28.11.14

Еще одна оценка рынка ИБ индустриальных систем

До недавнего времени существовало три более менее адекватных отчета по анализу рынка безопасности индустриальных систем:
  • "Industrial Control Systems Security. SCADA Security, Industrial Control Networks, Human-Machine Interfaces, Device Controllers, and SCADA Telecommunications: Market Issues, Best Practices, and Global Forecasts" от Pike Research
  • "Industrial Control Systems (ICS) Security Market - Global Advancements, Market Forecast and Analysis (2013 - 2018)" от Markets and markets
  • "ICS Cyber Security Solutions" от ARC Advisory Group.
И вот новый отчет - "IoT and Industrial Control System Security. Annual Worldwide and Regional Market Size and Forecasts: 2014" от Infonetics Research. Новый игрок на рынке аналитики безопасности индустриальных решений.

Отчет вызвал у меня неоднозначное отношение. Лишний раз убеждаюсь, что тема индустриальной ИБ нова для многих - и для производителей, и для регуляторов, и для потребителей и для аналитиков. Иначе чем еще можно объяснить такие серьезные отличия в оценках рынка?

В отчете ARC в 2018-м году объем рынка должен составлять 3,7 миллиарда долларов с почти 14% ежегодного роста. В отчете Markets and markets при 8-мипроцентном росте объем рынка в том же 2018-м составит 10 с небольшим миллиардов долларов. А в отчете Infonetics размер рынка в 2018-м году составит каких-то без малого 700 миллионов долларов; при этом ежегодный рост составляет 66%. По обоим показателям ошибка на порядок - в одном случае в меньшую сторону, в другом - в большую.

Начинаешь копать глубже и понимаешь, что аналитики Infonetics вообще мало понимают в предмете анализа. Североамериканскую электроэнергетическую корпорацию (NERC) они упорно именуют NERTом, а вместо IoT часто пишут IOS (налицо выпуск документа в спешке). Основным потребителем решений по индустриальной безопасности они считают нефтегаз, хотя на самом деле это электроэнергетика (электроэнергетика и Smart Grid в отчете вообще не анализируется). Вся безопасность по версии Infonetics - это распределенные МСЭ. Активно упоминается применение виртуальных машин для развертывания средств защиты на контроллерах и иных элементах индустриальной сети.

А прогноз развития рынка у Infonetics и вовсе по уникальной методике производится. Они вполне закономерно заявляют, что рынок новый и поэтому адекватных цифр по продажам в этот сегмент найти сложно. Но дальше они проделывают трюк, который я так и не понял. Они как-то аппроксимируют общее число проданных в мире МСЭ, деля его на примерное число индустриальных устройств, и выводят число индустриальных МСЭ, которое и приравнивают к общему рынку индустриальной ИБ.

А еще аналитики Infonetics  (а точнее всего один аналитик) каким-то непостижимым мне образом посчитали, что рынок индустриальной ИБ и рынок телекома развиваются по одинаковым законам. Поэтому не понимая тенденций развития первого рынка, они применили тенденции рынка второго, уже хорошо знакомого Infonetics (они по нему отчеты давно выпускают). А дальше второй фокус, который я не понял. Взяв из операторского бизнеса такое понятие как ARPU (average revenue per user, средняя выручка в пересчете на абонента) Infonetics как-то увязал его со стоимостью, масштабом и типом МСЭ, переименовали в average revenue per unit (откуда они берут выручку на устройство?), после чего на выходе родилась цифра рынка индустриальных МСЭ, которая удивительным образом совпала с цифрой из предыдущего абзаца. Видимо это убедило аналитиков, что они на верном пути и отчет был представлен миру.

ЗЫ. Вступил в переписку с автором отчета и утвердился в мнении, что они только-только влезли в эту тему по просьбе своих клиентов и поэтому им еще пахать и пахать в ней.

27.11.14

Куда глядят российские ИБ-стартапы?

Продолжу тему отечественных стартапов по ИБ. Сегодня, в условиях непростой геополитической ситуации, когда многие компании начинают смотреть в сторону импортозамещения и искать аналоги используемых у себя зарубежных решений их отечественными копиями, ИБ-стартапы могут получить неплохой толчок к развитию. С учетом одного "но". Стартап должен быть ориентирован на работу в России.

Бытует мнение, что стартап обычно создается, чтобы продаться крупной компании. Возможно. Это неплохо. Получить деньги за свой труд - вполне нормальная бизнес-стратегия. И не так уж и важно, откуда эти деньги пришли - из зарубежа или из России. Хорошо, конечно, если они имеют отечественное происхождение. А что если нет? Для создателей стартапа это не так уж и важно. Деньги не пахнут, как говорится. Но вот в контексте информационной безопасности в условиях импортозамещения это может иметь значение.

Во-первых, грядущий выход нормативного акта определяющий, что считать отечественным, а что нет. Продажа стартапа на Запад или получение иностранных инвестиций в обмен на контрольный пакет акций могут превратить изначально отечественное решение из спасения в угрозу (хотя мы прекрасно понимаем, что продукт при этом остался тем же, а может быть даже стал лучше).

Во-вторых, существует риск, что отечественный стартап может перейти под контроль спецслужб. Например, в начале года Palo Alto купила небольшую американскую Morta Security, имеющую отношение к Агентству национальной безопасности и Министерству Обороны США. Но ведь возможна и обратная ситуация?! Опять же, для стартапа - это и нехорошо и неплохо. А вот для цифрового суверенитета все не так просто.

Вообще-то, и первый и второй сценарий не является чем-то уж совсем плохим. С точки зрения бизнеса у них вообще нет никакой окраски. Один человек захотел продать, другой купить. Все нормально. Только вот для апологетов "исконно русских" решений по ИБ стоит подумать, а что делать, если владелец продукта решил заработать на своем детище (вполне нормальное и адекватное желание)? Готовы ли апологеты к такому повороту событий? Может быть сразу стоит искать только стартапы, ориентированные на работу в России (в надежде, что со временем они не пойдут на Запад за инвестициями)? А может быть ИБ-стартапам запретить смотреть "на сторону"?

Поучаствовав в конкурсе Сколково iSecurity могу выделить несколько критериев, которые помогают понять устремления владельцев/авторов ИБ-стартапа. Некоторые участники прямо писали в своих заявках, что они ориентированы на западный рынок, сравнивали себя с западными аналогами, и даже уже подали патентные заявки в США, как наиболее привлекательном рынке сбыта.

Краткое сравнение стартапов, ориентированных на Запад и на Россию

Неужели стартап, смотрящий на Запад, это плохо? Ни в коем случае! Мне хотелось показать немного иное. Сегодня, в условиях непростой экономической ситуации ждать серьезной помощи и инвестиций от государства в ИБ-стартапы не приходится. Тот же победитель конкурса iSecurity получил "от государства" 5 миллионов рублей, а частная Runa Capital в него же инвестировала не менее 500 тысяч долларов, что по нынешнему курсу составляет свыше 20 миллионов долларов. А ведь есть много компаний, которые не выигрывают конкурсов и могут рассчитывать только на себя. Им приходится искать инвесторов везде, в том числе и заграницей. Ругать их за это было бы неправильно. Не считать российскими - тоже.

Вообще, разговоры о отечественности или неотечественности софта/железа в современных реалиях - это утопия. Про это неплохо написал гендиректор Acronis Сергей Белоусов. По его мнению, попытка Минкомсвязи ввести критерии обрекут отечественную отрасль ИТ и ИБ на прозябание, а то и загнивание. В условиях глобализации, когда все используют ресурсы (финансовые, человеческие, интеллектуальные) всех, нельзя ограничить развитие компании/продукта только одной страной. А если кто-то хочет это сделать, он должен вкладывать туда колоссальные ресурсы и обеспечивать разработчиков госзаказом. Вот тогда можно будет рассчитывать, что ИБ-стартапы будут "исконно русскими" и не будут смотреть на Запад, создавая дополнительные угрозы ИБ.

26.11.14

Видео моего выступления на BIS Summit 2014

О! Наткнулся на видеозапись моего выступления с прошедшего в сентябре BIS Summit 2014, где я вещал про финансовое измерение ИБ.



Организаторам еще раз спасибо за отличное мероприятие и то, что дали возможность участникам (и тем, кто не смог) и по окончании знаменательного события вернуться к наиболее интересным докладам и запомнившимся выступлениям (они выложены на сайте конференции).

Краткий анализ результатов конкурса стартапов по ИБ iSecurity

Этой осенью проходил конкурс стартапов по ИБ iSecurity, организованный фондом "Сколково", и в жюри которого мне довелось поучаствовать. Как написано на сайте проекта, "iSecurity - конкурс инновационных проектов по теме информационной безопасности представляющий победителю грантовое финансирование и менторскую поддержку лучших профессионалов отрасли".

Сначала я хотел посвятить каждому проекту по отдельной заметке, но оказалось, что это сделать непросто, т.к. фонд Сколково не мог мне дать право рассказывать об участниках без их согласия. А опрашивать несколько десятков инициаторов проектов - хотят они или нет, чтобы я про них написал (не всегда хорошее), мне было лень, если честно. В итоге имена участников так и останутся за кадром, а я поделюсь общим впечатлением от участия в жюри конкурса.

Сразу отмечу, что оценщик из меня плохой и я уже писал, почему :-) Поэтому, наверное, победа в конкурсе компании Wallarm была закономерна. При уже готовом и продаваемом продукте несложно было правильно его описать и получить если не максимальное, то большое количество баллов по большинству критериев оценки, среди которых:

  1. Достаточность предоставленной информации о проекте 
  2. Соответствие тематике Конкурсного отбора
  3. Потребительские свойства разрабатываемого в рамках проекта продукта
  4. Научно-техническая инновационность проекта
  5. Вероятность достижения заявленных показателей проекта с учетом требований настоящего Положения
  6. Перспективы коммерциализации проекта при достижении заявленных показателей
  7. Команда поекта

Несоответствовал тематике только один стартап, предложивший какую-то новую схему переработки рисовой лузги и соломы, с получением золы с содержанием диоксида кремния :-) Может быть оно и имеет отношение к безопасности, но явно не к информационной. Но, когда я читал эту заявку, взбодрила она сильно :-) Остальные же конкурсанты предлагали проекты по тематике ИБ. Я позволил себе разбить их по направлениям и получилась вот такая картина:

Представленные проекты стартапов по направлениям
Не вдаваясь в детали по каждому наименованию могу только отметить, что в проекте участвовали компании, которые предлагали как традиционные, так и облачные решения в области безопасности. Например, SaaS-сервис по защите сайтов (остальные предложения в этом сегменты были традиционными WAFами), облачный сканер исходных кодов (и это не Appercut :-), облачная система анализа рисков.

Анахронизмом, на мой взгляд, выглядел проект по защите от копирования (с конца 90-х я про такие решения для защиты ПО и не слышал уже давно), проект по защите ПДн (тема до сих пор "горячая", но явно не для стартапа) и 5 проектов от одной компании по защите от утечек по техническим каналам. Не могу сказать, что последняя тема неактуальна, но явно имеет очень узкое применение даже в России, не говоря уже о проникновении на мировую арену. Именно поэтому я этим проектам снизил оценки по показателям 3, 4 и 6.

Были проекты, безусловно, очень интересные, но имеющие малые шансы на то, чтобы получить хоть какое-то практическое применение. Например, стартап по гомоморфному шифрованию. В условиях засилья ГОСТа 28147-89 и нежелания ФСБ хоть как-то развивать рынок криптографии в России, этот проект обречен. Поэтому по 6-му показателю у этого проекта была самая низкая оценка.

В сегмент идентификации и аутентификации я включил разнородные проекты - и голосовую аутентификацию, и систему идентификации пользовательских устройств, и традиционную систему идентификации/аутентификации, но для определенной сферы применения. В остальном разбиение на сегменты не должно вызывать вопросов.

Теперь несколько слов о том, как были представлены проекты. Ряд проектов еще не вышел за рамки изучения своей рыночной ниши и поэтому их авторы могли много чего сказать и написать в заявке о своих конкурентах (и как новый продукт их порвет), но мало что могли сказать о своем продукте, кроме как описать главную идею. Хотя некоторые даже идею не могли грамотно сформулировать - приходилось продираться через сложные формулировки с растеканием по древу. Наверное, именно поэтому, многие проекты у меня получили низкую оценку. Я так и не смог понять, за счет чего какой-нибудь WAF или антивирус должен "порвать" текущих игроков рынка. Поэтому и снизил оценки по показателям 3, 5 и 6.

С победителем iSecurity ситуация была иная - было представлено достаточно информации по всем направлениям. Справедливости ради надо признать, что Wallarm - опытный участник различных инвестиционных конкурсов. Например, год назад в них уже была инвестирована крупная сумма от Runa Capital.

Кстати, очень многие участники конкурса iSecurity были нацелены на зарубежные рынки. А некоторые и вовсе изначально на них и планировали работать. Иначе как объяснить, что у ряда проектов не было русскоязычного сайта, но зато был англоязычный ресурс? У того же победителя конкурса iSecurity, компании Wallarm, нет сайта на русском языке. Аналогичная ситуация и с некоторыми другими стартами, которые, к сожалению, не видят перспектив на российском рынке.

Я не раз уже писал, что стартап - это не только техническая идея, но и бизнес вокруг нее. Его тоже почти не наблюдалось. Многие проекты были представлены аспирантами или преподавателями ВУЗов и поэтому описаны сухим научным языком, в котором не было ни малейшего намека на то, как из красивых формул или алгоритмов извлекать деньги. В таких случаях я мог поставить высокую оценку по 7-му показателю, но низкие по показателям 3, 5 и 6.

В итоге победу одержал Wallarm, который почти по каждому показателю превосходил других игроков. Исключая быть может 4-й критерий - инновационность. Нельзя сказать, что Web Application Firewall'ов на рынке не представлено. Но учитывая последние геополитические изменения Wallarm имеет вполне неплохие шансы на то, чтобы завоевать российский рынок (если, конечно, захочет ориентироваться на Россию). Правда, ему придется конкурировать с другими отечественными решениями, например, PT Application Firewall или Tempesta FW. Правда, и Tempesta тоже, похоже, ориентирована на иностранцев - русскоязычного сайта я у них не нашел.

В следующем году конкурс iSecurity пройдет вновь. По крайней мере такие планы были озвучены организаторами. Будущим участникам могу только посоветовать чуть больше внимания уделять подготовке материалов. Это поможет увеличить шансы на победу. 

25.11.14

Danaher сказал своему активу по борьбе с DDoS "Да на..."

13 октября малоизвестная американская корпорация Danaher, работающая в области технологий для здравоохранения, продала свои коммуникационные активы другой американской компании NetScout. Среди проданных компаний, корпорация с таким привычным русскому уху именем, оказался и хорошо всем известный своими Anti-DDoS-решениями Arbor Networks. За Arbor, а также Tektronix и Fluke, NetScout отдал 62,5 миллиона своих акций, что на момент объявления сделки составляло около 2-х с половиной миллиардов долларов.

Впечатление от Cisco Connect Moscow 2014

Писать про собственное мероприятие может получиться и не объективно, но я постараюсь. Тем более, что я присутствовал на нем скорее как один из участников, чем организатор, и поэтому надеюсь, что смогу описать данное событие непредвзято. Да и писать я буду не обо всем, что происходило на Cisco Connect Moscow 2014, а только о запомнившихся мне моментах. Тем более, что я регулярно описываю всякие мероприятия и "фишки" с них.

Как театр начинается с вешалки, так любое мероприятие начинается с регистрации. Как спикер я получал свой бейдж на отдельной стойке, но за три дня (а я был в разное время - и утром, и вечером) не вспомню ситуации, чтобы на стойках были толпы.

Стойки регистрации

Исключение составлял, пожалуй, гардероб, в который по окончании дня стояли очередь за одеждой аж со второго этажа Центра международной торговли (ЦМТ). Правда, и очередь шла очень живо, и наличие бесплатного Wi-Fi, предоставленного Вымпелкомом, помогало скоротать время. Кстати, с туалетами проблем тоже не было :-)

Регистрация. Гардероб находится сзади и слева
Очень порадовала отдельная зона отдыха Cisco Social Media Studio. Мягкие пуфики бывают на многих конференциях, а вот отдельная зона для селфи :-), разнообразные игрушки, позволяющие отвлечься, и кофе (!!!) - это редкость. Особенно бесплатное кофе. В принципе, на Cisco Connect регулярно проходили кофе-брейки, на которых можно было выпить кофе и съесть что-нибудь калорийное, но у меня обычно времени не хватало, чтобы успеть в перерыв зайти и налить что-то. Мини-кофейня спасала неоднократно.

Зона отдыха Cisco Social Media Studio
В зоне Cisco Social Media Studio, можно было отдыхая оставаться на связи, т.к. на экран проецировались различные анонсы, сообщения из Твиттера и другая полезная информация. Кстати, о развлечениях. Их было немало. Что-то организовала сама Cisco...

Набор игрушек немаленький


...что-то предлагали партнеры. Например, УЦ Микротест проводил регулярные стрельбы из лука, совмещенные с конкурсами на знание ИТ.


Вот эту трехмерную реальность я так и не попробовал. Но в последнее время всякие 3D-штучки становятся популярными на ИТ/ИБ-тусовках. Например, на осенней конференции Аста74 в Челябинске был представлен 3D-принтер, который печатал объемные бюстики участников конференции :-)


Забавно выглядели и ходящие по залам фигуры сервера Cisco UCS и крокодила (от Крока). Собственно, никакой полезной нагрузки они не несли, но фотографировались с ними все постоянно :-) А за фотки с Croc'одилом Крок еще и призы давал в виде психоделических фоторамочек.


Плюевый сервер Cisco UCS
Кстати, видя крокодила, я все время задавался вопросом из серии "а как матросы на подводной лодке обходятся без женщин?" В данном случае мой вопрос звучал "а как он ходил в туалет?" :-) Так я и не смог на него найти ответ, а спросить постеснялся :-)

Крокодил Гена от Крока

Народа на мероприятии было много - толи превысили мы 3-хтысячный рубеж, толи подошли к нему вплотную. Но дело даже не в этом. Мы в очередной раз подтвердили тот факт, что интересное мероприятие вполне может собирать толпы народа, даже если оно платное. По сути, последние годы мы опровергаем распространившееся среди некоторых организаторов заблуждение, что в России на платные мероприятия не ходят. Ходят! Но только мероприятие должно соответствовать.

Главный холл. Встречи и кофе-брейки 
На фотографиях можно обратить внимание выдержанное в едином стиле мероприятие. Оно в этом году было посвящено "Всеобъемлющему Интернету" и об этом напоминало многое, даже ступени лестницы :-) Пустячок, но именно из них складывается общее впечатление от посещения мероприятия.

Ступени брендированной лестницы
На первом этаже была устроена демо-зона, разбитая на блоки - безопасности, беспроводка, центры обработки данных и т.п.

Выставочная и демонстрационная зона, а также зона обеда 

На стендах не только организовывались встречи и обсуждения, но и проводились короткие презентации по темам, которые не "доросли" еще до освещения в главных залах, но при этом достаточно часто вызывают вопросы "а как это сделать". Вот такие экспресс-презентации на стендах и проходили.

Дмитрий Казаков рассказывает о решении Cisco ISE для контроля мобильными устройствами
На европейских и американских Cisco Live в прежние времена проводились так называеме "Сетевые клиники", на которых можно было задать вопрос экспертам и получить развернутый ответ, вплоть до отрисовки дизайнов и схем подключения. Было такое в этот раз и на Cisco Connect. Для этого использовался флипчарт.

Андрей Москвитин рассказывает об особенностях внедрения Cisco FirePOWER
Демонстрации тоже были. Для облегчения на стене у каждого стенда висела схема организованной мини-сети с установленными решениями. На стенде безопасности было 10 таких решений.

Карта демо по безопасности

Что обычно очень плохо воспринимается на таких презентациях, организованных в больших и шумных помещениях? Ничего не слышно! На Cisco Connect было учтено и это. Посмотрите - у Дмитрия Казакова микрофон-гарнитура, в которую он говорит. Посетителям стенда выдавали наушники-гарнитуры, которые позволяли докладчики не срывать голос, а слушателям - нормально слышать все, что говорят, несмотря на окружающий гул. Очень интересная фишка - я такую мало где видел раньше (хотя и такого масштаба мероприятий не так уж и много проводится).

Гарнитура позволяет не срывать голос / нормально слушать во время мини-докладов на стендах

Кстати, обратите внимание на стену стенда слева. Там наклеены "лайки", которые позволяют оценить участников стенда - ответы на вопросы, мини-презентации и т.п. Очень интересный вариант, отражающий интерес к той или иной теме и умение "владельцев" стенда эту тему правильно донести. Хочется отметить, что стенд по безопасности Cisco собрал наибольшее среди всех остальных стендов число лайков (их даже пытались по-дружески "воровать" "спонсоры" других стендов Cisco Connect Russia 2014).

Стена... лайков по окончании первого дня
Кстати, об оценках. В прошлые года оценка докладов производилась "по старинке" - через бумажные анкеты. Обработка нескольких сотен тысяч анкет (5 потоков, 8 докладов, 3 дня, 2 с лишним тысячи человек) занимала время и немалое; обычно 2-3 недели. В этом году на Cisco Connect было сделано свое приложение, которое позволяло оценить тему доклада и мастерство докладчика. Это позволяет произвести выбор лучших докладов и спикеров гораздо быстрее - за считанные минуты. Бумажная анкета была и в этот раз, но с ее помощью оценивали мероприятие в целом.

Оценка спикеров велась и в социальных сетях. Вообще, Cisco Connect Russia 2014 очень активно сопровождалась в Facebook и Twitter (возможно и в ВКонтакте, но я им не пользуюсь). Постоянные напоминания о ближайших докладах, проводимых конкурсах и другие объявления помогали быть в курсе происходящего.

Очень интересная затея - "Виртуальный день". Он проводился онлайн за день до Cisco Connect. Авторизованные учебные центры Cisco организовалы часовые презентации на различные темы - из 9-ти докладов, 4 было посвящено безопасности. С записями докладов уже можно ознакомиться.

Один из распространенных вопросов, который обычно задается после конференций - "А запись будет?". Для платных мероприятий это всегда больной вопрос. Выложишь все записи - никто не будет платить и приходить. Не выложишь - будут обижаться. Поэтому обычно используется промежуточный вариант - выкладываются некоторые избранные записи. На Cisco Connect пошли немного иным путем. Каждый день велась онлайн-трансляция избранного потока. В третий день конференции им оказался поток по информационной безопасности (до этого были ЦОДы и SDN). Но это не просто была однонаправленная трансляция - с помощью системы Cisco Webex слушатели могли задавать вопросы и эксперты Cisco отвечали на них. Была организована обратная связь в реальном времени. По отзывам онлайн-участников это было круто. С записанными трансляциями можно ознакомиться и после мероприятия.

Еще одной "фишкой", о которой я хотел рассказать, стал "паспорт делегата". Эта брошюрка поначалу показалась мне обычным блокнотом для записей, но все оказалось гораздо интереснее. Помимо просто полезной информации о самом мероприятии (время работы, доступ к Wi-Fi, ссылка на мобильное приложение, схема выставки и мест для кофе-брейков и туалетов, расписание докладов, информация об онлайн-трансляции, сведения для командированных посетителей)...


...в паспорте содержались отрывные "лайки" для оценки работы демо-зон, отрывные талоны на питание.

Информация о питании и талоны на него

...а также информация о конкурсе Connect the Unconnected. Идея проста - из имеющихся отрывных пиктограмм надо было "создать" свою личную карту Всеобъемлющего Интернета. Что-то вроде такой:

Пример проекта по Всеобъемлющему Интернету

В заключение стоит сказать и о мобильном приложении, которое позволяет сформировать в личном кабинете собственную программу интересных докладов (она же могла быть составлена и на сайте мероприятия), посмотреть биографии докладчиков и схему залов, получать различные оповещения, а также голосовать за доклады.

Мобильное приложение Cisco Connect Moscow 2014
Вот, наверное, и все, что мне хотелось рассказать о Cisco Connect Moscow 2014. Получилось много, а все потому, что куча разных фишек, которые стоят того, чтобы про них написать. Каждая по отдельности они, быть может, и встречаются на других мероприятиях, но так чтобы все вместе? Я такого не встречал. Разумеется, все эти "прибамбасы" стоят денег и отчасти именно они и составляют львиную долю стоимости участия. Но, как мне кажется, оно того стоит. Именно из таких, не всегда видимых "мелочей", и складывается впечатление. Именно они и помогают провести 3 дня почти в центре Москвы с пользой; и при этом не устать от обилия информации (все-таки 7-8 параллельных потоков).

ЗЫ. Еще на Cisco Connect Moscow 2014 был классный магазинчик с продукцией с символикой Cisco - кружки, футболки, толстовки, рубашки, флаги...

Cisco Shop

24.11.14

8 из 10 специалистов по ИБ считают, что МСЭ и антивирус на периметре могут решить все проблемы с APT

В августе, на Black Hat компания Lieberman Software проводила опрос, который показал достаточно странные результаты, в которые не хочется верить. Оказывается до сих пор 8 из 10 специалистов по информационной безопасности верят, что с целенаправленными угрозами (если рассматривать их как самостоятельный класс угроз, а не маркетинговую уловку) можно бороться только установив на периметре МСЭ и антивирус.

Либо в отчете, который называется "2014 State-Sponsored Attack Survey", некорректно был задан вопрос, либо респонденты были достаточно специфичны. Но я с трудом верю, что специалисты по безопасности не рассматривают в качестве каналов проникновения вредоносного кода в корпоративную или ведомственную сеть 3G/4G-модемы, беспроводные точки доступа, флешки, мобильные устройства или даже электронные сигареты.

Я даже короткую презенташку делал на эту тему в свое время. Но как-то эта тема все равно регулярно всплывает у заказчиков, которые спрашивают "А, правда, что NGFW может помочь в борьбе с APT?" Помочь? Да! Решить? Нет! Нужен комплекс мер, среди которых можно выделить более приоритетные и менее. Но единого продукта, серебряной пули для решения данной задачи нет!



ЗЫ. Презентация выше делалась под конкретную задачу, так что там есть реклама наших решений (слайды 9-10).

Новые форматы донесения информации до безопасника

Новые форматы донесения информации до аудитории докатились и до информационной безопасности. Помимо привычных журналов и конференций, социальных медиа и почтовых рассылок, семинаров и вебинаров некоторые начинают осваивать и иные способы достучаться до целевой аудитории. Например, подкасты "Открытая безопасность" от Аркадия Прокудина или "Диалоги #поИБэ" от RISSPA. Но про них уже писал Андрей и я повторяться не буду. К видеоподкастам/видеоблогам пока мало кто перешел. Первые попытки делает PWC, но кроме единственной записи, я пока ничего не нашел :-(

Дальше всех пошла Информзащита и Авангард-Про, запустившие собственные телеканалы по безопасности. В частности, Информзащита совместно с каналом "Бизнес ПРО" запустили авторскую программу "Безопасный бизнес". Гостями передачи являются представители банков, финансовых и коммерческих структур, госкорпораций, а также ведущие эксперты российских и зарубежных производителей ИБ-решений. Задача программы - рассказать на реальных примерах об успешных ИБ-проектах, раскрыть все секреты построения системы информационной безопасности, обсудить тенденции рынка и законодательства в сфере ИБ. Ведущий программы: Сергей Шерстобитов, генеральный директор компании "Информзащита", который знает все (и даже чуть больше) о рынке ИБ.

К настоящему моменту были сняты сюжеты с Сычевым (Банк России), Данилиным (ФТС), Бакановым (МОЭСК), Кроликовым (АльфаСтрахование), Герасимовым (Линтехно), Грициенко (Возрождение), Касперской (Инфовотч), Персановым (Qiwi), Задороным (Вымпелком), Симисом (Positive Technologies), Земковым (Лаборатория Касперского), Дягилевым (Чекпойнт) и Эйгесом (McAfee). Есть сюжет и со мной :-)



Второй информационный телеканал BIS TV выходит в эфир с 2013 года, освещая актуальные проблемы и события отрасли информационной безопасности. Его создателем является известная компания Авангард-Про, также организовывающая Уральский форум по банковской ИБ, выпускающая журнал BIS и делающая много чего еще. В эфире телеканала — новости, репортажи, обзоры, а также ток-шоу и дискуссионные передачи с участием признанных в отрасли экспертов. Основной аудиторией телеканала являются специалисты информационной безопасности — руководители и сотрудники служб ИБ кредитно-финансовых организаций, платёжных систем. Также BIS TV просвещает широкие массы, рассказывая о практических аспектах защиты от киберпреступности.

ЗЫ. TV, видео и подкасты, конечно, делать непросто. Я пробовал делать презентации с озвучкой - трудная задача. С первого раза получается не всегда, приходиться много монтажем заниматься, что времени отнимает немало. Может быть поэтому и не так много пока тех, кто пользуется этими новыми форматами.

21.11.14

О рейтингах ИБ и демократической тирании

Сегодня я опубликовал список мероприятий по ИБ на 2015 год, а ассоциация BISA решила составить рейтинг руководителей ИБ. По поводу последнего события в Facebook началась дискуссия на тему "Неправильно", "Каковы критерии", "Ангажированно", "А вот он может быть лучше" и т.п. На моей памяти, все рейтинги, которые запускались в России по теме ИБ ("лучший спикер", "лучший блоггер", "лучшее мероприятие", "лучший продукт", "лучший проект" и т.п.) всегда обрастали активным срачем в социальных сетях. Результаты, разумеется, тоже подвергались сомнению. Попавшие в список радовались, не попавшие - злились.

Что хочу отметить. Так было и так будет всегда. Даже, казалось бы, такая простая вещь как список мероприятий по ИБ (а я специально не даю им оценок в списке и не веду их публичный рейтинг) и то регулярно вызывает критику со стороны тех, кто не попал в этот список. "А вот нас вы не упомянули! Немедленно включите!" "А вот вы тех внесли, а мы такие же. Немедленно включите и нас!" "А вот то мероприятие - полное дерьмо. Надо его исключить!"

Не готова еще у нас общественность к любым демократическим выборам :-) Нужно жесткое принятие решений и желательно без объяснений причин. "Я так решил" и все! Или не надо никаких рейтингов. Особенно если не готов к критике. Потому что каждый человек имеет свое мнение и каждый считает правым именно себя. Если его мнение не учли, то значит все вокруг редиски, которые ничего не понимают в жизни и в профессии. Влезая в эту клоаку (я имею ввиду составление рейтингов), лучше сразу очертить правила игры. Либо демократические выборы и ушат дерьма на организаторов, либо жесткая тирания и тоже ушат дерьма. Второй вариант проще :-) Результат и там и там одинаковый, но во втором случае хотя бы не надо объяснять причины принятия того или иного решения. "Я так хочу" и этим все сказано. Не нравится? Делайте свое такое же и со своими правилами игры. И пусть время рассудит, кто был прав. Критиковать могут все, что-то сделать единицы, а повторять это из года в год и того меньше.

Можно пойти и по третьему сценарию. Он неплохо описан у Ицхака Адизеса, рассматривающего разные стили руководства. Он пишет, что и демократия и тирания - плохие варианты для руководства чем бы-то ни было. При демократии сложно прийти к консенсусу и демократические выборы обычно превращаются в базарную склоку. При тирании высока вероятность стать заложником "единственно верного" (конечно же своего) мнения, которое может быть однобоким. Поэтому Адизес предлагает промежуточный вариант - сбор мнений (именно мнений) как при демократии, а принятие решение - единоличное, как при тирании. В этом случае человек, принимающий решение и единолично несущий за него ответственность (при демократии никакой ответственности обычно нет - все кивают друг на друга, если все плохо, и присваивают себе все лавры, если все хорошо) может оценивать разные точки зрения и опираясь на них принимать более взвешенное решение.

Поэтому рейтинги в области ИБ надо строить по принципу - присылайте своих кандидатов, но решение принимать будет автор рейтинга самостоятельно. А дальше все зависит от доверия к автору рейтинга. Есть оно - схема сработает. Нет его - так тут и даже четко проработанные критерии и метрики не помогут.

Крупные мероприятия по ИБ в 2015-м году

Традиционно я публикую календарь крупных российских мероприятий по ИБ, которые пройдут в предстоящем году. Обычно я это делаю в начале года, так как тогда появляется ясность не только по событиям первой половины года, но и уже есть даты по некоторым событиям половины второй. В этом году я решил опубликовать этот список пораньше. Отчасти потому, что уже начались вопросы, отчасти потому, что хочется чтобы компании-организаторы не делали классической ошибки в части пересечения в одни даты нескольких мероприятий на одну тему (а для этого нужно планировать их заранее).

Календарь вы видите внизу. Сразу хочу сделать по нему несколько технических комментариев:

  1. Он будет обновляться по мере появления у меня сведений по новым крупным мероприятиям.
  2. Если у вас есть информация по мероприятиям, которых в списке нет, пишите в комментах к блогу, - рассмотрю и внесу, если мероприятие того стоит.
  3. Решил не вносить мероприятия, если по ним неизвестна дата проведения. Такие записи сбивают с толку и не позволяют нормально планировать. Да и организаторов они должны стимулировать побыстрее формулировать свои планы.
  4. В список попадают открытые мероприятия, на которые можно попасть "со стороны". Например, я уже второй год не включаю в перечень конференцию Лаборатории Касперского по безопасности индустриальных систем. Ее посещение только по приглашениям; поэтому знание о ее проведении мало поможет желающим на нее попасть.
  5. Критерии попадания мероприятия в список определяю я :-) В январе я уже о них писал - повторять не буду. Оценка субъективная. Исхожу из известности, массовости и серьезности мероприятия. Поэтому различные семинары и security days игроков рынка, которые проводятся регулярно, в него не входят. Также не входят и различные roadshow, например, как у Cisco или Инфовотча
  6. На грядущий вопрос: "Почему в списке нет IT & Security Summit, YAC, BIS-Summit и т.п.?" отвечаю - даты по ним не определены и поэтому в списке их пока нет. Будет информация - будет и попадание в список.
  7. Вебинары и другие онлайн-мероприятия в список также не попадают. Раньше такой список вел Сергей Борисов, но что-то давно он его не обновлял.
  8. Региональные мероприятия в список попадают редко - преимущественно только те, которые либо входят в состав целых roadshow (как "Код ИБ" или IDC IT Security Roadshow), либо уже давно превратились в общероссийские события (как ИнфоБЕРЕГ или IT & Security Forum). А вот, например, мероприятия челябинской Аста74, которые я люблю посещать и посещаю уже последние несколько лет, в список не попали, т.к. ориентированы только на Челябинск и близлежащие города.
  9. Пару слов о формате. Много раз возникала идея перевести список в формат Google, но что-то она каждый год "умирает". Лично я не хочу этим заниматься - меня и такой список устраивает. А больше поддерживать эту идею на постоянной основе пока никто не готов. Хотя сделать отдельный календарный сервис с напоминаниями о будущих событиях (а может быть и с личным кабинетом, в котором можно было помечать интересные события и получать по ним обновления и т.п.) было бы неплохо.

Теперь несколько слов о тенденциях на рынке мероприятий. Их становится больше и меньше одновременно :-) Больше, потому что появляются новые имена или "старые" организаторы активно развивают это направление. Например, уральская компания Экспо-Линк, уже 10 лет проводящая серию региональных мероприятий "Код информационной безопасности". Начав с одной конференции в Екатеринбурге, в 2014-м году было охвачено уже 6 городов, а на следующий год их уже будет 10. На мой взгляд это один из интересных примеров региональных мероприятий, неограниченных одним городом.

"Меньше" мероприятий становится, потому что с рынка уходят конференции, которые не выдержали конкуренции. Например, Cybersecurity Forum, который был в прошлом году, но в этом про него ничего не слышно. Про конференцию АДЭ "Обеспечение доверия и безопасности при использовании ИКТ" тоже что-то нет информации. Также нет информации и о других мероприятиях, которые в прошлом году были. И если по событиям второй половины год может быть организаторы еще не определились, то отсутствие информации по событиям весенним навевает мрачные мысли :-(



ЗЫ. Антон Шипулин анонсировал свой календарь событий, сфокусированных на теме ИБ АСУ ТП. Он ведет два календаря - по мировым и по российским событиям. Пока, правда, второй календарь пуст, хотя в декабре и январе будет, как минимум, два крупных мероприятия по этой тематике. Но, думаю, обновления не заставят себя ждать.

ЗЗЫ. Кто не видит Flash в блоге, тот может скачать файлик PDF тут.

13.11.14

Этика пентеста или когда у пентестеров появится свой Гиппократ?

Профессия пентестера достаточно молода, но уже вызывает немало споров относительно того, что и как делает пентестер в рамках тестирования защищенности систем своих заказчиков. Чем-то эта профессия сродни полицейским и врачам, которые в благих целях совершают вторжение (а местами и насилие) в жизнь своих "подопечных" - рядовых граждан и пациентов. Где проходит та граница, которая отделяет адекватные действия от "плохих", пусть и с благими намерениями? У врачей она существует. У полицейских тоже. Их действия подчиняются определенным правилам и нормам. Их учат, они сдают экзамены, у них есть свои клятвы. И хотя и у них бывают перегибы и явные преступления, все-таки в массе своей мы знаем, чего ждать на приеме у врача и мы знаем, куда обращаться, если врач накосячил. А вот у пентестеров ничего этого нет. Этому нигде не учат. Они нигде не сдают обязательных экзаменов (всякие курсы по этическому хакингу не в счет). У них отсутствуют принятые всеми "правила игры". Зачастую, они переходят зыбкую грань между разрешенными и неразрешенными действиями.

Плохие пентестеры

Но гораздо чаще происходит то, что хорошо иллюстрируется одним словом - "экстрасенс". Пентестер своими умными словами, страшилками ("мы единственные, кто может улучшить вашу карму"), призывами к всевышнему и регулярным напоминанием, что пентест - это искусство ("это сложно формализуемый и описываемый процесс, поэтому давайте не будем тратить время на включение этих пунктов в договор"), упором на доверии ("мы уже столько лет в этом бизнесе и через нас прошло столько клиентов, что вы можете смело нам доверять; даже договора не нужно") запудривает мозги ничего не подозревающему клиенту, который с радостью расстается со своими деньгами и остается у разбитого корыта. Т.е. одну-другую дырку ему находят, но взламывают его почему-то через другую - в процессе тестирования не найденную, но существующую у заказчика не один год.

Иными словами, пентест очень часто используется как самоцель. Пентест нашел дырку - он крут и бьет себя пяткой в грудь, доказывая, что он "№1 в аудите безопасности". Главный безопасник тоже доволен - он может показать результаты работы своему руководство и попросить новых бюджетов на устранение проблем. Большое руководство запугано, но вроде бы тоже довольно - оно видит результат работы пентестера. Правда, никто не объяснил руководству, что нашли одну дырку, а ненайденных еще с десяток. Главному безопаснику не объяснили, что он ищет не там, где реальные риски для бизнеса. А пентестер "просто делает свою работу" и не видит никаких проблем. Представьте, что вы проводите креш-тест автомобиля... В процессе теста оказалось, что у вашего железного коня бампер слабый. Тестировщик с радостью сообщает вам об этом и успокаивается (тест же результативный). Вы меняете бампер и спокойно выезжаете на скоростное шоссе, на котором оказывается, что у вас нет подушек безопасности, каркас не жесткий, лысая резина и вообще нету тормозов. Вот также обычно и с пентестом происходит.

Несколько дней назад Артем Аветян написал заметку "Этика взлома", которая получила бурное развитие в Facebook. В развернувшейся дискуссии Артем высказал мысль, что у "хакеров" (они же пентестеры) существует своя этика, но сформированная внутри своего же сообщества. Я же придерживаюсь мысли, что такое молодое сообщество не способно сформировать внутри себя этические принципы, по которым дальше оно будет существовать. Особенно учитывая опыт (не всегда легальный), который у многих пентесторов за плечами. Этический кодекс должен быть сформулирован и одобрен всей отраслью безопасности, а не только ее отдельной нишей, которая регулярно то нарушает действующее законодательство (как минимум, ст.272 и 273 УК РФ), зачастую имеет криминальное прошлое, или просто своими непрофессиональными действиями наносит вред своим заказчикам.

Причем не стоит так уж в штыки воспринимать любые дискуссию на тему этики. А за последнее время это происходит регулярно. То в Facebook развернется дискуссия, где пентестеры начинают доказывать, что у них настолько творческая работа, что никакими правилами она не описывается. То они начинают переводить стрелки на вендоров ИБ - "вот мол они никакой ответственности не несут" (ну так вендоры давно провозгласили правило "AS IS" и прописали его в своих лицензионных соглашениях). То они говорят, что это заказчики идиоты и должны сами все понимать. То какой-нибудт непризнанный пентестер, не приведя аргументов в дискуссии, начинает спорить сам с собой на страницах печатных изданий или собственных страниц социальных сетей (иногда, попутно выдав чужие мысли за свои). В конце концов любая такая дискуссия заканчивается обвинениями "сам дурак" и так до следующего раза.

Тут в пору вспомнить Гиппократа, который 2400 лет назад был в такой же ситуации, как и современные пентестеры. У тамошних врачей не было никаких ориентиров - каждый вел себя так, как считал нужным. Пациентов лечили "на доверии" и, разумеется, не предупреждали заранее о возможных ограничениях методов диагностики. Ошибки в диагностике и последующем лечении объяснялись вмешательством высших сил. Ну все как сейчас :-) Поэтому Гиппократ записал первый вариант своей клятвы (по легенде сама клятва появилась еще раньше), которая и установила общие моральные и этические принципы действия врачей. И хотя к нашему времени клятва менялась неоднократно, основная ее идея осталась по сути неизменной. Да и отдельные положения клятвы могут войти в этический кодекс пентестера - принцип непричинения вреда, обязательство личного совершенствования, принцип конфиденциальности, обязательство действовать в интересах "пациента" и т.п.

Что могло бы войти в этический кодекс пентестера? Помимо озвученных выше принципов из клятвы Гиппократа, можно было бы включить следующие пункты:

  • независимость от производителей и иных третьих лиц (в т.ч. и финансовая)
  • запрет продавать своим клиентам разработанные пентестером продукты
  • запрет проводить пентесты там, где пентестер участвовал в создании информационной системы
  • предотвращение иных форм конфликта интересов
  • отсутствие связей с террористическими, криминальными группировками и иными сектами
  • наличие свободной конкуренции
  • отказ от практики "торговли страхом" (FUD)
  • явное информирование клиента об ограничениях пентеста (ошибки первого и второго рода) и возможных рисках от его проведения
  • нейтральность и доступность понимания сделанных по итогам пентеста выводов
  • соблюдение действующего законодательства
  • предложение нейтрализующих мер для обнаруженных уязвимостей
  • ограниченная ответственность за результаты теста и возможные нарушения штатного режима функционирования исследуемой системы в результате теста
  • защита чужой интеллектуальной собственности.

Учитывая, что тема этики всплывает в последнее время нередко, пора бы уже пентестерам собраться и сформировать кодекс этики для своей профессии, что поднимет ее на более высокий уровень и изменит отношение к ней со стороны бизнеса и других отраслей безопасности. Недооценка этого вопроса может достаточно печально закончиться для пентестеров...

Плохой пентестер плохо кончит
ЗЫ. Не исключаю, что на эту тему и статья у кого-нибудь может родиться с посылом "я давно порывался рассказать про этику аудитора и вот пришла пора". Я не против :-) 

12.11.14

Европа ограничивает распространение инструментов для обхода средств защиты

Многие, наверное, слышали про санкции в отношении России, про технологии двойного использования (назначения), про Васенаарские соглашения... Для многих эти термины связаны с определенной процедурой (а иногда и ограничениями) поставок отдельных видов ИТ/ИБ-продукции в страны, являющиеся участниками соответствующих соглашений. Но недавно данные ограничения стали применяться и в отношении кибероружия.

22 октября Европа внесла изменения в свой список технологий двойного назначения (dual use items). Изменения коснулись свыше 400 позиций, включая и появление совершенно нового объекта для регулирования - "intrusion software", которое расшифровывается как "ПО, специально разработанное или модифицированное с целью избежания его обнаружения средствами мониторинга, или для обхода защитных мер, сетевых устройств или средств вычислительной техники, а также для выполнения одной из следующих функций:

  • добыча данных или информации из средств вычислительной техники или сетевых устройств, или модификации систем или пользовательских данных, или
  • модификации стандартного способа выполнения программ или процессов с целью выполнения полученных извне инструкций".
К средствам мониторинга относится по версии Евросоюза ПО или "железо", предназначенное для мониторинга поведения системы или процессов, запущенных на устройстве. Примером таких средств являются антивирусы, системы обнаружения и предотвращения вторжений, межсетевые экраны и средства защиты ПК и мобильных устройств, а также иные средства персональной ИБ.

К защитным мерам Евросоюз относит "песочницы", DEP, ASLR и иные технологии безопасного исполнения кода.

К "intrusion software" не относятся:
  • гипервизоры, отладчики и средств для реверс-инжиниринга
  • ПО для DRM (Digital Rights Management)
  • ПО, установленное разработчиком, администратором или пользователем для целей отслеживания активов и восстановления.
Я уже неоднократно говорил и писал, что "санкции" не означают запрета. Также и попадание в технологии двойного назначения не означает невозможности продажи, распространения и использования таких технологий. Просто Евросоюз хочет контролировать данный вид программного обеспечения и позволяет распространять его, но после получения соответствующей экспортной лицензии.

Данные поправки в законодательство демонстрируют две проблемы, которые все чаще проявляются в последнее время применительно к кибероружию или спецоперациям в киберпространстве. Во-первых, многие международные эксперты считают, что в отношении кибероружия (или "intrusion software") надо вводить режим нераспространения по аналогии с ядерным нераспространением. Однако, хочу отметить, что если технология создания ядерного оружия действительно доступна далеко не каждому государству, то создание вредоносного ПО не является такой уж и сложной задачей. Она под силу не то, что государству, но и хакерам-одиночкам. Поэтому ограничивать создание и распространение таких технологий достаточно сложно - работы в этом направлении могут вестись скрытно и не попадать в поле зрения "кибер-МАГАТЭ" (создание аналога МАГАТЭ, но в киберпространстве, сейчас также обсуждается на международной арене).

Вторая проблема связана с попытками ограничивать распространение программного обеспечения. Это продажу танка можно ограничить. Или продажу боеголовки. Или компьютеров. Но как ограничить продажу нематериального? Ведь я могу просто скачать с какого-либо сайта или из сети Тор нужное мне ПО, минуя все запреты? По сути, вводимые Евросоюзом нормы, могут ограничить экспорт только легально продаваемого шпионского/вредоносного ПО. Нелегально производимое ПО остается вне регулирования и контроля.

По сути сегодня международное сообщество не готово к регулированию вопросов международной информационной безопасности, спецопераций в киберпространстве, распространения кибероружия и т.п. Традиционные нормы международного права малоприменимы к виртуальному пространству, а новых пока не появилось. Да и вся структура международного законодательства в области безопасности сегодня устарела, так как разрабатывалась совсем в иных условиях и в другое время.

Поэтому можно резюмировать, что предпринятые Евросоюзом попытки ограничить распространение вредоносного ПО достаточно интересны, но малопродуктивны. Но как начало некоторой тенденции, этот факт стоит взять на карандаш.

11.11.14

Accuvant и FishNet Security объединятся

Малоизвестные в России, но достаточно популярные в СШАи Канаде, консалтинговые компании по безопасности - FishNet Security и Accuvant, объявили 5-го ноября об объединении усилий и, в будущем, создании единой компании. Финансовые условия сделки не разглашаются.

Alcatel-Lucent продал свой бизнес безопасности

Спустя некоторое время прогнозы сбываются - Alcatel-Lucent все-таки сбагрил свой бизнес безопасности французской Thales. Впервые об этом заговорили в мае, а 31-го октября компании подписали соглашение на эту тему. Детали сделки не раскрываются.

10.11.14

Proofpoint покупает Nexgate

Американская Proofpoint, известная своими своими сервисами Security-as-a-Service, в конце октября объявила о намерении приобрести американскую же Nexgate, занимающуюся вопросами безопасности социальных сетей, за 35 миллионов долларов наличными.

Внутренний маркетинг ИБ

В пятницу читал в рамках сообщества RISC мастер-класс по внутреннему маркетингу ИБ, презентацию с которого и выкладываю:



Скоро на сайте будет выложена запись мастер-класса.

ЗЫ. В декабре планирую там же прочитать про психологию в деятельности службы информационной безопасности.

ЗЗЫ. Другие мои мастер-классы для RISC: