБ это сделать сложно, - вы не знаете, что скрывается за мошенническим сообщением (и не можете внести их в черные списки, даже если у вас есть домашнее решение для защиты), а сам ФБ не борется с такими постами. Возможно, есть какие-то плагины для браузера для борьбы с этим?


Фейсбук, к сожалению, не особо реагирует на уведомления о мошеннической рекламе. То ли люлей (или людей) им не хватает, то ли они осознанно не удаляют скам, касающийся платформы Дурова, которая конкурирует с их Libra. Но пока все мои запросы к ним остаются без какой-либо реакции :-( И никто из регуляторов или правоохранительных органов этим тоже не занимается, оставляя обычных пользователей один на один с мошенниками.


Вторым неприятным "открытием" стал видеокамеры, а точнее продажа или предоставление доступа к этим камерам всем желающим. И ладно если бы они были на объектах КИИ - пусть этим ФСТЭК с ФСБ занимаются - рядовым гражданам напрямую ничего не грозит. Но открытых камер полно в квартирах, офисах, загородных домах, медицинских центрах, детских садах. И увидеть там можно совершенно разные вещи - от сексуальной жизни квартирантов или хозяев дома до медицинских процедур, от стриптиза до переодеваний, от ковыряний в носу до поведения интересующих людей.


Эти данные продаются или их можно найти самостоятельно с помощью специализированных поисковиков. Предлагаются даже специальные программы, которые сканируют Интернет и пытаются подбирать пароли к камерам. В данном случае, виноваты в этом сами пользователи, которые забывают поменять заданные на камерах по умолчанию пароли или ставят легко угадываемые пароли. Но можно ли винить их в этом? Лишь отчасти. А вот соцсети могли бы более пристально следить за этим, выявляя группы, каналы и чаты, в которых идет бойкая торговля (и недорого) доступа к камерам и архивам с них. А это прямое вторжение в личную жизнь, что подпадает под действие Уголовного Кодекса. Но с этим никто не борется и правоохранительные органы как-то несильно заморачиваются по этому поводу :-(


А самое неприятное, что не совсем понятно, как взрослые, а именно на 99% являются заинтересованной стороной, узнают, что им надо делать для повышения своей безопасности? Инструкции к купленным камерам на этом акцент не делают. Курсы? Так их нет (почти) и в любом случае еще надо подумать, чтобы на них пойти. Общая культура ИБ в стране? Так ее тоже  нет и регуляторам в целом наплевать на нее (попытка создать Основы госполитики в области формирования культуры в России провалилась).

Наконец, третья тема, которая показывает нежелание или неумение правоохранительных органов бороться с ней - телефонный терроризм. У меня старшего сына на прошлой неделе трижды эвакуировали из школы. Младшую дочь - один раз. И судя по комментариям в Фейсбуке, с этой проблемой сталкиваются многие родители. Да, Минкомсвязь и ЦБ вроде договорились о том, чтобы бороться с подменой CallerID для защиты от мошеннических звонков. Но что делать в случае с телефонным терроризмом? Кто будет защищать детей и их родителей? Вопрос риторический, но напрямую касающийся кибербезопасности.

Если сложить эти три кейса вместе, то получается, что огромный пласт пользователей у нас абсолютно не защищен от современных киберугроз, которых, в условиях цифровой трансформации, становится все больше. Бежать куда-то? Некуда. Заявление направить? Некому, да и результат предсказуем. Самому научиться? Где? Отказаться от Интернет и гаджетов? Уже невозможно. Тупик...

20.12.2019

Банк России разъясняет. СПФС, СТО, ФЗ-161 ии др.

Ответы Банка России на оставшиеся разные вопросы, поступившие от отрасли.

1. Осталась ли для кредитных организаций, не подключившихся к СПФС, обязанность раз в квартал проводить контроль технической защиты информации? Или данная обязанность осталась только для участников СПФС?

Ответ: Контроль (мониторинг) использования технических средств защиты информации закреплен п. 2.14.5 действующей редакции положения 382-П за службой информационной безопасности ОПДС и ОУПИ. В отношении СПФС порядок оказания услуг регламентируется Указанием Банка России от 20.09.2019 № 5263-У, а остальные требования защиты определяются Договором на оказание услуг.

2. Необходимо ли в данный момент выполнять требования СТО Банка России? Если нет, то какова процедура отсоединения от данного стандарта? Необходимо ли уведомлять об отсоединении Банк России? Если да, то необходимо ли и дальше присылать результаты оценки соответствия наряду с отчетностью по 382-П и 57580.2?

Ответ: Требования стандартов Банка России носят рекомендательный характер. В связи с принятием Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» требования, установленные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (далее - ГОСТ Р 57580.1-2017), являются обязательными.

3. Что понимается под «незамедлительным уведомлением при списании средств» согласно 161-ФЗ и 5039-У? В СТО 1.5, а также в 4926-У говорится о том, что в случае владения незначимыми объектами КИИ уведомление осуществляется в течение 24 часов. Не будет ли направление уведомления в течение 24-х часов рассматриваться как нарушение требования незамедлительности?

Ответ: На основании части 11.1 статьи 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – Федеральный закон № 161-ФЗ) при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств (далее - уведомление о приостановлении) по форме и в порядке, которые установлены нормативным актом Банка России.

Согласно пункту 1 Указания № 5039-У оператор по переводу денежных средств, обслуживающий плательщика, при получении от клиента - юридического лица уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя, уведомление о приостановлении в виде электронного сообщения, позволяющего воспроизвести его на бумажном носителе.

В соответствии с пунктом 1.4 Указания № 4926-У оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", должны направить в Банк России первичное уведомление в течение трех часов с момента наступления событий, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, и в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У.

Иные операторы по переводу денежных средств, обслуживающие плательщика, операторы услуг платежной инфраструктуры должны направить в Банк России информацию о переводах без согласия клиента по форме первичного уведомления:
  • в случаях, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, - в течение 24 часов с момента наступления событий, указанных в пункте 1.3 Указания № 4926-У;
  • в случаях, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У, - в течение одного рабочего дня, следующего за днем наступления событий, указанных в пункте 1.3 Указания № 4926-У.

Таким образом, в указанных нормах Федерального закона № 161-ФЗ, Указании № 5039-У указано требование о незамедлительном направлении операторами по переводу денежных средств друг другу уведомлений о приостановлении. Сроки, содержащиеся в Указании № 4926-У, относятся к направлению в Банк России уведомлений о случаях и попытках осуществления переводов денежных средств без согласия клиента. Следовательно, указанные сроки не могут рассматриваться в качестве тождественных.

Между тем полагаем, что незамедлительное направление уведомлений о приостановлении означает направление без промедления, при первой возможности. Допустимость направления уведомлений о приостановлении в течение 24 часов будет рассматриваться в каждом конкретном случае, принимая во внимание обстоятельства, характеризующие возможность направления оператором по переводу денежных средств указанных уведомлений.

4. Согласно 161-ФЗ «оператор по переводу денежных средств, обслуживающий плательщика, должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя» в случае несанкционированного списания средств. Согласно 5039-У для такого уведомления должна использоваться техническая инфраструктура Банка России, то есть ФинЦЕРТ. Получается, что мы направляем уведомление не оператору, обслуживающему получателя, а Банку России. Не нарушаем ли мы тем самым законодательство?

Ответ: На основании части 11.1 статьи 9 Федерального закона № 161-ФЗ при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении по форме и в порядке, которые установлены нормативным актом Банка России.

Согласно пункту 3 Указания № 5029-У оператор плательщика, оператор получателя (далее при совместном упоминании - операторы) должны направлять уведомление о приостановлении, уведомление о невозможности приостановления (далее при совместном упоминании - уведомления) с использованием технической инфраструктуры (автоматизированной системы) Банка России, указанной в пункте 1.2 Указания № 4926-У.

Таким образом, уведомления направляются операторами друг другу, техническая инфраструктура (АСОИ ФинЦЕРТ) является каналом взаимодействия.

5. Планируются ли к разработке и, если да, то когда, нормативные акты Банка России, регулирующие вопросы защиты информации в проектах по цифровому профилю, Мастерчейне и финансовом маркетплейсе?

Ответ: Банк России участвует в рассмотрении проектов федеральных законов в сфере инновационных финансовых технологий (например, проект федерального закона № 419059-7 «О цифровых финансовых активах», проект федерального закона № 617867-7 «О совершении сделок с использованием электронной платформы»).

Так, Банком России инициированы изменения в указанные проекты федеральных законов в части требований к защите информации, относящихся к новым видам деятельности некредитных финансовых организаций.

Проект федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (законопроект о «цифровом профиле») содержит вопросы, относящиеся к компетенции уполномоченных органов государственной власти, устанавливающих требования к защите информации в отношении государственных информационных систем.

19.12.2019

Банк России разъясняет. 684-П

Ответы Банка России на вопросы по 684-П, поступившие от отрасли.

1. При выполнении банковских операций в кредитной организации должно применяться 683-П. Какое положение должно применяться в кредитных организациях, в отношении депозитарной деятельности и деятельности профессионального участника рынка ценных бумаг? 684-П? Или оно действует только на некредитные или небанковские кредитные организации?

Ответ: В соответствии со статьей 6 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» кредитная организация имеет право осуществлять профессиональную деятельность на рынке ценных бумаг в соответствии с федеральными законами.

Согласно статьи 39 Федерального закона от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг» кредитные организации осуществляют профессиональную деятельность на рынке ценных бумаг в порядке, установленном указанным федеральным законом и иными федеральными законами, а также принятыми в соответствии с ними нормативными правовыми актами Российской Федерации для профессиональных участников рынка ценных бумаг.

На основании пункта 1 части 7 статьи 44 Федерального закона от 29.11.2001 № 156-ФЗ «Об инвестиционных фондах» деятельность специализированного депозитария может совмещаться с деятельностью кредитной организации.

В связи с изложенным, кредитные организации, осуществляющие банковскую деятельность, вправе совмещать свою деятельность с профессиональной деятельностью на рынке ценных бумаг, а также с деятельностью специализированного депозитария.

Таким образом, кредитная организация, осуществляющая деятельность профессионального участника рынка ценных бумаг, а также деятельность специализированного депозитария, должна применять:

  • при осуществлении банковской деятельности - Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П);
  • при осуществлении профессиональной деятельности на рынке ценных бумаг и деятельности специализированного депозитария - Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение № 684-П). 

Обращаем внимание, что при использовании одних и тех же объектов информационной инфраструктуры для осуществления указанных видов деятельности полагаем необходимым применять требования Положения № 683-П.

2. Распространяется ли 684-П на ломбарды и микрофинансовые организации? Если да, то какой уровень защиты по ГОСТ 57580.1 должен быть для них выбран? Минимальный? 

Ответ: Ломбарды, микрофинансовые организации не указаны в Положении № 684-П в качестве организаций, реализующих усиленный или стандартный уровни защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 № 822-ст «Об утверждении национального стандарта» (далее – ГОСТ Р 57580.1-2017).

Вместе с тем не указанные в пунктах 5.2, 5.3 Положения № 684-П организации самостоятельно определяют необходимость реализации усиленного, стандартного или минимального уровня защиты информации с учетом технической возможности и экономической целесообразности (риск-аппетита) финансовой организации.

Таким образом, ломбарды, микрофинансовые организации вправе самостоятельно определять реализацию уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017; обязанность реализации уровней защиты информации в соответствии с ГОСТ Р 57580.1-2017 в отношении ломбардов, микрофинансовых организаций Положением № 684-П не установлена.

Осталась последняя порция разъяснений, которые касаются разных аспектов ИБ в финансовых организациях (СПФС, СТО, ФЗ-161 и т.п.).