11.8.15

CA покупает Xceedium

4 августа компания CA подписала соглашение о покупаке частной американской компании Xceedium, работающей в области Identity Management. Результаты сделки не разглашаются.

О конкуренции на рынке мероприятий по ИБ

Если следовать неким законам бизнеса, то считается, что конкуренция - это хорошо. Она не дает компаниям застаиваться и стагнировать, заставляя их развиваться, постоянно противопоставляя что-то своим конкурентам, которые тоже не стоят на месте и движутся вперед. И вот такая добросовестная конкуренция - вещь, безусловно полезная, ибо в соперничестве выигрывают все - и потребители, и соревнующиеся. Безусловно, есть ситуация и недобросовестная, когда один игрок пользуется некоторым нерыночным преимуществом (например, близостью к власти), которое и позволяет ему существовать; даже при условии, что предоставляемый им продукт или услуга гораздо хуже конкурентов, не имеющих такого преимущества. Бывает конечно и вовсе анекдотичные ситуации. На как бы едином рынке существуют несколько игроков, но они между собой вообще не пересекаются (или они так думают). И тогда их действия могут выглядеть как борьба конкурентов, хотя игроки эти могли даже и не слышать друг о друге или не воспринимать друг друга всерьез. Вот то, что сейчас происходит на рынке мероприятий, относится к одному из этих вариантов. И я не знаю к какому. Или не знаю, но не хочу говорить.

Итак, первая пара "конкурентов" - PKI-Forum и IDC IT Security Roadshow. Оба проходят в Питере и оба 17-го сентября. Правда, PKI-Forum захватывает еще и 15-16 сентября. С одной стороны оба мероприятия разные. Первое посвящено сугубо вопросам криптографии и, в частности, удостоверяющим центрам, электронной подписи и т.п. Второе охватывает более широкий спектр проблем ИБ. Но все-таки Питер - это не Москва, и аудитория там пересекается гораздо серьезнее, чем в столице. И если IDC не удастся внести некую изюминку в свое мероприятие, начинающийся раньше PKI-Forum может отъесть большую долю потенциальных участников (ведь во многих организациях тема криптографии тесно переплетена с ИБ и ими занимаются одни и те же люди). 

Ситуация с BIS Summit и InfoSecurity Russia немного иная. Их разделяет 5 дней и проходят они в Москве. Но все-таки InfoSecurity Russia - это, в первую очередь, выставка, и во-вторую - конференция. BIS Summit - это только конференция (со информационными стендами партнеров). Поэтому посетители идут на эти мероприятия немного за разным; хотя, надо признать, аудитория тоже местами пересекается.

Гораздо в более сложной ситуации находится Secure World (он же БИТ) и Secure IT World. Названия схожие до степени смешения. Организаторы, стоявшие у истоков обоих мероприятий. Место проведения - Питер. Даты проведения - октябрь с разницей в неделю. Схожая концепция и программа. И даже спикеров и туда и туда зовут одних и тех же. Я так до конца и не понял всей подоплеки проведения двух родственных, но разных мероприятий. Ситуация напоминает мне конфликт между организаторами "InfoSecurity Russia" и "Инфобезопасность Россия", которые также что-то не поделили между собой (и каждый считал себя правым) и поэтому решили провести свои мероприятия... с разницей в неделю и в одном городе. В итоге на оба мероприятия было жалко смотреть :-( Интерес представляли только отдельные круглые столы в рамках обоих событий. И то, это была заслуга не организаторов, а ведущих этих круглых столов. Сейчас Инфобеза с нами нет - он почил в бозе, а InfoSecurity Russia возвращает себе былую славу. Не знаю, что получится в Питере из такой конкуренции... но ничего хорошего точно не будет. Либо организаторы договорятся (что врядли), либо разнесут свои мероприятия по датам, либо выживет кто-то один.

Идем дальше. А дальше у нас конференция Роскомнадзора "Защита персональных данных" (хотя к защите ПДн РКН ну никакого отношения не имеет, занимаясь защитой прав субъектов ПДн) и SOC-Forum Авангард-Про. Пройдут в Москве с разницей в 1 (!) день. Если вспомнить историю, то мероприятие под названием "Защита персональных данных" (и на нем была и защита ПДн, и защита прав субъектов ПДн) впервые начал проводить именно Авангард-Про. И успешно проводил его несколько лет, пока в РКН не сменилось руководство. После этого осенью в Москве стало проводиться две конференции "Защита персональных данных". Одна была посвящена защите прав субъектов РКН и на нее РКН приглашал кучу европейских "РКНов", которые рассказывали, как в Европе круто с персданными, а РКН рассказывал, что Россия ничем не хуже. Программа Авангарда была более сбалансированной - на ней было и про ФЗ-152, и про требования ФСТЭК, и про требования ФСБ, и про практику применения; обо всем понемногу. В этом году пока непонятно, когда конференция по ПДн пройдет у Авангарда, но зато 11-го ноября, спустя день после слияния всех "роскомнадзоров" в экстазе, в Москве пройдет совершенно новое мероприятие, посвященное тематике SOCов (Security Operations Center). В данном случае, как мне кажется, форум "СОКи России" :-) находится в более выигрышной позиции. Во-первых, тема новая. Во-вторых, на конференции РКН давно уже ничего интересного не было - очень мало кто из регуляторов способен провести достойное мероприятие (особенно, когда задача стоит покрасоваться перед иностранцами и СМИ, а не дать достойный контент участникам). Поэтому у РКН будет своя аудитория, у Авангарда своя.

Ну а завершит у нас тему конкуренции на рынке ИБ-мероприятий две конференции, которые пройдут 3-го декабря в Москве. AntiFraud Russia и якобы всероссийский форум "Информационная безопасность" от AHConferences. Про последний ничего сказать не могу - не видел, не слышал - ни сам, ни от коллег. Темная лошадка на рынке ИБ-мероприятий. И поэтому он, если не будет какой-то изюминки или массированной рекламы, проиграет "Антифроду" - известному мероприятию, проходящему уже не первый год и заслужившего определенный имидж в среде специалистов. А репутация, даже при прочих равных, стоит многого. У AHConferences такой репутации на рынке ИБ-мероприятий пока нет.

С регионами ситуация гораздо проще - городов много и там пересечений нет. Бывает, конечно, что в один день проходят мероприятия по ИБ в разных городах России, но это мало кого затрагивает. Если только приглашенных докладчиков, которые вынуждены выбирать между Тюменью и Ижевском, Екатеринбургом и Нижним Новгородом, Самарой и Челябинском. Но, к счастью, это уже не проблема аудитории (или не совсем ее проблема).

Вот такая картина складывается. И как я писал в самом первом абзаце, фиг знает, что является причиной такой конкуренции. Ведь аудитория-то на все мероприятия одна. Мало кто хочет дифференцироваться, исключая, быть может, SOC-Forum, PKI-Forum, AntiFraud, четко заточенные под конкретные темы. Все остальные почему-то пытаются охватить как можно больше разных тем, считая, что это лучше, чем фокусировка на чем-то конкретном. Увы... При таком количестве мероприятий, включая и онлайн, и вендорские, и интеграторские, слушатель становится очень и очень разборчивым. Он не пойдет на мероприятие "для всех и обо всем". Если, конечно, ему есть чем заняться и он не ходит по конференциям с целью показать себя и найти работу или пожрать на халяву (а с этим в кризис тоже становится непросто). И даже если его заинтригует какой-то особо интересный доклад, то он ради него одного тоже врядли будет терять весь день (или даже полдня). Но организаторы этого почему-то не понимают :-( Либо они рассчитывают на "свою" аудиторию, которая приходит всегда, либо они рассматривают конференцию как способ заработать на спонсорах. В последнем случае (кстати, сама идея неплохая) ждать постановки слушателя и контента во главу угла не приходится :-(

Вооооот... Длинная заметка получилась. Думал ограничусь просто перечислением конкурентов. Ан нет...

6.8.15

Пошаговое руководство по защищенному доступу с мобильных устройств (видеопрезентация)

Я уже не раз обращался к теме защищенного мобильного доступа и вот очередная попытка. На этот раз я решил озвучить презентацию, которую я уже читал в рамках конференции "Код информационной безопасности" в прошлом году. Но тогда мне на все выделялось 20-25 минут и очевидно, что мне приходилось пробегать по каким-то вопросам и темам.

Сейчас я решил потратить больше времени на эту тему - получился целый час. Тоже мало, но лучше, чем полчаса :-) Собственно, это не совсем пошаговое руководство. Это скорее список тем и вопросов, которые надо осветить в собственной стратегии/политике защищенного доступа с мобильных устройств. Я целенаправленно не стал освещать рынок продуктов для реализации всех описанных тем - слишком уж большое число комбинаций получится, в зависимости от того, на каких аспектах останавливать свое внимание, а какими пренебрегать.



Для тех, кто предпочитает не слушать, а только смотреть, даю ссылку на саму презентацию. На мой взгляд такая комбинация - посмотреть и послушать - лучший вариант для экспресс-погружения в тему. Уж точно не чтение бумажных манускриптов или книг. К ним стоит обращаться, когда надо разобраться в каком-то вопросов более детально.

5.8.15

Чего я жду от новой Доктрины ИБ?

Совет Безопасности сейчас в процессе обновления Доктрины информационной безопасность, которая была утверждена в 2000-м году и с тех пор не менялась. За это время произошло много чего интересного и поэтому назрела необходимость основной документ по ИБ, задающий тон всему законодательству, обновить.

С другой стороны Совет Безопасности сейчас находится в непростой ситуации, как мне кажется. Он на перепутье. Текущая геополитическая ситуация достаточно сильно отличается от 2000-х и даже от 2013-го года, когда рабочая группа при Совете Федерации писала проект Стратегии кибербезопасности РФ. И в такой ситуации очень непросто сформировать положения, которые будут задавать тон на ближайшие годы (а может быть и десятилетие-другое). С одной стороны нельзя закрывать глаза на действия США и ее партнеров в киберпространстве и в ИТ-индустрии. С другой нельзя на основе событий последнего года строить среднесрочную и долгосрочную стратегию. Нужен баланс и найти его будет непросто. А учитывая закрытость работы над новой Доктриной и прошлое ее разработчиков, есть опасения, что мы опять скатимся в малоприменимый на практике документ :-(


Чего лично мне не хватает в текущей версии Доктрины и чтобы мне хотелось увидеть в новой. Во-первых, разрулить ситуацию с оценкой соответствия средств защиты, о чем я уже писал недавно. Во-вторых, я бы все-таки определился с терминологией. И дело даже не в терминах типа "АСУ ТП", "КВО", "КИИ" и т.п., которые имеют совершенно разное значение в разных НПА разных регуляторов. Хотя бы определиться с термином "кибербезопасность". Спор о том, можно или нельзя применять этот термин ведется давно. Есть же даже международный стандарт на эту тему. Некоторые наши критически важные объекты, монополисты в своей сфере деятельности, спокойно используют его на уровне своих нормативных документов, но МИД и некоторые силовики упорно цепляются за термин "информационная безопасность", не желая признавать право на жизнь "кибербезопасности".



Еще одной важнейшей темой является сотрудничество в международной сфере. Прошла версия Доктрины про это почти не упоминала, что и понятно. Но сейчас уровень зависимости информационных технологий, Интернета, критических инфраструктур от международного сообщества совершенно иной, чем раньше. Недавно было опубликовано исследование о трансграничной зависимости критических инфраструктур. Как мы видим, зависимость достаточно высокая и закономерно возникает вопрос, а как обеспечивать ИБ (или кибербезопасность) в такой ситуации? Закрыть глаза? Запретить? Попробовать установить общие правила игры? Более чем непростая ситуация. Понятно, что ее можно попробовать решить в рамках блоковых взаимоотношений России (БРИКС, ШОС, ОДКБ, СНГ). А что делать со странами НАТО? А с не-странами НАТО, но и не членами блоков-партнеров России? У России есть немало объектов собственности, в том числе, и критически важных, в Европе и США. Как быть с ними?

Международное сотрудничество задает и еще один вопрос, который стоило бы отразить в Доктрине. Речь идет об обмене информацией об угрозах ИБ. Можно, конечно, делать это в рамках межправительственных соглашений, но это немасштабируемо и долго (достаточно вспомнить, сколько мы подписываем соглашение с Китаем). Тема чувствительная и требующая четкого разделения ответственности. Рассчитывать, что все это ляжет на плечи ФСБ и она сама все решит, я бы не стал. Неповоротливость этой структуры уже давно стала притчей во языцех.

А еще бы хотелось, чтобы в Доктрине и следующих за ней документах нашли бы наконец решение пожелания, которые я направлял Дед Морозу в канун 2012-го года. Там есть и про единый орган по ИБ, и про признание международных стандартов в ряде случаев, и про дифференцированных подход, и про единую систему оценки соответствия средств защиты (а не 3 разных системы как сейчас), и про государственно-частное партнерство, и про повышение культуры в области ИБ. Раз уж сейчас меняется основополагающий документ, то почему бы не включить в него ответы на все эти вопросы?..

4.8.15

Голосовая биометрия. Краткий обзор технологии

На днях прошла новость о том, что голланский ING стал первым европейским банком, запустившим активируемые голосом мобильные платежи. И тут я вспомнил, что тема биометрической аутентификации по голосу была не только одной из первых, о которой я писал в этом блоге 8 лет назад, но и когда я писал про нее в январе, то обещал сделать краткий обзор рынка биометрической аутентификации, что сейчас и делаю.

На самом деле системы голосовой биометрии решают не только задачи аутентификации, но и предотвращение мошенничества. Очевидно, что наибольший смысл имеет именно комбинация этих двух технологий. Одна идентифицирует человека, но может спасовать перед записанным голосом. Вторая позволяет отслеживать изменения голосовых характеристик в процессе общения и выявления подозрительных или аномальных голосовых последовательностей. Понятно, что, чем критичнее применение такой технологии, тем более важна становится их комбинация. Например, использование Facebook - это одно, а управление счетом - совсем другое. В первом случае достаточно и обычной аутентификации, а во втором нужно нечто большее.

У голосовой аутентификации есть очень важное преимущество - низкая цена ридера. Отпечатки пальцев у нас считываются только на iPhone. Сетчатка глаза или геометрии руки требуют точных и дорогостоящих дополнительных устройств. Микрофон же есть сейчас почти везде (в компьютерах, в мобильных устройствах) и достаточно неплохого качества. Поэтому роль голосовой биометрии будет только возрастать.

Еще одним преимуществом именно голосовой биометрии в том, что она "многоразова", если так можно выразиться. Лицо у вас одно, глаз максимум два, пальцев, если все хорошо, десять. И если эти данные украдены или скомпрометированы, то с этим ничего уже не поделаешь. Вы не можете использовать чужие пальцы, глаза, руки для своей идентификации. А кража базы "фраз" приведет только к тому, что система голосовой аутентификации может попросить вас произнести новую фразу или просто "поговорить с ней".

Наконец, если вспомнить, что системы аутентификации отличаются по тому, "кто вы", "что у вас есть", "что вы знаете" и "что вы делаете", то голосовая биометрия, в отличие от других систем биометрической аутентификации, использует все эти 4 фактора. По физическим характеристикам голоса она определяет "кто вы". Она определяет как и что вы говорите, то есть она позволяет защититься от атак на статические системы аутентификации (например, пароли). В конце концов она может определить, что вы знаете, если в качестве фразы для идентификации будет использоваться пин-код или пароль.

Системы голосовой биометрии (их лучше называть так, а не голосовая аутентификация, так как спектр решаемых ими задач шире) могут работать в двух режимах - так называемом пассивном (или независимом от текста) и активном (зависящем от текста). В первом случае система распознает собеседника по его свободной речи (похожим образом работает сервис Shazam на мобильных устройствах); во втором - по заранее определенным фразам, которые должен произнести пользователь. В активном режиме для защиты от подмены пользователя записанным заранее (или перехваченным) голосом, система должна использовать случайные фразы, которые и предлагать пользователю произнести.

Сказать, какой из двух вариантов работы системы голосовой биометрии, нельзя. У них обоих есть свои преимущества и недостатки. Активные системы более эффективны, но и требуют большего участия пользователя, которого идентифицируют. При этом отпечаток голоса занимает меньше места, чем в пассивных системах, что может быть актуально для мобильного применения или в местах, где Интернет еще не так развит или отсутствует вовсе. Например, есть решения, которые допускают проверку подлинности на самом устройстве, без подключения к внешнему серверу. С другой стороны активные системы не всегда применимы в системах массового пользования - банки, страховые, ритейл и т.п., так как пользователи могут быть недовольны необходимостью взаимодействовать с биометрической системой. И, конечно же, такие системы сложно применить для идентификации мошенников, что легко делается пассивными системами, спокойно "слушающими" звонящего/говорящего и идентифицирующие его речь, ничем себя не выдавая. Поэтому пассивные системы проще в использовании, но и требуют больших ресурсов для своей реализации.

Защита от мошенников реализуется путем использования обычных "черных списков", то есть списков голосовых отпечатков известных мошенников. Соответствующий специалист помечает голос как мошеннический и затем все звонки сравниваются с "черным списком" мошенников. В России, где отсутствует база голосовых отпечатков мошенников и преступников, этот метод будет не самым эффективным и каждый потребитель систем голосовой биометрии будет вынужден самостоятельно формировать собственную базу мошенников (соблюдение законодательства о персональных данных пока оставим в стороне). Но зато со временем организации, особенно в некоторых отраслях, смогут обмениваться такими базами, как это, например, делают антивирусные вендоры. Хорошая перспектива есть у банков (а они, наверное, самый первый кандидат на применение таких систем), у которых есть FinCERT, который сможет со временем обмениваться не только данными по IP/DNS/E-mail-адресам мошенников, но и дополнить рассылаемую информацию голосовыми отпечатками.

Бояться этой якобы редкой технологии не стоит. Сегодня весь мир стоит на пороге (круто завернул, а) UAF/U2F-революции от альянса FIDO, когда любое устройство, приложение или средство защиты сможет абстрагироваться от конкретного метода аутентификации/идентификации, возложив эту задачу на U2F/UAF-спецификацию, которая и обеспечит интеграцию с нужным методом аутентификации.

Если пытаться перевести выгоды от использования голосовой биометрии на язык цифр, то они могут заключаться в следующем:

  • Сокращение времени на аутентификацию пользователя с 23 секунд в ручном режиме в центре обработки вызовов (Call Center) до 5 секунд в автоматическом.
  • Повышение лояльности пользователей (и, как следствие, доходов от них) в результате отказа от необходимости запоминать всем известные ответы на "секретные" вопросы,  помнить PIN-код для входа в систему или отвечать на вопросы назойливого сотрудника банка (ваши ФИО, дата вашего рождения, номер карты и т.п.).
  • Снижение числа сотрудников центра обработки вызовов за счет автоматической обработки многих простых вопросов (время работы офиса в праздники, ближайший офис или банкомат, тарифы и т.п.).
  • Снижение числа мошеннических операций.
  • Снижение времени на ожидании правильного сотрудника, который поможет ответить звонящему.
  • Рост продуктивности работников компании и центра обработки вызовов.
Хочу обратить внимание, что безопасность тут находится на заднем плане. Основные выгоды заключаются совсем в другом - автоматизация ряда задач, сокращение времени, рост лояльности. И большинство из них может быть оценено до приобретения решения, в то время, как снижение числа мошеннических операций оцениваться будет только после. Но это как раз тот случай, когда ИБ может показать, как она помогает бизнесу решать бизнес-задачи, а не пытаться решать свои важные, но все-таки сугубо внутренние задачи.


Из игроков рынка голосовой биометрии можно выделить следующих:

Описывать решения каждого из них я не буду. Отмечу только, что лидером рынка сейчас признается Nuance. Ее решения установлены в Аэрофлоте, а также она известна всем пользователям iPhone, так как Siri построена именно на технологиях Nuance. Правда, в этих случаях речь идет только о распознавании речи, а не об идентификации пользователя. О таких внедрениях в России я не слышал.

ЗЫ. Кстати, по 17/21/31-му приказам голосовая аутентификация вполне себе разрешена. Только вот сертифицированных по требованиям ФСТЭК решений в России пока нет.

UPDATE 1: В список вендоров забыл включить отечественный Центр речевых технологий.

UPDATE 2: Банк "Тинькофф Кредитные Системы" тоже реализовал голосовую идентификацию.

3.8.15

Нужна ли этика пентестерам?! Да, опять про этику!

Произошедшие недавно события вновь подняли вопрос об этике компаний, занимающихся пентестами и исследованиями в области информационной безопасности. И родился у меня некоторый список вопросов, который если и не требует ответов, то задуматься о них стоит.

  1. Этично ли промолчать о найденной случайно у заказчика проблеме вне скоупа оговоренных работ? Ведь заказчик за нее не платил. Но именно через нее заказчика впоследствии могут сломать.
  2. Этично ли обвинять компанию, в решениях которой ты что-то нашел, в уязвимости, при этом не приводя никаких доказательств найденного?
  3. Этично ли обвинять какого-либо вендора в сознательном оставлении уязвимостей (закладок), не имея никаких доказательств этого?
  4. Этично ли обвинять какого-либо вендора, в решениях которого ты нашел уязвимость, но при этом даже не попытался связаться с вендором?
  5. Этично ли упоминать публично про то, что тебе конфиденциально дали исследовать кого-то?
  6. Этично ли нанимать на работу тех, кто имел проблемы с законом в этой же сфере?
  7. Этично ли брать заказ на исследования от "плохих" парней? А от от тех, кто работает с плохими парнями? Или все-таки деньги не пахнут?
  8. Этично ли поливать говном всех, кого взломали, даже не приложив ни малейших усилий к тому, чтобы узнать причины и детали взлома? Может жертва все-таки не виновна?
  9. Этично ли найти дыру в продукте, отвечающем за жизнь миллионов людей, и требовать за это деньги, в противном случае пугать публичным раскрытием данных?
  10. Этично ли поливать публично и в кулуарах говном бывшего заказчика, прекратившего с тобой сотрудничество?
  11. Этично ли публично поливать говном компанию, за кулисами прося у нее деньги и набиваясь на сотрудничество?
  12. Этично ли публиковать пресс-релизы о взаимодействии с вендором, не ставя его в известность об этом?
  13. Этично ли не связываться с взломанным клиентом, которому ты делал пентест?
  14. Этично ли поливать говном взломанные компании, не являющиеся твоими клиентами, и молчать как рыба об лед о взломе клиентов, где ты проводил пентест?
Вопросы... Есть ли на них универсальные или "правильные" ответы? Скорее всего нет. Каждый сам и по своему отвечает на эти вопросы. Все-таки это не математика (хотя и в ней есть задачи без ответов). Главное - на эти вопросы ответить самому себе, а не зарывать голову в песок. Кто-то готов к этому. Кто-то нет. Кто-то будет с пеной у рта доказывать, что этика и пентесты не совместимы, и пентест - это вообще искусство, которому чужда этика как таковая. 

Кадры из знаменитого альбома Лени Рифеншталь о поездке к нубийцам
Тут нельзя не вспомнить Лени Рифеншталь, по мнению экспертов, великий режиссер и фотограф 20-го века, которая сотрудничала для достижения своих целей с нацистами. Она говорила ровно тоже самое - главное для нее была карьера и творчество, которым она занималась; а все остальное было вторично. Верно ли это? Каждый выбирает для себя...