26.1.18

Facebook покупает Confirm, а Google выделяет ИБ в отдельный бизнес

На фоне позавчерашней покупки Amazon'ом компании Sqrrl, занимающейся расследованием инцидентов ИБ, достаточно интересно выглядят действия других двух Интернет-гигантов, которые вчера также объявили о ряде шагов в области кибербезопасности:

  • Facebook прикупил бостонский стартап Confirm.io, занимающийся проверкой личности путем интеграции приложений с внешними сервисами, проверяющими водительское удостоверение и иные выданные государством ID (у нас это был бы паспорт). Условия сделки не разглашаются. Можно предположить, что Facebook хочет автоматизировать процесс подтверждения учетных записей своей соцсети и, в том числе, бороться с ботами, наводнившими Facebook.
  • Компания Alphabet (материнская компания Google) создала компанию Chronicle, которая будет заниматься проектами по кибербезопасности. Заниматься Chronicle в данный момент будет двумя направлениями - развитием купленного Google в 2012-м году сервисом VirusTotal и платформой для аналитики в области безопасности, построенной на различных инновационных технологиях - Big Data, ML, AI, DL и вот это вот всё.
В очередной раз подтверждается ряд тезисов, которые я высказывал ранее в блоге:
  • в игру вступают крупные мальчики и нишевым игрокам будет все сложнее удержаться на плаву (либо их выжмут с рынка, либо скупят)
  • будущее за интегрированной безопасностью, а не навесными решениями
  • без аналитики сегодня в кибербезопасности никуда.
В России, к сожалению, эти тренды не актуальны - у нас никого не покупают, у нас все разработчики занимаются навесной безопасностью, и аналитикой практически никто не занимается (SIEM со статическими правилами корреляции назвать средствами аналитики сложновато).

О законопроекте по "русскому биткойну" в контексте ИБ

Раз уж я вчера упомянул в Твиттере про новый законопроект Минфина "О цифровых финансовых активах", который посвящен регулирования криптовалют в России, то не могу не посвятить ему отдельную заметку. Я не буду погружаться в суть самого законопроекта (только упомяну, что никакой анонимности и возможности майнить обычным гражданам закон не предусматривает); хочу только коснуться одного момента, связанного с этим новым проектом НПА. Речь идет об основе основ - об определении цифрового финансового актива. Звучит оно так: "Цифровой финансовый актив - имущество в электронной форме, созданное с использованием шифровальных (криптографических) средств. Права собственности на данное имущество удостоверяются путем внесения цифровых записей в реестр цифровых транзакций. К цифровым финансовым активам относятся криптовалюта, токен. Цифровые финансовые активы не являются законным средством платежа на территории Российской Федерации" (выделение мое).

Что в толпе делает баран/овца?

Я уж не знаю, целенаправленно или случайно была использована такая формулировка, но именно она ставит крест на всей идее замены биткойнов, которые с легкой руки Н.И.Касперской теперь считаются происками американских спецслужб. Ведь любая деятельность с шифровальными средствами у нас подпадает под жесткое регулирование со стороны ФСБ, а точнее 8-го Центра и ЦЛСЗ.

Согласно действующему законодательству (небезспорному):
  • создание шифровальных средств для создания русской криптовалюты возможно только при наличии лицензии ФСБ на разработку СКЗИ
  • раздача средств создания русской криптовалюты возможно только при наличии лицензии ФСБ на распространение СКЗИ
  • работа майнинговых ферм (и сдача их в аренду), а также криптобирж возможна только при наличии лицензии ФСБ на оказание услуг в области СКЗИ
  • шифровальное средство для создания русской криптовалюты должно иметь сертификат ФСБ на СКЗИ
  • по планам Цифровой экономики вся криптография в Национальной платежной системе и в Рунете должна быть отечественной. Кроме того, получение сертификата ФСБ на СКЗИ означает обязанность реализации отчественных криптографических алгоритмов, описанных в соответствующих ГОСТах.
  • наличие сертификата ФСБ на средство создания русской криптовалюты означает сложности с его вывозом за пределы РФ, так как на вывоз СКЗИ надо получить не только экспертное решение ФСБ, но и экспортное разрешение ФСТЭК. 
Прекрасно же, не так ли?.. То ли авторы законопроекта не знали о таких особенностях регулирования шифрования в России, то ли знали, но осознанно пошли на это с целью формально разрешить, а фактически убит криптовалютный рынок в стране, а может просто криптографический Кракен хочет раскинуть новое щупальце еще и на тему русского биткойна, а также на CasperCoin, CasperCrypt, CryptoCasper, CryptoGod, BitGenius, BitGod и RussianBit (все это названия торговых марок русских криптовалют, которые хочет зарегистрировать одна из компаний, принадлежащих Н.И.Касперской).


Поживем увидим. Может быть в законопроект будут внесены поправки и правильные формулировки?..

25.1.18

Гора родила мышь - 3 документа ФСБ по ГосСОПКЕ

В конце прошлого года ФСБ выпустила 3 проекта приказов в рамках своей деятельности по направлению КИИ и ГосСОПКИ:

  • Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
  • Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения
  • О Национальном координационном центре по компьютерным инцидентам (НКЦКИ).


И вот давеча я погрузился в эти документы, надеясь увидеть ответы на давно мучащие меня вопросы по стандартизации обмена информацией по инцидентам, по техническим решениям присоединения к ГосСОПКЕ, по тому, что делать маленьким конторам, у которых нет денег на присоединение к корпоративным центрам ГосСОПКИ и т.п. Увы :-( Ответа я них не увидел и, видимо, в их финальных вариантах ничего нового уже не появится. По сути это документы ни о чем :-(





Единственное подтверждение, которое я получил (хотя я про него уже писал, но в соцсетях некоторые коллеги писали, что я не прав), что присоединяться к ГосСОПКЕ должны все субъекты КИИ, независимо от владения ими значимых объектов КИИ. Районная поликлиника, автопарк, домашний оператор связи, микрофинансовая организация, ломбард, кредитный брокер... Все они должны будут присоединиться к ГосСОПКЕ.

Да, это еще не все документы, которые будут выпущены (и которые ФСБ обещала выпустить к 1-му января хотя бы в проекте), но уровень того, что вышло не самый высокий. Может сроки были очень сжатые (вспоминая 3 года подготовки 378-го приказа по защите персданных), а может еще какие причины. Но результат печальный :-(


Ну может НКЦКИ, который должен разработать еще больше детальных документов, разродится чем-то более качественным... Ждем-с...

24.1.18

Amazon покупает Sqrrl

Компания Sqrrl, основанная выходцами из АНБ и занимающаяся threat hunting'ом, объявила о том, что ее купила Amazon. Детали сделки не раскрываются, на сайте Amazon пока никакой информации о поглощении.

23.1.18

Закрытость российского бизнеса растет

За последнюю неделю Правительство приняло аж целых три нормативных акта, которые направлены на снижение прозрачности российских компаний и введение новых форм конфиденциальных сведений, требующих защиты:
  • Постановление от 15 января 2018 года №5 "Об определении случаев, при которых отдельные сведения, указанные в пункте 7 статьи 71 Федерального закона "О государственной регистрации юридических лиц и индивидуальных предпринимателей", не подлежат размещению в информационно-телекоммуникационной сети "Интернет", а также лиц, в отношении которых указанные сведения не подлежат размещению в информационно-телекоммуникационной сети "Интернет". На фоне санкций государство защищает российский бизнес от необходимости публиковать о себе информацию, которая может быть использована во вред владельцам. Хотя на мой взгляд, это делается не только для этого, но и для того, чтобы сделать компании менее прозрачными.
  • Постановление от 15 января 2018 года №10 "Об определении случаев освобождения акционерного общества и общества с ограниченной ответственностью от обязанности раскрывать и (или) предоставлять информацию, касающуюся крупных сделок и (или) сделок, в совершении которых имеется заинтересованность". Причина принятия нормативного акта аналогична предыдущей.
  • Постановление от 18.01.2018 №21 "О внесении изменений в Правила взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети "Интернет" с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации". Правительство запрещает всем организаторам информации раскрывать любые факты взаимодействия с ФСБ по поводу оперативно-разыскных мероприятий.
Особо комментировать тут нечего - тенденция по снижению прозрачности налицо.

Проект Unfetter - open source, который автоматизирует применение ATT&CK и CAR в вашей сети

Ну и дабы завершить триптих про ATT&CK, давайте поговорим про то, как автоматизировать задачу использования ATT&CK и CAR в своем собственном окружении. Ведь задача это будет нужно реализовывать регулярно и хотелось бы иметь некий инструмент, позволяющий вам "по-быстрому" ответить на ряд наводящих вопросов и получить в ответ готовый отчет, который укажет все ваши слабые места (например, незакрытые техники и тактики хакеров согласно ATT&CK) и еще неплохо бы, чтобы он порекомендовал вам и способы решения проблемы, то есть как и чем прикрыть имеющиеся у вас проблемы. И такой инструмент есть; более того, это open source, разработанный корпорацией MITRE и Агентством национальной безопасности (АНБ). Если вам претит использовать любой инструментарий, сделанный АНБ (даже open source), то можете сразу закрыть эту страницу и не читать дальше.



Проект называется Unfetter и состоит он из двух компонентов - Discover и Analytic. Первый, как видно из названия, позволяет оценить ваш текущий уровень защиты. Путем опроса через Web-формы, система "изучает" используемые вами меры и технологии защиты, сопоставляя их затем с базой знаний ATT&CK.

Вот так выглядит опрос чуть более детально. Обратите внимание, что оценка ваших защитных мер идет на базе классического списка SANS Top20 Critical Security Controls (точнее уже не SANS, а CIS), который давно уже стал стандартом де-факто в части рекомендуемых защитных мер, позволяющих бороться с самыми распространенными атаками (первоначальный Топ20 создавался специалистами АНБ и МинЭнерго США).


Обратите внимание, оценка каждой защитной меры (увы, ни новый ГОСТ ЦБ, ни приказы ФСТЭК не поддерживаются) осуществляется по ряду понятных параметров (мера есть в политике ИБ, мера реализована, мера автоматизирована и т.д.). По итогам система сопоставляет ваши ответы про ваши защитные меры с базой знаний ATT&CK и показывает вам ваш текущий уровень риска.


По каждому пункту вы можете получить более детальную информацию:
Дальше вы можете изучить методы атак и занесенные в систему хакерские группировки. По сути это немного переделанный CARET, описанный в предыдущей заметке, но установленный на локальной машине и сохраняющий ваши ответы, чтобы с ними можно было "играться" исходя из ваших нужд. Например, вы можете посмотреть тактики и техники хакеров:
 сравнить их и попробовать "натянуть" на ваше сетевое окружение:
и разобраться, какие из защитных мер помогают нейтрализовывать какие тактики и техники злоумышленников.

В принципе, для большинства задач достаточно только компонента Unfetter Discover. Он проанализирует вашу системы защиты и даст ответы о ее болевых точках. Второй компонент - Unfetter Analytic. Данный пока еще прототип предназначен для разработчиков, которые хотят ознакомиться с подходом MITRE в части моделирования угроз и атак и разработать и оценить эффективность своих защитных методов. Архитектура Unfetter Analytic, построенная на известных компонентах (Spark, Elastic, Kibana, NXLog и др.), позволяет генерить события безопасности из целевой системы на базе Windows (попытка входа в системе, запуск процесса, сетевое соединение и т.п.), которые затем уходят на сервер Analytic, который генерит уже события, связанные с обнаружением (или необнаружением) ваших "атак". Обнаружение осуществляется как раз вашими детекторами, которые вы пишете сами на Python. Analytic позволяет вам визуализировать то, что происходит и в контексте атаки, и в контексте ее обнаружения и проанализировать эффективность вашего метода обнаружения (а точнее прототипа метода обнаружения), который затем может быть уже реализован в более серьезном, боевом варианте. Ваши "детекторы" могут повторять то, что уже находится в реестре CAR, описанном вчера, а могут быть уникальными решениями. Задача Unfetter Analytic проанализировать эффективность вашего "детектора" с привязкой к CAR и ATT&CK.


Проект Unfetter развивается и у авторов достаточно амбициозные планы по его развитию:

  • автоматическая выгрузка и анализ данных из различных отчетов Threat Intelligence с последующей их загрузкой в базу знаний Unfetter
  • использование псевдокода для методов обнаружения для их последующего распространения в сообществе
  • загрузка и оценка данных об угрозах в формате TAXII 2.0 от доверенных краудсорсинговых партнеров
  • Purple Team Operation Planner для эффективности работы Red и Blue Team.

22.1.18

Как использовать базу знаний ATT&CK?

Продолжу пятничную заметку про базу знаний ATT&CK. Ее идея появилась не на пустом месте. Если посмотреть на методы, которыми сегодня пользуется большинство безопасников, то несмотря на все новомодные технологии типа Threat Intelligence, SOC, SIEM и иже с ними, все они базируются на знании прошлого. Те же индикаторы компрометации (IoC) даже в своем названии "признают", что они фиксируют уже случившийся факт заражения узла или сети. И эффективность системы защиты будет измеряться тем, насколько быстро мы сможем внедрить IoC для обнаружения того, что уже умеют делать злоумышленники. Как бы не назывались эти индикаторы, по сути это обычные сигнатуры, просто более комплексные и включающие в себя сразу несколько элементов. А как ловить неизвестных нарушителей и атаки, для которых еще нет сигнатур и индикаторов компрометации?

Корпорация MITRE предлагает новую парадигму, которая предлагает осуществить сдвиг от IOC в сторону IOA (индикаторов атак), то есть пытаться детектировать что-то в процессе действия злоумышленника, изучая в реальном времени его поведение. Не опираясь на сигнатуры уже известных атак, а именно на поведение нарушителя, которое, при всем их разнообразии опирается на конечное число возможных тактик и техник. Задача ATT&CK как раз и сформировать базу таких техник и атак, которые могут быть описаны (некоторые вендоры на Западе начинают ориентировать свои продукты на базу знаний ATT&CK). Чем-то это ситуация схожа с тем, чем отличается IPS от NGIPS (кстати, на днях Gartner выпустил свой магический квадрат по IPS за 2018 год - его можно найти в Интернет). Не буду говорить за всех вендоров, скажу, как обстоит дело у нас с Cisco NGIPS. Мы ловим не атаки или эксплойты в сетевом трафике, а факт использования уязвимостей. Например, WannaCry. Его известно свыше 400 разных модификаций. Можно иметь 400+ сигнатур и для каждого нового семпла WannaCry писать новую, а можно иметь всего одну, сфокусированную на использовании уязвимости ETERNALBLUE и сколько бы атак ее не использовали, одна сигнатура будет ловить их все. Вот с шаблонами атак ситуация схожая. Какая разница, какой вредонос или хакерская кампания использует технику "Man in the Browser"? Это может быть Cobalt Strike, а может что-то новое появится в будущем. Если вы это ловите, то вы будете ловить все, что работает по этой технике.

Вот на таких рассуждениях MITRE и предложил новую парадигму, опирающуюся на 5 новых принципов (ну не совсем новых, но просто их мало кто сейчас реально использует):
  1. Обнаружение компрометации. Это то, что пытаются делать продукты класса EDR или сервисы класса MDR, то есть признание того факта, что нас могут взломать и на это нельзя закрывать глаза, а надо пытаться оперативно обнаружить факт компрометации и локализовать ее, не давая злоумышленнику развивать атаку и расширять плацдарм во внутренней сети.
  2. Фокус на поведение. Сигнатуры и индикаторы - это важно и нужно, но обязательно надо смотреть в сторону поведения злоумышленника. Вспомните мое описание последнего семинара Gartner в Москве, где Антон Чувакин рассказывал про UEBA. Одним из признаков технологии UEBA является использование на статических и заранее описанных правил, а применение машинного обучения и других технологий, названных advanced analytics, которые позволяют сами (после обучения или сразу) детектировать неизвестные атаки, нарушения, аномалии и т.п. Вот тут всплывает эта тема вновь - обнаруживать известное важно и нужно, но еще важнее детектировать неизвестное, а для этого надо изучать поведение.
  3. Моделирование угроз. Нельзя сегодня выстраивать систему защиты, не понимая кто вам противостоит. Хорошая модель угроз как раз и отвечает на вопрос, какова реалистическая и релеватная картина нарушителя, действующего против вас. Отсюда и выплывает тема с его мотивацией, возможностями, компетенциями, инструментарием и атаками, которые он может запустить против вас.
  4. Динамичный дизайн. Ландшафт угроз, техник и тактик хакеров постоянно меняется. Также динамично, постоянно и итерационно должна меняться и система защиты, подстраиваясь под новые вызовы, внедряя новый инструментарий, новые модели и техники защиты.
  5. Разработка в реалистичном окружении. Разработка системы защиты должна происходить в максимально реалистичном окружении, которое позволит учесть многие нюансы из реальной жизни. Никакого ковыряния в носу и высасывания из пальца.

Вот база знаний ATT@CK и родилась в результате различных натурных экспериментов, исследований, пентестов, которые проводила MITRE за последние годы. 10 категорий тактик содержат почти 200 техник, которые активно применяются злоумышленниками (и пентестерами) в своей работе. Не останавливаясь на изучении хакероы, корпорация MITRE стала разрабатывать реестр методов обнаружения поведения нарушителей, описываемого в ATT&CK. Этот реестр называется Cyber Analytics Repositiry (CAR). Эта работа началась позже ATT&CK и пока не завершена даже в первом приближении. Но уже сейчас на сайте CAR можно посмотреть ряд методов обнаружения техник и тактик злоумышленников. Для того, чтобы облегчить сопоставление ATT&CK с CAR разработан прототип инструмента CARET (Cyber Analytics Repository Exploration Tool), который представляет собой графический интерфейс, который помогает ответить, например, на следующие типы вопросов:
  • Какие известные нарушители (в базу входит множество известных групп - Lazarus, Cobalt, APT28, APT3 и т.п.) могутбыть детектированы или не детектированы?
  • Какие методы защиты могут детектировать конкретные техники злоумышленников или конкретные хакерские группы?
  • Какие данные требуются для ваших методов защиты?
  • Какие инвестиции надо сделать для борьбы с определенными нарушителями или методами атак?
Например, вы хотите посмотреть какие техники и тактики использовала хакерская группа APT28: 



Или вас интересует, какие технологии защиты вам помогут бороться с Lazarus или Dragonfly (Energetic Bear):


ATT&CK, CAR и CARET - cугубо практичные и расширяемые инструменты, которые вы можете наполнять или использовать по своему усмотрению (вы можете скачивать смоделированные вами данные в JSON). Заказчики могут понять, чего им не хватает для борьбы с современными и вполне конкретными хакерскими группировками. Разработчики могут получить готовый набор тактик и техник хакеров, а также набор методов их детектирования для включения в свои продукты. Просто специалисты по ИБ могут расширить свой кругозор за счет более понятного и простого описания того, что и как реально делают злоумышленники.

Я уже это писал как-то, но повторюсь. Эти три проекта MITRE - это именно то, чтобы хотелось видеть как цель развития БДУ ФСТЭК, которая пока содержит простой перечень угроз (даже не атак), который фиг знает, как применить на практике. То есть вроде и каталог угроз есть и он относительно неплохой, но практическое его применение сопряжено с большими трудностями. Никакой автоматизации, никакой связки с защитными мерами, никакой связки с атаками, которые могут быть реализованы в рамках той или иной угрозы. Практичности не хватает. ФСТЭК по понятным причинам врядли сможет использовать ATT&CK, CAR и CARET в своей работе (пусть и полезные инструменты, но потенциального противника), но заказчики (как минимум, коммерческие) не скованы такими геополитическими ограничениями и могут себе позволить применять то, что удобно, а не то, что квазипатриотично. Хотя если у нас появится что-то свое, то буду только рад.

19.1.18

WatchGuard покупает Percipient Networks

17 января компания WatchGuard объявила о покупке небольшой компании Percipient Networks, которая фокусируется на малом бизнесе и предлагает решения по фильтрации DNS-трафика (анализ и фильтрация DNS-трафика - вообще модная тема нынче). Размер сделки не сообщается.

Крупное обновление ATT&CK - базы знаний тактик и техник злоумышленников

В 2016-м году я уже писал про интересный проект корпорации MITRE, известной по своим инициативам в области ИБ, самой популярной из которых является проект CVE, а также стандарты STIX и TAXII. Так вот матрица ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) по сути является базой знаний и моделью для оценки поведения злоумышленников, реализующих свои активности на последних шагах нападения, обычно описываемого с помощью понятия Kill Chain, то есть на этапах после проникновения злоумышленника во внутреннюю сеть предприятия или на мобильное устройство. Первоначально в базу знаний входило описание 121 тактики и техники, используемых при нападении. По сути речь шла об атаках, позволяющих реализовать различные угрозы (например, из того же высокоуровневого банка данных угроз ФСТЭК). В начале этой недели произошло крупное, уже третье обновление ATT&CK, в результате которого база знаний расширилась до 188 тактик и техник атак (уже существующие были серьезно обновлены), каждая из которых подробно описана в формате Wiki.

В чем вообще смысл и польза базы знаний ATT&CK? Давайте вспомним мою другую заметку 2016-го года, посвященную разным моделям описания защитных мер - от NIST CSF до МинОбороны США. В чем плюс этих высокоуровневых моделей? Они позволяют оперативно понять, каких механизмов/технологий/мероприятий защиты вам не хватает.


Но у нас нет аналогичной модели, которая бы систематизировала методы, используемые злоумышленниками в рамках своей деятельности. Да, есть Kill Chain, но эта концепция очень высокоуровневая и не разъясняет, как можно реализовать этап проникновения или расширения плацдарма на Windows или MacOS. Так вот именно эту задачу (систематизация методов хакеров) и решает модель ATT&CK. Пока так называемая корпоративная версия (ATT&CK for Enterprise) ориентирована только на 3 платформы - Windows, Linux и MacOS.

Корпоративная версия ATT@CK
Разработана и первая версия "мобильной" (ATT&CK for Mobile) базы знаний методов злоумышленников, разделенная на три части - получение доступа к устройству:


использование доступа к устройству:


и сетевые эффекты:


Чтобы уйти от просто перечисления и систематизации техник и тактик хакеров (хотя тоже очень полезная вещь), MITRE пошла дальше и начала разработывать Adversary Emulation Plans, то есть наборы документов, которые позволяют защитникам протестировать свои сети и системы, встав на место злоумышленников. По сути Adversary Emulation Plans - это готовые инструкции по созданию собственных Red Team и эмуляции различных техник и тактик нападющих.


Вот такой вот полезный инструмент, систематизирующий наши знания о методах злоумышленников, которые уже проникли в нашу сеть и которые пытаются расширить свой плацдарм и как можно дольше оставаться незамеченными. В следующей заметке я расскажу о том, как извлечь практическую пользу из ATT&CK (хотя эта база знаний полезна и сама по себе) и оценить на ее основе свои защитные возможности.

В заключение хочется отметить, что ATT&CK не спонсируется и не разрабатывается каким-либо вендором или интегратором или консультантом и не привязана к каким-либо продуктам. Вы можете сами поучаствовать в проекте, если вам есть что сказать и добавить в набор используемых тактик и техник.

ЗЫ. У ATT&CK есть свой API, который позволяет вытаскивать из Wiki информацию по нужным техникам/тактикам и вставлять их, например, в собственный портал по ИБ или в собственные решения по ИБ. Есть даже скрипт на PowerShell, задействующий данный API и демонстрирующий работу с ним.

ЗЗЫ. Еще одна интересная модель, систематизирующая мотивацию хакеров и защитников изложена в моей заметке от 2012-го года.

17.1.18

Об утечках через DNS, которые не ловит ни одна DLP

Наверное то есть, кто давно занимается информационной безопасностью помнят, что в 1996-м году была очень популярная вредоносная программа Loki, которая позволяла организовывать туннели внутри ICMP-протокола, обычно не контролируемого распространенными на тот момент межсетевыми экранами. Идея Loki была проста - путем обмена командами ECHO REQUEST и ECHO REPLY (то есть обычный Ping) в поле данных пакета ICMP можно было засунуть все, что угодно. Детектировать такие атаки на МСЭ почти невозможно и помогали их обнаруживать только IDS, для которых писались правила, отслеживающие длину запросов и ответов ICMP (она должна быть равна 42 байтам), а также смотрящие за тем, чтобы поле данных ICMP-пакета было пустым (с нулевой длиной). С разной эффективностью схожий метод использовался некоторыми другими вредоносными программами, которые появлялись уже позже, в 2000-х годах, и в 2010-х.

Интересной интерпретацией данного метода стала утилита PingFS, которая позволяла, по словам ее автора, создать истинно облачное хранилище данных. PingFS - это файловая система, которая хранится в самом Интернете, а не каком-то из отдельных серверов или группе серверов. Все просто - данные о файлах постоянно циркулируют между узлом и Интернет в обычных пингах (и ответах на них). Понятно, что это достаточно вырожденный случай и в реальной жизни врядли у PingFS найдется применение, исключая небольшое количество не очень больших по объему файлов - все-таки производительность такой файловой системы невысока. Да и потери пакетов могут привести к сбою в "файловой системе". Но сама идея достаточно интересна и ее подхватили и другие авторы. Например, создав DNSFS, утилиту, работающую по тому же самому принципу, но обмен происходит по протоколу DNS и данные о файлах хранятся в кэше DNS, что устраняет ряд проблем, имеющихся у PingFS.

Для работы DNSFS нужны открытые DNS-резольверы и чем их больше, тем отказоустойчивее будет схема. В принципе доступ к таким серверам должен блокироваться извне на МСЭ, но как часто бывает, многие забывают или не могут правильно настроить безопасность своей инфраструктуры и это приводит к дырам в системе защиты. Автор DNSFS с помощью утилиты masscan происканировал все доступное Интернет-пространство и обнаружил около 4 миллионов открытых DNS-резольверов (Россия на 4-м месте по их числу после Китая, США и Южной Кореи). Это позволило ему создать работающий прототип распределенной файловой системы на базе DNS, который может быть использован для различных целей, включая и вредоносные. Меня же во всей этой конструкции заинтересовала сама идея туннелирования в рамках DNS-трафика, который, в отличие от ICMP, очень часто разрешен на периметровых МСЭ, которые не умеют его контролировать.

Посмотрите на эту картинку:


Она отражает распределение длин имен субдоменов. Логично предположить, что на первом месте у нас будут субдомены длиной 3 символа (пресловутый www). А вот дальше длины субдоменов будут идти по нисходящей и мы увидим, что в обычной жизни сложно встретить субдомены длиной более 30 символов. Даже DGA-домены обычно гораздо короче. Но если задаться вопросом, а могут ли встречаться субдомены длиной более 30 или 50 или даже 100 символов, то мы увидим, что на границе в 200 символов проявляется аномалий - число субдоменов такой длины непропорционально высоко. Почему?


Ответ прост - злоумышленники используют особенности работы DNS в качестве инструмента для утечки данных (не фишинг, не DGA, не редиректы, не Fast Flux, а именно утечка), которые скрываются в названии субдомена, направленного на DNS-сервер, находящийся под контролем злоумышленников. Именно на нем происходит распознавание (часто и расшифрование) информации в пришедшем DNS-запросе. Такая вот проблемка, которая находится вне контроля абсолютного большинства современных МСЭ, даже NGFW. Да и IPS тоже не всегда способны ловить такие вещи, хотя на них можно создать правила, отслеживающие длину DNS-запроса.

В любом случае этот пример показывает, что мониторинг трафика - задача важная и опираться в ней нужно не только на привычные периметровые средства защиты, но и на иные решения, которые позволяют заглядывать внутрь различных протоколов и выявлять в них аномалии. Это и решения класса NTA, и защищенные DNS-сервера с функцией инспекции трафика, и другие типы средств контроля и защиты трафика.

ЗЫ. Если вдруг вам тема безопасности DNS интересна, то 24-го января пройдет бесплатное онлайн-мероприятие по этой теме, где будут рассмотрены различные атаки на DNS и способы их обнаружения и нейтрализации - платные и нет, коммерческие и open source.

ЗЗЫ. Да, про DLP забыл упомянуть. Так вот DLP не ловят утечки через туннелирование конфиденциальной информации в разрешенные протоколы. Вообще с туннелированием они не работают. 

16.1.18

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть вторая, эпистолярная

Уважаемые судари и сударыни, позвольте мне продолжить обзор плана мероприятий направления "Информационная безопасность" программы "Цифровая экономика". Можно заметить по прошлой заметке, что не только сам план готовился в спешке (а это уже само по себе гарантирует не самый качественный результат - стратегические документы надо перепроверять по несколько раз, чтобы не упустить все ляпы и неточности, которые потом могут аукнуться), но и его реализация запланирована в очень сжатые сроки, что также вызывает сомнение в реализуемости всей задумки. Но отбросим скепсис и вернемся ко второй части плана, посвященной обеспечению технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики. Что меня зацепило в этом разделе:
  • К июню планируется создать проект архитектуры некой базы знаний по ИБ, которую должен вести Минобрнауки.
  • В прошлый раз я писал, что в первой части плана постоянно смешиваются понятия "массивы больших данных" и "большие данные". Во второй части добавились еще и "большие пользовательские данные", которые будут регулироваться Роскомнадзором.
  • Также до конца 2019 года планируется урегулировать вопрос обработки ПДн облачными провайдерами. За это будет отвечать... нет, не РКН, а Минкомсвязь. Стоимость разработки типовой формы соглашения между пользователем и провайдером "облачных" услуг составляет 1 миллион рублей (чтоб я так жил).
  • РКН, Минкомсвязь, ФСБ, ФСТЭК и МВД (а они-то зачем) должны создать ресурс, обеспечивающий гражданам России доступ к информации о случаях использования их персональных данных, а также возможность отказа от такого использования (судя по всему на базе ЕСИА). К концу 2020-го года его должны ввести в эксплуатацию.
  • Сколково с Минкомсвязью хотят обязать всех пользователей коммуникационных сервисов идентифицироваться. Также к пользователям приравняли и Интернет вещей, который также будет как-то идентифицироваться. Последний пункт, конечно, вызывает огромное количество вопросов. Единые правила по идентификации Интернет-вещей, произведенных разными производителями в разных странах?.. Но идея государства взять под контроль всё и всех, что и кто подключен к Интернету, очевидна.
  • К июню следующего года хотят установить обязательную установку на все ввозимые и создаваемые в РФ компьютеры отечественные антивирусы. Зачем? Кому это нужно (кроме пары отечественных вендоров)? Предвижу запросы со стороны иностранных антивирусных вендоров в ФАС и судебные иски по поводу неравных условий для работы антивирусных компаний. Зачем этот пункт вообще попал в план при и так почти полном доминировании ЛК и Доктор Веба на территории нашей страны (кстати, в первоначальном варианте стояла задача предустанавливать отечественные антивирусы на все компьютеры в ЕАЭС, а не только в России)?
  • На основе национальной электронной библиотеки (вы вообще ею пользовались когда-нибудь?) планируется создать информационную платформу онлайн-курсов по ИБ и ее наполнение (на первой стадии не менее 20 курсов). Этакая "русская ИБ Coursera". Идея неплохая, но отвечать за ее будут Минкомсвязь и Минобрнауки, "известные" на ниве ИБ регуляторы.
  • До конца года хотят сделать прототип аналога ГосСОПКИ не для субъектов КИИ, чтобы и рядовые граждане и компании могли сообщать о признаках противоправной деятельности. Ввести его в действие должны до конца 2019-го года.
  • До конца года должен быть разработан ресурс антивирусного мультисканера и проверки на наличие признаков вредоносной активности. Думаю, уже и исполнитель по данному пункту известен, учитывая что за его выбор отвечает только ФСБ (в то время как за остальные пункты данной задачи также ФСТЭК и Минкомсвязи).
  • ФСБ к концу 2020-го года хочет получить прототип национальной базы знаний индикаторов вредоносной активности. Тут у меня конечно вопросы по срокам. Гораздо более сложные задачи заявлены на конец этого или следующего годов. Тут, правда, тоже накосячили. К этому же сроку должен быть готов не только прототип и архитектура системы, но и сама система должна быть введена в эксплуатацию. Видимо, никто диаграмму Ганта не строил по данному плану и не увидел таких нестыковок. А там ведь еще и проектный офис у этой "Цифровой экономики" есть. Как же там проектами управляют? 
  • До 2024 года хотят создать сеть ргеиональные РКЦКИ в составе ГосСОПКИ (кто-нибудь вообще смотрел раздел "Ожидаемые результаты" для проекта по созданию РКЦКИ?).
  • В разделе по ИБ-образованию написаны здравые вещи, но в целом он выглядит хаотично. Как будет надергали идей из разных источников, включая неслучившие "Основы госполитики в области формирования культуры ИБ в РФ" СовБеза. Подождем, может в целевой программе "Подготовка кадров в области информационной безопасности" на 2020 – 2025 года" будет более целостный взгляд на обучение специалистов, начиная со школьной скамьи (хотя в плане говорится про возраст, начиная с 6-ти лет). В разделе по обучению есть и совсем непонятные мероприятия. Например, "внедрен пилотный многофункциональный центр". Центр чего? Какие у него задачи? Причем тут обучение? Там же в этом разделе встречается аббревиатура, которая нигде не раскрыта и встречается в единственном числе, - "МОЦ". Это явно какой-то центр. Возможно образовательный, а может и окружной. Но фиг знает...
  • В плане говорится о том, что необходимо разработать процедуру обязательной оценки соответствия (сертификации) компонентов платежной инфраструктуры, используемых для переводов денежных средств в НПС. К июлю 2019-го года. А ведь эта процедура уже есть в утвержденном ГОСТ 57580.1, а также в проекте новой редакции 382-П. И уж ГОСТ-то был принят к моменту начала работы над "Цифровой экономикой".
  • Рекомендуется (но не обязывается по тексту) перейти на отечественную криптографию в НПС. К концу 2019-го года ТК26 должен разработать рекомендации по стандартизации по этому вопросу. Дальше дело за ЦБ, который может обязать это сделать или нет.
  • В прошлой заметке я писал, что в первом разделе хотели стимулировать отечественных разработчиков софта и железа, но не производителей ИБ. Во втором разделе (почему не в первом?) решили и про них указать - это большой плюс. Много разных льготных мер хотят запустить до конца 2020-го года (но большая часть до конца 2018-го). Особенно мне понравилось два пункта - "Сформированы требования к иностранным производителям по предоставлению ими протоколов взаимодействия (API) для встраивания отечественных ИБ- продуктов в их разработки там, где это необходимо для обеспечения безопасности страны" и "Утвержден нормативно-правовой акт по внедрению пакета мер по принуждению иностранных производителей ИКТ-продуктов, использующихся на территории РФ, к встраиванию отечественных ИБ-продуктов там, где это необходимо". По принуждению...
  • А вот в чем разница между "Определение соответствия примерных основных профессиональных образовательных программ по специальностям и направлениям подготовки в области информационной безопасности целям и задачам цифровой экономики и их корректировка" и "Определение перечня профессиональных стандартов и внесение изменений в части освоения требований в области информационной безопасности". Ведь об о одном и том же, но в разных разделах и с разным финансированием.
  • Планом предусмотрено активное развитие страхования киберрисков; первоначально добровольного, но рассматривается возможность и обязательного. Особо меня зацепил вот этот пункт, в очередной раз отражающий квалификацию тех, кто готовил и принимал план - "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность ( в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем)" (выделение жирным мое). Вы помните в каком году отменили классификацию ИСПДн? Фактически в 2011-м, после принятия поправок в ФЗ-152, а формально в 2012-м, после принятия соответствующего приказа. Так, блин, о каких классах ИСПДн говорит план Правительства, утвержденный спустя 6 лет после отмены классов ИСПДн? "Ну кто так строит..." (с) Но про финансовую гарантию "хорошо" получается. Или отложи бабки на покрытие рисков (Базель II по ПДн) или сам страхуй. Если это норма пройдет, то это реально подхлестнет рынок "добровольного" страхования киберрисков, о которых очень активно недавно стал говорить Сбербанк. Кстати, в другой строке этого раздела вместо "уровень защищенности" написано "класс защищенности"...
  • Хотят создать реестр аккредитованных экспертных организаций в области компьютерной криминалистики, и систему контроля качества оказываемых ими услуг. В Фейсбуке на эту тему дискуссия была, но к единому мнению мы не пришли. У меня более пессимистичный взгляд на то, кто хочет и будет рулить этой темой, а у коллег более оптимистичный. Рад буду ошибиться. Самое интересное, что хотят нормативно закрепить обязанность привлекать эти аккредитованные организации при расследовании инцидентов. Вот это будет круто - хошь-не хошь, но привлекай их при инцидентах, что потребует отдельного бюджетирования.
  • Опять повторяется пункт (конечно же с отдельным финансированием) про "анализ перспектив развития информационных систем, выявление потребностей в недостающих средствах защиты" из первого раздела (там правда формулировка иная, но суть таже). И про безопасную разработку тоже повторяется раздел.
  • План предусмотривает внесение изменений в Уголовный кодекс Российской Федерации, касающихся расширения криминализации новых типов деяний, совершенных с использованием информационных технологий.
  • Фанфары... Теперь у нас появляется новый термин применительно в Big Data - "большие массивы данных". Ранее у нас были "массивы больших данных", "большие данные" и "большие пользовательские данные". Так вот операторы больших массивов данных должны обмениваться данными об инцидентах с НКЦКИ ФСБ. Зачем? Почему? О каких инцидентах? Кто это придумал?
  • Немало написано про продвижение российских решений по ИБ и идей по стандартизации зарубежом, но без конкретики. Также предполагается создание единых нормативных документов, стандартов и программ обучения по ИБ на уровне ЕАЭС (надо ли это странам ЕАЭС - большой вопрос).
  • Интересно, киберучения упоминаются только в рамках раздела по ИБ в ЕАЭС, но совсем не упоминается в чисто российском контекте.
  • Да-да, суверенный Интернет тоже предусмотрен в этой части (почему не в инфраструктурной?).
  • Интересно, что из финальной части целиком исчез раздел про международный обмен информацией об угрозах, атрибуцию угроз, запрет кибероружия. Вот это обидно. Мы когда на рабочей группе обсуждали это направление как раз говорили, что попытка на международном уровне договориться о суверенности Интернета - это утопия и на ее фоне надо хоть что-то полезное предложить. Но увы... Идеи экспертов не поддержали в очередной раз.
Отдельно хотелось бы пройтись вкратце по разделу финансирования. Считать чужие деньги конечно неправильно, но приятно :-) Особенно когда не можешь их найти в утвержденном бюджете РФ. Но разброс цен на выполнение работ конечно впечатляет. Например, развитие Рунета с учетом модернизации ведомственного центра ГосСОПКИ выделено за три года 0 (ноль) рублей, а на создание национального удостоверяющего центра 1 миллиард 100 миллионов рублей. Вообще, смотря на план финансирования у меня возник вопрос, что значит отсутствие выделения денежных средств на то или иное мероприятие? Что оно не будет реализовано? Что на него реализацию не надо денег? Или что деньги появятся потом, может быть, когда-нибудь? Например, выявление утечек Интернет-трафика не стоит ничего, как и создание национальной базы знаний и ее наполнение, как и строительство РКЦКИ (проектные работы по ним - 1 миллиард), как и единое пространство доверия электронной подписи в рамках ЕАЭС.

Есть в плане классное мероприятие - "создание механизма поддержки центра компетенций по импортозамещению в сфере ИКТ". На это мероприятие (не на поддержку, а на создание механизма поддержки) выделено 203 миллиона рублей. И вот таких вот статей затрат (на мой взгляд совершенно бестолковых) там немало - по 10-20 миллионов рублей тратится на определение и оценку показателей развития ИКТ, актуализацию критериев и классификатора и т.п. Интересно, что на "разработку требований к отечественным средствам ПО/железа/ИБ", "разработку предложений по стимулированию...", "анализ потребностей..." выделяется денег больше, чем на стимулирование самой разработки. На мониторинг использования в российских ЦОДах российских комплектующих и софта/железа (именно российских, что мониторится очень легко) выделено 10 миллионов, а на разработку модели ЦОДа на отечественном софте/железе/комплектущих выделено 0 рублей. Оно и понятно, мониторить использование отсутствующего своего проще, чем разрабатывать свое. На мониторинг закупок отечественного и иностранного ПО выделено 30 миллионов, а на создание базовой инфраструктуры многофакторной цифровой идентификации - 0 рублей. На разработку технологий доверенной третьей стороны на основе российской криптографии выделено 0 рублей, а на разработку проекта дорожной карты по российской криптографии в Рунете - 9 миллионов. На ресурс по оценке уязвимостей в web-приложениях выделено 441 миллионов, а на разработку различных стандартов - 0 рублей. Создание аналога ГосСОПКИ не для КИИ обойдется в 25 миллионов, а ресурса по контролю за использованием ПДн в 235 миллионов (за перве отвечает ФСБ, а за второй - Минкомсвязь, ответственное за весь план мероприятий). Ввод этих центров в эксплуатацию обойдется в 60 и 203 миллиона соответственно. На разработку отечественного ПО, акселерацию стартапов, гранты и т.п. для разработчиков отечественного софта и железа выделено около 15 миллиардов, а на разработку и совершенствование средств ИБ - 800 миллионов рублей.

Пожалуй, все с "Цифровой экономикой". Слишком велико количество ляпов в стратегическом документе такого уровня. И это все я нашел всего лишь за 3 часа чтения документа во время подготовки двух заметок. Наспех слепленный, он также будет и реализовываться. Хотя в контексте "Цифрового кодекса" вероятность его реализации уже вызывает вопросы. Но даже если что-то и будет сделано, то в первую очередь имеющее мало отношения к классической ИБ, а скорее к тому, за что отвечает Минкомсвязь. По цифрам затрат видно, что максимальные суммы выделены на понятные Минкомсвязи темы - импортозамещение, суверенитет Рунета и т.п. На классику ИБ деньги либо не выделены, либо мизерны. А некоторые основополагающие статьи затрат (например, стандартизация) не имеют бюджета вовсе. Зато на образование денег не пожалели - это плюс (если выделят и правильно потратят).


15.1.18

FireEye покупает X15 Software

12 января FireEye анонсировала поглощение частной компании X15 Software, которая никогда не работала в сегменте ИБ, но зато разрабатывала технологии работы и анализа больших данных. Показательная сделка - ИБ-вендор начинает искать не ИБ-стартапы, а компании, которые занимаются аналитикой и которые позволят улучшить принимаемые решения в области ИБ. В видео по перспективным технологиям кибербезопасности я про это говорил; аналитика - это сегодня must have. А при большом объеме данных для анализа без Big Data не обойтись. Стоимость сделки составила около 20 миллионов долларов.

12.1.18

Обзор плана мероприятий по ИБ программы "Цифровая экономика". Часть первая, поэтическая


Посмотрите на эту фотографию. Она очень хорошо отражает то, что сегодня происходит с направлением информационной безопасности в рамках правительственной программы "Цифровая экономика". Вроде бы и можно было свернуть с имевшего в последние годы пути ведущего нас в темноту и повернуть к свету, но нет, мы упорно премся вперед, не сворачивая и залезая все глубже и глубже в непроходимые снега, где вместо движения по проторенной кем-то дорожке, мы пытаемся тропить свою собственную лыжню, которая может нас и приведет в светлое будущее, но не завтра, не всех и верится в это с трудом. И все это на фоне новостей о том, что топ-менеджеры ряда компаний отечественной ИТ-индустрии (в том числе активно участвующих в разработке "Цифровой экономики" и ратующих за цифровой суверенитет и ИТ-патриотизм) в декабре получили гражданство Мальты. Как тут не вспомнить строки из "Геофизического танго" Владимира Туриянского:

"Во дни разлук и горестных сомнений"
Как нам писал из Франции Тургенев.
Не надо слез и горьких сожалений,
Она уехала с другим купаться в Крым...

Так вот о "Цифровой экономике". 18 декабря Правительство утвердило план мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика". Я ознакомился с текстом (124 страницы мелким кеглем) и могу сказать, что мои, не раз уже высказываемые опасения оправдались. Документ получился очень сырым, а местами просто безграмотным как с точки зрения здравого смысла (но это мы оставим на совести экспертов, вносивших предложения, и экспертов, пропустивших их дальше), но и с точки зрения юридической. Попробую тезисно отметить мягко говоря спорные идеи, которые, по мнению Правительства, должны сдвинуть нашу аналоговую экономику в сторону цифровой трансформации (перечислять буду не все 124 страницы, а только то, что запало мне в мозг во время прочтения):
  • Почему-то данный план никак не синхронизирован с планом законопроектной деятельности Правительства, утвержденного двумя неделями позже. Весь план по ИБ рассчитан до 2024-го года и начинается по нему работа с 2018-го, но Правительство не планирует готовить никаких НПА по этому направлению. Почему? У меня есть ответ на этот вопрос, но я его оставлю при себе. Пусть те, кто считают, что "Цифровая экономика" действительно взлетит, и дальше остаются в шорах своей предубежденности.
  • На 3-й странице плана представлены ключевые показатели и индикаторы достижения задач, стоящих перед направлением ИБ "Цифровой экономики". Это замечательно, что в Правительство и АНО "Цифровая экономика" знают, что такое KPI. Но как можно принимать план, в котором по 25% показателей стоят прочерки? То есть показатель есть, но достигать его не надо. Эти 25% касаются закупки иностранного оборудования (то есть даже в Правительстве понимают, что отечественная индустрия "железа" не взлетит?), населения, использующего средства защиты (не знают как заставить применять отсутствующие отечественные средства защиты для частных лиц?), юрлиц, использующих НПС, субъектов, использующих стандарты безопасного взаимодействия государственных и общественных институтов (что это?).
  • Кстати, обратили внимание, в предыдущем пункте упоминалась НПС? Это вообще песня. У нас сегодня ВСЕ хозяйствующие субъекты используют НПС, так как в соответствие с ФЗ-161 "НПС - это совокупность операторов по переводу денежных средств, банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры". То есть миновать этих субъектов НПС при оплате чего-то бы-то ни было нельзя. Авторы имели ввиду (скорее всего) не НПС, а НСПК, то есть национальную систему платежных карт и карту "Мир". Но никто почему-то не стал исправлять этот ляп (хотя про него говорили на встречах в Центре компетенций).
  • Как вам фраза "рассмотрены уязвимости, связанные с киберпреступностью"?..
  • К концу 2019-года должна быть запущена в эксплуатацию централизованная система управления российскими сетями общего пользования. Хакеры всего мира (ну и спецслужбы, конечно, тоже) ждут, когда же у нас появится единая точка отказа управления, которую можно будет DDOSить, перехватывать управление и т.п. Чтобы хакеры не смогли надолго вывести ее из строя (интересно, как будут работать сети, если система управления ими выведена из строя), она должна интегрироваться с ГосСОПКОЙ. И эта централизованная система мониторинга ССОП - это не ГИС "Интернет" из законопроекта Минкомсвязи о критической инфраструктуре Рунета.
  • ГИС "Интернет" занимается совсем другим - обеспечением целостности, устойчивости и безопасности функционирования Рунета. С этой целью к концу 2020-го года должно быть создано ПО для ведения реестра маршрутов, мониторинга маршрутов, замещения корневых DNS-серверов, блокирования противоправного контента, национального удостоверяющего центра, взаимодействия с ГосСОПКОЙ. Кроме того, планируется общероссийский WAF для защиты всех сайтов в Рунете от атак (мне кажется, я даже исполнителя для последней задачи знаю, но это не тот, о ком вы подумали). Правда, последний пункт про WAF, кажется, совершенно случайно затесался в план - в списке мероприятий он есть, а в ожидаемых результатах нет.
  • К маю 2018-го года (осталось 4 месяця) Фонд "Сколково" должен разработать требования к устойчивости и безопасности сетей связи и оборудования органов государственной власти (за исключением высших органов государственной власти) и организаций различных организационно-правовых форм. Что это и как соотносится с требованиями, которые содержатся в приказе №1 Минкомсвязи или в существующих приказах ФСТЭК и ФСБ? И причем тут вообще Сколково?
  • Отечественных разработчиков компьютерного, серверного и телекоммуникационного оборудования хотят стимулировать налоговвыми льготами и таможенными пошлинами, а разработчиков средств защиты почему-то забыли. Зато последних хотят стимулировать льготными кредитами и инвестициями ВЭБа.
  • К концу 2020-го года разработчики компьютерного, серверного и телекоммуникационного оборудования должны использовать преимущественно отечественную электронную компонентную базу (где она, ау?).
  • Российские ЦОДы хотят заставить перейти на отечественное компьютерное, серверное и телекоммуникационное оборудование к концу 2019-го, а всю информационную инфраструктуру России - к концу 2024 года. Тут правда есть косяк. В разделе ожидаемых результатов написано, что надо достичь целевых показателей, а эти значения, как я указал выше, как раз и не определены (в плане стоят прочерки).
  • К концу этого года должны быть определены методология оценки рисков, методы и меры обеспечения информационной безопасности систем, реализованных на технологиях облачных, туманных, квантовых, виртуальных [забыли слово "вычислений", похоже], искусственного интеллекта и дополненной реальности, требования к стандартизации в сфере оценки рисков и обеспечения безопасности таких систем. Все это должен разработать опять Фонд "Сколково". До конца года? Требования по безопасности туманных и квантовых вычислений (по виртуализации у нас, к счастью, есть ГОСТ Р 56938-2016, разработанный в ФСТЭКоском  ТК 362, а по облакам, помимо ISO/IEC 27036-4:2016, отечественный ГОСТ находится на стадии проекта)? У нас дофига специалистов по безопасности туманных и квантовых вычислений? Про виртуальную и дополненную реальность, а также искусственный интеллект вообщу молчу. У нас интеллекта-то еще нет искусственного, а требования по его защите уже разработают в самой инновационной организации России, куда хрен доберешься. Кстати, авторы этого куска, похоже сами путаются между "виртуализацией" и "виртуальной реальностью". Они постоянно смешивают и путают эти понятия по тексту. К сентябрю 2019-го у нас должны быть разработаны стандарты ИБ по этим направлениям, а приняты они к июню 2020-го. Тогда и заживем в виртуальной реальности безопасно.
  • К маю этого года ФСБ, ФСТЭК во главе с Минкомсвязью, должны провести анализ мировых тенденций и долгосрочный прогноз развития ИТ в области ИБ (именно так - ИТ в области ИБ), а к сентябрю должен быть уже сформирован перечень перспективных технологий, которые могут надеяться на инвестиционную поддержку от российского государства. Это будет очередной foresight, который у нас так любят проводить всякие АСИ, Минкомсвязи и другие инноваторы. Почему-то эти долгосрочные прогнозы они делают раз в год, но видимо это традиция в России такая. Дороги у нас тоже раз в год ремонтируют и перекладывают асфальт и тротуарную плитку. 
  • Чтобы подчеркнуть важность процесса анализа разрыва между ожидаемым и реальным, слово "gap" в плане мероприятий написано заглавными буквами (GAP-анализ). А может это просто фирма GAP проспонсировала ее упоминание :-)
  • К июню этого года лицензиатами ФСБ (вообще странная конструкция) должен быть разработан проект плана мероприятий ("дорожная карта") "Российская криптография в российском сегменте Интернет". И вот на этой странице я понял, что скоро всем наступит давно обещанный коллапс экстаз. Российский сегмент Интернет хотят перевести на российскую криптографию, Web-сервера должны будут использовать TLS на базе ГОСТ 28147-89 в варианте "Кузнечик", а все браузеры должны реализовывать российскую криптографию. В условиях, когда разработка СКЗИ - это лицензируемый вид деятельности, а 99% браузеров у нас иностранного происхождения (Chrome, IE, Safari, Firefox), я с трудом себе представляю, как легально встроить в иностранное ПО российскую криптографию... и получить на нее сертификат ФСБ до конца 2020-го года. На все про все дается 3 года. 
  • Центр компетенций по импортозамещению в сфере ИКТ должен до конца 2020-го года запустить государственную программу Bug Bounty, где "победители получают денежные призы (гранты) за найденные уязвимости, разработчики их исправляют, а программное и программно-аппаратное обеспечение становится надежнее" (ожидаемый результат из плана Правительства).
  • К концу этого года должны быть созданы прототипы, а к сентябрю 2020-го уже финальные версии отечественных ОС, СУБД (правда, в термине "системы управления базами данных" почему-то забыли слово "данных" и получилось "системы управления базами"), офисных и иных (каких?) прикладных пакетов.  
  • С какого-то перепугу в стратегический документ попал целый раздел, посвященный уязвимостям Web-приложений. Согласно нему до июля 2018-го года не только должен быть проведен анализ уязвимостей всех web-приложений Рунета (а после июля не надо, да?), но и должен быть к концу 2019-го года создан единый ресурс по информированию и проверке угроз уровня web-приложений, находящийся под крылом ГосСОПКИ. Это аналог английского Web Check?
  • До конца 2020-го года хотят создать систему сертификации ПО, которое будет оцениваться по уровню локализации, степени правообладания и уникальности кода (ё, кто и как будет оценивать уникальность), после чего ПО будет присвоен определенный класс.
  • До конца этого года хотят определить (с помощью Роскомнадзора), как защищать массивы больших данных (видимо речь идет о Big Data), а до конца следующего года уже иметь стандарты по защите Big Data (их в мире-то еще нет, а у нас уже планы). В другом месте плана, правда, говорится, что эти стандарты должны быть готовы к марту 2019-го года. По тексту, кстати, постоянно смешивают то "массивы больших данных", то "большие данные". Сделано ли это специально или по недомыслию, не могу сказать. За разработку стандартов отвечает Сколково, а за инструментальный контроль использования Big Data ФСБ :-) 
  • С какого-то перепугу в раздел по ИБ попало регулирование онлайн-агрегаторов товаров, онлайн-рекламы, кинотеатров и средств виртуализации (что это и как соотносится с виртуальными вычислениями и виртуальной реальностью?).  И ведь на этапе обсуждения этот вопрос поднимали, что не место этой шняге в ИБ. Но нет. С упорством, достойным иного применения, эта тема теперь относится к ИБ.
  • К концу 2019-го года должны быть разработаны модели угроз и нарушителей для Интернета вещей для отраслей экономики (каких, не сказано).
  • Вместо "критической информационной инфраструктуры" План использует термин "критическая инфраструктура". Ну "экспертам" Правительства позволительно не знать уже принятого к моменту утверждения плана законодательства по КИИ.
  • К лету 2020-го года должны быть разработаны правила реагирования на инциденты безопасности киберфизических систем, включая Интернет вещей (пересекаются ли они с КИИ, ответить не могу, как и "эксперты"), а разработать их должны Минкомсвязь, Минпромторг, ФСТЭК и Роскомнадзор (ну эти-то куда). А как же ФСБ?
С русским языком по тексту тоже проблемы постоянно. Пропадают слова, меняющие смысл мероприятий дорожной карты. Например, в одном пункте написано "Утверждение национальных стандартов безопасности киберфизических систем, включая "Интернет вещей". Вроде все четко и понятно. Но сразу за ним, в итоговой строке раздела написано уже "Приняты национальные стандарты киберфизических систем, включая "Интернет вещей" (куда дели "безопасность"?), а в ожидаемых результатах опять "Национальные стандарты безопасности киберфизических систем, включая "Интернет вещей", утверждены". Тут впору вспомнить Тургенева, с упоминания которого я начинал заметку:

Во дни сомнений,
во дни тягостных раздумий
о судьбах моей родины,-
ты один мне поддержка и опора,
о великий, могучий, правдивый и свободный
Русский язык!

Не будь тебя -
как не впасть в отчаяние
при виде всего,
что совершается дома?
Но нельзя верить,
чтобы такой язык
не был дан великому народу!
Правдивый и свободный
Русский язык!

На этом заканчивается один из двух разделов Плана мероприятий по направлению ИБ в рамках "Цифровой экономики". Он посвящен обеспечению единства, устойчивости и безопасности информационно-телекоммуникационной инфраструктуры Российской Федерации на всех уровнях информационного пространства. Второй раздел, про обеспечение технической, организационной и правовой защиты личности, бизнеса и государственных интересов при взаимодействии в условиях цифровой экономики я рассмотрю в понедельник. Там бросившихся мне в глаза мероприятий не меньше, чем в первой части, и поэтому лучше посвятить ей отдельную заметку (хотя деление на эти два раздела весьма условное).

Можно ли было родить в сложившихся условиях адекватный документ? Не знаю. Я, к сожалению, выпал из процесса на второй стадии. После сбора и составления перечня проблем, которые происходили в условиях жесточайшего цейтнота (всего за неделю надо было сформировать список проблем с ИБ в России), вторым этапом должен был стать мозговой штурм (опять за неделю) по формированию перечня мероприятий, которые бы устраняли проблемы и выводили отрасль ИБ из тьмы веков на свет. Но, блин, я эту неделю пропустил, побывав в трех командировках и не успев подготовить свои предложения (хотя часть из них я успел отправить еще на первой стадии). И после этого я уже потерял контроль над процессом - в нем участвовало уже ограниченное число лиц, а промежуточных результатов плана мероприятий Центр компетенций не рассылал (несмотря на обещания). В итоге я увидел финальную версию только в декабре, когда было уже поздно что-то менять. Да и бессмысленно, если честно. Получая информацию не только из центра компетенций, но и из других источников, уже стало понятно, что благие намерения экспертного сообщества не очень стыкуются с тем, что хотели сделать на верху "пищевой цепочки". Покаялся и ну и ладно.

Завершить столь "позитивную" заметку я бы хотел вновь строками из Владимира Туриянского:

Я устал от идиотов
От вождей и патриотов
От безумных финансистов
Демократов от сохи
От бездарных Центробанков
От рок-музыки и панков
И от суверенитета
Для республики Сахи...
Ткни любого депутата
У него ума палата
Все он знает и предвидит
Как премудрейший пескарь
Как преодолеть разруху
Как пройти водой посуху
Выясняется, что это
Бывший третий секретарь...

11.1.18

Ландшафт технологий кибербезопасности (видео)

Я уже писал про Академию кибербезопасности Сбербанка, на которой я выступал с рассказом о новых технологиях ИБ, которые могут стать актуальными в среднесрочном горизонте планирования до 2025 года. Свою презентацию с этим обзором я уже выкладывал. Теперь пришло время для видео, которое я записал по мотивам этой презентации (с некоторыми вкраплениями технологий Cisco, которые учитывают описанные тенденции). Заняло это 1,5 часа, но возможно кому-то будет не лень это все слушать и смотреть :-)


10.1.18

Barracuda покупает PhishLine и еще три интересных поглощения

3 января американская Barracuda анонсировала приобретение одного из игроков рынка симуляторов для социального инжиниринга и обучения по ИБ, компанию PhishLine. Финансовые условия сделки не раскрываются.

9 января Threatcare объявила о покупке Savage Security. Обе компании абсолютно неизвестны в России, но меня заинтересовало данное поглощение потому, что Threatcare работает в совершенно новом сегменте решений по автоматизации и симуляции атак, о котором только-только начинает писать Gartner и который еще совсем не сформировался.

5-го января Verizon объявила о покупке частной компании Niddel, которая занималась threat hunting'ом на базе машинного обучения для расширения сервиса MDR, который Verizon двигает в сторону своих клиентов. А другая американская компания, Cyxtera Technologies, занимающая защищенной инфраструктурой, объявила 8 января о покупке небольшой частной компании Immunity, которая основана бывшим сотрудником АНБ и занимается различными offensive-проектами - пентестами, разработкой эксплойтов, исследованиями уязвимостей и т.п. Среди прочего у Immunity есть и ряд инструментов (например, INNUENDO и CANVAS), которые также относятся к категории симуляторов атак. Тут я вижу две интересных тенденции - скупка небольших игроков рынка ИБ более крупными, "инфраструктурными" компаниями, которые расширяют свое портфолио решеними по ИБ (операторы связи - яркий представитель таких инфраструктурных компаний), и активное появление на рынке решений для автоматизации симуляции атак, позволяющих заменить немасштабируемый, но зато формализуемый труд пентестеров (я про это писал в 2016-м году).

Блиц-обзор основных ИБ-новостей за прошедшие праздники

Вообще я не хотел писать эту заметку, но несколько коллег вчера спросили меня, буду ли я по традиции делать обзор того, что произошло за новогодние праздники, чтобы понять, не пропустили ли они чего-нибудь важного, проведя время в Мексике, Тайланде, США и других прекрасных частях света, полностью дистанцировавшись от профессиональных новостей. И посколько таких запросов было больше одного, я не стал противиться и составил свой топ новостей за прошедшие пару недель, взяв за точку отсчета последнюю неделю декабря (многие уже не работали в последние пару дней). Итак мой топ таков:
  • Правительство утвердило план мероприятий по направлению "Информационная безопасность" в рамках программы "Цифровая экономика". Я уже высказывался по поводу этой программы и финальный план меня окончательно убедил, что далека она от того, чтобы хоть как-то выправить ситуацию в индустрии; скорее наоборот. Думаю, на днях более подробно распишу про этот документ.
  • В начале января стало известно о наличии в процессорах Intel, AMD, Qualcomm и др. уязвимостей, названных Meltdown и Spectre, которые позволяли красть конфиденциальную информацию с устройств, на которых можно было запустить пользовательский код (в том числе и с помощью JavaScript). Часть вендоров пользовательских и серверых ОС уже отчиталась о выходе патчей (которые могут привести либо к неработоспособности системы определенной конфигкрации, либо к некоторому замедлению работы), часть тормознула из-за новогодних праздников. В любом случае последнюю неделю разговоры в открытых и закрытых группах и чатах ведутся только об этих уязвимостях, преподносящихся как очередной (или даже более серьезный "Heartbleed"). На мой взгляд это совсем не "ужас-ужас", как говорилось в одном анекдоте. Не надо срочно бежать и менять (как иногда советуют) все уязвимые процессора на новые (кто гарантирует, что там нет этих "уязвимостей" или закладок?). На мой взгляд достаточно начать с правильной защиты пользовательских ПК - ограничение (не тупой полный запрет) работы скриптов JavaScript с помощью бесплатного NoScript или AdBlock и использование решений класса EDR (а не просто сигнатурных антивирусов). Дополнительно необходимо контролировать доступ к вредоносным сайтам, эксплуатирующим эти уязвимости (с помощью решений класса SIG, обычных URL-фильтров или DNS Firewall), а также использовать IPS, детектирующие использование указанных уязвимостей. Иными словами, старая добрая эшелонированная защита, которая помогла бы в случае с WannaCry, Neytya, Bad Rabbit и множеством других "ужас-ужасов". Гораздо более неприятная ситуация ждет производителей сертифицированных в ФСТЭК (с ФСБ не уверен, что они сильно парятся на тему уязвимостей в сертифицированных СКЗИ) средств защиты, которым придется доказывать отсутствие влияния новых уязвимостей, уже попавших в БДУ ФСТЭК.
  • Американские министерства торговли и нацбезопасности выпустили проект отчета для Президента (виданное ли дело, публиковать проекты отчетов для руководства страны?) по усилению устойчивости американской телекоммуникационной инфраструктуры и Интернет к различным распределенным киберугрозам (ботнетам и т.п.).
  • Wi-Fi Alliance  анонсировал новую версию протокола защиты беспроводных сетей WPA3, среди обновлений которого можно назвать защиту от перебора паролей при аутентификации в беспроводных сетях, а также улучшения криптографической подсистемы.
  • VirusTotal запустил новый инструмент визуализации VirusTotal Graph, позволяющий визуализировать взаимосвязи между файлами, URL, доменами и IP-адресами.
  • Министерство промышленности и информатизации Китая выпустило план действий по защите своих систем промышленной автоматизации "Industrial Control Systems Information Security Action Plan (2018-2020)".
  • Российский хакер Козловский признался в том, что это он создал WannaCry по заказу ФСБ. История с этим Козловским мутная донельзя - на его странице в Фейсбуке выложены десятки стран уголовного дела, в котором он "признается", что работал по заказу арестованных по делу о госизмене бывших сотрудников ЦИБ ФСБ Сергея Михайлова и Дмитрия Докучаева. По словам Козловского, именно он, сотоварищи, взломал американские выборы в 2016-м году. 
  • Был подготовлен законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  • Минкомсвязь подготовило проект приказа об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
  • 29 декабря Президент подписал закон об удаленной, читай, биометрической, идентификации клиентов финансовых организаций, за которым последуют и нормативные акты самого ЦБ. Банковским безопасникам стоит готовиться в этом вопросе - он может очень быстро стать актуальным, а может быть и обязательным (как "Мир", НСПК и иже с ними).
  • Директор АНБ и глава американского киберкомандования Майкл Роджерс решил уйти в отставку, что и должно произойти весной этого года. За прошедшие 4 года, что Роджерс руководил АНБ, произошло немало событий, которые, как мне кажется, и повлияли на решение об отставке. Тут и утечка арсенала АНБ через взлом The Equation Group, и противостояние с Трампом, которого Роджерс прямо обвинил в сговоре с Россией.

Вот такой новогодний топ-лист новостей по ИБ...


ЗЫ. Принятые в прошлом году и готовящиеся к принятию в этом нормативные акты можно посмотреть в одной из последних заметок блога.