23.05.2019

Атрибуция кибератак (презентация)

На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция - это дисциплина, которая отвечает всего на один вопрос - "КТО стоит за кибератакой". Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки - это устаревший подход и сегодня атрибуция - это больше ответ на вопрос - "КАК осуществляется атака". То есть в "моем" случае речь идет об атрибутах автора нападения, а у оппонентов - об атрибутах самой атаки.

Я в корне не согласен с такой постановкой вопроса и на это у меня две причины. Первая заключается в том, что атрибуция как определение авторство - это общепризнанное определение. Его так понимают во всем мире и какой бы материал, книгу, презентацию мы не взяли, там так и будет рассматриваться атрибуция :-)



Вторая причина заключается в том, атрибуция - это часть более крупного процесса под названием Threat Intelligence и вся картинка будет выглядеть следующим образом:

  • определение того, ЧТО на вас напало - работа с индикаторами компрометации
  • определение того, КАК это произошло - определение тактик, техник и процедур злоумышленников
  • определение того, СЛУЧАЙНО ли это произошло или является частью целой КАМПАНИИ
  • определение того, КТО стоит за атакой и ПОЧЕМУ кто-то нас атакует.
То есть атрибуция - это всего лишь вершина Threat Intelligence, достижение которой нужно не всем и не всегда. В обычной корпоративной среде обычно хватает ответов на первые два, максимум, три вопроса.

И вот по случаю я решил выложить презентацию по атрибуции, которую я делал для прошлогодней конференции Antifraud Russia 2018. Я тогда заболел и не смог ее прочитать и поэтому кроме парочки закрытых мероприятий я ее нигде и не читал. Чего добру пропадать - выкладываю :-)




22.05.2019

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152 (презентация)

Вчера я по приглашению выступал в рамках московского GDPR Day, на котором меня коллеги из Б-152 попросили разбавить рассказы юристов о мерах по защите прав субъектов ПДн экскурсом в технические меры по защите ПДн и насколько можно совместить требования 32-й статьи GDPR и 21-го приказа ФСТЭК, разработанного во исполнение ФЗ-152. Получилась вот такая презентация:



В рамках презентации я ссылаюсь на исследование, которое проводила Cisco в ряде стран мира, включая и Россию, которое было посвящено готовности компаний к GDPR и что дает выполнение этих нормативов операторам ПДн. Это исследование мы переводили и на русский язык и выложили на сайте.

17.05.2019

Выбрана тема финала "Нашей игры", интеллектуального шоу по кибербезопасности!

В конце апреля прошел полуфинал "Нашей игры", интеллектуального шоу по кибербезопасности, где у участников была возможность не только весело провести время, но и проверить свои знания и кругозор в области кибербезопасности. Учитывая, что игра проходила незадолго до дня шифровальщика (5-го мая), мы решили, что было бы правильно посвятить ее именно криптографии. Сказано - сделано! Перед вами четвертый выпуск "Нашей игры"!


Хочу напомнить, что в игре случайным образом выбирается Like-вопрос, в котором число баллов вычисляется по числу лайков, оставленных под предыдущим выпуском игры, умноженным на определенную константу. Как показывает опыт предыдущих игр, это позволяет отдельным командам вырываться вперед и вырывать победу, которая казалось была ими упущена. Вот и сейчас есть возможность лайкнуть этот выпуск и повлиять на ход игры. Хотите попробовать?

Финал "Нашей игры" состоится 10 июня! Заглавной темой станет... та-дам... "Россия"! Да-да, финальную игру этого сезона мы посвятим нашей необъятной Родине и ее отрасли кибербезопасности/информационной безопасности/защиты информации. Раз уж нашу страну обуял дух импортозамещения и киберпатриотизма, то мы решили проверить, насколько наши участники (а это три команды - Steak Holders, НеSOCрушимые и Anti-APT Group) знают историю, технологии, регуляторику, имена, продукты, инновации отечественной отрасли ИБ?! 

16.05.2019

О методике ФСТЭК по поиску аппаратных уязвимостей и НДВ

На фоне обвинений Китая в закладках на уровне материнских плат, которые звучали в начале года, я прошел обучение по теме тестирования аппаратной части современных ИТ-решений на предмет поиска различных уязвимостей - от контрафакта или клонирования до закладок и временных бомб в кремнии. Это было очень познавательный тренинг, который расширил мои знания в области тестирования не только программной, но и аппаратной части средств обеспечения безопасности. Кстати, рынок такого контрафактного оборудования (включая и содержащего закладки) оценивался в 2011-м году в полторы сотни миллиардов долларов с ежегодным ростом этого значения в 25%.


Чуть позже, ФСТЭК выпустила ДСПшную методику выявления уязвимостей и недекларированных возможностей в программном обеспечении. Интересно то, что в этом документе ФСТЭК декларировала появление методики выявления уязвимостей и НДВ в аппаратном обеспечении. А вчера стало известно об обнаружении уязвимости в процессорах Intel, названной Zombieload. Это продолжении серии уязвимостей Spectre, Meltdown и Foreshadow, найденных в продукции главного производителя процессов за последнее время. Интересно, что исследования, позволившие найти данную уязвимость, длились больше года.


И вот тут у меня появилось ряд вопросов, которые я позволю себе просто озвучить в рамках данной заметки:
  1. Планирует ли регулятор разрабатывать свою методику с нуля или будет ориентироваться на уже существующие стандарты (AS6081, AS5553, AS6171 и ARP6178 от SAE G-19A, CTI CCAP-101, IDEA-STD-1010 и др.) в этой и смежных областях, например, в аэрокосмической? Они хоть и не посвящены целиком безопасности, но очень недурно описывают таксономию методов поиска.
  2. Будут ли методы поиска уязвимостей и НДВ в новом документе привязаны к уровням/классам защищаемой информации/систем? Допускаю, что да, но тут важно не требовать очень уж серьезных проверок на низких уровнях доверия (например, на 6-м). Учитывая, что таких методов существует немало, то это будет непростая задача.


  3. Будет ли методика учитывать различные типы аппаратных компонентов - цифровые (например, ASIC или FPGA, как это сделано в ряде иностранных средств защиты уже сейчас), аналоговые (например, АЦП и ЦАП или DAC и ACD в англоязычной литературе), дискретные (например, резисторы, диоды, транзисторы и т.п.)?
  4. Какие требования будут предъявляться к разработчикам средств защиты в части аппаратных компонентов? Особенно учитывая, что сегодня нет российских ИБ-производителей, которые бы изготавливали железо целиком сами. А уж использование чужих компонентов, часто из Китая или Тайваня, происходит сплошь и рядом.

  5. Как будет учитываться тот факт, что сегодня НДВ может быть внесена в процессе транспортировки готового изделия от производителя к потребителю? Или вообще быть внесена уже в процессе эксплуатации (если используется перепрограммируемые микросхемы). В этом случае процедура выявления на стороне производителя ничего не даст.
  6. Насколько увеличится цена работ по сертификации?
  7. Насколько увеличится длительность работ по сертификации? Она и сейчас не очень маленькая и часто срок сертификации превышает срок жизни конкретной версии оцениваемого ПО. А уж при наличии нового документа ситуации и вовсе станет аховой.
  8. Наличие оборудования для проведения соответствующих работ; особенно сертифицированного по требованиям регулятора. Во-первых, оно очень дорогое для определенного типа проверок. А, во-вторых, оно не выпускается в России.

  9. Будут ли выставлены требования по компетенциям сотрудникам испытательных лабораторий? Если да, то где им проходить обучение? А если нет, то не превратится ли процесс оценки в профанацию?
  10. Как ФСТЭК будет проверять качество проводимых работ и есть ли у самого регулятора соответствующие специалисты? 
  11. Что делать, если у ИЛ или регулятора появятся вопросы к используемым аппаратным компонентам? Недавно один из российских производителей МСЭ поделился своей болью. Для выполнения одного из пунктов методики проверки МСЭ по новым требованиям ФСТЭК, им потребовалось поменять ряд ранее используемых аппаратных модулей, из-за чего стоимость возросла в разы. И, конечно же, эти затраты будут возложены на плечи заказчиков, большая часть из которых относится к государственных органам, которые обязаны будут применять только сертифицированные средства защиты.
  12. Будут ли признаваться результаты СИ/СП, проводимых по линии ФСБ, для тех решений, которые подаются на сертификацию еще и в ФСТЭК?
  13. Готова ли ФСТЭК к существенному изменению правил игры, которые даже многие отечественные вендоры не смогут соблюдать?
Вот такая чертова дюжина вопросов к еще неразработанному документу регулятора. Вполне допускаю, что у регулятора уже есть на них ответы. Но, вспоминая песню Слепакова, "а чё, мля, если нет?" 

А напоследок вам задачка, какие из представленных ниже семплов могут представлять угрозу?

ЗЫ. В рамках упомянутого выше тренинга нам рассказывали о применении нейросетей для выявления несущих угрозу аппаратных компонентов, что в очередной раз показало очень интересные варианты применения машинного обучения в кибербезопасности. Но пока не в России.

14.05.2019

Концепция "низковисящих фруктов" и кибербезопасность

Между майскими праздниками Verizon выпустила новую версию своего отчета 2019 Data Breach Investigations Report, который давно уже перестал быть отчетом только одной компании, - в работе над ним принимают участие многие игроки рынка ИБ, среди которых Cisco, Shodan, CERT EU, JPCERT, ФБР, Секретная служба США и т.п. Из "россиян" в подготовке отчета участвовала только Лаборатория Касперского.

Я не планирую пересказывать этот отчет, но хочу остановиться на одном из моментов, который мне показался достаточно важным. Сегодня много говорят о многоходовых, сложных, целевых, скрытных, многовекторных атаках (APT). Оно и понятно. Это интересно с точки зрения расследования. Это интересно для СМИ. Но жизнь (в лице отчета DBIR) говорит о том, что большинство атак являются достаточно простыми в реализации.

В бизнесе есть такая часто применяемая концепция "низковисящих фруктов", которая означает получение быстрой выгоды прямо сейчас (сорвать то, что ближе всего). Зачем делать что-то очень долго и без видимого результата, когда можно сорвать куш гораздо быстрее? Тоже самое приходит в голову и злоумышленникам, которые не хотят долго кого-то ломать, а предпочитают быстрые и легкие победы. Ровно это и показывает отчет 2019 DBIR, который показывает, что большая часть всех подтвержденных взломов осуществляется всего в один-два шага.


И чем больше шагов делает злоумышленник, тем ниже вероятность успеха (ну тут вроде понятно - при большем числе шагов повышается вероятность обнаружения).


Понятно, что целевые атаки существуют, но их число не так высоко даже у хакеров на службе государства, которые также стараются получить максимум, затратив минимум усилий.

С точки зрения стратегии безопасности концепция низковисящих фруктов также применима - нам не обязательно внедрять сразу кучу различных навороченных защитных технологий, которые стоят недешево (тем более, что 43% жертв - это малый бизнес). Достаточно начать с базовых вещей, которые описаны в таких лучших практиках как Top20 CIS Controls, Top 4/8 австралийского МинОбороны, Топ10 английского или канадского регулятора по ИБ. Обо всех них я уже говорил на прошлой РусКрипто в полуторачасовой презентации. Что характерно, эти основные меры не требуют особых затрат на реализацию. Австралийский Топ 4 включает в себя application whitelisting (замкнутая программная среда), обновления приложений и ОС, а также контроль привилегированного доступа. Все это можно реализовать с помощью групповых политик и Windows Update Service (для Windows). По оценкам одна только эта четверка обеспечивает защиту от 85% угроз.

В заключение все-таки приведу несколько интересных тенденций, упомянутых в отчете 2019 DBIR:

  • Существенно возросло число атак типа "социальный инжиниринг" (через фишинг), а человек - стал одной из популярных мишеней для злоумышленников.
  • Одним из основных способов, которые используют злоумышленники для своего первого шага (а иногда и единственного) - использование украденных учетных записей пользователей.
  • Один из основных векторов атак - Web-приложения.
  • Электронная почта остается основным вектором для получения вредоносного кода (94%). Исключение составляет сфера образования, где на первое место вышел Web-вектор заражения.
  • По-прежнему самым популярным типом файлов для вредоносного ПО является MS Office.
  • Одной из самых быстрорастущих причин успеха злоумышленников становится некорректная конфигурация серверов (особое внимание злоумышленники уделяют почтовым серверам) и пользовательских устройств.
  • Обнаружение инцидентов по-прежнему занимает месяцы в то время как на компрометацию у злоумышленников уходят минуты, а на кражу данных - от минут до дней.
В целом могу порекомендовать ознакомиться с отчетом Verizon. И пусть вас не смущает, что отчет подготовлен американским оператором связи. В подготовке участвовали компании со всего мира, включая и российскую. Поэтому можно говорить о том, что отчет отражает общую для всех картину.

13.05.2019

Ответьте на вопрос: "что такое информационная безопасность", не подглядывая в блог

Мой блог читают специалисты по кибербезопасности, которые занимаются этой деятельностью уже не первый год (хотя кто-то и первый). В любом случае, каждый из тех, кто сейчас читает эти строки должен знать, чем он занимается. Так вот, попробуйте, ответить на вопрос: "что такое информационная (или кибер) безопасность?" Попробуйте ответить на этот вопрос (а лучше записать), прежде чем смотреть заметку дальше.


Я на курсах по моделированию угроз и измерению эффективности ИБ всегда начинаю с того, что советую определиться с тем, что каждый слушатель вкладывает в термин "информационная безопасность", так как от этого будет зависеть и какие угрозы мы будем рассматривать (и бороться с ними), и эффективность чего мы будем измерять. И надо признать, что у всех это определение разное. 8 лет назад я уже поднимал в блоге этот вопрос, но решил вновь вернуться к нему. Тем более, что и повод есть - недавно в англоязычном Твиттер я наткнулся на интересную дискуссию о том, что же такое безопасность. Топикстартер задал своим подписчикам этот вопрос и получил несколько десятков ответов. Я многие из них перевел и привожу ниже:
  • Безопасность - это постоянная оценка рисков и принятие или смягчение этих рисков. Это осознание того, что процесс никогда не закончится, что вы никогда не сможете быть полностью защищены от всех угроз, и что вам нужен план реагирования на сбои.
  • Безопасность - это процесс поддержания приемлемого уровня предполагаемого риска для конкретного события.
  • Безопасность - это процесс, а не конечное состояние.
  • ИБ - действия, направленные на защиту информации.
  • ИБ - это сочетание защиты и снижение беспокойства (комфорт).
  • Гарантия того, что актив защищен в степени, необходимой для снижения риска эксплуатации уязвимости до уровня, приемлемого для владельца актива.
  • Это видимость критически важных для бизнеса людей, процессов и технологий, с четкой способностью предотвращать или быстро реагировать на угрозы, как внутренние так и внешние, которые угрожают способности предоставлять ценность как компания.
  • Это все, что вам нужно, чтобы защитить себя и все, что вы цените, от того, что может причинить вам вред или привести к потерям.
  • Защита ключевых бизнес-операций для обеспечения прибыльности организации.
  • Состояние свободы от опасности или страха.
  • Это уменьшение, минимизация или устранение вероятности того, что угроза будет использовать уязвимость и повлияет на критичные активы.
  • Это состояние защиты компьютеров и данных от вреда.
  • Защита ваших интересов за пределами возможностей, пороговые значения рентабельности или устойчивости к риску ваших потенциальных злоумышленников.
  • Разумная защиты от актуальных угроз.
  • Практика минимизация беспокойства о системе или продукте.
  • Цикличный процесс идентификации, достижения и поддержания состояния.
  • Это состояние в котором, контроль, целостность, автономность и эволюция поддерживаются несмотря на внешнюю неопределенность окружающей среды.
  • Минимизация рисков, позволяющая нормально функционировать предприятиям и гражданам.
  • Процесс защиты критичных активов предприятия, позволяющий предприятию использовать функции этих активов для достижения своих целей.
  • Поддержание способности системы надежно выполнять предназначенную функцию, несмотря на разумный набор ошибок или помех со стороны нарушителей.
  • Практика защиты информации в структурированном и неструктурированном виде.
  • Это внимание, которое уделяется обеспечению доступности, используемости и сохранности данных надлежащим образом.
  • Обнаружение, предотвращение и реагирование на злоупотребления до приемлемого уровня риска.
  • Это когда частное преимуществ и стоимости от безопасности больше 1.
  • Состояние убежденности (которое может быть и ложным), которое было определено и разумно подготовлено к большим и наиболее вероятным угрозам текущему состоянию или любым его изменениям, которые могут произойти.
  • Это управление рисками.
  • Это предотвращение потерь.
  • Достижение баланса между целостностью, конфиденциальностью и доступностью в условиях постоянно меняющегося ландшафта рисков.
  • Это практика сочетания функциональности с конфиденциальностью.
  • Обеспечение доверия.
  • Минимизация рисков при максимизации ценности и работоспособности функции.
  • Действия, предпринятие для создания комфортного состояния, обеспечивающего нормальное функционирование.
  • Совокупность процессов и практик, предназначенных для защиты активов от атак, ущерба или неавторизованного доступа.
  • Непрерывный процесс оценки рисков.
  • Процессы предотвращения угроз и реагирования на них для минимизация риска компрометации данных.
  • Знание того, что для вас важно и сохранение его там. где вы хотите, тогда, когда вы хотите, и так, как вы этого хотите.
  • Достижение состояния, когда усилия по вторжению обходятся дороже прибыли от вторжения.
  • Сбалансированность использования ресурсов для снижения рисков, в то же время позволяя бизнесу выполнять желаемые функции, необходимые для продолжения работы, не препятствуя введенным мерам смягчения рисков.
  • Бесконечная битва с непредвиденными последствиями.
  • Меры безопасности, принимаемые для активного обнаружения и предотвращения совершения людьми плохих действий, а также процессы поддержания этих мер безопасности функциональными, актуальными и релевантными.
  • Борьба с максимальным ущербом минимальными усилиями, приводящими к максимально возможному благу.
  • Способность обнаруживать и сдерживать угрозы в допустимых пределах потерь для организации.
Можно еще накидать и ряд отечественных определений, которые мне встречались в разных документах и материалах:
  • Отсутствие опасности.
  • Состояние, при котором не угрожает опасность.
  • Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
  • Деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
  • Технологическая задача, обеспечивающая целостность, конфиденциальность и доступность.
  • Состояние защищенности объекта от внешних и внутренних угроз.
  • Системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления.
  • Деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития.
  • Динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере.
  • Состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса.
Интересный список, не так ли? А как вы определяете термин "информационная безопасность"?..

08.05.2019

Второе наблюдение на СВОП: Китай нам не товарищ, но и автаркия - не вариант

Еще одним наблюдением, которое я сделал на заседании Совета по оборонной и внешней политике, стало отношение к Китаю. Оно не такое дружественное, как кажется иногда на фоне антиамериканской риторики, звучащей на различных уровнях. Как оказалось, среди людей, принимающих политические решения, есть четкое понимание, что Китай - нам не товарищ, а временный партнер. Более того, у Китая свой путь развития, совершенно несвязанный с Россией. Просто нам|ему пока по пути, но долго так продолжаться не может. И хотя мы худо-бедно можем встраиваться в китайскую модель развития, власти понимают, что Китай - это тот же технологический крючок, что и Америка, только хуже. Если американские продукты Россия закупает за реальные деньги, то Китай действует тоньше - он открывает кредитную линию в рамках которой государство может покупать нужные технологии, но обязательно китайские. Таким образом Китай авансирует государство (и такая схема применяется не только в России), а потом начинает спрашивать: "Где деньги?" А денег-то на оплату полученных решений нет. И Китай либо начинает забирать за долги природные ресурсы, либо окончательно подсаживает на удочку государство, которое уже не может слезть с технологической иглы. Американцы в этом плане действуют грубее, но понятнее - "утром деньги, вечером стулья".

При этом на СВОП высокопоставленные эксперты неоднократно подтверждали, что в мире всего два центра технологической силы - США и Китай. Россия временно должна "прислониться" к одному из них, но взвешивая все "за" и "против". Так как США уже не могут рассматриваться как надежный технологический партнер, то пока остается единственная альтернатива в лице Китая, но... решение о том, что Россия прислоняется к восточному партнеру тоже не принято, так как никто не хочет подсаживаться на гораздо более опасную удочку, чем у американцев. Отсюда некоторые метания и заигрывания с разными сторонами... И отсутствие четкого технологического курса.

Параллельно же метаниям, Россия должна развивать свой технологический стек. Это звучало неоднократно, но совершенно без конкретики. Оно и понятно - люди, заседающие в СВОП, далеки от технологий и относятся к ним с подозрением (особенно к американским). При этом чиновники самого высокого ранга делали зачастую противоречащие друг другу заявления. Сначала один член СВОП говорит о том, что "нам нужно все свое", а спустя несколько минут он же заявляет о том, что "нам не нужна автаркия".

К слову об автаркии. Это экономическая политика, замкнутая целиком на себя, с отсутствием внешних экономических связей. Целиком и полностью суверенная экономика. В мире было несколько примеров стран, которые в определенные моменты своей истории стремились стать автаркиями (тот же СССР во времена противостояния с США или Германия, Италия и Япония во время Второй мировой войны). Сегодня абсолютное большинство экспертов признают, что полная автаркия невозможна и даже такая изолированная от внешнего мира страна как Северная Корея не является автаркичной, активно развивая внешние торговые связи. Другое наблюдение экспертов - автаркия обычно означает, что государство готовится к войне и стремится снизить риски от внешних поставок. При этом, и тут мнение почти единогласное, автаркия означает отсталость государства ее принявшего в экономическом и, что важнее в контексте нашей тематики, технологическом плане.

Ким Ир Сен в 1994-м году отринул идеи чучхе и автаркии
Если вспомнить те маргинальные высказывания, которые я приводил вчера, то может сложиться впечатление, что Россия все-таки готовится к войне и поэтому ее автаркичные технологические планы укладываются в общую картину (кстати, блоки типа БРИКС или ЕАЭС тоже могут рассматриваться как прототип автаркии). Но были и другие заявления, говорящие об обратном. В итоге, спустя 5 лет после введения санкций и начала жизни в новом режиме, в России так и не сформулирована технологическая стратегия развития, которая все время уступает место либо совсем сиюминутным задачам типа "суверенного Рунета", либо распилочным проектам типа "цифровой экономики", либо наращиванию военного потенциала. А воз и ныне там...

Подводя итог двум заметкам хочу сказать, что для меня заседание Совета по оборонной и внешней политике оказалось достаточно интересным и познавательным. Я стал чуть лучше понимать причины принятия тех или иных инициатив или нормативных актов. Мне стало понятнее, почему ФСТЭК ведет себя именно так, а не иначе (правда, понять не значит принять).  Я в очередной раз убедился в правильности высказанной несколько лет назад мысли о том, что пока не сменится одно или два поколения лиц, стоящих у руля в стране, ни в ИБ, ни в более широком, технологическом плане, у нас ничего не изменится. А значит продолжаем жить и надеяться на лучшее :-) 

07.05.2019

Когнитивные искажения и их влияние на национальную кибербезопасность

Довелось мне тут побывать на заседании Совета по внешней и оборонной политике, неправительственного общественного объединения, задачей которого является содействие выработке и реализации стратегических концепций развития России, ее внешней и оборонной политике. На фоне членов СВОП, среди которых бывшие и действующие министры, члены Парламента, представители силовых и правоохранительных органов, я выглядел некоей белой вороной, но задача перед мной стояла важная - рассказать о новых вызовах и угрозах, которые несет с собой киберпространство.


Учитывая, возраст многих членов СВОП, их образование и формирование их мировозрения, задача перед мной стояла очень непростая и я, надо признаться, не уверен, что справился. Хотя я старался не углубляться в дебри ИБ и рассказывал достаточно понятным языком о возможностях вывода из строя кардиостимуляторов или инсулиновых помп (а многие члены СВОП уже в том возрасте, когда такие медицинские приборы выходят из статуса "да ну нафиг" или "о, прикольно" в "пожалуй, стоит почитать подробнее" или "дайте вон тот, пожалуйста"), останова двигателя автомобилей на ходу (а многие члены СВОП приехали в загородный дом отдыха на Рублевке на дорогих авто, оснащенных навороченной электроникой, и попадавших в сводки новостей о найденных в них уязвимостях), об искусственном интеллекте, критической инфраструктуре и т.п.


Но несмотря на некий пессимизм в отношении своего выступления, я получил представление о том, какие мысли витают в среде людей, если не непосредственно определяющих, то влияющих на оборонную и внешнюю политику страны. Местами эти мысли были совсем уж маргинальными и пугающими. Вот только несколько высказываний, которые мне запомнились на заседании СВОП (публикуются согласно "правилу Chatham House", то есть без упоминания их авторства, что способствует откровенности обсуждений и мнений):
  • Важен не мир, а борьба за мир!
  • Надо готовиться к войне. Нужен мобилизационный план.
  • Что мы будем делать с Европой, когда ее завоюем?
  • Одряхлевшие ПАСЕ, ОБСЕ и прочая ахинея.
  • Невозможно заключить международный договор в области кибербезопасности, так как нельзя его контролировать.
  • Отсидеться не удастся!
  • Надо показать агрессору, что его действия могут иметь последствия!
  • Надо поддерживать не только Саманту Смит, но и боевиков ИРА и другие группы, расшатывающие наших врагов!

Достаточно воинствующая риторика и почти вся она крутилась вокруг нашего ядерного потенциала и обычных вооружений. Тих был голос сторонников гибридных войн, которые высказывались за то, что будущие войны могут быть не только сплошь и рядом наполненными ядерными залпами и наступлениями танковых дивизий, авианосцев и диверсионных групп, действующих в тылу противника. Слово "кибербезопасность", помимо моего доклада, в течение трехчасового заседания, посвященного новым угрозам, прозвучало только два раза. Отсюда мое первое наблюдение, которое, впрочем, я уже высказывал не раз и даже вставил в курс по моделированию угроз (в раздел по психологии восприятия рисков):

Текущее и, возможно, следующее поколение политиков и иных власть предержащих, неспособно адекватно оценивать угрозы кибербезопасности.

Связано это с так называемыми когнитивными искажениями, которые влияют на способность человека оценивать риски; особенно риски будущие. Это связано с ошибками, которые допускают люди почти независимо от их возраста, пола, расовой принадлежности и, даже, профессиональных компетенций и навыков. Парадоксально, но даже высококлассные специалисты в своих областях допускают типичные ошибки, как раз и изучаемые в когнитивной психологии (интересно, что даже если человеку указать на его ошибки, то это не всегда кардинально поменяет мнение человека и его позицию). Вот только несколько выводов, которые делает когнитивная психология и которые важны для понимания того, почему многие чиновники, военные, члены СВОП и Совета Безопасности, руководители ФСБ и других связанных с ИБ структур недооценивают риски кибербезопасности и часто принимают неверные решения (а их статус не всегда позволяет подчиненным указывать на их ошибки):
  • Человек не экстраполирует опыт пережитых малых опасностей на более серьезные риски. Иными словами, даже столкнувшийся с шифровальщиком на своем домашнем компьютере человек, не рассматривает этот риск в масштабе целой компании или даже страны. Даже наоборот. Прошлый опыт малых опасностей (например, кража тысячи рублей со счета в мобильном банке) задает верхнюю границу ожидаемого максимального риска. Привычка бороться с мелкими неприятностями приводит к тому, что мы не предпринимаем ничего для борьбы с неприятностями более крупными. У власть имущих же ситуация еще хуже - они вообще редко сталкиваются с киберрисками, так как часто даже не имеют компьютеров (вспомните, что наш Верховный Главнокомандующий пользуется блокнотом для записей и читает всегда по бумаге с рукописным текстом). Не сталкиваясь с какими-то рисками, человек не способен и оценивать их адекватно.
  • Человек не готов к "черным лебедям". Я про них уже как-то писал, но стоит вновь к ним вернуться и в контексте заседания СВОП. Человек с трудом может оценивать редкие, но очень масштабные события. А в совокупности с предыдущим когнитивным искажением ситуация становится еще хуже. Можем ли мы оценить риск того, что Stuxnet сидит в данный момент на всех российских АЭС и в определенный момент сработает? Опираться на статистику при оценке "черных лебедей" мы не можем - ее просто нет. Ждать, когда такое событие произойдет и тогда кричать "ну я же говорил" или "это можно было предсказать"? Самое интересное, что это действительно можно предсказать (если не точную дату, мы же не Нострадамусы, то сам факт). Достаточно вспомнить Аль-Каиду и события 11 сентября. Ведь пост-фактум потом приводились доказательства того, что террористы готовились к такому сценарию, но его по каким-то причинам отмели как маловероятный. Сейчас известно, что террористы собирают сведения и о возможности проведения серьезных кибератак. Но готовится ли к ним кто-то всерьез (ФЗ-187 я за такую попытку не считаю)? Правда Талеб, который и ввел в обиход термин "черный лебедь", считает, что мотивировать людей заниматься предотвращением "черных лебедей" очень сложно. "Защита с трудом воспринимается, измеряется и вознаграждается; это обычно незаметный и неблагодарный труд. Представьте себе, что некая дорогостоящая мера была предпринята, чтобы предотвратить такое явление. Легко вычислить стоимость этих мер, тогда как результат трудно измерим. Как мы можем говорить об эффективности, когда есть два альтернативных варианта объяснения: или принятые меры были эффективны, или просто ничего существенного не случилось. Оценка качества работы в таких случаях не просто сложна, но искажена наблюдением «актов героизма»... В исторических книгах не пишут о героических превентивных мерах". 
  • Как вы думаете, какое из двух утверждений более вероятное: "В чипах, выпускаемых американскими компаниями, могут быть закладки, с которыми нужно бороться" или "В выпускаемых чипах могут быть закладки, с которыми нужно бороться"? Я на нескольких мероприятиях проводил мини-опросы и получил достаточно забавные результаты. С точки зрения теории вероятностей добавление дополнительной детали к первому утверждению делает его менее вероятным, чем второе. Ведь действительно, первое утверждение является подмножеством второго. Но почему-то большинство людей считает второе утверждение менее вероятным, чем первое :-) Ровно также думают и на самом верху, считая, что надо направлять инвестиции на суженый сценарий возможных рисков. Если вдруг мы поругаемся с Китаем, то сценарий придется расширять, добавляя в него уже китайских производителей. Потом, возможно, индийских или израильских. Но своих разработчиков мы включим в сценарий риска в последний момент; если вообще включим. Хотя с точки зрения безопасности правильнее бороться с закладками в чипах независимо от их происхождения.
  • Людям свойственно когнитивное искажение несогласия, то есть люди предпочитают подтверждающие, а не опровергающие доказательства той или иной гипотезы. И доказательства версии, которая опровергает позицию человека, подвергаются более пристальному анализу, чем доказательства, которые ее подтверждают. Например, мы знаем, что между Россией (а ранее СССР) и Северной Америкой существовало и существует соперничество во многих сферах. В области же безопасности США всегда рассматривались как потенциальный враг для нашей страны. И когда в конце 90-х годов в России обдумывали вариант с признанием "Общих критериев" в качестве системы оценки соответствия по требованиям безопасности продуктов информационных технологий, эксперты в Совете Безопасности исходили из предпосылки, что "Общие критерии" несут с собой не только пользу, но и вред. Сторонники этого стандарта пытались доказать, что от него одна только польза, но так как это противоречило изначальной гипотезе, то эксперты Совета Безопасности фокусировались на поисках того вреда, с которым столкнется Россия, принявшая этот стандарт за основу. И, кстати, мы гораздо реже меняем свои суждения, чем мы обычно думаем. Если ты вырос во времена холодной войны, служил в спецслужбах или Вооруженных силах, готовясь к войне с НАТО (США), то сложно ожидать, что заседая в Совете Безопасности или СВОП, ты изменишь свою позицию, которую в тебя вбивали годами и десятилетиями.
  • Многие слышал термин "аффект", когда говорят о совершении какого-то преступления, когда человек, его совершивший, не соображает, что он делает. Так вот такая эмоциональная окраска имеет место и при оценке новых технологий или будущих угроз, о которых человек имеет мало информации. Например, с чем ассоциируется у большинства искусственный интеллект? В массе своей с Скайнет из "Терминатора", то есть окрас у данной технологии изначально негативный. А виртуальная реальность? Наоборот. Фантастические фильмы типа "Газонокосильщика" и вот у человека уже положительная оценка технологии, которую он сам может никогда и не пробовал в жизни, но именно от его решения зависит ее будущее. То есть очень часто анализ рисков осуществляется не на основе фактов, а на основе эмоций. А потом вступает в силу когнитивное искажение несогласия и нежелание менять первоначально сформированную точку зрения.
  • От хакерской атаки на систему жизнеобеспечения в госпитале погиб ребенок! У вас перед глазами встает соответствующая картина и вы переживаете это событие очень эмоционально. А теперь представьте, что от хакерской атаки погиб целый город с многомиллионным населением... Изменились ли ваши чувства? Стали ли они сильнее в миллионы раз? Врядли. Наш мозг не способен масштабировать наши эмоции и наше восприятие. Для нас риск гибели десяти человек и миллиона человек почти равнозначны (на самом деле риск гибели миллиона человек для нас практически равен нулю, так как мы не осознаем это число и мы не сталкивались в прошлом с такими событиями). Отсюда и следствие - мы не готовы тратить ресурсы пропорционально количеству потенциальных жертв. Потратив миллион рублей на кибербезопасность больницы (как субъекта КИИ) и спасши тем самым десять жизней, мы не готовы потратить сто миллиардов рублей на спасение даже миллиона человек. Для человеческого мозга это все лишь увеличение числа смертей путем приписывания шести ноликов к числу 10.
  • В 1982-м году Сара Лихтенштейн изучила несколько десятков экспериментов, проведенных десятками различных исследователей, и сделала очень интересный вывод о том, что люди сверхуверены в себе и своих оценках (даже эксперты в своих областях) и поэтому при оценке рисков постоянно дают неправильные границы для тех или иных событий, явлений, процессов или объектов. Они сужают границы и не считают нужным пересматривать их, опираясь в дальнейшем на неверные предпосылки.

Я привел небольшой обзор когнитивных искажений, которые допускают люди, которым по должности или позиции в обществе положено оценивать те или иные риски. Именно эти люди часто недооценивают риски кибербезопасности и тому есть множество причин. Они могут быть  сверхуверенны в себе. Они могут переоценивать предсказуемость прошлого и поэтому недооценивать риски будущего. Они могут быть зациклены на одних рисках (например, ядерный удар или бактереологическое оружение) и совершенно недооценивать другие. Они могут не помнить случаев массового ущерба от кибернападений и поэтому считать их несущественными и в будущем. Их мнение может быть искажено фильмами о добрых хакерах, спасающих мир от проделок злых людей и плохих корпораций (вспомните фильм "Хакеры"). Да мало ли психологических искажений, почему люди, заседающие в Совете по оборонной и внешней политике или Совете Безопасности или Аналитическом центре при Президенте РФ или в ФСБ могут принимать неверные решения относительно рисков кибербезопасности. Главное, что люди скорее всего не осведомлены о когнитивной психологии и о том, почему и как они принимают решения в условиях отсутствия хоть какой-либо значимой статистики по киберрискам. И решить эту проблему можно не столько путем включения в эти советы экспертов по кибербезопасности (они там есть, на самом деле, но очень уж однобокие, на мой взгляд), сколько включением специалистов по когнитивной психологии.

Кстати, если спуститься с высот национальной безопасности на грешную землю, то ровно те же самые проблемы существуют и в более приближенных к нам направлениях деятельности специалиста по кибербезопасности. Например, при моделировании угроз. Мы недооцениваем одни опасности и переоцениваем другие. В условиях отсутствия адекватной статистики (или ее быстрого устаревания) мы опираемся на собственные суждения и попадаем в описанные выше ловушки когнитивных искажений, что и приводит к тому, что мы постоянно сталкиваемся с успешными атаками хакеров на наши активы.


ЗЫ. Кому интересно погрузиться в тему когнитивной психологии, могу порекомендовать книгу Канемана "Думай медленно... Решай быстро" (переведена на русский язык), книгу Канемана, Словика и Тверски "Принятие решений в неопределенности", а также статьи Элиезера Юдковского (вообще он специализируется на ИИ, но немало посвятил и когнитивным искажениям).

06.05.2019

Оценка ущерба от инцидентов ИБ (возможный подход)

На ряде последних мероприятий по ИБ, в процессе общения с коллегами, я неоднократно слышал лестные отзывы о том, что ФСТЭК обещала подготовить и опубликовать до конца года методички по моделированию угроз для КИИ и по оценке ущерба для них же. А что же вы сейчас делаете, - спрашивал я у коллег. А мы ждем! Вдруг сделаем неправильно и ФСТЭК нас за это накажет в соответствие с планируемым штрафом по КоАП?! Очень интересная позиция, которая показывает, что мы никак не уйдем от этого идолопоклонства перед регулятором и надежду на то, что он-то уж лучше знает, как оценивать угрозы и ущерб для бизнеса, которым регулятор никогда не занимался.

И это при том, что у многих компаний, являющихся субъектами КИИ, уже проведены мероприятию по оценке рисков и разработаны примерно вот такие карты негативных бизнес-событий с экспертной оценкой их вероятности и размера последствий.


В анализе "кибернетических рисков", как иногда говорят чиновники и другие далекие от ИБ персонажи, они применяются давно и в целом безуспешно, разве что позволяя хоть как-то приоритезировать усилия по управлению ими. Правда, в условиях попытки оценивать вероятность будущих событий в непрерывно изменяющемся мире и технологий и угроз, выглядит это достаточно странно. Вчера у вас атак на блокчейн не было, сегодня тоже нет, значит ли это, что и завтра их не будет?


Ну да ладно. Фиг с ней, с вероятностью. Пусть будет экспертная оценка. Попробуем разобраться с ущербом. Вроде как умные люди на разных мероприятиях говорят, что с бизнесом надо говорить на языке бизнеса, а он понимает только язык денег. Поэтому ущерб надо считать в деньгах.


И вот тут наступает ступор. Причем не только у безопасников, но и у самого бизнеса, который далеко не все и не всегда считает именно "рублем" (не зря же в свое время придумали систему сбалансированных показателей), а безопасники с него требуют оценки именно финансовой. Но это не всегда и нужно. Если вернуться к набившему оскомину совету "говорите с бизнесом на его языке", то мы должны вспомнить, что бизнес - это операции, в результате которых субъект КИИ получает прибыль (ну или наращивает выручку, или увеличивает долю рынка). Соответственно нарушение этих операций влияет на бизнес-показатели организации и должно быть нейтрализовано. Или застраховано, или принято, если нарушение несущественно. Вот влияние киберугроз на бизнес-операции и должны быть оценено. Именно на бизнес-операции, а не вообще на то, что может быть измерено. А что может относиться к измеримым и универсальным показателям бизнес-операции? Изменение стоимости чего-то или количества чего-то (не забывая про время, которое влияет на оба показателя). Вот их-то мы и оцениваем при измерении ущерба. Например, вот ряд "универсальных" метрик при оценки ущерба (они могут встретиться почти в любой компании).


Само собой, могут быть и специфические метрики. Например, в рамках генерации электроэнергии может применяться вот такой показатель. За ним, безусловно, может стоять какой-нибудь инцидент ИБ, который и приводит к снижению генерируемых мощностей. А может и не стоять, что чаще всего и бывает. И тогда такой инцидент врядли заинтересует бизнес и уж точно, объект, на котором такой инцидент произойдет врядли будет считаться значимым.


Но иногда бизнес обращается внимание не только на показатели бизнес-операций. Например, в одной крупной отечественной финансовой организации председатель правления оценивает инциденты ИБ (именно он - ниже применяется более привычная классификация) по PR-масштабу. Попали сведения об инциденте в прессу - инцидент важный (даже если на бизнес-операции он напрямую никак не повлиял - а гудвил или репутационный ущерб у нас считать как-то непринято); не попали - неважный. Поэтому для таких инцидентов может потребоваться своя градация ущерба - от несущественного до катастрофического).


Разумеется, часть из описанных метрик являются результатом сложения метрик более детальных, получаемых в рамках декомпозиции. Например, тот же финансовый ущерб может складываться из следующих параметров:
  • стоимость прямых потерь от нарушения бизнес-операций
  • стоимость восстановления бизнес-операций
  • снижение стоимости акций (стрёмный показатель, но иногда тоже поддается измерению)
  • размер штрафов
  • упущенная выгода (если вы можете ее посчитать)
  • снижение лояльности заказчиков
  • замена оборудования или повторный ввод информации
  • взаимодействие с пострадавшими заказчиками
  • и т.д.
Подводя итог, хочется еще раз сформулировать ключевые области, которые стоит брать во внимание во время оценки ущерба от возможных инцидентов ИБ:
  • Что остановит или замедлит операции в вашей организации (что характерно, это применимо не только к коммерческим предприятиям, но и к государственным)?
  • Что приведет к снижению прибыли / выручки / маржинальности / доли рынка вашей компании?
  • Что приведет к снижению качества предоставляемого продукта / услуги?
  • Что приведет к негативному влиянию на цель компании / бизнес-подразделения / бизнес-проекта / executive sponsor?
А все остальное мы отбрасываем за ненадобностью, так как оно не несет ничего ценного для бизнеса и тратить на него ресурсы компании и свои время и энергию нецелесообразно.

Да, кстати. Ровно эта идея и заложена в ПП-127 по категорированию объектов КИИ. Но там оно описано слишком высокоуровнево и без примеров. Может в методике ФСТЭК это все будет, но появиться она в любом случае позже сроков составления перечня объектов КИИ, прописанных в ПП-127. Так что не тяните, а еще раз посмотрите на то, что вы делаете в контексте категорирования своих объектов КИИ и попробуйте посмотреть на эту задачу с точки зрения бизнеса. В кои-то веки у вас появляется возможность увязать свою деятельность с тем, что нужно ему, а не только регулятору.

30.04.2019

Безопасность на полшишечки

За последний месяц я посетил несколько крупных мероприятий по ИБ - московский "Код ИБ. Профи", CISO Forum, питерский Код ИБ, SOC Forum в Казахстане, Cisco Connect и везде меня преследовало ощущение, что все-таки многолетняя ориентация на регуляторов сильно испортила современных безопасников, у которых сформировано неполноценное представление о том, для чего нужна кибербезопасность.

Возьмем, к примеру тему SOC. Да-да, вновь она. У нас в Кракове есть аутсорсинговый SOC, где мы часто слышим просьбу взять на мониторинг заказчика, у которого из всех средств защиты только МСЭ да антивирус. Но дело даже не в том, что тут нечего эффективно мониторить. Проблема в другом. На вопрос, есть ли у заказчика люди, которые готовы реагировать на инциденты или хотя бы принимать рекомендации от SOC, ответ часто отрицательный. То есть столь разрекламированный SOC воспринимается только как центр мониторинга, хотя эту функция является для SOC не основной. Мониторинг - это всего лишь прелюдия перед реагированием. Зачем вам видеть проблему и не иметь возможность как-то среагировать на нее? Получается безопасность на полшишечки.

Шишки конопли, от которых и пошло выражение "на полшишечки", отражающее дозировку 
В управлении уязвимостями та же проблема. Производители сканеров выпускают решения для поиска уязвимостей, но потребителю нужно другое - устранение дыр. А эту тему никто производители ИБ не копают - слишком она сложна и плохо автоматизируема. Заказчики, кстати, тоже часто подменяют одну задачу другой. Устранение дыр они отдают своим айтишникам. Мол, я сканер запустил, 100500 страниц отчета со списком дыр сгенерил, а дальше пусть уже ИТ разбирается - им за это деньги платят. Опять безопасность на полшишечки.

Что у нас еще из популярных тем? Threat Intelligence. Очень часто она ассоциируется с фидами и индикаторами компрометации. Сколько источников фидов нам нужно? Пять? Десять? Сто? Тысяча? И мало кто задумывается, что Threat Intelligence - это информация об угрозах и нарушителях, которая используется для принятия решений. Ключевое тут "принятие решений", а не "информация об угрозах". Та же проблема присуща и системам обнаружения вторжений, которые часто оценивают по числу сигнатур обнаруживаемых атак, а не по возможностям предотвращения, блокирования и интеграции с другими средствами защиты.

Что у нас еще из актуального? Измерения ИБ. Все гоняются за метриками, которые должны показать вклад ИБ в бизнес; ну или не в бизнес. Но... и тут у нас безопасность не до конца, на полшишечки. Измерение же ИБ нужно не само по себе, а для принятия решений по результатам измерений. Вот хотим измеряем мы число инцидентов ИБ и ставим себе цель сделать это число менее 100 в месяц. Но чтобы это сделать, нам нужно внедрять мероприятия, которые позволят снизить это число, а они могут быть достаточно непростыми и длительными. Или метрика для оценки времени между обнаружением уязвимостью и ее закрытием. Этот временной параметр должен уменьшаться, но сделать это не так уж и просто и потребует налаживания контакта с той же ИТ-службой и внедрением ряда организационных и технических мероприятий.

В конце концов ИБ у нас тоже часто на полшишечки. Мы боремся с хакерами или выполняем требования регуляторов, но бизнесу нужно иное. Ему нужно увеличивать прибыль. Или выручку, Или долю рынка. Да мало ли что ему нужно. Но точно не выполнять требования регуляторов, которые рассматриваются как налог (хотя штраф за невыплату этого налога меньше дневной зарплаты гендиректора) и не с хакерами бороться, которые гораздо менее опасны и гораздо дешевле чиновников и иных облеченных властью людей. Но мы упорно держимся за эту историю и киваем на регуляторов, которые нам помогают чувствовать свою нужность :-(

Выйти же из этого тупика достаточно просто. Называется этот метод "Пять "Зачем" или "Пять "Почему" и заключается он в том, чтобы найти причинно-следственные связи в том или ином явлении. В нашем случае мы при запуске любого проекта/программы/инициативы по ИБ должны задать вопрос "Зачем?" или "Почему?" и делать так пять раз, задавая этот вопрос на предыдущий ответ. В итоге мы должны найти первопричину, то есть понять, зачем мы занимаемся ИБ? Правда, у этого метода есть и недостаток - неспособность задающих вопросы выйти за пределы своих знаний. И если они ограничены только угрозами и compliance, то к бизнесу даже "Пять "Почему" не дадут подобраться - безопасник просто не знает о задачах, стоящих перед бизнесом :-(

ЗЫ. А впереди еще несколько крупных мероприятий по ИБ - PHDays, ITSF, Offzone, ICC и думаю там тоже будет немало безопасности на полшишечки. Кстати, фраза "на полшишечки" пришла из наркоторговли - так определяли дозу марихуаны, приготавливаемой из шишек конопли. А уж потом эта фраза пошла дальше, не сильно изменившись по сути.

29.04.2019

5 советов, от которых зависит успешность вашего SOC (презентация)

Опираясь на опыт службы ИБ Cisco, имеющей SOC с 19-тилетней историей, опираясь на опыт проектирования и построения SOC у сотни заказчиков, и опираясь на опыт аутсорсинга SOC у другой сотни заказчиков, у нас накопился большой опыт в области центром мониторинга ИБ и реагирования на инциденты. И вот для выступления на SOC Forum KZ я выбрал 5 советов, недооценка которых может сделать проект по SOC неудачным. Это не единственные советы, но за 20 отведенных мне минут, больше просто не получилось. Презентацию выкладываю на Slideshare (не у всех покажется).



Неделей позже на санкт-петербургском "Код ИБ", который был посвящен теме SOC, мне удалось расширить эту презентацию в три раза, рассказав за полтора часа уже 14 советов из опыта Cisco проектирования и построения собственного и чужих SOCов. Видео этого мастер-класса должно быть выложено на сайте Академии Кода ИБ в ближайшее время.


А 15-16 апреля я в эту тему смог погрузиться еще глубже - в Алматы и Нур-Султане у меня было от 4 до 7 часов, выделенных только под мой рассказ про SOC. По отзывам получилось неплохо. Но эта презентация была наполнена инсайдами внутренней кухни Cisco и я не планирую ее выкладывать. Однако частично рецептами этой кухни я делился на Cisco Connect в конце марта, где у меня было два доклада - про выстраивание security operations и про некоторые аспекты обеспечения ИБ внутри Cisco. Обе презентации с видеозаписями моих выступлений выложены на сайте конференции (там много выложены и остальные записи с потока по ИБ).

08.04.2019

ФСТЭК катится по наклонной

На днях широко известная в широких кругах сенатор (или сенаторша) Мизулина написала обращение в Генпрокуратуру по поводу занятий йогой в московских СИЗО. По мнению Мизулиной позы йоги вызывают "неконтролируемое сексуальное возбуждение, а это в свою очередь может привести к гомосексуализму в изоляторах"! Хорошее начало, да?! Эта новость иллюстрирует оторванность от жизни тех, кого мы выбрали или считаем, что выбрали. Тоже самое относится и к чиновникам.

После пятничной заметки мне довелось поучаствовать в нескольких дискуссиях и я вроде понял, почему ФСТЭК рождает в последнее время такие документы. Они также становятся оторванными от жизни, как и депутаты. И тому есть две причины. Первая заключается в том, что ФСТЭК сама не сталкивается со многими процессами, для которых она пишет требования по ИБ. У нее нет облаков, она блокирует использование мобильных устройств, она не использует средства аналитики ИБ и TI (вы когда-нибудь слышали про SOC ФСТЭК?). Да и средства защиты, которая она использует, только сертифицированные и преимущественно отечественные. То есть сама ФСТЭК не понимает проблем регулируемых ею потребителей.

Решить проблему отсутствия собственной экспертизы можно было бы путем приглашения внешних экспертов и раньше так оно и было. Но в последнее время круг приглашенных лиц сократился (уж не знаю почему - сверху такое распоряжение спустилось или это инициатива самого регулятора) и работают они, как правило, в лицензиатах ФСТЭК. А вот теперь представьте - вы приглашаете 10 разработчиков, ну допустим, систем обнаружения атак, которые свои продукты разработали на базе взятых Snort или Suricata, просто добавив к ним интерфейс управления и интегрировав с другими средствами защиты этого же разработчика (например, с МСЭ). Собрались эти разработчики и их спрашивают: "А вот надо ли нам требовать от IDS использования машинного обучения в дополнение к сигнатурам и обнаружению аномалий?" Ну все, как один, отвечают: "Нет, не надо" и их можно понять. Если такое требование включить, то российские вендоры должны будут у себя развивать экспертизу по ML, что непросто. Поэтому большинством голосов требование не принимается.

Или вот еще пример. Тех же разработчиков IDS (СОВ) спрашивают: "А давайте мы разрешим обновления знаний об угрозах брать не только от вас, но и вообще откуда угодно, чтобы повысить эффективность обнаружения?". Все в один голос отвечают: "Нет, не надо". И снова разработчиков можно понять. Это же надо разрабатывать интерфейсы для поддержки STIX/TAXII, OpenIOC, CyBOX и т.п. стандартов и протоколов. А потребитель сравнит частоту обновления от вендора и от бесплатных источников и начнет задавать вопросы. Зачем это нужно вендору?

И вот так по многим пунктам, которые могли бы установить прогрессивные требования, но они не проходят. А разработчиков решений (увы, в основном западных или азиатских) обычно не зовут на такие встречи. Конкуренция будет не в пользу отечественных производителей средств защиты информации, интересны которых все-таки ФСТЭК защищает. Отсутствие же конкуренции приводит к печальным последствиям - рынок стагнирует и вырождается.

А еще ФСТЭК зачем-то стала навешивать на свои документы пометку "для служебного пользования". И вот это решение мне совершенно непонятно. Чего добивается регулятор ограничением доступа к документам, которы, вообще-то должны быть доступны широкому кругу потребителей. Я слышал несколько версий происходящего. Одна из них заключается в том, что ФСТЭК хочет сфокусироваться на защите госорганов, которые могут без проблем получить ДСП-документы. Возможно. Но эти же требования распространяются и на ряд коммерческих организаций, коих немало. Вторая версия конспирологическая. Мол, попав в руки иностранных спецслужб, требования ФСТЭК могут подорвать национальную безопасность. Ну ржака же... Ничего секретного в данных документах нет. А самое главное, что достать эти документы не представляет особого труда. Их даже в Интернете можно найти, не говоря уже о даркнете. То есть и эту задачу пометка "ДСП" не решает (тем более, что коммерческая компания не несет никакой ответственности за разглашение таких документов). Иногда появляется мысль, что ФСТЭК просто стесняется этих документов и всеми силами старается ограничить доступ к ним и, самое главное, публичные комментарии. Но я всегда отбрасываю эту мысль, как невероятную. Кстати, многие документы ФСТЭК с пометкой "ДСП" затрагивают права, свободы, законные интересы и обязанности организаций и доступ к ним не может ограничиваться. Более того, сама по себе эта пометка вступает в противоречие с действующей нормативно-правовой базой.

Когда-то, начиная с 2013-го года, я считал, что ФСТЭК стала на путь исправления и теперь станет прогрессивным регулятором, считающимся с мнение отрасли и не только устанавливающим требования по защите, но и толкающим отрасль вперед. Но последние и неоднократные действия регулятора похоже возвращают ФСТЭК во времена СТР-К, "четверокнижия по ПДн" и др., которые "царствовали" в начале 2000-х. Жаль... Похоже скоро я напишу такую же заметку, как когда-то написал про персданные и Роскомнадзор. Вернусь к тому, для чего я изначально затевал блог, - к бизнес-ориентированным заметкам.

05.04.2019

Почему ФСТЭК блокирует использование облачных платформ Threat Intelligence?

Продолжу-ка я тему, начатую позавчера, и разверну вопрос, упомянутый вскользь, - облачная аналитика Threat Intelligence. Я упомянул, что новые сертификационные требования ФСТЭК по требованиям безопасности фактически делают невозможным оперативное получение данных об угрозах из облаков. Причина такого решения ФСТЭК мне понятна - они опасаются нанесения ущерба защищаемым объектам из таких облаков. Рисков два - утечка информации из защищаемой сети в облако и получение из него вместо обновлений вредоносного кода.

Что можно сделать в такой ситуации? Как, например, можно обновлять антивирус или систему обнаружения атак, требующие регулярного получения сигнатур? Флешка - самый простой вариант, который нередко используется сертифицированного решениями. Или создается нечто вроде прокси-шлюза, который отвечает за обновление всех средств защиты внутри защищаемого объекта, а сам он обновляется с помощью той же флешки или через однонаправленный канал. Например, именно такой вариант используют те же решения "Лаборатории Касперского", которые применяют не обычную KSN, а ее приватную версию - KPSN (Kaspersky Private Security Network). Кстати, и при сертификации "Касперского" подавалась именно KPSN, а не KSN. Схожая схема используется в тех же решениях Cisco, которые могут обмениваться данными с облачной песочницей Threat Grid, а могут с локальной, работающей даже в режиме "air-gap". EDR-решение Cisco AMP имеет как управление из публичного облака, так и из частного. Но вариант с флешкой или локальным сервером обновления (или той же "песочницей") работает только в случае, когда источник обновления всего один - от самого вендора средства защиты.


Но сегодня нельзя доверять одному вендору. И дело не в том, что он может прекратить свое существование или неоперативно обновлять свои средства защиты. Он не может "видеть" и знать все и обо всем. Например, он может хорошо разбираться в угрозах для финансовых организаций, но не иметь представления о промышленных атаках. Или он может прекрасно разбираться в атаках, присущих для европейского региона, но не "видеть" азиатских или американских операций хакеров. В любом случае потребитель хочет иметь возможность резервировать источники получения информации об угрозах. Поэтому сегодня многие современные защитные решения поддерживают функцию работы с различными TI-сервисами по стандартизованным протоколам - STIX/TAXI, OpenIOC, CyBOX и т.п. В этом случае вы можете существенно повысить эффективность купленных решений.


Но не в том случае, если вы хотите использовать сертифицированное ФСТЭК решение, так как было показано выше облачная аналитика угроз де-факто недопустима регулятором. Вы еще можете заменить флешкой один источник данных TI. Ну два; ну три. Но десятки или даже сотни уже нет. И вы встаете перед выбором - иметь сертификат и отказаться от оперативного обновления средства защиты данными о новых появляющихся атаках (оперативно - это один раз в 3-5 минут, а не один раз в день) или нарушить сертификат, повысив защищенность своей компании и подключив множество внешних TI-источников напрямую. Правда, последний вариант у меня вызывает вопросы, так как и сертифицировать решение с поддержкой таких подключений в ФСТЭК нельзя. Третий вариант я озвучил позавчера - забить на сертификацию и начать дышать полной грудью, выбирая то, что нужно, а не то, что есть в реестре сертифицированных решений (рабочий вариант, если вы не госорган).

ЗЫ. Да, стоит отметить, что описанные проблемы касаются только тех решений (а они преимущественно не отечественные), которые умеют работать не только со своими источниками обновления, но и с независимыми внешними источниками. Если же у решения только один канал получения сигнатур, данных по уязвимостям, индикаторов компрометации, то достаточно, чтобы производитель смог подтвердить доверенность канала обновления (хотя это отдельная тема - доверие к каналу и источнику обновления) или возможность получения обновлений на флешке или через локальный сервер.

ЗЗЫ. Отдельный вопрос - как проверить облачную площадку на соответствие новым требованиям к доверию? Ведь такое облако является частью сертифицируемого решения и его тоже надо "подавать" на оценку соответствия. И что-то я пока не вижу, как можно новую методику ФСТЭК по поиску НДВ и уязвимостей применить к облачной платформе, неотчуждаемой от вендора (и уж тем более расположенной за пределами РФ)?

04.04.2019

Как устроена безопасность внутри Cisco: зарисовки

На прошедшей неделе в Москве прошла Cisco Connect, где мне довелось не только провести интеллектуальную игру по сетевой безопасности, но и трижды выступить про КИИ, SecOps и то, как устроена безопасность внутри Cisco. Так как первые две упомянутые презентации касаются решений Cisco, а я стараюсь в блоге не писать про решения работодателя, то выложу только последнюю презентацию, тем более, что она может быть интересна многим предприятиям, которые выстраивают у себя систему ИБ и часто ориентируются на то, как это сделано у других.

Учитывая, что про нашу внутреннюю кухню ИБ можно говорить долго (даже на базе публичной информации), а у меня был всего один час, я решил сделать некоторые зарисовки, описывающие как технические, так и организационные аспекты. Про Cisco Security Ninja я уже писал на Хабре. Про мониторинг нашей инфраструктуры тоже; как и про контроль сетевого доступа. В этот раз я погрузился в детали того, что такое Trusted Enterprise в нашей трактовке и из каких четырех столпов оно состоит, а также в то, что такое C-Bridge, решение, которое позволяет нам мониторить удаленные и недоверенные площадки, подключаемые к нашей корпоративной сети. Ну и специально, чтобы показать, что нельзя построить эффективную ИБ только из готовых, купленных на рынке компонентов, я рассказал о системе iCAM, которую мы написали самостоятельно и которая является объединением двух технологий DLP и UEBA. Про наши собственные open source разработки я также уже писал - про GOSINT, про OpenSOC, про OpenGraphiti и про кучу других.



ЗЫ. Возможно скоро на сайте мероприятия выложат видео этой презентации.

03.04.2019

Авторский вечер Алексея Лукацкого "Look At Sky"

Разбавим утренний негатив и чем-нибудь позитивным :-) Спустя 15 лет работы в Cisco дожил до авторского вечера для директоров по ИБ - "Look At Sky Party". Благодаря помощи золотого партнера Cisco, компании Step Logic, вечеринка пройдет в стиле "Звездных войн". Ростовые куклы (в том числе обещана моя кукла :-), настоящий R2D2, рассекающий гостей надвое, голографический бар с реальными напитками и мной, возможно, в роли бармена, игровые автоматы, обучение фехтованию на световых мечах, бизнес-игра и всякое разное другое. Регистрация для директоров по ИБ по адресу - https://ru.surveymonkey.com/r/32S685B


ЗЫ. За регистрацию я не отвечаю. Промо-кодов и контрамарок нет :-)

Новые требования ФСТЭК по сертификации еще больше сужают рынок средств защиты

Вчера на сайте ФСТЭК было опубликовано информационное сообщение об утверждении требований по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Данный документ вступает в силу с 1-го июня 2019 года и приходит на смену РД на  НДВ, который по сути прекращает свое действие. Новые требования по доверию, о которых ФСТЭК говорила уже давно, являются обязательными для всех разработчиков средств защиты и заявителей на сертификацию ФСТЭК. Уже становится традицией, что этот документ, а также идущая с ним в паре методика выявления уязвимостей и недекларированных возможностей, носят пометку "для служебного пользования" и широкому кругу лиц недоступны.


Меня в этом информационном сообщении заинтересовал только один пункт, а именно следующий: "Разработчикам и производителям сертифицированных средств защиты информации рекомендуется с привлечением испытательных лабораторий провести оценку соответствия средств защиты информации Требованиям к уровням доверия и представить результаты в ФСТЭК России для переоформления соответствующих сертификатов соответствия. Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. N 55, может быть приостановлено" (выделение мое).

Если читать этот абзац буквально, то все действующие сертификаты должны быть пересмотрены до 1-го января следующего года (вот у испытательных лабораторий работки-то подвалит) и в них должны появиться приписки по поводу соответствия требованиям по доверию. Не хочется быть гонцом с плохими вестями, но подозреваю, что не все разработчики, особенно зарубежные, смогут пройти проверку даже на 6-й уровень доверия, что означает для некоторых разработчиков, что их попросят "выйти вон" с рынка. И все в рамках абсолютно законной процедуры, направленной на повышение национальной безопасности.


Надо заметить, что после фактического запрета на сертификацию решений с облачной Threat Intelligence (а куда сейчас без нее) многие применяемые в России продукты и так были несертифицируемы, но новый посыл регулятора недвусмысленно дает понять взятый курс. Отсюда простой вывод (как мне кажется) - коммерческим компаниям надо прекратить заморачиваться вопросом с сертификацией по требованиям безопасности (на безопасность это не влияет никак, а ограничивает очень сильно), а государственным органам можно только посочувствовать - возможности выбора ими средств защиты станут с одной стороны проще (продуктов останется совсем мало), а с другой стороны сложнее (конкуренция падает, а за ней и качество).

ЗЫ. Но есть и хорошие новости. Но после обеда :-)