Почему риск-ориентированный подход не работает в промышленной кибербезопасности

Вчера (28 сентября) я выступал на пленарной дискуссии конференции по промышленной кибербезопасности, устроенной Лабораторией Касперского в Санкт-Петербурге, и по ее результатам мне хотелось бы описать мысль, которую я пытался донести на мероприятии. Идея моего пятиминутного выступления была очень простой - риск-ориентированный подход в промышленной кибербезопасности не работает. И причина тому проста - у нас отсутствует один из ключевых элементов...

Подробнее…

Грудь как улика или как я хотел стать цифровым охранником Пугачевой

В своей презентации по анатомии атаки я описывал различные методы, которые используют злоумышленники во время подготовки к атаке на свои жертвы. Среди прочего я упоминал и такие инструменты как FOCA или анализаторы графического формата EXIF, которые позволяют вы тягивать метаданные из различных источников и анализировать их для составления профиля атакуемой стороны. Бывает так, что во время презентации или после нее, мне задают вопросы по этим...

Подробнее…

Мои презентации с InfoSecurity Russia

Решил выложить свои презентации с InfoSecurity Russia, где я выступал в двух ролях - спикера и модератора. На круглом столе по межсетевым экранам задавался вопросом, почему у разных производителей разное толкование термина NGFW и какими возможностями может обладать данный тип защитных средств. Именно может, а не должен, так как нужны ли они все или нет, зависит от потребителя. Задача вендора всего лишь правильно описать свой функционал, чтобы не было сюрпризов, когда у четырех производителей написано про контроль приложений, но один трактует это...

Подробнее…

Чеклист "Настоящий ли ты безопасник?!"

Вчера, сидя в аэропорту, я столкнулся с замечательной иллюстрацией к моей заметке про пиджаки и джинсы, которая вызвала определенную реакцию в Facebook (около 200 комментариев) и других социальных сетях. Аудитория разделилась на три части - две из них предсказуемо вставли в абсолютно противоположные позиции, утверждая, что пиджаки|джинсы хороши|плохи. Третья категория уловила основной посыл, связанный не с тем, какое образование должно быть у тех,...

Подробнее…

Страшный и ужасный... Лукацкий

В году этак 97-м я выиграв честные выборы на роль модератора эхи RU.SECURITY в ФИДО, стал нести светлое, доброе, вечное в массы. И случилось так, что как-то я написал про систему защиты "Кобра" (кто еще помнит такое название?), основная идея которой базировалась на применении технологий потокового шифрования в качестве основного механизма защиты. При этом авторы "Кобры", братья Молдовян, создали свой собственный алгоритм, запатентовали его, и применяли...

Подробнее…

Пиджаки vs джинсы. В ИБ стало много посторонних...

Описанные в заметке рассуждения давно витали в моей голове, но только на прошедшем в пятницу BIS Summit оформились в некий набор тезисов, который я и хотел выплеснуть на страницы блога. Я прекрасно понимаю, что за данные мысли, возможно, на меня обидятся некоторые мои коллеги и друзья, но в последнее время я уже и так наговорил столько всего и наступил на мозоли стольким людям и организациям, что одной заметкой больше, одной меньше, не критично. Итак, мой тезис простой - в профессии ИБ стало слишком много посторонних! Несмотря на то, что у нас...

Подробнее…

InfoSecurity и "Три мушкетера"

Вы помните отечественный фильм "Три мушкетера" и классическую сцену дуэли, в которой подружились Атос, Портос, Арамис и д'Артаньян? Позволю себе напомнить ее: Вот InfoSecurity и напомнило мне эту сцену, потому что те, кто придут в первый день, врядли осилят этот подвиг во второй, а уж вероятность их прихода на третий день и вовсе близится к нулю. А значит круглый стол "SOC vs SIEM", который я веду в финальный день InfoSecurity, увидят только...

Подробнее…

И вновь о "Цифровой экономике" :-(

Последние две с лишним недели я занимался тем, что принимал участие в программе "Цифровая экономика", а точнее в одном из ее пяти направлений, посвященных информационной безопасности. Мне можно возразить и спросить, зачем я это делал, если ранее крайне непозитивно высказался о том, что из себя представляет эта программа. Тут надо сделать пару замечаний. Во-первых, сейчас я высказываюсь по поводу самой программы, а не работы над ней, которая ведется...

Подробнее…

О стандарте ЦБ по ИБ аутсорсинга

Еще несколько лет назад тема ИБ не была в фаворе у журналистов, которые очень редко радовали читателей темой кибербезопасности. Однако время текло и тема стала не просто очень горячей, а регулярно всплывающей на первых страницах ведущих деловых изданий - Коммерсанта, Ведомостей, РБК и т.д. И это привело к тому, что качество многих статей стало очень сильно страдать. Часто материал выпускается без какой-либо проверки фактов, с приглашением непонятных...

Подробнее…

Универсальная формуля для тех, кто хочет запретить использование той или иной ИТ/ИБ-компании

"Мы, <вставка 1>, будучу обеспекоены ростом числа <вставка2> на наши государственные информационные системы, сталкиваясь с регулярными проявлениями агрессии в киберпространстве, направленными против нашей страны, в условиях растущей значимости информационных технологий в деятельности нашей цифровой экономики, скрепя сердце и с болью в горле принимаем решение <вставка 3> продукты информационных технологий, разработанные <вставка...

Подробнее…

Надо ли выполнять требования по ИБ незначимым субъектам КИИ?

Иногда в разговорах с коллегами я слышу мысль, что вот выпустит Правительство постановление по процедуре категорирования объектов КИИ и можно будет осознанно выйти из под действия закона о БКИИ, прокатегорировав себя так, чтобы не иметь значимых объектов КИИ. Логичное предположение и я допускаю, что многие захотят занизить категорию своих объектов, чтобы меньше выполнять требований по защите. Но... Я бы хотел обратить внимание на маленький нюанс,...

Подробнее…

Ретроспективная безопасность: с чем ее едят?

Не секрет, что от того, насколько оперативно при расследовании инцидентов будут идентифицированы причины происходящего, точка входа инцидента, пострадавшие/задетые узлы и пользователи, зависит размер ущерб и возможности нивелировать негативные последствия от ИБ-инцидента. Понятно, что решением данной задачи является анализ произошедших ранее событий безопасности, которые могут находиться в разных журналах регистрации или сетевом трафике (PCAP...

Подробнее…

Что странного в ИБ-направлении "Цифровой экономики"?

После предыдущей заметки стоит чуть больше коснуться последней из упомянутых в ней попыток реформирования отрасли ИБ, - программы "Цифровой экономики". Когда ее опубликовали я поначала даже не придал ей никакого значения. Ну мало ли Правительство у нас публикует документов, которые потом так и остаются красивой и популистской идеей. Но потом в Facebook был опубликован призыв Сбербанка (сейчас его, правда, удалили) к экспертам по ИБ поучаствовать...

Подробнее…