31.3.16

Служба ИБ должна подчиняться ИТ

Незапланированный пост, навеянный комментариями к двум заметкам, посвященным объему финансирования ИБ и численности службы ИБ в зависимости от этих показателей в ИТ. На меня многие набросились с обвинением в том, что вопрос вообще звучит некорректно и ни в коем случае нельзя измерять ни бюджет, ни численность ИБ от ИТ. Каждый спорящий отстаивает свою точку зрения, приводя неубиенные аргументы и опираясь на собственный опыт. А теперь давайте дистанцироваться от опыта и посмотрим на то, как и почему возник вопрос о "проценте от ИТ"?

Есть стереотип, что информационная безопасности = ИТ-безопасность, то есть это одна из множества функций ИТ. Этот стереотип подтверждается и различными опросами. Например, Symantec:
Подчиненность ИБ по версии Symantec
или Wisegate:
Подчиненность ИБ по версии Wisegate
У них хотя и разная глубина опроса (Symantec ограничился всего тремя направления подчинения), но на удивление схожее соотношение - больше чем в 2/3 случаях ИБ подчиняется именно ИТ (по данным Ponemon Institute ИБ подчиняется ИТ в 56% случаев). Почему такой стереотип возник и продолжает активно поддерживаться и развиваться?

На мой взгляд ответ прост. Этот стереотип отражает эволюцию ИБ на многих предприятиях. Если рассматривать ИБ как всяческие настройки МСЭ и установку антивируса, то логично, что именно это делают ИТшники. В небольших организациях, где и ИТ-то выделенной нет, это ложится на приходящего админа. А там, где ИТ в том или ином виде все-таки существует, настройки средств защиты ложатся на плечи именно админов. Тема соответствия требованиям ИБ не поднимается вовсе. Это очень распространенная ситуация для абсолютного большинства российских организаций, относящихся к малому бизнесу или индивидуальным предпринимателям. Ни о каких "назначении уполномоченного за ИБ сотруднике", как написано во многих нормативных актах, и речи не идет.


По мере развития предприятия у него появляется больше задач, которые связаны с ИБ. Появляется выделенный безопасник, но опять же в структуре ИТ. У него еще нет отдельного отдела, нет бюджета, но он уже занимается только ИБ, в том числе и темой compliance.


Третий эволюционный вариант - создание отдела ИБ внутри департамента ИТ. Это присущая многим крупным организациям структура и вызывает вопросы, аналогичные тем, что задавались в заметках об объеме финансирования и численности как проценте от аналогичных показателей в ИТ. В данном случае вроде как все нормально - свой бюджет, свой штат, учет ИБ в ИТ-проектах, но буйным цветом расцветает конфликт интересов.


Не может контролер подчиняться контролируемым. Об этом и ЦБ говорит в своих документах, но и явно не запрещает подчинение ИБ под ИТ, понимая, что это сложившаяся практика и не Банку России ее ломать. Хотя требование о наличии у ИБ куратора, отличного о ИТ, выглядит странно. Получается, что у ИБ будет два руководителя - непосредственное подчинение ИТ и куратор вне ИТ. И как быть в ситуации, когда от двух кураторов идут противоречащие друг другу указания?

В целом подчинение ИБ в ИТ имеет свои явные плюсы, но и явные минусы. Минусов больше. Но самое главное, что ИБ занимается часто задачами, которые к ИТ вообще никакого отношения не имеют - противодействие утечкам по техническим каналам (и вообще тема ПДИТР), взаимодействие с правоохранительными органами, безопасность бумажного документооборота... Это не просто второстепенные для ИТ задачи, а явно выходящие за рамки деятельности CIO.

Может лучше в службу безопасности включить ИБ? Все-таки и там и там общее понимание задач? Давайте на это посмотрим завтра.

30.3.16

Новые документы ЦБ по ИБ

На днях ЦБ утвердил парочку новых документов по информационной безопасности. Первым стало долгожданное Указание Банка России №3889-У об определении актуальных угроз безопасности персональных данных. Первый проект этого документа появился еще в 2013-м году и с тех пор он претерпел сильные изменения. Я свел ключевые особенности двух моделей угроз ПДн от Банка России в таблицу и вот что получилось.


По сравнению с самой последней версией, выложенной на regulation.gov.ru финальный вариант отличается добавление слов "в том числе" в 4-м пункте Указания. Это было требованием МинЮста, из-за которого документ, утвержденный в декабре 2015-го года был зарегистрирован только в марте 2016-го. Это незначительное изменение поменяло суть документа, сделав его бесполезной затеей :-( Если раньше перечень угроз был закрыт и кредитные организации могли сильно сэкономить на нейтрализации неактуальных угроз, то сейчас никакого закрытого перечня нет - есть минимальный набор угроз, от которых надо защищаться.

Также не совсем понятно, почему спектр попадающих под модель категорий ПДн сужен до спецкатегорий и иных ПДн? Почему биометрические ПДн (особенно в контексте последних разъяснений РКН по поводу фотографий в паспортах) и общедоступные ПДн (из социальных сетей, которые используются банками для формирования кредитного портрета будущего заемщика) выпали из рассмотрения финансовым регулятором? В итоге документ получился не совсем тем, который ожидали в отрасли. Он не мешает и не помогает :-(

Второй документ - это Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. Каких-то особых нюансов с этими порядками я не заметил. Данное Указание схоже с утвержденным полугодом ранее Указанием №3701-У от 29.06.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством передачи запроса через нотариуса".


29.3.16

РусКрипто: новости 8-го Центра ФСБ

ФСБ, а точнее 8-й Центр, был представлен на РусКрипто несколькими докладами:
  • от Кузьмина А.С., выступавшего от имени ТК26, но зная аффилированность и ТК и 8-го Центра, можно предположить, что и от имени регулятора прозвучало бы ровно тоже самое
  • от сотрудников 8ки с представлением проекта открытых требований к шифровальным (криптографическим) средствам защиты информации
  • от Простова В.М. про перевод EMV-стандарта на отечественные криптографические алгоритмы.
Были и различные реплики указанных лиц, а также от ТК26, по тем или иным звучавшим темам. Что я вынес из всех этих выступлений? Тезисно это можно зафиксировать следующим образом:
  • По мнению Кузьмина в России под регулирование ИБ попадает всего около 40% информации, циркулирующей в современном информационном поле. Вывод такой сделан на основании Указа Президента №188.
  • ФСБ регулирует сегодня вопросы разработки доверенных криптоалгоритмов, процесса разработки СКЗИ (лицензирование), результата разработки СКЗИ (сертификация), использования СКЗИ (лицензирование, аккредитация). И будет продолжать их регулировать.
  • Кузьмин трактурет термин "гражданская криптография" как "для личного применения гражданами", а не как "отличная от государственных нужд".
  • Рядовые граждане не в состоянии решить проблемы защиты личной информации с помощью имеющихся решений - дорого и сложно. Поэтому...
  • ТК26 при непосредственном участии 8-го Центра готовит рекомендательный документ, который будет описывать вопросы применения криптографии для личных нужд. Вот нафига еще и сюда лезть? У нас что, все проблемы с криптографией решены? У нас больше нечем регулятору заняться, как еще и граждан учить, как им защищать свои данные? Учитывая то, как писались требования по ПДн, боюсь, что тут тоже ничего адекватного, простого и понятного не получится. А к мнению экспертов 8-й Центр не прислушивается. Точнее прислушивается, но только к тем, которые дуют в ту же дуду, что и сам 8-й Центр. А еще эти эксперты должны войти в состав ТК26, а войти туда можно, имея опыт разработки СКЗИ. А опыт у нас такой имеют только те, кто давно и плотно сотрудничает с 8-м Центром и не делает ничего такого, что не согласовано с 8-м Центром. Тупик. Опять требования к гостайне натянут на рядовых граждан, как это было в 2008-м году с первыми требованиями по персданным.
  • Кстати, на секции по Интернету вещей, представитель ТК26 высказал мысль, что они готовы сделать что-то, если к ним придет бизнес и скажет, что надо сделать. На опережение они работать не будут. А бизнес к ним не идет, так как не уверен, что это не вызовет более пристального внимания к нему со стороны регулятора, и что это вообще чем-то закончится полезным. Не верит бизнес 8-му Центру в части учета интересов бизнеса к криптографии. Отсюда очередной тупик - бизнес не ставит своих требований по криптографии для 8-го Центра и ТК26, не веря в них, а те в свою очередь, не видя запросов, считают, что всех все устраивает.
  • Кузьмин считает правильным, что средства криптографической защиты информации для личных нужд должны пройти процедуру добровольной сертификации. Если она добровольная, то почему "должны"? Либо Кузьмин просто оговорился по привычке, либо оно действительно так и будет зафиксировано :-( Кто должен создавать систему добровольной сертификации непонятно. Но когда эта идея (в виде СРО) озвучивалась несколько лет назад, в ней подразумевалось, что она будет распространяться на СКЗИ не для государственных нужд.
  • Сертификаты на криптобиблиотеки перестали выдавать 1,5 года назад. Сертификации подлежит только завершенное изделие.
  • Требования к СКЗИ как были секретными, так и останутся. Никаких изменений не планируется. Они доступны лицензиатам, а потребителям нет нужды знать конкретные значения безопасного времени эксплуатации, вероятностей неисправностей и сбоев, отношений опасный сигнал/помеха и т.п.
  • Классов СКЗИ теперь 5, а не 6. КВ1 и КВ2 были слиты в один - КВ.
  • Чтобы потребитель лучше понимал, что скрывается за тем или иным классом, ФСБ готовит проект открытых требований к СКЗИ. В апреле этого года их презентуют на весеннем заседании ТК26, в мае опубликуют для всеобщих комментариев, а в июне доработают на основе полученных замечаний. Все бы хорошо, с этими требованиями, но...
  • Это не требования. Это переложение секретных документов 8-го Центра с требованиями к СКЗИ на более понятный язык для потребителя, не имеющего допуска к секретным сведениям. Этакий толмач, чтобы заказчики понимали, почему все так непросто с требованиями ФСБ к СКЗИ. Хорошая инициатива, только вот с практической точки зрения смысла имеющая мало. Требования к самим СКЗИ не меняются. Требования ФСБ по применению СКЗИ тоже не меняются. Как было написано в 378-м приказе, что при наличии доступа к исходным кодам среды функционирования СКЗИ (привет VPN на Linux) оно должно быть сертифицирована как КА, так и написано. Как было написано, что при возможности нарушителем привлечь специалистов в области разработки и криптоанализа СКЗИ (а это влечет за собой КВ), так и написано.
  • Структура новых требований тоже непроста. Если и писать ее будут те же люди, то документ получится тяжеловесным.

  • Что интересно, указанные Требования будут утверждены даже не 8-м Центром, а выпущены как документ ТК26.
  • По словам Кузьмина, для них было сюрпризом, что несмотря на унификацию программной части многих сред функционирования СКЗИ, на разных аппаратных платформах, включая чипы, СКЗИ по-разному ведут себя. А это приводит к необходимости усиления требований к сертификации аппаратной части СКЗИ, что в будущем и произойдет. Никакой либерализации - одни ужесточения.
  • Доклад Простова про перевод EMV на российскую криптографию мало чем отличался от нынешнего и прошлогоднего выступлений на Уральском форуме. Даже слайды были те же. Общий посыл - зарубежные стандарты несут угрозы отключения НСПК (как стандарты могут отключить НСПК я так и не понял), сейчас НСПК и карта "Мир" использует западную криптографию, а это неправильно, нужно внедрять российскую криптографию. По мнение ФСБ российская криптография не будет дороже зарубежной (Thales, SafeNet, Gemalto и др.). Правда, все почему-то забывают уточнить, что за отечественные СКЗИ придется платить помимо иностранных СКЗИ. От них-то никто не отказывается - МПС ради 1% российского рынка не будет менять правила игры и переходить на отечественные СКЗИ. Поэтому банкам, чтобы работать и с МПС, и с НСПК, придется иметь две системы криптографической защиты. А это двойные затраты.
Вот такой не самый оптимистичный обзор того, что говорили представители криптографического регулятора на РусКрипто 2016.

PS. Кстати, отслеживать последние изменения в российской криптографии и ТК26 можно с помощью Twitter

28.3.16

РусКрипто: место в российской индустрии ИБ, общие впечатления и "Своя ИБ-игра"

В пятницу завершилась РусКрипто 2016. Я уже как-то писал про свое отношение к РусКрипто и ее соотнесение с другими мероприятиями по ИБ. Повторю свою мысль. Если классифицировать все московские мероприятия, то у меня получается следующая картина:


Есть важный блок "регуляторских" мероприятий, на которых надзорные органы делятся своими планами и которые, как бы не говорили у нас, что бумажная безопасность это плохо, все равно собирают немалое количество посетителей. Уральский форум - это "ЦБшное" мероприятие, "Актуальные вопросы защиты информации" - ФСТЭКовское, "Защита персональных данных" - РКНовское, а РусКрипто соответственно ФСБшное. На нем представители 8-го Центра делятся своим взглядом на развитие индустрии криптографии и ИБ и им можно задавать наболевшие вопросы (не всегда с получением ответов, но это уже издержки регулятора).

Про высказанную в этот раз позицию 8ки я еще напишу отдельно (там есть, о чем рассказать), а сейчас хотел бы поделиться впечатлениями от самого мероприятия. Мне нравится РусКрипто своей атмосферой и местом проведения. Они отличаются от всех остальных ИБшных тусовок. Именно для меня отличаются. Именно сюда я могу ездить с семьей и отдохнуть несколько дней от московской суеты. Отличное место проведения - с анимацией, СПА, бассейнами, боулингом, бильярдом, настольным теннисом, лесом, - позволяет реально расслабиться. В Магнитогорске тоже можно отдохнуть, но отдых там другой. Да и с семьей не поедешь. Этим Рускрипто и ценно для меня. Да, это субъективная оценка, но какая есть.

Контент оценивать не берусь. Выступления регуляторов интересны сами по себе, а остальные доклады выпадают из поля моего внимания. Все-таки я не криптограф и слушать про гомоморфное шифрование, клеточные автоматы и квантовую криптографию (в условиях, когда у нас криптоалгоритмы не меняются десятилетиями) с моей, сугубо практической, точки зрения бессмысленно. Понятно, что криптографическая школа у нас сильна и, возможно, даже наши криптоалгоритмы можно использовать в Интернете вещей, в высокочастотном трейдинге, в чипах. Но регулятор как-то не очень помогает этому всему развиваться. Исследование и докладов делается много - выхлопа мало.

Но вернемся к РусКрипто. В этом году я модерировал секцию про Интернет вещей и читал там уже выложенную презентацию по криптографии в IoT. Помимо этого организаторы попросили меня провести там "Свою ИБ-игру", которую в первый раз я проводил в феврале на Уральском форуме. Идея геймификации ИБ мне нравится все больше и больше (за ней будущее на мой взгляд) и поэтому я с радостью принял предложение. Тем более, что мне и самому было интересно сдуть пыль со своих криптографических знаний. Как в 92-м году я занимался в одном из московских "ящиков" разработкой СКЗИ, так по сути к этой теме я больше и не возвращался (за редкими примерами критики 8-го Центра, нечасто, но все-таки радующего нас своими нормативными творениями).

Очевидно, что повторять 61 вопрос с Уральского форума было бы не совсем правильно. Как минимум потому что РусКрипто было посвящено криптографии, а не банкам. Поэтому я взял 12 других категорий, по каждой из которых придумал по 5 вопросов:
  • Алгоритмы
  • Тайны
  • ФСБ
  • Приложения
  • Россия
  • Кино
  • История
  • Угрозы
  • Имена
  • Инновации
  • Криптоанализ
  • Литература.

Вопросы получились разноплановыми - от "В каком разделе криптографии применяется принцип неопределенности Гейзенберга?" или "Кто впервые ввел термин "криптоанализ"?" до "Как иначе называется простая литорея?" или "Сумма всех цифр (после второго раунда) номера приказа ФСБ по защите персональных данных".

Было весело, много смеялись. Например, в разделе "Тайны" я задал вопрос: "Как называется скульптура с криптограммой, расположенная у главного входа в ЦРУ в Ленгли?" Голос из зала: - Колитесь, кто там был? (гомерический хохот) Так правильный ответ ("Криптос") никто и не дал. То ли не хотели раскрываться :-), то ли действительно не знали.


За час мы прошли по всем 60 вопросам и я могу сказать, что, на мое удивление, на многие вопросы аудитория не знала ответов. И если не брать в расчет действительно сложные темы с максимальным количеством баллов, то я был удивлен, что никто не знал ни автора книги "Взломщики кодов" (а это одно из самых известнейших произведений про историю криптографии), ни автора книги "История шифровального дела в России" (уж нашу-то историю, мне казалось, надо знать). Ну да ладно, игра все равно прошла весело и участники потом подходили и говорили спасибо за организацию.

25.3.16

Оценивая прогнозы Gartner по ИБ десятилетней давности

Разгребая старые презентации, наткнулся на обзор трендов в области угроз, а также сетевой и информационной безопасности от Gartner. Делались прогнозы 10 лет назад и сейчас интересно посмотреть, насколько эти прогнозы сбылись.

Первым в наш прицел попадает прогноз развития технологий ИБ. Если посмотреть на двухлетние прогнозы, то из всех не сбылся (или уже забылся) прогноз на защиту Instant Messenger'ов. Как-то тема не взлетела особо. Скорее сами разработчики стали выпускать мессенджеры с встроенной безопасностью - Telegram, Whatsap, Snapchat, Secret и т.п. С пятилетними прогнозами вроде все тоже срослось. Из десятилетних прогнозов не сбылся SSL Peer-to-Peer/Site-to Site и, на фоне постоянных сообщений о проблемах в SSL, видимо уже и не сбудется. С более чем десятилетним прогнозом, а он у Gartner был один, получилось 50/50. С одной стороны массового применения биометрии пока не случилось, а с другой ее внедрили в один из самых популярных смартфонов - iPhone.


С прогнозами по сетевой безопасности "стрельнуло" все кроме одного - активного роста МСЭ для XML не случилось. Точнее они были популярны какое-то время назад, но потом сошли на нет.


Аналогичная ситуация и с прогнозами Gartner по угрозам. Сбылось почти все, кроме атак на SOA. 10 лет назад сервис-ориентированная архитектура была популярной, а потом про нее все забыли. Но если трактовать SOA, как прикладную архитектуру, то атаки на приложения тоже вышли на плато продуктивности и заняли свое достойное место в арсенале злоумышленников.

Где-то Gartner пролетел по срокам на несколько лет в ту или иную сторону, но на десятилетнем отрезке это выглядит не так уж и заметно. Так что можно признать, что по части информационной безопасности более 80% предсказаний сбылось, что является достаточно неплохим показателем для такой динамичной отрасли, как наша. Разумеется, появились и новые технологии, о которых 10 лет назад мало кто думал (та же аналитика ИБ, Threat Intelligence и другие), но в целом очень даже недурно. Уж точно не экстрасенсы-шарлатаны, тыкающие пальцем в небо.

24.3.16

Моя презентация с РусКрипто про криптографию в Интернете вещей

Выкладываю мою презентацию про текущее состояние дел в промышленном и консьюмерском Интернете вещей.



23.3.16

Какова должна быть численность службы ИБ в соотношении с ИТ?

Продолжая начатую вчера тему про проценты ИБ от ИТ, решил выложить различные цифры о том, какова должна быть численность службы ИБ в соотношении с ИТ. Итак, удалось найти следующие цифры:

  • Согласно исследованию 2003 Deloitte Touche Tohmatsu 1 сотрудник ИБ нужен на 1000 пользователей ИТ (не сотрудников, а обычных работников).
  • Согласно исследованию Computer Security Institute (CSI) и финансовым отчетам города Сакраменто численность ИБ составляет около 3%-5% от общего состава ИТ-службы.
  • По исследованию Computer Security Institute на каждых 4 ИТ-аудиторов приходится 6 сотрудников ИБ.
  • Согласно исследованию 2009 IT Spending and Staffing Benchmarks, проведенного Computer Economics, ИБшников должно быть 1,5%-2% от общего числа ИТ-службы.
  • 5000 устройств (включая мобильные, стационарные, сетевые) требует не менее одного сотрудника ИБ. Это вытекает из отчета 2004 Educause report, High Stakes, Strategies for Optimal IT Security Staffing.
  • Согласно отчетности многих американских администраций штата и города на каждые 100 ИТшников требуется 8,5 сотрудников ИБ (включая 2,5 аудиторов).
Можно видеть, что цифры разняться от 1,5% до 8,5%. Видится мне, что обе эти границы скорее являются частными случаями, и реальное значение численности ИБ от ИТ составляет 3%-6%.

22.3.16

Каким должен быть процент на ИБ от ИТ-бюджета?

На днях, на одном мероприятии меня спросили, сколько надо тратить на ИБ от ИТ-бюджета? Понимая, что вопрос поставлен некорректно, но ответ на него все равно все ищут, решил дать выдержки из своей статьи двухлетней давности "Процент безопасности", опубликованной в "ИТ-Менеджере".

Согласно «2005 CSI/FBI Computer Crime and Security Survey» на информационную безопасность тратится 4,3% от ИТ-бюджета. По данным Gartner, опубликованным в 2004 году, эта цифра составляет 6–9%. А согласно опросу «The Global State of Information Security 2005» от CIO Magazine процент достигает уже 13%. Разброс значительный: от 4,3 до 13%. Есть ли более свежие цифры? Да, есть! В 2011-м широко известный в узких кругах Ponemon Institute опубликовал исследование, согласно которому 39% организаций тратят от 6 до 10% на соблюдение правил безопасности; еще 39% организаций тратят от 11 до 15%; 11% организаций тратят от 16 до 20% и 7% организаций тратят колоссальные от 21 до 25% своего ИТ-бюджета на соблюдение правил безопасности.

Согласно отчету компании Forrester «2012 Budget and Planning Guide for CISOs», затраты на информационную безопасность составили 7,3 в 2010-м, 7,6% в 2011-м и 8,0% в 2012-м. Ему вторит компания Wisegate, которая в 2013 году опубликовала еще один отчет — «2013 IT Security Benchmark Report». В нем приведены конкретные цифры распределения затрат на информационную безопасность. Согласно исследованию Wisegate:

  • В среднем на ИБ тратится 7,5% от ИТ-бюджета.
  • По отраслевому срезу больше всего на ИБ тратят финансовые организации и банки — 10,4%. Меньше всего расходуют государственные органы — 2,3%. Для промышленности эта цифра равна 8,9%, для страховщиков — 3,6%, для здравоохранения — 6,9%.
  • Размер бюджета также зависит от размера компании. В том случае, если в компании работало менее 1000 сотрудников, то она тратила в 2,5 раза больше денег на ИБ, чем компании с 20000 и более сотрудниками: 10% против 4%.
  • Более зрелые компании тратят на ИБ больше своих менее продвинутых коллег: 9,0 против 5,6% от ИТ-бюджета.

21.3.16

Фишки прошедшей RSAC

Уже по традиции хочу поделить интересными и запомнившимися мне по результатам посещения RSAC фишками.


Эта RSAC была юбилейная (25 лет) и организаторы решили разместить в одном из фойе стену с 25-тилетней историей отрасли ИБ. Но самое интересное, что любой желающий мог дописать маркером свои события, которые он считал важным для отрасли. Интересная идея, позволяющая каждому почувствовать себя немного летописцем истории.


Еще одной классной фишкой стал книжный магазин, в котором можно было с 10%-й скидкой купить различные книги по информационной безопасности. Правда, сейчас цены стали кусаться. Раньше потратить 200-300 долларов на книжки было не так сложно. Сегодня, при курсе в 70 рублей за доллар, это вылетает в копеечку. В России, наверное, будет сложно такую идею повторить - у нас книжный рынок по ИБ очень неразвит и нет достаточного количества интересных фокусных авторов и тем.


На самой конференции перед каждым докладом на экране сменялись важные сообщения, часть которых можно было бы перенять и отечественным организаторами. Например, предупреждение о том, что если слушатель хочет оставить отзыв о мероприятии или получить баллы, подтверждающие пройденное обучение (так называемые CLE), ему надо просканировать его бейдж.


Обратите внимание, на пункт "Post Conference Trip Report". Это классная штука оказалась. После возвращения домой я получил на электронную почту отчет о посещении мероприятия, в котором было указаны все посещенные мной сессии и стенды на выставке (путем сканирования бейджа). Очень удобная штука для бухгалтерии, которой надо отчитаться о посещенном мероприятии и потраченных деньгах. Реализуется элементарно, но требует единой базы участников и отслеживания их активностей в рамках мероприятия. Не уверен, что это отобьется у нас.

Следующее предупреждение повергло меня в шок :-) В зале запрещено было стоять и сидеть на корточках или на полу. Объяснялось это требованиями пожарной безопасности. Не знаю, как это связано, но в залах действительно никто не стоял и вдоль стен не сидел, мешая проходу.


Это приводило к тому, что чтобы попасть на сессию люди заранее формировали очередь и поскольку они были длинные (до нескольких сотен метров), а потоков параллельных было немало, приходилось ставить в конце очередей вот такие указатели, двигающиеся вместе с хвостом очереди.


Но в залах (а они были рассчитаны на 300-400 человек) помещались все равно не все; поэтому организаторы соответствующим образом помечали такие презентации, чтобы слушатели понимали, стоит им стоять ждать, когда освободится место или идти искать другое интересное выступление (благо было до 30 параллельных потоков). У нас такое врядли когда-нибудь появится - аудитория обычно меньше вместительности залов. Да и не пускать участников у наших организаторов в голову не придет - скандала потом не оберешься (даже на бесплатных конференциях).


Пожелание отключать телефоны было ненавязчивым, но при этом ни разу за 5 дней мероприятия я так и не услышал мобильной трели.


Записывать сессии на видео было запрещено :-( Вот это мне не понравилось. Они и сами вроде как не записывали и другим не давали. А я некоторые доклады потом бы пересмотрел еще раз.


Пакеты для зонтов, места для зарядки телефонов, розетки для ноутбуков, скамейки и столы для отдыхающих, бесплатный Wi-Fi... Все это было.

Запись с тусовки ФРИИ для ИБ-стартаперов

После проведенных "ранних пташек" со стартаперами по ИБ было много вопросов о том, делалась ли запись моего выступления, чтобы взглянуть/услышать на тенденции рынка мирового? Я решил, что почему-бы и не записать еще раз свое выступление, что и сделал.


18.3.16

LANDesk покупает AppSense

14 марта компания LANDesk объявила о намерении приобрести компанию AppSense, занимающуюся решениями по управлению физическими, виртуальными и облачными десктопами, в том числе и в части обеспечения информационной безопасности. Обе компании частные, размер сделки не сообщается.

Пара новостей законодательства - ПДн и лицензирование

На сайте regulations.gov.ru, на котором выкладываются новые проекты нормативных правовых актов, за последние пару дней произошло парочку интересных изменений, влекущих за собой (в случае принятия) интересные последствия.

Во-первых, нашумевший проект изменений в ПП-79 и ПП-171 в части увеличения обременений на лицензиатов ФСТЭК и отмены лицензии для собственных нужд, в финальном своем варианте лишился столь долгожданной приписки о том, что для собственных нужд лицензия ФСТЭК на ТЗКИ не требуется. Возможно, это просто редакторская ошибка, а возможно вполне осознанный шаг по возврату к режиму полной неопределенности в данном вопросе, позволяющем любую организацию прижучить за отсутствие лицензии (тем более, что расширение списка видов работ, требующих лицензии, "накрывает" большое число компаний). Подождем финального текста...

Второе изменение коснулось появление нового законопроекта, вносящего очередные изменения в ФЗ-152 в части расширения полномочий РКН. Текст поправки звучит следующим образом (жирным выделено новое дополнение): "Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается установление порядка, обеспечение, организация и осуществление государственного контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи".

Законопроект связан с правовым вакуумом, который появился в результате, вывода контроля и надзора из под действия ФЗ-294. Планировалось, что будет принято соответствующее Постановление Правительства, но не сложилось. В итоге законность проведения проверок РКН с 1-го января 2016-го года оказалась под вопросом. РКН явно признает, что не имеет права проводить сейчас проверки. Поэтому законопроект и появился - он дает право РКН разрабатывать документы по организации проверок, расширять свой Административный регламент и полностью "подмять" по себя тему проведения надзорных мероприятий по части персональных данных.

17.3.16

Как самостоятельно провести анализ вредоносного кода

На Уральском форуме, в последний день я не только читал обзорную презентацию про "15 минут" и не только проводил "Свою ИБ-игру". Еще я проводил мастер-класс (если так можно выразиться) про самостоятельный анализ вредоносных или подозрительных файлов.

Надо сразу признаться, что я не практикующий аналитик и никогда не планировал им стать. Да и за час (а на Уральском форуме и того меньше - я провел эту демонстрацию за 30 минут) сложно научиться проводить такой анализ. Моя задача состояла в другом. Во-первых, показать, что не всегда стоит надеяться только на антивирусные компании, которым можно отправить подозрительный файл. Иногда можно провести анализ самостоятельно. Хотя бы первичный. Это как с первой помощью - ее можно провести и самому (при наличии определенной квалификации и пройденных тренингов). А уж медицинскую помощь должны оказывать специалисты. Тут схожая ситуация - снять хэш с файла для создания индикатора компрометации, сделать копию диска, снять "слепок" с оперативной памяти, записать сетевой трафик и т.п. Это все можно сделать и своими руками. А вот что делать дальше - вопрос открытый. Можно создать свою службу расследования, а можно уже общаться со специализированными компаниями.

Второй целью демонстрации было показать, что есть задачи, которые можно проводить своими силами и без привлечения дорогостоящих инструментов. Первых 8 демонстраций базируются на бесплатных или open source решениях, свободно скачиваемых из Интернет или являющихся частью операционных систем (тот же REMnux, Onion и т.п.). Но у бесплатных решений есть и минус - они требуют ресурсов - временных и людских, а также серьезной квалификации. С платным инструментарием по анализу вредоносной активности ситуация проще - им надо просто заслать файл для анализа и обратно получить вердикт. Просто и банально. Но за деньги. Выбирать вам. Вот собственно этому выбору и посвящена данная презентация с 9-ью демонстрациями.



В конце презентации приведена картинка, которая может быть не очень хорошо видна. Она содержит майнд-карту с перечнем инструментов, которыми должен владеть аналитик вредоносных файлов и вредоносной активности. Я ее тоже прикладываю - она полезна для расширения списка инструментов, которыми надо оснащать собственную службу расследования и анализа.


ЗЫ. И обратите внимание на DISCLAIMER в начале презентации :-)

16.3.16

Тусовка ИБ-стартапов в ФРИИ

Вчера я выступал на мероприятии, организованном ФРИИ и посвященном стартапам в области информационной безопасности. Интересная тусовка оказалась, непривычная для нашего традиционного сегмента. Во-первых, начало в 9 утра (это так называемый формат Early Beards, то есть "ранние пташки"). Организаторы специально выделяют, что это нормальная практика; в США встречи вообще могут начинаться в 7 утра. Во-вторых, неформальная обстановка - кафе, кофе, столики, бесплатный Wi-Fi, общение.


В-третьих, это длительность мероприятия. В 11 я уже был свободен и смог еще успеть на пару встреч и в офис. Непривычно, если честно. У нас обычно все рассусоливают. Час на регистрацию перед семинаром или конференцией, перерывы на кофе-брейки, обед еще на час, доклады по 15 минут и много воды. А тут все сжато. Два доклада, общение и все разошлись по делам. Оно и понятно. Мероприятие проводится не с целью заработать денег - поэтому все предельно конкретно и без затягивания.

Меня пригласили выступить с обзором тенденций в области ИБ. Удачно сложилось, что неделей ранее закончилась выставка RSA и я мог представить анализ тех компаний и тем, которые выставлялись в Сан-Франциско. Учитывая, что RSAC задает тон мировой ИБ и определяет основные темы на год вперед, то такой рассказ был в тему для встречи стартапов ФРИИ. Дополнительно я добавил российской специфики, так как блиц-опрос, проведенный в рамках встречи, показал, что большинство присутствовавших там стартапов ориентировано на локальный, российский рынок. Хотя, я не уверен, что я обнадежил их - все-таки у нас делается все, чтобы стартапы ИБ либо задушить, либо не пустить на рынок.

Презентация моя вот:



Она совсем незначительно, на пару слайдов, отличается от того, что я читал. Все-таки я готовил первоначальную версию в ночь перед выступлением и за пару часов не все удалось включить в материал. В итоговой версии я подправил парочку моментов и добавил дополнительный слайд.

Американцы раздувают киберугрозу из России

Продолжай начатый прошлой заметкой курс на рассмотрение американских фетишей, нельзя не сказать про боязнь не только китайцев, но и русских. Пусть и реже, но эта тема тоже всплывала на RSA Conference регулярно. Например, в безобидном докладе ученого из Стэнфорда, посвященного количественному измерению рисков, явно или неявно Китай и Россия были указаны в числе возможных врагов.


Это уже на уровне подсознания. Результат развязанной информационной войны, в которой обычно бездоказательно, но русские называются одной из основных угроз благоденствию Америки. При этом американцы, повторяя как мантру про угрозу от русских, во-первых, часто путаются и смешивают в понятии "русский" и украинцев, и белоруссов, и казахов, и прибалтов (то есть весь бывший Советский Союз), а, во-вторых, сами не до конца знают, где это сосредоточение зла находится.

Как-то в 2008-м году, во время очередной командировки в Штаты, я арендовал машину и при выездке с парковки, показывал свое водительское удостоверение парковщику. Он увидев незнакомую корочку, спросил, откуда я. Я ответил, что из России, и его лицо озарилось живым интересом. Он в кратком монологе рассказал, что его жена родом из штата Джорджия, а потом задал убийственный вопрос - "Почему вы, русские, напали на место рождения моей жены?" И было ему невдомек, что штат Джорджия, который имел ввиду он, и государство Грузия, с которым у России был конфликт в 2008-м году, это совсем не одно и тоже, хотя и пишутся по-английски одинаково (Georgia).

В этом году на одном из стендов у меня произошел схожий диалог. На вопрос, откуда я, и услышав "из России", представитель известной американской компании спросил меня:
- Это рядом с Колорадо?
- Нет, это рядом с Европой!
- О, так вы из Европы!

Это было бы смешно, если бы не было так грустно. Действительно, складывается впечатление, что против России, которая вновь стала пытаться вернуть себе статус великой мировой державы, давно и небезуспешно ведется информационная война, призванная создать из русских образ врага и не допустить продукцию из России на североамериканский континент (неконтролируемое распространение, разумеется).

Возьмем ту же Лабораторию Касперского. Она была единственной из России, кто выставлялся на выставке RSA (я не беру в расчет EgoSecure, которая стояла на объединенном стенде Германии, и скрывала своих российских владельцев). ЛК приехала в США с очень представительной делегацией, у нее был стенд на выставке, у нее было несколько докладов в рамках конференции. Именно на RSA Лаборатория Касперского широко презентовала свое новое решение по борьбе с целенаправленными угрозами и активно продвигала свое решение по защите промышленных систем. И почему-то именно в дни проведения RSA в американских СМИ прошла информация о якобы разосланном письме оборонного ведомства США об угрозе со стороны продукции Касперского американской критической инфраструктуре.

В 2012-м году Wired уже публиковал "разоблачающую" ЛК статью, в которой говорилось о якобы имеющихся связях ЛК и российских спецслужб. В 2015-м аналогичную по сути, но немного иную по содержанию статью, опубликовал Bloomberg.

Не дает покоя американцам экспансия российских ИБ-компании на Запад и они прикладывают все возможности по противодействию такой экспансии. На той же RSA у меня был другой занятный диалог:
-  А как вы относитесь к русским?
- С ними классно пиво попить!
- А к ИБ-продуктам из России?
- Чур, чур меня!

Забавно, но хорошо отражает нежелание многих крупных американских компаний связываться с русскими в контексте информационной безопасности. Это касается и стартапов, и продуктов, и, зачастую, услуг в области ИБ. В декабре прошлого года в американской Washington Times была опубликована статья "Russian cybersecurity intelligence targets critical U.S. infrastructure" известного колумниста Билла Герца, который имеет очень тесные отношения с ЦРУ и постоянно пишет про американский ВПК и разведку (вот тут про него немало написано). В ней говорится о том, что американские спецслужбы идентифицировали сотрудничающую с ФСБ российскую компанию, занимающуюся поиском уязвимостей и имеющую опыт пентестов промышленных систем. Эта компания пытается открыть представительство в США и будет заниматься сбором разведывательной информации о состоянии защищенности критической инфраструктуры США, в том числе нефте- и газопроводов, а также систем управления транспортом. Под данный портрет попадает несколько российских компаний, например, Positive Technologies или Digital Security, которая в последней день прошедшей RSAC как раз и выступала с докладом (уже читанным ранее на BlackHat Europe) о незащищенности нефтегазовой индустрии.

И в такой портрет "русских" только добавляются новые и новые краски. Например, на той же RSAC было очень забавно слушать доклад китайцев про атаки русских на американцев :-) В нем речь шла о хакерской кампании Northern Gold, которая якобы проводилась русскими.


Но вопрос атрибуции автор доклада обошел стороной. В начале он заявил, что киберпреступники говорили по-русски (не приведя никаких доказательств), а в середине показал скриншот русскоязычного интерфейса системы управления трафиком SUTRA TDS. Вот и вся атрибуция.


И вот так во всем :-( Америка не хочет видеть  в качестве лидера на мировой арене никого кроме себя. А учитывая, что основными конкурентами в этом для США являются именно Россия и Китай, то понятно, что образ врага из них будет и дальше формироваться достаточно агрессивно.

15.3.16

Тихой сапой растет угроза из Китая

В конце прошлого года, в завершающем вебинаре BIS-Expert я должен был выступать на тему возросшей угрозы со стороны Китая, но тогда у меня не получилось. Но после посещения RSA Conference я решил вернуться к этой теме, так как Китай был, если и не основным, то заметным участником и конференционной и выставочной частей (по крайней мере для меня).

Например, компания ThreatBook, которая называет сама себя первым стартапом из Поднебесной, занимающимся темой Threat Intelligence.


Они мне во время выставки показали свое решение, но я не могу сказать, что впечатлился. По сравнению с имеющимися уже сейчас на рынке решениями, ThreatBook ничем особым не выделяется. Я бы даже сказал, что они скорее копируют чужие продукты/проекты, чем делают что-то свое. Например, их сервис по анализу вредоносных файлов VirusBook ну очень сильно смахивает на VirusTotal. Случайность? Не думаю :-)


За рамками остается вопрос качества их анализа и покрытия их фидов - это на выставке протестировать не удалось. Но сувенирка у них была зачетная. Особенно бамбуковый коврик с выжжеными цитатами из "Исскуства войны" Сунь-Цзы (ее можно и для изготовления роллов приспособить).


Затягивали на свои стенды китайцы достаточно агрессивно. И Huawei, и Qihoo, и WebRAY.


На последней меня даже позвали вступить в китайский промышленный альянс по кибербезопасности. Когда я попросил у них информацию об альянсе, то они выдали мне список участников. Теперь и не знаю, они всерьез приглашали или троллили :-)

Список членов китайского промышленного альянса по кибербезопасности
Информацию по данному альянсу немного - известно, что он включает свыше 140 локальных китайских разработчиков в области информационной безопасности и его целью является совместная разработка, а также обмен технологиями по ИБ. Ну и китайскому правительству они активно помогают в определении политики в области кибербезопасности.

Беглый анализ участников RSAC этого и предыдущих годов позволяет сделать вывод, что китайцев стало больше. После шпионских скандалов с ZTE и Huawei в 2011-2013-м годах, когда Пентагон и Конгресс США прямо назвали китайских производителей угрозой национальной безопасности, эти компании поумерили свои аппетиты и про них не было ничего слышно. Однако попытку пролоббировать свое присутствие на американском рынке они не оставили и по словам бывшего директора ЦРУ продолжали свою деятельность с высокопоставленными чиновниками, пытаясь доказать им, что они не представляют угрозу для США. И вот, спустя пару лет, новый расцвет китайского присутствия на американском рынке.

На конференции же китайцы мне запомнились в двух ипостасях. Во-первых, их было много (как бы смешно это не звучало :-) Они сидели на каждом докладе и конспектировали все, что говорили (записывать видео было запрещено). Я такую картину видел на нескольких докладах, а на одном даже сидел рядом с таким китайцем - у него была подготовленная форма, в которую он что-то писал своим китайским иероглифическим письмом.


Вспоминается доклад ЦРУ о разведывательной деятельности Китая, согласно которому китайские спецслужбы используют не совсем типичный для спецслужб Запада и России подход - они не готовят подолгу агентов и разведчиков, а в их качестве используют своих граждан (а также граждан других государств - этнических китайцев) для сбора разведывательной информации. Вспоминая известный тезис о том, что до 95% такой информации поступает из открытых источников и учитывая количество китайцев в мире, такая тактика вполне себе обоснованна. 

Военно-воздушные силы США относительно недавно завершили разработку стратегического документа Cyber Vision 2025, который фокусируется на научных и технологических направлениях в краткосрочной, среднесрочной и долгосрочной перспективе, в которых ВВС США должны лидировать или присматриваться. Разумеется, не обойдена там вниманием и тема информационной безопасности и, в частности, тема угроз, которые должны быть нейтрализованы для обеспечения эффективной деятельности ВВС США и в целом Вооруженных Сил на североамериканском континенте. Что интересно, среди множества факторов влияющих на информационную безопасность (и рост числа Интернет-пользователей, и рост объема данных, и рост пропускной способности каналов связи, американские летчики упоминается и рост числа китайских высокообразованных специалистов, которые потенциально могут стать "агентами" китайских спецслужб (и постоянные скандалы с кражей и передачей американских секретов в Китай это подтверждает).

Глобальные тренды, влияющие на кибербезопасность
Другая "китайская" ипостась на конференции RSAC была связана с тем, что их, наряду с Россией, называли в качестве основного источника киберугроз для североамериканского континента.

Один из слайдов доклада с RSAC
Вспоминая свои ощущения, когда твою страну называют основным мировым киберагрессором, и даже коллеги из американских и европейских офисов на семинарах и конференциях Cisco в шутку троллят, что к ним приехал страшный русский хакер, представляю, что должны ощущать сотни китайцев на RSA Conference :-) Но китайцы тоже не остались в долгу. В последний день они делали доклад о страшных русских хакерах, атакующих американские банки и крадущие деньги американских граждан. Но про это я напишу в следующей заметке.

В заключении хочу отметить, что смотря на происходящее в ИБ-отрасли в мировом масштабе, меня смущают и пугают больше всего именно китайцы. В отличие от прямолинейных американцев, и поддакивающих им европейцев, азиаты непредсказуемы. В свое время, когда я начинал заниматься ушу, то помимо физических упражнений нам преподавали и "теорию" - мы изучали "Речные заводи", Лао-Цзы, само собой Сунь-Цзы и вообще все "Семикнижие". И у меня сформировалось достаточно четкое, хотя и не самое глубокое, представление о тактике и стратегии Китая в военном искусстве. В отличие от краткосрочных и прямолинейных задач, которые так любят ставят на Западе, Восток готов идти непрямым и небыстрым путем для достижения своих целей. И именно это пугает США, которые безуспешно пытаются склонить Китай на свою сторону или заставить танцевать под свою музыку. Китай планомерно движется к мировому господству во всех сферах, включая и информационную безопасность. И методы он использует для этого совершенно разные. В этом и есть угроза, которая меня лично пугает больше известных проблем с продукцией западного происхождения.

14.3.16

Скандал с мильдонием и инцидент ИБ: есть ли между ними сходство?

История с мильдонием достаточно хорошо ложится на тему информационной безопасности и показывает, как надо и как не надо общаться с прессой и заказчиками, когда вас взломали. Хотя обе ситуации отличаются друг от друга, последствия у них схожие - нанесение репутационного ущерба "пострадавшему" лицу или организации. А значит и методы выхода из обеих ситуаций будут одинаковыми.


Итак, у нас есть факт - в пробах ряда российских спорстменов найден запрещенный с 1-го января медицинский препарат. Оставим за кадром политическую составляющую этого дела и то, что почему-то американские аналоги милдроната запрещены не были. Посмотрим, как реагировали разные участники этого инцидента.

7 марта Мария Шарапова призналась, что принимала запрещенный препарат. Она по своей инициативе созвала экстренную пресс-конференцию и до первых обвинений сама признав вину заявила следующее (тезисно):
  • Да, виновата.
  • Это моя ошибка и я несу полную ответственность за произошедшее.
  • Я подвела фанатов.
  • Я не хочу так завершать карьеру.
  • Надеюсь у меня еще будет шанс вернуться в спорт.
  • Это мой организм, и я (а не врачи) отвечаю за то, что в него попадает.
При этом Шарапова подключила современные технологии, организовав онлайн-вещание для желающих со всего мира и сама (без посредников) рассказала на английском языке (то есть для целевой аудитории) то, что произошло. Помимо озвученных выше тезисов, она также сообщила детали и сразу стало понятно, что это ошибка Шараповой, а не осознанное нарушение для улучшения своих спортивных результатов.

Лично у меня поведение Шараповой вызвало только положительные эмоции и никакого негатива к ней у меня нет; скорее даже наоборот. Ее признание даже усилило мою симпатию к ней как к человеку несмотря на сам инцидент.

Теперь посмотрим как отреагировал российские конькобежцы.  Когда в допинг-пробе российских конькобежцев был найден мильдоний, президент Союза конькобежцев России
Кравцов также провел пресс-конференцию (но не сразу, а спустя два дня после заявлений Шараповой, которая первой инициировала вынос темы в публичную плоскость). Кравцов (а не уличенные в допинге конькобежцы сказал следующее (тезисно):
  • Нет, мы не виноваты.
  • Сознательно и умышленно мы мильдоний не употребляли.
  • Мы будем бороться за оправдание
  • Существует вероятность лабораторной ошибки.
  • У нас есть доказательства невиновности конькобежцев.
  • Мильдоний подбросили другие члены сборной России, которых мы сейчас выявляем.
  • Для поиска виновных среди спортсменов и врачей мы используем полиграф.
Чем отличалась пресс-конференция Кравцова от мероприятия Шараповой? Основным посылом. Шарапова признала вину и попросила прощения. Кравцов тупо перевел стрелки на других, попутно поставив под подозрение всю сборную России, выставив ее преступным сообществом, для которого даже полиграф решили применить, чтобы найти виновных. Какие у меня эмоции вызвала эта тридцатиминутная пресс-конференция? Негативные :-( Даже если действительно подбросили (а судя по приведенным Кравцовым фактам такая версия имеет право на существования) сама по себе коммуникация на внешний мир была крайне неудачной. Она прошла с опозданием, только на русском языке, не онлайн и даже запись на YouTube без англоязычных субтитров, что привело к тому, что журналисты начали додумывать сами детали этого инцидента.

Третий пример - фигуристка Боброва, в чьей пробе тоже обнаружили мильдоний. Она признала положительный результат пробы, вины не признала, заявила, что не будет участвовать в чемпионате мира. Никакой пресс-конференции проведено не было. По сути, если пробежаться по СМИ, которые по телефону общались с Бобровой, складывается впечатление, что они просто опустила руки и дистанцировалась от проблемы, решив, что она либо сама разрешится, либо что ничего не изменишь. А отказ от вскрытия пробы Б у меня и вовсе вызвал подозрение, что все-таки что-то в деле нечисто и возможно препарат все-таки она принимала.

Тренер Бобровой Александр Жулин подлил масла в огонь, заявив буквально следующее (тезисно):
  • Я шокирован происходящим, но мы выстоим.
  • Будем надеяться на грамотное расследование и наказание виновных.
  • Нам подбросили мильдоний.
  • Как вышло, так и вышло
Российская федерация фигурного катания на коньках хранит полное молчание - на ее сайте вообще ни слова про скандал. Минспорт отказался комментировать инцидент, сославшись на то, что до окончания расследования этого делать не будут и предоставив журналистам самим додумывать, что же произошло на самом деле.

Ну а теперь можно перейти к информационной безопасности. В ИБ тоже бывают скандалы, кризисы, инциденты. Взломали банк, утекла база данных, отозвали сертификат, нашли дыру в продукте... Да мало ли какие еще ситуации могут быть. Очевидно, что в них надо уметь правильно выстраивать кризисные коммуникации. Типичная стратегия - замалчивание и перевод стрелок тут не работает. Более того, она противопоказана, так как будет только хуже. Делать надо все наоборот - признать ошибки и не перекладывать ответственность на других. Это не отменяет самого инцидента; он уже произошел и с этим ничего не поделаешь. Но правильная коммуникация позволяет нивелировать его негативный эффект и даже выйти из ситуации с пользой для себя

К счастью, взлом, утечка или иной инцидент ИБ - это так называемое известное неизвестное. Мы знаем, что это может произойти (но не знаем когда) и мы можем к этому подготовиться более эффективно, чем в случае с абсолютно неизвестным и непредсказуемым кризисом в какой-либо другой области. Ключевое тут - подготовиться заранее. Поздно пить Боржоми, когда почки отвалились. Так и в кризисных коммуникациях - поздно изучать, что и как делать, - нужно оперативно реагировать по заранее подготовленному плану и шаблонам.

Как показывают различные исследования, в стрессовых ситуациях у нас начинают работать более древние участки мозга, приближающие нас к животным. Поэтому не стоит рассчитывать на принятие качественного решения - мы действуем инстинктивно, а инстинкт может и подвести. Другие исследования говорят, что в кризисных ситуациях у человека меняется биохимия крови, и это тоже затрудняет выработку правильного решения. Поэтому следует помнить и выработать важное правило: для успешной работы в условиях кризисной ситуации с информационной безопасностью, которая может стать достоянием гласности, необходимо иметь заранее подготовленный план действий.

Я бы выделил следующие ключевые элементы такого плана:
  1. Надо быть готовым к общению со СМИ и заранее подготовить ответы на очевидные вопросы. Что произошло? Каков ущерб? Что послужило причиной? Может ли это повториться? Какие уроки были извлечены?
  2. Негатива все равно не избежать (особенно если у вас есть враги в стане конкурентов или СМИ). Лучше признать свою ошибку и даже себя покритиковать. Но не давайте это делать другим. Работайте на опережение. Достаточно посмотреть на ситуации с Шараповой и Кравцовым, чтобы понять, на чьей стороне пресса и общественность.
  3. Не забудьте проинформировать руководство, которому, возможно, тоже придется где-то высказываться по данному вопросу.
  4. Если инцидент может привести к уголовному или административному преследованию или грозит нарушение договорных условий, то стоит подключить юристов. 
  5. Не забудьте проинформировать клиентов и партнеров; но без паники. Даже если их данные не пострадали, то стоит им об этом сообщить, чтобы они не додумывали самостоятельно все самое плохое. 
  6. Найдите в возникшей ситуации что-то позитивное. Например, расскажите об извлеченных уроках и, возможно, сформируйте предложения по улучшению ситуации в будущем в этой сфере. Обжегшись раз, вы сможете стать советником по данному вопросу в будущем. 
  7. Дайте видение развития ситуации. Шарапова сказала, что не хочет покидать спорт. А Кравцов говорит о расследовании и полиграфе. Шарапова скорее всего быстро вернется в спорт, а наши конькобежцы будут молчать, переложив все на плечи федерации и союза, которые будут отводить все стрелки от себя, затягивая процесс. В итоге наших вероятно теперь дисквалифицируют надолго (даже если они и невиновны).
  8. Не забудьте донести свою позицию до сотрудников своей компании.
  9. Выберите правильного человека для донесения своей позиции. Сравните пресс-конференции Кравцова и Шараповой. Шарапова говорит открыто и видно, что она сожалеет о случившемся. Кравцов не смотрит в глаза, речь его "скачет". Спикер должен быть настроен благожелательно. Он должен говорить уверенно и убедительно, четким и понятным языком, и конечно же владеть техникой ответов на вопросы, даже самые скользкие и неприятные. Фраза "без комментариев" только усиливает враждебность. Не знаете - так и скажите.
В 2008-м году я, не помню где, но уже выступал с темой кризисных коммуникаций в контексте ИБ. Просмотрев эту презентацию, я понял, что за 8 лет по сути ничего не поменялось и я эту презентации могу выложить в неизменном варианте, что и делаю.



11.3.16

Мобильное приложение RSA Conference

Обещал рассказать про мобильное приложение конференции RSAC, что и делаю. Сама идея мобильного приложения для мероприятия не нова, но в RSAC поступили немного отлично от других. Учитывая, что они проводят несколько мероприятий в течение года, они сделали общую "обертку", в которой можно менять наполнение с течением времени. Например, перед RSAC в США после открытия приложение выглядело следующим образом.


У такого формата есть одно несомненное преимущество - будущие мероприятия постоянно "мозолят" глаза, привлекая внимание будущих участников и спонсоров. Наши организаторы (Авангард-Про и АИС), которые проводят по несколько мероприятий в год, тоже могли бы пойти по этому пути. Правда, у RSAC обнаружился один косяк - при запуске приложения каждый раз открывалась эта первая страница, что было не очень удобно. Гораздо интереснее было бы, если бы приложение открывало уже сразу раздел по текущему мероприятию (или была бы соответствующая "галка" в настройках).

Заходя в конкретное мероприятие, мы получаем 3 экрана с местами стандартными, с местами новыми функциями:
  • Общее расписание (сквозное расписание с сортировкой по времени).
  • Сессии/события (сортировка по типу события - о них я уже писал) с указанием места их проведения.
  • Мое расписание.
  • Что происходит прямо сейчас (полезная фишка при 30 параллельных потоках и куче других мероприятий от вендоров).
  • Информация о спикерах и экспонентах.
  • Мои экспоненты (при наличии 450 компаний, выставляющих свои решения на выставке, такая функция является очень полезной).
  • Карта места проведения.


  • Список спонсоров
  • Опросники по результатам каждой сессии, в которой я участвовал. Вот эта вещь была реализована неудобно - из Интернета подгружалась неоптимизированная Web-страница, плохо отображаемая на экране смартфона.
  • Мои заметки.
  • Социальные медиа (подгрузка информации с тегом #RSAC из Twitter и других социальных сетей). 
  • Блоги и видео (информация с сайта www.rsaconference.com, которая предваряла само мероприятие и которая публиковалась в процессе мероприятия, например, записи ключевых докладов и отдельных сессий).




  • Гид по городу. Учитывая, что многие посетители приезжали из разных городов и даже стран, такая фишка была полезной. Хотя не могу сказать, что она так уж нужна и ее нельзя было бы заместить тем же TripAdvisor'ом.
  • Запрос помощи от организаторов.
  • Мой профайл.
  • Анонсы и объявления.


В разделе "Общая информация" было размещено много информации по организационной части мероприятия. Например, информация, по бесплатному Wi-Fi, с предупреждением, что пользоваться им можно на свой страх и риск и организаторы все-таки рекомендуют использовать VPN для защиты своей информации от перехвата и подмены.


Была также информация о том:

  • как зарядить смартфоны, лэптопы и планшетники
  • как напечатать документы
  • как зачислить баллы для той или иной сертификации (например, ISC2)
  • как проверить информацию по авиарейсам
  • где находится камера хранения
  • где находятся книжные мини-магазины (а там все книги были со скидкой)
  • какова политика конфиденциальности организаторов мероприятия (у нас такого я вообще никогда не видел)
  • где находится комната для беременных
  • как заменить утерянный или испорченный бейдж
  • как и где скачать презентации с мероприятия
  • как и где останавливаются автобусы до отелей, в которых живут участники
  • как получить помощь людям с ограниченными возможностями.
Был даже отдельный раздел с политикой использования дронов на мероприятии :-)



В целом могу отметить, что приложение оказалось очень полезным и содержащим много нужной информации - я им пользовался несколько десятков раз в день. Могу посоветовать организаторам отечественных мероприятий по ИБ посмотреть на него, чтобы взять оттуда лучшее и реализовать для наших конференций и выставок.

10.3.16

Infoblox покупает IID

8 февраля компания Infoblox сообщила о приобретении за 45 миллионов долларов компании IID, занимающейся исследованиями в области угроз (Threat Intelligence). Дальше все стандартно - один лидер, второй тоже лидер, один усиливает свою роль, второй рад синергии от слияния и т.п. "бла-бла-бла"....

Почему большинство SIEMов - это профанация?

Будучи на конференции RSA я вбросил через Twitter мысль, что все SIEM сегодня это профанация. Попробую пояснить эту мысль, которая предсказуемо вызвала реакцию среди специалистов :-)

На конференции одним из трендов стала тема Security Analytics, что по сути представляет собой реинкарнацию SIEM. Берутся данные, много разных данных из разных источников, и анализируются с точки зрения информационной безопасности. Раньше это делали SIEM (и сейчас делают), но теперь модно называть это красивым термином Security Analytics. Но... если уйти в сторону от маркетинга и задуматься над тем, что реально предлагается на рынке, то картина будет не столь радужная, как она представляется производителям и интеграторам, продающим SIEM-решения.


Что такое SIEM, если убрать оттуда безопасность? Хранение больших объемов данных, управление ими и, самое-то главное, извлечение из них знаний и получение ответов на нужные вопросы. И вот тут и кроется основная засада. А какие ответы вы хотите получить? Известно, что правильно заданный вопрос - это уже половина ответа. Так вот при покупке или внедрении SIEM, как мне кажется, многие просто не знают, какие вопросы задавать. SIEM рассматривается как панацея, которая позволить управлять зоопарком средств защиты, купленных в разное время и установленных в разных местах. Но это не так. Если попытаться автоматизировать хаос, то получится автоматизированный хаос. Если пытаться SIEM внедрить в зоопарке, зоопарк же останется. Просто к нему добавится еще один продукт, который будет шуршать, собирать кучу разных данных, нормализовать их, хранить где-то. Но как он повысит качество ИБ? Что он должен делать, кроме сбора логов?


Вопрос заказчика должен звучать не "Что может ваш SIEM?" и не "Что я могу получить от SIEM?". Вопрос должен быть иным: "Что меня интересует в тех данных, которые генерятся десятками средств защиты информации?" Число атак? Последовательность действий злоумышленника или attack chain? Возможность использования имеющихся уязвимостей? Хакерские кампании, направленные против меня? Обнаружение подготовки к совершению противоправного действия со стороны инсайдера? Пропуск атак со стороны какого-либо средства защиты? Неэффективная работа службы ИБ или ИТ? Что конкретно вам нужно от имеющихся у вас данных и почему имеющиеся у вас средства защиты не могут эту информацию вам предоставить?


Допустим странное - вы не можете ответить на эти вопросы и не можете сформировать свои собственные. Вы ждете, что консультант/интегратор/вендор вам поможет. Увы, вынужден разочаровать, не поможет. Если вы сами не знаете, какие вопросы вы будете задавать SIEM, то никто за вас эти вопросы не придумает. Точнее придумать-то можно, но насколько они будут релевантны для вас.


Вообще, возьмите за правило. Если только приглашенный консультант/интегратор может запустить купленную/арендованную/построенную вами систему защиты/аналитики/управления, то вы сделали не самую лучшую ИБ-инвестицию. Чтобы понимать, что вам будет говорить/делать консультант, вы должны разбираться в этом. Если вы не разбираетесь, то система вам не особо нужна. Вспоминается история с Heartbleed в сертифицированных в РФ средствах защиты. Из десяти, в которых была найдена эта уязвимость, разработчики половины из них не смогли устранить ее, ссылаясь на то, что у них нет специалистов по Linux, способных разобраться в коде этой операционной системы. То есть сделать форк, выдать его за отечественную ОС и продавать за деньги они смогли, а устранить дыру - нет. Вот с SIEM ровно такая же ситуация. Если вы не знаете, что именно вы хотите получить на выходе SIEM, то лучше даже не вступать на путь выбора, приобретения и эксплуатации данного решения - это будут на ветер выброшенные деньги.

Но допустим вы ответили на вышеозвученные вопросы или сформировали свои собственные. Значит ли это, что надо брать и внедрять SIEM? Тоже нет. Помимо вас, в этом процессе участвует еще, как минимум, разработчик SIEM, который (или его сейлы) зачастую тоже не понимает, что и, главное, почему делает его продукт. Да-да, вот такой парадокс. Он может вам спеть песню про число источников данных, которые "заводятся" на SIEM, и про скорость их подключения. Он вам споет песню с магическим словом "корреляция", но как только вы попросите его рассказать, что за ним скрывается, у продавца/производителя наступит коллапс. Мало кто из них говорит про математику в своих продуктах. Когда я ходил по стендам на RSAC, я всем разработчикам SIEM и средств Security Analytics задавал вопрос про то, как они коррелируют события безопасности и какие модели они для этого используют? И никто не мог ответить на этот, казалось бы простой, вопрос.


В году этак 2008-м в Москву на один из первых CISO Summit приезжал Антон Чувакин, которому задали вопрос, как он относится к количественному измерению рисков. Его ответ прозвучал примерно так: "У нас есть данные, но нет для них моделей. У нас есть модели, но нет для них данных". Думаю, это высказыванием замечательно подходит и для SIEM. У нас есть для них данные, но совершенно непонятно, какие модели должны быть использованы для обработки этих данных. Отсутствие моделей компенсируется красивыми трехмерными графиками, картами сети (полезная штука, но не за такие деньги), динамической инфографикой и т.п. Но как это все помогает решать конкретные проблемы конкретной компании? На чем базируются корреляционные правила в конкретной системе?

Прежде, чем вбрасывать данные в аналитический контур системы ИБ, нужно разработать математическую модель, которая поможет эти данные правильно интерпретировать. Иначе не получится ничего, кроме игрушки для менеджеров и для построения красивых отчетов для руководства. Поэтому глядя на красивые модели прежде всего стоит поинтересоваться, на основании какой теории они построены. Или хотя бы гипотезы. Или хотя бы предположения.


У российских разработчиков SIEM ситуация вообще странная. Берется какой-нибудь open source движок (либо SIEMовский OSSIM, либо для работы с данными - Kibana, Elasticsearch, Hadoop), навешивается русскоязычный dashboard (а то и англоязычный) и все, русский SIEM готов. С эргономикой и удобством использования полная беда. А еще и вопрос с моделями остается открытым.

Резюмирую: многие SIEM бесполезны потому, что они переполнены (и объем этих данных будет только расти) информацией, собранной неизвестно с какой целью. Без понимания того, что мы хотим получить от SIEM, как это получить и как это использовать, любое SIEM-решение - это профанация и пустая трата денег.

ЗЫ. Тоже самое касается, кстати, и всяких сканеров исходных кодов, ищущих подозрительные или явно вредоносные конструкции в программное коде. Правда, тут давно разрабатывается теория формальных языков и грамматик, которая позволяет формализовать работу сканеров. Но и в данном случае надо понимать, что такой сканер выдает на выходе. В противном случае эффективность такого решения будет не очень высокой.