12.10.2018

Интересное исследование по SOCам

Продолжу вчерашнюю тему про SOC. Тем более, что близится как SOC Forum, так и Cisco Security Operations Virtual Summit (последнее мероприятие пройдет онлайн 12-го ноября и будет бесплатным) и я готовлюсь к обоим событиям по теме мониторинга ИБ. Наткнулся на интересное исследование 148 специалистов, работающих в SOC; преимущественно американских, но также и в европейских. В данном отчете анализировались внутренние процессы, реализуемые в SOC, и делались прогнозы и выводы на будущее.

2 года назад я уже приводил распределение времени на выполнение различных задач у аналитиков SOC. В рассматриваемом исследовании распределение схожее. Нет какой-то явной активности - время распределяется равномерно между десятком задач, стоящих перед специалистами SOC. Если у вас есть SOC и у вас не так, то стоит задуматься, почему у вас перекос. Нельзя считать данное распределение эталоном, но все-таки данные от 100 SOCов могут рассматриваться в качестве некой точки отсчета.

Вовлеченность и удовольствие от работы... Как редко этот вопрос интересует руководство в отношении своих сотрудников. Платят зарплату? Что еще надо?! Однако в условиях нехватки персонала и активного хантинга специалистов, одна только зарплата не дает гарантий на то, что сотрудник останется лояльным своей компании и не свалит при первом же интересном предложении. Тоже самое происходит и в SOCах. Есть ряд работ, которые интересны и аналитики с удовольствием ими занимаются (левый верхний сегмент). А есть и рутинные, скучные работы, которые снижают удовлетворенность от работы (правый нижний). Понимание этой картины позволяет понять, чему уделить внимание и в каких активностях стоит добавить творческой составляющей, чтобы сделать их более интересными для "соководов" (или автоматизировать их).


Частая дилемма, стоящая перед руководством SOC или всей ИБ, - схантить специалистов на рынке или обучить своих? Что даст больший эффект? Как найти баланс между затрачиваемыми ресурсами и получаемой от SOC пользой? Согласно исследованию, обучение собственных сотрудников и выстраивание правильных коммуникаций внутри (включая накопление и обмен знаниями) гораздо выгоднее, чем пытаться скупить на рынке всех мало-мальских известных аналитиков по ИБ. Во-первых такого количества специалистов нет. А во-вторых, даже у самых именитых компаний (а мы все знаем о ком идет речь) не хватит денег, чтобы оплачивать растущие аппетиты аналитиков.


То есть надо выстраивать программу повышения квалификации своих специалистов. И тут впору вспомнить вчерашнюю презентацию про то, как построить SOC. Я там привожу упрощенную пирамиду навыков и примерную стоимость обучения специалистов SOC разного уровня. За основу брал стоимость ряда курсов SANS - потому что в России многим вещам просто не учат. Возможно где-то есть и менее дорогие курсы - я не искал, ориентируясь на самый известный институт в мире. Но, возможно, Академия кибербезопасности Сбербанка или позавчера анонсированная Group-IB Cyber School смогут закрыть этот пробел. На самом деле карта обучения и повышения квалификации - это неотъемлемая часть любого проекта по SOCу (по крайней мере мы ее всегда делаем для заказчиков). Без нее куча затраченных на инструментарий денег превращается в пустышку. Не хочется вспоминать аналогию про обезьяну с гранатой, но она напрашивается. По ту сторону баррикад арсенал и TTP меняются постоянно, а, следовательно, и по эту знания должны обновляться также постоянно.


Ну и последний интересный аспект исследования описывает возможности по автоматизации отдельных активностей в SOC. Как показывает опрос почти сотни SOCов, хорошо автоматизируются сегодня только рутинные операции, которые навивают максимальную скуку у аналитиков. В остальных случаях (расследование, хантинг и т.п.) интуиция играет бОльшую роль, чем инструментарий.


Вот такая интересная статистика. Нельзя сказать, чтобы это все было откровением, но подтверждение некоторых роящихся в голове мыслей я получил.

11.10.2018

Как создать свой SOC? (презентация)

Вчера я выступал на CyberCrimeCon, - конференции, организованной Group-IB. Мероприятие получилось отличным и свежим. В отличие от привычных конференций, где из раза в раз переливается из пустого в порожнее тема законодательства, импортозамещения, цифровой экономики и т.п. Тут же было все очень живенько, так как злоумышленники не стоят на месте и каждый раз преподносят что-то новое в своей деятельности. Учитывая же профиль Group-IB, у них всегда интересный контент (у нас такая ). Да и докладчики незаезженные на российских мероприятиях, что тоже привлекает аудиторию.

Мне довелось выступать с темой "Как создать свой SOC?", которая с одной стороны, после трех SOC Forum, уже вроде и заезжена, а с другой, обычно не освещает ряд вопросов, касающихся численных значений, связанных с центрами мониторинга, - стоимость технологического стека, стоимость персонала, стоимость обучения персонала, численность персонала и т.д. Вот это и я попробовал вместить в 30 минут. Ну и помимо этого, добавил несколько важных моментов из нашего опыта строительства нескольких десятков SOCов по всему миру. Рассказал не все, что хотел, но все-таки задачу свою выполнил. Более полный вариант презентации (на полторы сотни слайдов) планирую рассказать на одном из наших мероприятий по SOC, которое мы будем проводить до конца этого года.



ЗЫ. А еще на CyberCrimeCon раздавали классную сувенирку - экранирующие чехлы для смартфонов и банковских карт.

10.10.2018

Говорите на бизнес-языке?.. А что это?

И у меня в блоге, да и вообще, часто используется фраза "говорите на языке бизнеса", которую вроде все понимают, но не все и не всегда и не так :-) Собственно, когда я сам себе попробовал ответить на этот вопрос, то я сначала спасовал. А потом я вспомнил как учил иностранный язык, когда, среди прочего, помимо правил грамматики, я заучивал распространенные слова, которые должны позволить поддерживать беседу с иностранцами. Собственно в случае с изучением бизнес-языка, помимо умения правильно использовать нужные слова (в нужное время и в нужном месте), нужно знать, как минимум, сами слова. В итоге составил список бизнес-терминов, которые неплохо понимать любому безопаснику, который хочет, чтобы его понимал бизнес.



На полноту не претендую. К тому же я планирую его дополнять; а если хватит времени, то еще и добавлю толкование этих терминов применительно к кибербезопасности. Большая часть терминов есть в Википедии и там они достаточно неплохо описаны. Помимо указанных, общих для всех бизнесов, терминов, есть еще и сугубо отраслевая специфика, список терминов которой каждый должен составить уже себе сам.

Ну и если уж начали говорить про бизнес-язык, то могу посоветовать еще и книжку "Сам себе MBA", которая является неплохим руководством для тех, кто хочет понимать основы бизнеса, но не может потратить 2 года на программу MBA.


09.10.2018

А вы можете назвать все вектора атак на свою организацию?

Давал я тут в рамках одних киберучений простое упражнение для участников из одной организации. Надо было за 20 минут набросать возможные вектора атак на свою организацию. Задание оказалось занятным. Одно дело считать, что знаешь все способы проникновения внутрь своей сети, и другое дело - попробовать их реально перечислить на бумаге. Кстати, вы знаете, почему так важно для детей младших классов заниматься прописями, а для старших - черчением? Эти занятия, при всей кажущейся бестолковости и ненужности, влияют на особые мозговые доли, которые раскрывают определенные навыки, например, пространственное мышление, языковые способности, внимание, память, оттачивается мелкая моторика рук. В любом случае, когда что-то записываешь своими руками, мозг работает совсем по-другому, чем когда думаешь о той же проблеме или проговариваешь ее. Вот поэтому во время мозговых штурмов или вот таких киберучений так важно записывать все, что приходит в голову или озвучивается членами команды (при командной игре).

В итоге достаточно легкого на первый взгляд задания большинство участников составило следущий перечень векторов атак:
  • E-mail
  • Web
  • USB
  • Личные устройства (например, руководства)
  • Подрядчики
  • Общие ресурсы (shared resources)
  • Корпоративные мобильные устройства.


После окончания этого задания мы стали обсуждать полученные ответы и в процессе дискуссии удалось набрать еще в два раза больше векторов, о которых все знали, но в голову сразу они не пришли. Можно предположить, что и в реальной жизни какие-то из этих векторов/каналов оказались тоже бесконтрольны :-( Итак, что же мы еще нашли в процессе киберучений? Список такой:
  • Site-to-Site VPN (то есть проникновение из удаленных филиалов и допофисов по доверенному каналу)
  • Remote Access VPN (то есть проникновение от домашних и мобильных работников, которые могли что-то подцепить за пределами компании)
  • Wi-Fi
  • Warez (сайты с пиратским ПО, откуда нередко скачиваются обновления, если заканчивается договор с производителем)
  • Waterhole (заражение сайта производителя ПО, как доверенного источника, и получение вредоноса с него)
  • DevOps (сопряжение тестовой сети и рабочей)
  • Инкапсуляция (проникновение через разрешенный на МСЭ протокол). Вроде бы и E-mail с Web сюда же ложатся, - ведь внутри них может быть все, что угодно. Но это ловушка сознания - с Web и E-mail мы постоянно имеем дело, а вот про другие протоколы, в которые можно что-то инкапсулировать, забываем.
  • DNS (частный случай предыдущего варианта), но учитывая как часто его использует вредоносное ПО, стоило выделить отдельно.
  • Внедренный на этапе поставки вредоносный код в ПО или "железо". О, это замечательный вектор, о котором вообще мало кто думает и о котором я уже писал.
  • Уязвимости на портале, через которые проникает злоумышленник внутрь (как в кейсе с Equifax)
  • Шифрованный клиент-сервер (представьте, что клиент, за пределами периметра, отправил вам зараженный файл через шифрованный канал, предоставленный клиент-серверным приложением типа ДБО или госуслуг).
Вот такое упражнение, которое можно провести в любом месте и в любое время. И никакого фасилитатора не надо - достаточно просто собрать отдел по ИБ и ИТ вместе и дать им такое задание. А потом просто все записывать на листок бумаги или флипчарт. Кстати, интересное наблюдение. Во время учений, которые я проводил, почти никто из безопасников не использует флипчарт (если он есть на площадке) - нет привычки.

08.10.2018

Возрастающая роль OSINT

На прошлой неделе голландская разведка "раскрыла" миру очередные проделки "русских хакеров", которые пытались через Wi-Fi взломать Организацию по запрещению химического оружия (ОЗХО). А до этого в течение полугода мы наблюдаем за историей с разоблачением "сотрудников ГРУ", которые поехали смотреть шпили Солсберийского собора. А до этого было расследование крушения малазийского Боинга. Все эти истории объединяет одно - возросшая роль OSINT (Open Source Intelligence), позволяющей по открытым источникам собирать информацию и делать выводы в пользу той или иной версии.

Например, вот три слайда из презентации разведки Нидерландов, которые должны доказать связь пойманных и выдворенных россиян с ГРУ. Первый слайд показывает место активации мобильного телефона, изъятого у подозреваемых (определеяется по базовой станции). На втором слайде показано местоположение ближайшей к общежитию ГРУ базовой станции и оно совпадает с местом активации мобильника. На еще одном из слайдов презентации был показан чек на такси, на котором подозреваемые добирались до Шереметьево в начале своей поездки в Голландию. А третий слайд на картинке показывает применение Google Maps для идентификации места, куда было вызвано такси. Оно оказывается находится аккурат там, где проживают сотрудники ГРУ и выход из общежития ГРУ находится как раз на том переулке, куда было вызвано такси.


А вот еще пример. По фотографии из СМИ на исследовательском судне "Янтарь" обнаружены какие-то установки для проведения спецопераций.


Или вот. Более сложный пример. Использование спутниковых снимков (это уже частная разведка) для получения разведывательной информации. Потом эта информация, выложенная в Интернет, уже может быть использована и в OSINT. На первом скриншоте показан Twitter сообщества, которое отслеживает перемещения американских военных судов и субмарин. На втором - фотографии российских учений "Восток 2018".



Очень интересным оказалось расследование Bellingcat и The Insider двух фитнес-бизнесменов Петрова и Боширова, которых называют сотрудниками ГРУ. Очень яркий пример того, как можно использовать открытые источники (вплоть до фотографий с сайтов военных ВУЗов, где на досках почета оказываются лица, "похожие на") для сбора разведывательной информации. Вообще таких источников много. Например, недавно была выпущена вот такая карта инструментов для OSINT, одним из авторов которой является как раз Bellingcat.


Я не планировал писать большую заметку про OSINT. Сначала вообще хотел ограничиться репликой в Facebook и все. Но так сложилось, что на выходных я посмотрел фильм "Поиск" ("Searching"), который, случайно, оказался посвящен ровно той же теме - использованию открытых источников для проведения расследования. По сюжету отец разыскивает свою дочь и для этого он использует различные Интернет-ресурсы - от Google Maps до соцсетей.


После фильма мне и захотелось написать чуть больше про OSINT, который может и должен применяться и в деятельности служб ИБ.

04.10.2018

Сказка про трех хакерят

Жили-были в России три поросенка хакера. Три друга. Все одинаковые - молодые, активные, розовощекие. Даже имена у них были похожи - исконно русские, - Емеля, Ерема и Евлампий. Все свое отрочество они дурачились в банковских сетях, куролесили в Интернет, пользовались украденными у рядовых граждан деньгами, бахвались размерами своего стека, мерялись числом имеющихся у них "зеродеев", мнили себя мировыми звездами, ездили на всякие европейские тусовки - себя показать, да и других почморить. Но вот наступила ненастная пора.

Усилился интерес к трем хакерам с разных сторон. И правоохранительные органы стали обращать внимание на их доходы, полученные незаконным путем. И спецслужбы стали пристально следить за их деятельностью. И на заграничных конференциях незнакомые люди в штатском, но с военной выправкой, стали подходить к ним и вести с ними душещипательные беседы.

- Пора нам подумать о будущем, - сказал как-то Евлампий своим друзьям, сидючи после беcсонной ночи за банкой "Adrenalin Rush". - Неровен час загремим мы в места не столь отдаленные и будем валить лес мачтовый на благо своей Родины. Может пора завязывать?

Но друзьям его не хотелось думать о плохом. Они как и прежде хотели ездить по заграницам, иметь прокаченные тачки, покупать навороченную технику, обладать симпатичными чиками.

- Успеется, - говорили они. - Слабы наши "кашники" поймать нас. И фсбшники слабы. Они пока десять бумажек напишут, да согласуют, мы уже давно все следы подотрем и будем и дальше радоваться жизни.
- Когда нужно будет, я выйду из дела и никто ничего не докажет, - говорил Ерема.
- И я, - вторил ему Емеля.
- Лучше поедем на Black Hat европейский и опять надерем задницу этим америкосам и бритым бритам. Пусть знают наших, - зазывали Евлампия его товарищи по ту сторону баррикад.
- Ну как хотите. Тогда я сам пойду и сдамся, чтобы потом не жалеть, - сказал Евлампий. Не буду ждать, когда вы одумаетесь. Как бы поздно не было.

С каждым днем ситуация накалялась все больше и больше. Но Емеля и Ерема не торопились. Им и думать не хотелось о прекращении своих темных делишек. Они хакерили от рассвета до заката и сот заката до рассвета.

Ближе к осени ситуация стала развиваться стремительно. Емеля был приглашен в США на августовкий Black Hat, где и был задержан сотрудниками американской Фемиды. И долго Емеля бил он себя пяткой в грудь доказывая, что он белый и пушистый. Но объяснили ему агенты USSS и ФБР, что срок давности по таким делам большой и ответить всем равно придется. И грозил Емеле тюремный срок. И даже красивая оранжевая роба американского заключенного не радовала привыкшего к хорошему хакера. И сел этот мегаизвестный в узких кругах хакер-безопасник на много-много лет, жалея, что поехал в эту Америку себя показать вместо спокойного отдыха на Баренцевом море. А через год согласился он сотрудничать; и сдал он всех своих знакомых и незнакомых. И умер он внезапно от передозировки.

А Ерема никуда не поехал. Взяли его сотрудники ЦИБа во время отдыха на курортах Краснодарского края и мягкими уговорами заставили сотрудничать на благо национальной безопасности. И выдали Ереме форму; не такую красивую как у Емели, и непривычно жмущую в плечах. Да и одевать ее особо не доводилось. И радовало Ерему только одно - он по-прежнему числился в списке самых разыскиваемых ФБР киберпреступников. А через год Ерема сорвался с обрыва на горном серпантине, не вписавшись в крутой поворот.

А Евлампию не повезло еще раньше. В него ударила молния!


ЗЫ. Это старая заметка, которая с 2012-го года пылилась в черновиках блога. Решил "чего добру пропадать" и опубликовал, немного подредактировав.

03.10.2018

С гендиректором в лифте один на один

- Подождите, подождите, подержите лифт, пожалуйста...
- Спасибо. Ой, Степан Петрович.
- Привет, Сергей! Что-то рано ты сегодня?!..
- Да вот, запускаем с утра программу повышения осведомленности сотрудников. Хотел все проверить еще раз.
- Это хорошо. Тебе ведь пятый? А скажи-ка мне.
- Да, Степан Петрович...
- Мы защищены?
- ... (Вот ведь блин. Скажешь "да", сразу напомнит про историю с SOCом, который ничего не видит. Скажешь "нет", это скажется на мне и повлияет на бюджет управления. Что же делать, что делать? Ой, к моему этажу уже подходит..)

Описанный выше диалог отражает вполне реальную ситуацию, с которой может столкнуться любой руководитель ИБ, который регулярно пересекается с топ-менеджментом своей компании и слышит примерно одни и те же вопросы. И ответы на них надо дать короткие, но емкие. И желательно без жаргонизмов. По моему опыту могу сказать, что это проблема. Безопасник знает много и хочет свое знание выплеснуть все и сразу, не боясь в них утопить своих визави. А топов все эти детали не нужны - они оперируют другим языком. Да и тем, помимо ИБ, у них тоже немало. Поэтому в отличие от общения с коллегами-безопасниками, к разговору с руководством надо готовиться заранее.

Я бы выделил пять типичных вопросов, которые вам могут быть заданы генеральным директоров, правлением или иными большими начальниками:

  1. Мы защищены?
  2. Как мы узнаем, что нас взломали?
  3. Как мы соотносимся с конкурентами?
  4. Мы тратим достаточно на обеспечение нашей безопасности?
  5. Насколько эффективно мы инвестируем в безопасность?


Ответ на первый вопрос зависит от контекста и предыстории. Были ли у вас недавно инциденты? Что уже генеральный директор знает про ИБ? Главное заранее донести до руководства мысль, что ИБ - это не состояние, а процесс (это как получение прибыли :-), у которого бывают взлеты и падения. Но про это мы еще поговорим отдельно.

Второй вопрос на самом деле просто отличный. Он означает, что руководство понимает, что 100% безопасности не бывает и у вас тоже могут быть проколы. Но оно же хочет знать, насколько вы готовы к нештатным ситуациям и, самое главное, каков ущерб может быть нанесен компании в случае инцидента. У вас классная команда (я надеюсь) и вы можете оперативно реагировать на угрозы. Покажите это (но кратко) руководству. Упомяните про наличие готовых планов, проведенных киберучений, вложенные в правильный инструментарий инвестиции, наличие опыта борьбы с инцидентами в прошлом, наличие контактов с внешними ИБ-компаниями и т.п.

Третий вопрос, при всей своей "дурацкости", очень важен именно для топ-менеджмента, так как они любят оценивать каждый вложенный рубль в сравнении с другими компаниями в том же сегмента рынка. В России не очень развит security benchmarking и поэтому ответить на этот вопрос будет непросто. Тем более, что сумма расходов на ИБ ничего не говорит о качестве вашей системы защиты. Но интерес руководства есть интерес и к нему надо быть готовым. Поэтому так важен так называемый networking, общение с коллегами по цеху на различных мероприятиях, особенно в неформальной обстановке. Если не получится узнать бюджеты коллег (а многие их завышают для придания себе значимости), то можно попробовать "меряться" уровнями зрелости. Но тут тоже есть засада - свою зрелость считают не все, а если считают, то завышают, не имея внешней, независимой оценки. Да и что считать точки отсчета для измерения зрелости? ISO 27001? ГОСТ 57580.1/2? NIST CSF? О том как измеряет себя служба ИБ Cisco я надеюсь написать на этой неделе.

Четвертый вопрос такой же "дурацкий", но такой же важный, что и предыдущий. С одной стороны ответить на вопрос "Сколько денег на ИБ надо тратить?" однозначно невозможно. А с другой никто и не ждет такого ответа. Замените "ИБ" на "маркетинг", "развитие", "кадры" и вы поймете, что схожий вопрос будет задаваться любой бизнес-единице вашей компании. А следовательно можно попробовать поговорить с коллегами и получить ответ на этот сакраментальный вопрос. Но могу заранее сказать, что бизнес интересует, куда вы уже потратили выделенные ранее деньги и насколько эти траты связаны с бизнес-целями. Готовясь к ответу на этот вопрос, стоит подготовить и запрос и на новые инвестиции с указанием, куда они будут потрачены с точки зрения бизнеса.

Финальный вопрос является квинтесенцией всех предыдущих. В ответе на него вы должны описать все свои проекты и инициативы, указать их связь с бизнес-целями. Также необходимо показать позитивную динамику в реализации ваших задач и проблемные места, которые надо улучшать. Ну и не обойтись без ваших планов, которые должны показать, что вы четко понимаете, куда движется бизнес.

А причем тут лифт? А это из области менеджмента. Есть такое упражнение, которое заключается в том, что вы должны себе представить, как будто вы попали со своим руководителем в лифт и у вас есть всего 1 минута, чтобы донести до него свои нужды и чаяния. Поэтому вам нужно уметь говорить быстро, четко и по делу. А для этого надо знать примерные вопросы, которые вам могут задать.

02.10.2018

ИБ и зона комфорта

Читал я тут книжку про тренинги, как их проводить, как вовлекать людей и заставлять их менять свое поведение. И подумал я, что большинство тренингов (если это не обучение продуктам, хотя и оно тоже) сродни тому, что происходит с информационной безопасностью, которую многие готовы воспринимать, но не следовать ее советам и рекомендациям.

Почему ИБ обычно плохо воспринимается в организациях? Собственно и сами безопасники не очень горят желанием что-то менять в своей размеренной жизни между борьбой с мифическими угрозами и требованиями compliance. Все прозаично. ИБ мешает и выводит человека из зоны комфорта. Для сторонних от ИБ людей она заставляет делать то, что люди не привыкли, - думать прежде чем что-то сделать. Думать, прежде чем кликнуть по ссылке. Думать, прежде чем открыть аттач. Думать, прежде чем зайти на сайт. Думать, прежде чем устанавливать мобильное приложений. Думать... Для классических безопасников сегодня тоже наступают непривычные времена - необходимо выходить из зоны комфорта и начинать думать с позиций бизнеса, чему мало где учат (вообще нигде, если честно).

И в этом тоже, кстати, проблема. Одно дело пойти на какой-нибудь курс и в течение двух-пяти дней получить знания и отработать навыки их использования применительно к своему бизнесу. И совсем другое дело без отрыва от производства по крупицам выуживать знания и пытаться без ментора применить их в реальном бизнесе.

И тут встает вопрос - зачем мне выходить из зоны комфорта? Рядовой пользователь и руководитель ИБ находятся в одинаковой ситуации. Первый должен понимать, зачем ему следовать практикам ИБ (до того момента, когда она прочно укоренится в мозгу). Это либо кнут, либо пряник. Кнутом могут быть наказания - выговоры, лишения премий, увольнения, вывешивания на корпоративную виртуальную доску позора и т.п. Пряником может стать премия, похвала руководителя, получение новых "разрядов" и статусов в компании, виртуальная доска почета и т.п. А можно попробовать объяснить это интересами самого пользователя, который подспудно, но все-таки хочет чувствовать себя в информационной безопасности от различных киберугроз (тут впору вспомнить пирамиду Маслоу, но эта теория подвергается сомнению, да и сам автор не был в ней до конца уверен) - потери личных файлов, вторжения в личную жизнь и т.п.

У безопасника тоже есть свои кнут и пряник для выхода из зоны комфорта. Но насколько они желанны (или опасны), чтобы выходить из нее? Ведь по сути и рядового пользователя никто не наказывает (и не награждает) за соблюдение или несоблюдение правил ИБ. Поэтому их никто и не соблюдает. У безопасника тоже самое - его не наказывают за инциденты (ну кроме, разве, что пожурят) и особо не награждают за выполнение должностных обязанностей. Так и зачем напрягаться? 


Тут поможет только внутренняя мотивация. Как и во многих других сферах жизни, в которых мы хотим улучшения, - бросить курить, похудеть, начать бегать, выучить иностранный язык и т.п. А без нее все эти разговоры о самосовершенствовании ни к чему не приведут. Поэтому и бесплатные мероприятия по ИБ посещают не ради контента (даже если он хороший), а ради обеда или возможности пообщаться с коллегами. Бесплатный контент не мотивирует ни к чему. Оплаченное работой участие тоже не мотивирует, если нет самомотивации.

Выводов не будет :-)

ЗЫ. Импортозамещение буксует ровно по той же причине - у потребителей нет явных бенефитов от перехода от привычного к новому. На патриотизме долго не продержишься, хотя и его в импортозамещении немного.

28.09.2018

SOC бесполезен, если он не может увязывать технические и бизнес-показатели

...дзынь-дзынь-дзынь
- (Блин, ну кого еще в субботу в такую рань принесло? Почему я забыл включить "Не беспокоить" на телефоне?..)
- Да!
- Привет, Сергей! Это Иванов.
- Доброе утро, Степан Петрович! Что-то случилось?
- Да, случилось, Сергей! Вчера поздно закончился совет директоров. Мы стали получать меньше денег! Явно негативная динамика за последнюю неделю.
- Это плохо. А причем тут я? Я же отвечаю за кибербезопасность!
- У нас не работают системы!
- А причем тут я-то? Это надо обсуждать с департаментом продаж или, на крайний случай, с айтишниками. Зачем ты звонишь мне?
- Нет, ты не понял. У нас не работают системы и это из-за тебя; то есть твоих бойцов!
- Не может такого быть. Но давай я проверю и перезвоню через 15 минут!

...прошло 15 минут

- Степан Петрович, это Сергей! Я дернул дежурную смена нашего SOCа - у них все зеленое. Все индикаторы в норме и так уже недели две. Это не может быть из-за нас.
- Хорошо, Сергей. Давай в понедельник часиков в 7 приходи - будем разбираться!..
- Хорошо, Степан Петрович! Буду в 7 утра в понедельник. Хороших выходных.
...ту-ту-ту-ту...

Руководитель службы ИБ пытался долго заснуть, но не мог. В итоге он сорвался на работу, чтобы разобраться в ситуации и к утру понедельника иметь всю информацию для общения с генеральным директором. Проверки всех ключевых показателей ничего не дали - доступность торговой Интернет-площадки была в пределах допустимого - 99,9%. Число мошеннических транзакций нулевое. Угроз e-mail тоже было немного - 0,02% и все были отбиты на шлюзе. IPS, NGFW, анализ Netflow, контроль доступа... Все в зеленых зонах. Что же случилось?..

- (А может это Миша, наш дорогой CIO, решил поквитаться за прошлый раз, когда я обвинил его в том, что вся сеть легла из-за него, а не из-за накрывшей нас эпидемии вредоноса? А может  это Васильна взхъелась из-за того, что мы ей перекрыли доступа на сайт знакомств? Ну а фигли, хоть и финдир, а надо соблюдать политики. С чего они вообще решили, что это мы виноваты и почему SOC за сотни миллионов рублей ничего не видит?)

...прошло два дня...

В понедельник к обеду выяснилось следующее:

  • За 10 минут недоступности торговой Интернет-площадки из-за DDoS-атаки отвалилась ключевая сделка, которая должна была принести компании 27% ее недельного дохода.
  • Система защиты e-mail посчитала за спам рассылки маркетингового департамента и клиенты перестали получать предложения с последующим снижением покупательской реакции. 12 тысяч сообщений "выброшено в пропасть" - покупательская активность снизилась.
  • Антифрод не увидел ни одной мошеннической транзакции. Да и откуда? Стоящий на периметре WAF отсек 3% клиентов, даже не дав им разместить заказ.
  • Последней каплей стало внедрение скрипта, который высвечивал перед каждым посетителем сайта уведомление с прокруткой о необходимости получения согласия на обработку персональных данных в соответствие с ФЗ-152 и GDPR, с полным разъяснением всех последствий от осознанного принятия клиентом всех условий предоставления ПДн компании. Анализ показал, что время, за которое клиент теперь стал доходить до процесса заказа увеличилось на 47 секунд, что привело к оттоку еще 11% покупателей.
И да, SOC этого ничего не показывал, так как был ориентирован на сбор, анализ и корреляцию событий безопасности, а не событий от бизнес-систем.

Чтобы вложения в SOC были действительно полезны, необходимо уметь объединять привычные нам данные от средств ИБ с метриками, которые важны для бизнеса и уметь их связывать между собой. 10-тиминутная недоступность сайта в течение недели вполне укладывается в установленные ИБ границы, но совершенно не устраивает бизнес. Тоже самое с блокированием внутренних маркетинговых рассылок. Отсекли спам и хорошо. А то, что этот "спам" зарабатывает деньги никто не подумал.

Это то, о чем и я уже не раз писал, и на конференциях говорилось не раз. Безопасность должна понимать бизнес. А он не оперирует метриками ИБ - ему важны доходы, затраты, прибыль, маржа, эффективность. И все это измеримо, но метрики будут совсем другими - количество регистраций, количество заказов, количество транзакций, процент возвратов или отказов, количество кликов на рекламе или ссылок из маркетинговых рассылок, длительность нахождения на сайте, скорость сделки. Если ИБ ухудшает эти показатели или не может коррелировать с ними свои данные, то это плохо. Такая безопасность будет в лучшем случае бесполезной, а в худшем - только мешать развитию бизнеса.

27.09.2018

Оценка соответствия средств защиты информации (презентация и видео)

Как и обещал, мы провели вебинар, посвященный вопросам оценки соответствия средств защиты информации по требованиям регуляторов (с упором на требования ФСТЭК). В рамках мероприятия попробовали оценить не только текущее состояние рынка сертифицированных решений, но и спрогнозировать тенденции (они не очень позитивные с точки зрения потребителей) в этой сфере. Также поговорили о том, чем можно заменить сертификацию, не нарушая законодательства. За час с небольшим удалось пройтись почти по всем заявленным темам. Презентацию выкладываю:



Не обошлось и без описания планов Cisco в области сертификации, но тут уж ничего не поделаешь :-) Помимо презентации выложили и видеозапись мероприятия. На первых минутах, оказалось, была проблема со звуком, поэтому слушать лучше с 10-й минуты (до этого есть только картинка без озвучки).

26.09.2018

Давненько не брал я в руки... перо и не писал книжек

Последняя моя книжка вышла в 2008-м году. С тех пор минуло уже 10 лет и вот я вновь в обойме пишущих длинные связанные тексты :-) По приглашению Клуба Топ-менеджеров 4CIO я принял участие в написании учебника CIO - проекта, стартовавшего в 2010-м году, и переживающего сейчас уже свою третью версию. Именно в третьей, последней версии, я и участвовал, занимаясь написанием главы по информационной безопасности.


Работа была непростой - в отличие от самостоятельной книги, которая может быть любого размера и ты сам волен решать, что писать, а что нет, данный учебник подразумевал только одну главу про ИБ, так как в деятельности CIO это всего лишь одно из направлений деятельности (и далеко не всегда главное). При этом отношение к ИБ у айтишников тоже разное - кто-то действительно погружен в эту тему по самое "не хочу", кто-то делегировал все своим безопасникам, а кто-то уживается с ними, живущими в своем мире compliance, угроз и проверок регуляторов. Вот это все я и пытался вместить в одну главу, сделав ее и практически полезной и интересной для чтения.


Не мне судить, что получилось, но вроде как целостная картина должна вырисовываться - от борьбы с угрозами и выполнения нормативных требований до попытки выйти на уровень бизнеса. В основе главы мои заметки в блоге, презентации, статьи, написанные в разное время и объединенные общей канвой - кибербезопасность в деятельности CIO.


Прошлые версии учебника выкладывались в электронном виде на сайте клуба - думаю и с этой будет тоже самое и в ближайшее время эта полезная в деятельности CIO и ИТ-специалистов книга будет доступна широкому кругу читателей. 

25.09.2018

Перечень регуляторов по КИИ и процессов, за которые они отвечают

На "ИТ-Диалоге", в модерируемой мной секции по критической инфраструктуре, у нас зашел с Валерием Комаровым разговоро, который сподвиг меня на отрисовку схемы, в которой я хотел собрать всех регуляторов, которые имеют отношение к теме КИИ и процессы, в которых они участвуют. Получилась вот такая схема, которую я бы хотел немного прокомментировать.



Первые два этапа связаны с определением субъектов и категорированием объектов КИИ. Формально за первый этап у нас не отвечает никто - эта тема отдана на откуп самим организациям, которые могут, опираясь на логику прочтения ФЗ-187 самостоятельно принять решение - субъект они или нет. Но фактически, именно ФСТЭК, собирая перечни объектов, определяет правильно или нет организации себя отнесли к субъектам. Со вторым этапом ситуация схожая - из финального текста ПП-127 исчез пункт о том, что ФСТЭК имеет право разъяснять положения НПА, но фактически только ФСТЭК этим и занимается (поэтому на схеме регулятор отмечен пунктиром и другим цветом). Ну и ФСТЭК проверяет правильность категорирования.

С требованиями по ИБ вроде все ясно - основным застрельщиком является ФСТЭК, а в зависимости от сферы деятельности, могут быть добавлены и иные защитные меры. Банки должны выполнять требования ЦБ, госы - требования 17-го приказа, операторы связи - отсутствующие требования Минцифры.

Дальше интересней. Регулятором в области ГосСОПКИ у нас является ФСБ, которая создала для этого специальную организацию - НКЦКИ, которая и управляет всеми вопросами, связанными с ГосСОПКОЙ. Тут вроде ничего нового пока тоже нет. Кроме, разве что, пока непонятного лично мне статуса самого НКЦКИ. Судя по ФЗ-187 - это не подразделение ФСБ, а отдельная организация, обеспечение которой лежит на плечах ФСБ, и руководит им также сотрудник спецслужбы.

Но вот дальше уже интереснее. Согласно проекта приказа ФСБ по реагированию на инциденты и ликвидации последствий, помощь в расследовании оказывают сотрудники не НКЦКИ, а ФСБ, то есть территориальных управлений регулятора. Я помню, как 5 лет назад меня футболили по поводу вопроса об уведомлении об инцидентах на объектах ТЭК в соответствие с ПП-861 и в итоге я дошел до Управления по контрразведывательному обеспечению объектов промышленности Службы экономической безопасности ФСБ. И там, похоже, не знали, что мне отвечать. Надеюсь, что сотрудники терорганов ФСБ будут не только знать, но и уметь как реагировать на инциденты ИБ.

Дальше в схеме у нас контроль и надзор, который могут обеспечивать ФСТЭК и прокуратура. А вот потом вновь в игру вступает ФСБ, которой по подследственности (ст.151 УПК) перейдет дело о возбуждении уголовного дела по факту нарушения статьи 274.1. И это вновь не НКЦКИ. А уж как будут трактовать кадровые сотрудники ФСБ материалы дела - предсказать никто не возьмется. В любом случае стоит (если вы еще не сделали) наладить отношения с местными ФСБшниками и узнать, кто у них будет заниматься безопасностью КИИ. Формально уголовные дела могут возбуждать также следователь с органом дознания (а прокуратура их может инициировать), но я предположу, что все такие дела будут уходить по подследственности в ФСБ и ОВД с СК ими заниматься не будут. Тоже самое касается и предварительного следствия.

Кстати, вопреки распространенному мнению, что наказывать будут за несоблюдение защитных мероприятий, на самом деле статья 274.1 достаточно четко говорит, что наказание повлечет только нарушение правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации, содержащейся в КИИ, или правил эксплуатации ИС, АСУ ТП, ИТС и сетей связи, или правил доступа к ним, если оно повлекло нанесение вреда. Иными словами, если вы не установили промышленный МСЭ на границе с АСУ ТП, вас наказать нельзя (итак нельзя, но я упрощаю), а вот если вы его установили, но не соблюли инструкцию производителя, то вам светит часть 4 статьи 274.1 (до 8-ми лет). Вот такие пироги :-( Кстати, очень интересно почитать "Методические рекомендации по осуществлению прокурорского надзора за исполнение законов при расследовании преступлений в сфере компьютерной информации", выпущенные в мае 2014 года. Да, они касаются 274-й статьи (в 2014-м еще не было 274.1), но так как обе статьи почти идентичны по тексту, то думаю, что эти же рекомендации будут применяться прокуратурой и для новой статьи (как будет действовать ФСБ предположить пока не могу).

ЗЫ. Возможно в каких-то аспектах и ошибся, но вроде как перепроверил несколько раз по существующим и планируемым НПА.

24.09.2018

Хотите изучить тактики хакеров из ГРУ и ФСБ?

В начале года я в очередной раз обратился к теме Threat Intelligence и в нескольких заметках расписал, что такое матрица MITRE ATT&CK, которая позволяет описать техники, тактики и процедуры злоумышленников (TTP). Данная матрица, будучи наложенной на действия тех или иных хакерских групп или кампаний, понять типичные действия, осуществляемые злоумышленниками и, это я уже фантазирую, позволить провести базовую атрибуцию. Например, с помощью инструмента CARET можно показать, какой тактики придерживаются группы FancyBear, Cobalt и другие.

И вот на днях компания Digital Shadows поделилась своим видением тактик и техник, используемых "русскими хакерами в погонах":
  • ФСБ (обвинения 2017-го года)  
  • ГРУ (обвинения 2018-го года).

Ничего сверхестественного нет и я бы не сказал, что глубина анализа поражает, но тут сам факт интересен, когда из обычного набора описаний хакерских методов, рождается вполне себе интересный инструмент если не атрибуции, то хотя бы выстраивания цепочки kill chain, которая позволяет лучше понять злоумышленников и их действия. А это залог успеха в обнаружении атак и реагировании на инциденты.

Можете работать руками или на счетах? Значит у вас нет значимых объектов КИИ

Давеча, после проведения киберучений, я попал на питерский "ИТ-Диалог", конференцию преимущественно ориентированную на госорганы и привлекающую чиновников высокого ранга - в этот раз ее посетил недавно избранный министр связи, цифрового развития и массовых коммуникаций. Мне же посчастливилось посетить секции про цифровую экономику и импортозамещение, а также промодерировать секцию по кибербезопасности КИИ.

Секция по цифровой экономике меня и порадовала и огорчила одновременно. Порадовала она тем, что на ней выступали представители регионов, которые задавали закономерные вопросы о том, почему им приходится тратить на непонятные требования по безопасности сотни миллионов рублей и стоимость защиты информационных систем выходит выше, чем стоимость самих информационных систем. И почему, например, муниципалы только-только установили у себя VipNet'ы 3-й версии, а тут приходит указание заменить все на 4-ую. Министры региональной информатизации задаются закономерным вопросом - что такого изменилось в мире, что надо срочно и в обязательном порядке переходить на новую версию? Угрозы стали серьезнее? Алгоритмы стали быстрее и эффективнее? Не было ответа, так как, и это меня удручало, чиновники не пришли на секцию. Что касается секции по импортозамещению, то она была похожа как две капли воды на все остальные секции - импортозаместители говорили каждый за себя и ничего конкретного :-(

Но перейдем к секции по кибербезопасности - я заранее подготовил вопросы к участникам, которые представляли собой субъектов КИИ, вендоров по ИБ и регуляторов. Правда, с последними вышла промашка, - обещанный НКЦКИ так и не посетил мероприятие и заготовленные ему вопросы остались без ответа. А по остальным вопросам были вполне конкретные ответы от участников.

Первый вопрос касался ошибок, которые субъекты КИИ делают при формировании перечня объектов КИИ. Согласно решению коллегии ФСТЭК многие субъекты должны были составить такие перечни и отправить во ФСТЭК к 1-му августу, а согласно решению СовБеза - к 1-му сентября. Я заранее подготовился к модерируемой секции и взял перечень ошибок из презентации Алексея Кубарева, которая читалась за день до ИТ-Диалога в Москве (остальные материалы тут). Однако по сравнению с этим списком, на секции представитель ФСТЭК по СЗФО озвучил еще одну ошибку - когда присылаются все ИС, АСУ ТП и ИТС, а не только те, которые обслуживают критические процессы. Это странная позиция на мой взгляд, так как такое определение объекта КИИ уже установленного законом. Понятно, что ФСТЭК лишнюю работу делать не хочется, но блин... Наступаем на те же грабли, что и с сертификацией средств защиты ПДн, когда при наличии фразы про оценку соответствия регулятор раньше считал, что это написано только про сертификацию.


Из субъектов КИИ на секции присутствовали ИВЦ питерского РЖД, питерский метрополитен и ДИТ Москвы. У ИВЦ прозвучало сначала очень революционная идея, что у них после оценки оказалось, что объектов КИИ нет вообще. В процессе дискуссии выяснилось, что позиция ИВЦ базируется на простом факте - если нарушение работы информационной системы не сказывается на выполняемых ИВЦ задачах и они могут быть выполнены "вручную", то данная информационная система не является объектом КИИ (думаю, что все-таки речь идет о значимом объекте, а не просто об объекте). Очень интересная, но и понятная позиция. У метро подход оказался схожий. А вот у ДИТ Москвы (выступал Валерий Комаров) иная проблема - они не являются обладателями/владельцами/заказчиками информационных систем, используемых в Москве, - они всего лишь их оператор и на них требование по категорированию не распространяется.


Из зала была поднята тема лицензирования деятельности по защите для субъекта КИИ. Я заранее, на основе своей заметки, подготовил табличку и хотел ее обсудить с двумя регуляторами, но увы, НКЦКИ не пришел и поэтому их позиция (особенно по последнему пункту) осталась неозвученной. А ФСТЭК подтвердил правильность таблицы по их направлению. Кстати, представитель ФСТЭК также упомянул, что сейчас оперативно готовится (все-таки) единая методика моделирования угроз, которая будет применяться для ГИС, АСУ ТП, КИИ и других типов защищаемых по требованиям ФСТЭК объектов. Ждемс...


Вопросы к НКЦКИ остались без ответа, но тут может помочь презентация их представителя, прозвучавшая днем ранее в Москве.


На заданный в самом конце вопрос о гостайне, ФСТЭК ожидаемо ответила, что к ГТ будут относиться только совокупные сведения по КИИ и каждому субъекту не придется создавать у себя первые отделы.


Что еще прозвучало интересного на мероприятии? Тезисно я бы отметил следующее:

  • питерское метро ориентируется в первую очередь на встроенные механизмы защиты и планирует выполнять 239-й приказ именно ими - в наложенных средствах защиты они не нуждаются
  • ДИТ и Конфидент считают, что рынок отечественных решений ИБ вполне себе развит и можно выполнить требования 239-го приказа целиком на отечественных решениях (ну не знаю, я скептично отношусь к такой позиции).
  • РТК-Solar рассказал, что НКЦКИ не требует, чтобы SIEM на стороне центров ГосСОПКИ были только отечественного производства. Интересно, в проекте приказа НКЦКИ было написано немного другое. Может и правда поменяют? Хотя РТК-Solar, использующий в своем SOCе три разных SIEM (Arcsight, QRadar и MaxPatrol), для субъектов КИИ применяет отечественное решение (может все-таки готовятся к негативному развитию событий?).
  • Также РТК-Solar рассказал, что НКЦКИ рекомендует не арендовать SIEMы (например, в рамках аутсорсингового SOC), а покупать свой и ставить его себе на баланс, и хранить логи у себя локально.
Вот такие новости. Может кому-то будет что-то внове.

21.09.2018

5 типовых ошибок при проведении штабных киберучений

На этой неделе мне дважды довелось проводить/организовывать киберучения по безопасности (а всего я их провел уже больше десятка) и поскольку я считаю, что за этим форматом вовлечения в ИБ будущее, то хочу поделиться типовыми ошибками, которые совершаются при организации штабных киберучений.


Итак мой топ-5 ошибок выглядит так:

  1. Вы не знаете свою целевую аудиторию и поэтому ваш сценарий не находит отклика у участников. Например, вы проводите учения для топ-менеджеров (главбух, финансовый директор, руководитель службы безопасности, директор HR и т.п.), но в своих кейсах даете слишком много технических деталей, которые не понятны участникам и они теряют интерес к мероприятию. Таже самая проблема возникает, когда ваш сценарий направлен на введение в реагирование на инциденты, а участвуют в киберучениях опытные специалисты службы Incident Response, которым ваши примеры кажутся детскими.
  2. Вы не провели предварительное обсуждение с "заказчиком" учений и не уточнили, какую цель он преследует (а они могут быть разные). В итоге вы сделали не то, чего от вас ожидали. Например, генеральный директор захотел проверить, насколько эффективно его служба ИБ реагирует на нештатные ситуации в техническом, юридическом и организационном доменах, а ваш сценарий заточен на проверку способности службы ИБ пройти проверку регулятора, считая, что именно это важно в данный момент.
  3. У вас нет сценария и вами управляет экспромт. Учитывая необходимость направлять участников в рамках многоходовой комбинации, экспромт не даст вам это сделать и вы уйдете далеко в сторону от первоначальной идеи.
  4. Отсутствие четких правил и неумение держать аудиторию "в узде". Время учений обычно ограничено 2-3 часами (этого хватает для отработки 10-15 ситуаций для 5-6 групп) и поэтому вы не можете себе позволить давать участникам повторяться, долго думать, медлить с ответом, вступать в полемику не по делу и т.п. Работа ведущего (фасилитатора)  сродни модераторству, когда надо четко следить за временем и направлять дискуссию в заранее определенное русло. Пускать на самотек во время киберучений ничего нельзя.
  5. У вас отсутствует follow-up и разбор полетов. Вы же проводите киберучения не потому, что это модно или прикольно. Вы преследуете вполне конкретную цель по выработке навыков ИБ и вовлечению (а не бездумному участию) ваших сотрудников в ситуации, схожие с реальной жизнью, но с которыми вы еще не сталкивались (и это хорошо). Для этого по окончании учений надо понять все ошибки (но не озвучивать их в рамках самих штабных командных киберигр, так как во время них не бывает правильных и неправильных ответов) и на их основе разработать планы по улучшению слабых мест, выявленных в процессе учений. Без этого, все эти "игрища" обречены на неудачу.

20.09.2018

Сколько лицензий надо, чтобы подключиться к ГосСОПКА?

Сегодня, в четверг, 20 сентября, проходит несколько мероприятий по ИБ, с которых приходят интересные новости от рыцарей виртуального плаща и кинжала, то есть от ФСБ. Среди них и злободневный вопрос: "Сколько лицензий и каких надо, чтобы работать с ГосСОПКА?". Попробовал для себя сформулировать все, что знаю:
  • Для собственных нужд (только в рамках своего юрлица)
    • лицензия ФСТЭК на мониторинг ИБ - не нужна
    • лицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ) - не нужна
    • лицензия ФСБ на гостайну - нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
  • В рамках работы в холдинговых структурах
    • лицензия ФСТЭК на мониторинг ИБ - нужна
    • лицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ) - нужна
    • лицензия ФСБ на гостайну - нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
  • Для предоставления коммерческих услуг
    • лицензия ФСТЭК на мониторинг ИБ - нужна
    • лицензия ФСБ (или на шифрование, или на разработку средств защиты для ГТ) - нужна
    • лицензия ФСБ на гостайну - нужна, если вам нужен доступ к 6-ти методичкам ФСБ по обнаружению, предотвращению и ликвидации последствий компьютерных атак
Итого: ФСБ в своем репертуаре. Чтобы получить методическую помощь от регулятора ответственного за обнаружение, предотвращение и ликвидацию последствий компьютерных атак, будьте добры получить лицензию на работу со сведениями, составляющими гостайну. Даже если ты сельская больничка из одного главврача и медсестры или ломбард. Приплыли... А если я не могу получить лицензию на гостайну, то как мне защищиться от атак? А тогда кому ты нужен, нищеброд?...