29.6.18

ЦБ получает новые полномочия по регулирования рынка ИБ

27 июня всенародно избранный Президент (кстати, очень много законов, связанных с ИБ, подписывалось Президентом именно 27-го июня) подписал Федеральный закон 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств». На сайте Президента написано буквально следующее:

"Федеральным законом определяется порядок приостановления кредитной организацией перевода денежных средств клиента в случае выявления признаков совершения перевода без его согласия.

В частности, при выявлении признаков совершения перевода денежных средств без согласия клиента оператор по переводу денежных средств обязан приостановить на срок не более двух рабочих дней исполнение распоряжения о совершении операции, а также приостановить на такой же срок использование клиентом электронного средства платежа.

При этом устанавливается, что признаки совершения перевода денежных средств без согласия клиента определяются Банком России и размещаются на его официальном сайте в информационно­-телекоммуникационной сети «Интернет».

Кроме того, Федеральным законом предусматривается наделение Банка России полномочиями по формированию и ведению базы данных о случаях совершения перевода денежных средств без согласия клиента и определению порядка направления и получения операторами по переводу денежных средств, операторами платёжных систем и операторами платёжной инфраструктуры информации из указанной базы данных."



Все это безусловно верно, но я бы отметил две других нормы, о которой в справе ГПУ (государственно-правового управления) не сказано ни слова, а именно две новых статьи закона "О Центральном банке Российской Федерации (Банке России)":

  • "Статья 57.4. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами".
  • "Статья 76.4.1. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76.1 настоящего Федерального закона, в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами".
Иными словами, если раньше Банк России в лице ГУБЗИ устанавливал обязательные требования по безопасности только для участников Национальной платежной системы (по ст.27 ФЗ-161), то по истечении 90 дней с момента опубикования 167-ФЗ Центробанк получит права устанавливать обязательные требования для кредитных организаций (привет ГОСТ 57580.1 и др.), а также для всех некредитных финансовых организаций - страховых, негосударственных пенсионных фондов, бирж, микрофинансовых организаций, ломбардов и т.п. А планов по разработке новых требований у ЦБ немало - почти два десятка документов.


Революция от ЦБ: новая версия 382-П

Центральный банк традиционно является революционером в области кибербезопасности в России. То он вводит национальный стандарт (ГОСТ) как обязательный. То требует обязательного информирования об инцидентах ИБ. То создает ФинЦЕРТ, первый государственный и работающий центр сбора информации об инцидентах. И вот новая революция, а точнее две, пришедшие с новым Указанием 4793-У, которое спустя год после опубликования проекта,  вносит долгожданные, но местами неприятные, изменения в 382-П, потребующие серьезного передела, как внутренней системы ИБ финансовых организаций, так и всего рынка ИБ России. Но обо всем по порядку.


Начну с более приземленной и практичной, но совершенно не раскрытой темы - уведомления об инцидентах ИБ. Лично я ждал, что ЦБ все-таки потребует от участников НПС (а 382-П распространяется именно на них) уведомления об инцидентах по форме, используемой в 552-П, то есть в течение 3-х часов с момента наступления инцидента. Но увы... ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа, размещаемого на сайте ЦБ, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ, курирующей ГосСОПКУ. Как мне кажется, это (а также сроки принятия новой редакции - больше года) связано с тем, что ФСБ в лице 8-го Центра и НКЦКИ до сих не смогли утвердить ни одного документа по ГосСОПКЕ в рамках 187-ФЗ. Ждать больше ЦБ не захотел или не смог, поэтому принял документ в этой части в абсолютно размытой и неконкретной формулировке, которая еще даст о себе знать.

Например, мне непонятен статус перечня инцидентов, о которых надо уведомлять ФинЦЕРТ, и который, после согласования с ФСБ, должен быть размещен на сайте ЦБ. Понятно, что это будет некая выжимка из недавно согласованного, но еще не принятого в окончательной редакции СТО 1.5. Но насколько этот документ будет обязательным? Предвижу вопросы от банковских юристов, которые начнут бомбить регулятора запросами, а то и вовсе манкировать своими обязанностями (до первых проверок). Так и не дождавшись от ФСБ согласования карточки инцидента, протоколов обмена данными о них, сроков и порядка, ЦБ отделался отпиской, что все это будет согласовано и также размещено на сайте ЦБ. А каков статус этого документа будет? Будет новое Указание? Или?.. В целом это же было написано и год назад (хочется надеяться, что данные об инцидентах ГосСОПКА будет раздавать более оперативно), но я обратил внимание, что с ГосСОПКОЙ надо будет согласовать не только порядок уведомления об инцидентах, но и порядок размещения информации о них в СМИ, в пресс-релизах, в пресс-конференциях и т.п. Вот захотите вы сообщить своим клиентам о хищении средств с их счетов, а вдруг ФСБ раз и запретит?.. Низзззя! Национальная безопасность пострадать может.

Прикладное ПО, используемое для переводя денежных средств, требует либо сертификации ФСТЭК, либо анализа уязвимостей по ОУД4 с помощью лицензиата ФСТЭК. Это классный пункт - он позволит поднять уровень защищенности ПО и заставит разработчиков повышать свои компетенции в этом вопросе, внедряя SDLC. Но есть и нюансы (куда же без них). Во-первых, испытательные лаборатории ФСТЭК не обладают должными компетенциями в этом вопросе, преимущественно занимаясь сертификацией средств защиты информации. Да, они будут рады новому рынку, но пока вся процедура утрясется, немало воды утечет. Тем более, что непонятно как к этому относится ФСТЭК и на соответствие каким требованиям должна проводиться сертификация (НДВ скоро отомрет, а разрабатывать РД для АБС никто пока не планировал)? Более того, у ФСТЭК наметился уход от концепции "Общих критериев" и как проводить оценку по ОУД4 скоро будет совсем непонятно. Также непонятно, что включается в понятие "прикладное ПО"? Регулятор утверждал неоднократно, что речь идет о ПО, которое непосредственно участвует в переводе денежных средств, то есть об АБС, клиент-банке, мобильном банкинге, процессинге, ДБО, интернет-банкинге и т.п. Надеюсь, браузеры и офис не потребуется сертифицировать...

Требование разделения контуров у клиент-банка (одним ПК у бухгалтера теперь не обойтись) было предсказуемым и подробно на нем я останавливаться не буду - подход ЦБ не поменялся. К счастью, так как это потребует переделки клиентской части АБС и усилий разработчиков финансового софта, возможна компенсирующая мера в виде введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т.п.).

Вторым революционным изменением (после сертификации прикладного ПО) стало другое, которое имеет далеко идущие последствия для всего рынка и даже, не побоюсь этого, для всей цифровой экономики, как бы не смешно звучало это словосочетание в наших условиях. Речь идет о поголовном переходе всех финансовых организаций на российскую криптографию!!! Да-да, именно так. Мне можно возразить, что в 4793-У написано только про значимые платежные системы (кстати, в проекте упоминались национально значимые ПС), но давайте посмотрим на перечень таких систем. Там есть, как минимум, Сбербанк, Visa, Master Card и НСПК. Достаточно? Все банкоматы и POS-терминалы, все ДБО, позволяющие пополнять карточные счета, должны будут перейти на российскую криптографию. Пункт о том, что в остальных случаях можно применять СКЗИ иностранного производства в таком варианте звучит как издевка. Учитывая, что с 2011-го года, когда начался писаться первый вариант 382-П, эту формулировку не удавалось протоклнуть через ФСБ, а сейчас это удалось, мне кажется это сделано осознанно. Ситуаций, когда можно будет обойти компоненты инфраструктуры значимых платежных систем, практически нет. Кстати, требования от международных платежных систем перейти на российскую криптографию, не значит ли перевода и платежных карт Visa и MC на нее?

На этом фоне не так уж и значительно выглядит требования о применении 378-го приказа ФСБ при защите персональных данных с помощью СКЗИ. То есть, если вы для защиты ПДн хотите использовать СКЗИ, то будьте добры делать это с помощью сертифицированных решений. Но как мы помним, обеспечивать конфиденциальность ПДн можно и другими способами - выбор остается за вами.

ОБНОВЛЕНИЕ

Описанная в новом нормативном акте формулировка достаточно сложна и может трактоваться также как и возможность использования отечественных HSM и иных СКЗИ с поддержкой западной криптографии (например, Инфотекс вместа Thales). Да, такое возможно и более того, эту версию пару раз озвучивали представители ФСБ, сетуя на то, что банки не используют отечественные СКЗИ в своих платежных процессах. Банки же возражали, что для использования отечественного HSM (не важно, какую криптографию поддерживающую) в банкоматах или процессинге, необходимо сертифицировать их по требованиям тех же международных платежных систем. А это, как мне кажется (особенно в текущих геополитических условиях), будет крайне затруднительно. Так что мы имеем две равнозначных ситуации - переход НПС на отечественную криптографию или сертификация отечественных СКЗИ в международных НПС. Посмотрим, какой вариант выиграет...

КОНЕЦ ОБНОВЛЕНИЯ

В обоих случаях (отечественная криптография для защиты денежных переводов и ПДн) неотвеченным остается вопрос квантовых атак, но я им уже задавался и ответа на него пока не слышал/не видел. С практической же точки зрения я хотел бы обратить внимание на существенные финансовые обременения (глава НСПК на прошлогодней конференции Payment Security в Питере называл цифру в миллиарды долларов только для одной НСПК), связанные с внедрением российской криптографии, а также определенные технические сложности, которые я предвижу в этом процессе. Ведь переход на ГОСТы произойдет не одномоментно и будут ситуации, когда какие-то системы будут работать на российской криптографии, а какие-то на международной. То есть придется дублировать системы управления ключевой информацией, HSMы, ПО на картах и POS-терминалах и т.п. Вопрос стабильности работы двух параллельных СКЗИ еще предстоит анализировать. Но простым он точно не будет. Тут дело даже не в криптографии как таковой, а в ее практической реализации, внедрении и поддержке.

Прошлой весной, когда появился проект новой редакции 382-П, срок его введения был установлен на 1 июля 2018-го года. То есть давался примерно год на реализацию многих защитных мер. В текущей редакции, зарегистрированной Минюстом, 22 июня, срок остался... тем же - 1 июля 2018 года. Учитывая, что главки ЦБ стали рассылать 4793-У только 27-го июня, оставалось всего 2 рабочих дня на его реализацию :-( Два рабочих дня!!! Но есть и исключения:
  1. Требование по сертификации прикладного ПО или оценке уязвимостей по ОУД4 вступает в силу с 1-го января 2020 года (а вот пентесты и анализ уязвимостей объектов информационной инфраструктуры с 1-го июля 2018-го). У некоторых главков ЦБ есть мнение, что это не так и сертификация должна быть реализована с 1-го июля, но это не так. Достаточно посмотреть методические рекомендации по юридико-техническому оформлению законопроектов, в котором написано, как и откуда считается нумерация абзацев.
  2. Требование разделения контуров вступает в силу с 1-го января 2020-го года.
  3. Требование применения в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ (с учетом оговорок выше) вступает в силу с 1-го января 2024-го года.
  4. Требование применения в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
  5. Требование применения в значимы платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
  6. Требование применения в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах.
А что же надо делать со следующей недели? А вот что:
  • Анализ уязвимостей и пентесты информационной инфраструктуры (обойти это требование нельзя). Это лицензируемый вид деятельности.
  • Применение 378-го приказа ФСБ, если вы для защиты ПДн хотите использовать СКЗИ (можно творчески подойти, как я описывал ранее)
  • Информировать об инцидентах ГосСОПКУ и ФинЦЕРТ (но после того, как ФСБ разродится своими приказами).
  • Отказ ЦБ от самооценки и переход на аудит с помощью лицензиатов ФСТЭК был ожидаемым и он вступает в силу с 1-го июля.
Документ хоть и короткий, но емкий - большинство пунктов отнесены на перспективу от 1,5 до 13 лет, что дает определенную свободу маневра, но требует и более серьезной проработки стратегии выполнения этих недешевых требований регулятора за это десятилетие, включая и оценку будущих угроз и изменения ИТ-ландшафта, которые тоже надо учитывать.

28.6.18

Ping Identity покупает Elastic Beam

26 июня американская Ping Identity, поставщик решений для идентификации и аутентификации, объявила о приобретении производителя решений для защиты API - Elastic Beam. Размер сделки не сообщатся.

А вы сталкивались когда-нибудь с ливийским скорпионом?

Что меня всегда поражало в атрибуции киберугроз и приписывание тех или иных кибернападений тем или иным государствам и группировкам, так это четыре вещи:
  1. Потрясающие названия. Ну только вслушайтесь: "Ливийские скорпионы", "Пыльная буря", "Хищная панда", "Тропический кавалерист", "Ночной дракон", "Цветочная леди", "Ледяной туман", "Панда со скрипкой", "Обрезанный котенок", "Шакал повстанцев", "Скрытый ястреб" и т.п. Такое впечатление, что все усилия эксперты по ИБ тратят на придумывание названий, а не добычу доказательств и нормальную атрибуцию. Но надо признать, что выглядят такие высосанные из пальца названия хакерских групп солидно. Всегда приятно осознавать, что тебя атаковал какой-нибудь "Летучий кедр" (сразу вспоминается диалог из фильма "Операция "Ы"" про "...а чтоб никто не догадался"), а "группа неизвестных лиц неопределенной национальности" :-)
  2. Красивая визуализация.  Вторая половина усилий тратится на то, чтобы отрисовать комиксоподобные изображения хакерских группировок. Это выглядит красиво, но бессмысленно. Особенно когда натыкаешься на перечень всей "сувенирки", которая создается вокруг бездоказательных заявлений - футболки, брошюры, стикеры, скринсейверы, картины, календари


  3. Отсутствие доказательств. Потратив все силы на название и картинки, ИБ-компании уже почти не имеют ресурсов на то, чтобы представить сколь-нибудь серьезные доказательства национальной или государственной принадлежности хакерских групп. Одно дело представить набор индикаторов компрометации (и это очень полезно) и совсем другое дело - связать эти IoC с конкретной страной. Как эксперты умудряюются это делать, я не представляю. Точнее представляю, но к реальной экспертизе это не имеет никакого отношения.


  4. Почти полное отсутствие хакерских групп в США. Вот смотришь на разоблачения какого-нибудь Fireeye или CrowdStrike и думаешь, а почему в ваших списках APTxxx есть все геополитические противники США (Китай, Северная Корея, Иран, Ливия, Сирия), но нет ни одной американской группы хакеров? Их там нет? Или про них запрещают писать (не этим ли объясняется пропуски в нумерации групп, названия которы начинается с APTххх)?
В общем, атрибуция киберугроз вещь безусловно важная и нужная, но сегодня слишком политизированная и не имеющая ничего общего с реальной ИБ. Единственный плюс, который я вижу в том, что сегодня некоторые компании излишне усердствуют в придумывании "страшных" названий хакерских групп - это PR, внутренний и внешний. Согласитесь, гораздо круче выглядит, если вывести на карту атак не просто IP-адрес атакующего, а его название, и сообщить руководству, что компания была атакована "Обрезанным котенком", "Срущим слоном" или, что еще ужаснее, "Ливийскими скорпионами" :-)

Для тех, кому интересен список всех известных сегодня хакерских групп, могу посоветовать воспользоваться вчера анонсированным сайтом APTMAP:


27.6.18

Будущее криптографии: нейросети создают новые алгоритмы шифрования

Вообще я не очень люблю писать про криптографию в чистом виде. В своей юности я занимался разработкой СКЗИ в одном из московских ящиков, а потом достаточно плотно был погружен в российский рынок средств шифрования, что и привело к разочарованию. Но не в криптографии как таковой, а в том, как эта тема реализуется и регулируется у нас в России. Но тут на днях я изучал наши (Cisco) исследования в области постквантовой криптографии и решил вновь написать о будущем, развивая и продолжая тему, начатую пару недель назад.

Наверное вы слышали историю о том, как искуственные интеллект Google придумал секретный  язык, который никто не мог понять кроме другого искусственного интеллекта. Так я прочитал эту новость в ряде российских СМИ. На самом деле история была немного иной и она имеет прямое отношение к информационной безопасности.


В октябре 2016-го года Мартин Абади и Дэвид Андерсен из Google опубликовали результаты своего исследования, в котором они изучали возможность применения нейросетей для защиты коммуникаций от атак со стороны других нейросетей. Было создано три нейросети - Алиса, которая пыталась создать метод шифрования, Боб, которая, должна была расшифровать трафик от Алисы, и Ева, которая выступала в роли врага и должна была дешифровать трафик, передаваемый между Алисой и Бобом. Самое интересное, что нейросеть Алиса ничего не знала о криптографических алгоритмах и способах их применения - она до всего "дошла" сама. В заключении к своему исследованию инженеры Google предположили, что нейросети могут быть применены и в других областях криптографии - генерации псевдослучайных чисел, проверки целостности, стеганографии. В конце Абади и Андерсен даже предположили, что нейросети могут быть использованы для анализа зашифрованного трафика с целью анализа его содержимого. К слову сказать, к этому моменту у Cisco уже была разработана технология Encrypted Traffic Analytics, которая ровно это и делала, и позволяла обнаруживать вредоносный код в зашифрованном трафике (я писал про это тут).

Вы готовы к такому повороту событий? Интересно, а регуляторы к этому готовы? Ведь такого рода исследования открывают совершенно новые возможности и создают новые риски. Риски невозможности использовать традиционный криптоанализ к регулярно изменяемым защищенным коммуникациям. Ведь нейросети создает не ключ, а алгоритм, и может делать это для каждой новой коммуникации или менять алгоритмы раз в день. "Взламывать" такие алгоритмы будет невозможно. И требовать от разработчиков "поделиться" ключами тоже. И регулировать "это" непонятно как. И это уже реальность...

ЗЫ. Исходники описанных нейросетей можно найти на GitHub. Надеюсь эту ссылку нельзя рассматривать как распространение СКЗИ и мне не потребуется лицензия ФСБ :-)

Провожу киберучения по ИБ! Присоединяйтесь!

Многие специалисты по ИБ прекрасно знают о том, что они могут стать жертвами киберпреступников и имеют прекрасные наборы технических мер защиты от них. Но атаки все равно происходят и ущерб организации, финансовый или репутационный, все равно наносится. Одной из причин, почему все-таки, несмотря на наличие широкого спектра навороченных и не очень мер защиты мы все равно сталкиваемся с проблемами, является отсутствие практического опыта реагирования на нештатные ситуации. Мы знаем КАК защититься, но не всегда представляем, ЧТО ДЕЛАТЬ, когда произошло что-то плохое. Куда бежать? Кому звонить или писать? Какие шаги предпринимать, чтобы купировать последствия киберинцидентов? Проверять и нарабатывать опыт во время атаки – не самый лучший путь. Проводить технические киберучения (типа Cyber Range) тоже не всем под силу и все-таки они ориентированы на технических специалистов – аналитиков SOC, специалистов по Threat Hunting, экспертов по расследованию инцидентов. А что делать руководителям ИБ или их заместителям? Ответ есть – штабные киберучения.

Я уже не раз обращался к этой теме (например, тут и тут), а на прошедшем в Москве "Код ИБ. Профи" читал мастер-класс, посвященной тому, как организовывать такие киберучения (существенно облегченную версию я читал в Казани на ITSF). И вот теперь настал черед для организации и самих учений, как продолжение прочитанного мастер-класса. В качестве площадки выбран грядущий "Код ИБ. Профи", который пройдет в Сочи (Роза Хутор) в конце июля.

В рамках двухчасовой практической сессии Вы
  • Сможете на себе ощутить, что чувствует человек, который перед уходом с работы в пятницу вечером сталкивается со звонком от генерального директора, который прочитал в СМИ о том, что возглавляемая им компания атакована хакерами, укравшими клиентские данные и требующими выкупа.
  • Поймете слабые места вашей текущей системы коммуникаций между различными подразделениями компании, которые вовлекаются в процесс реагирования на глобальные киберинциденты, требующие уведомления клиентов и партнеров.
  • Узнаете как координировать усилия всех участников внезапно и хаотически созываемой группы, которая должна быстро составить план действий по снижению масштаба ущерба.
  • Поймете, что ваш план действий может не соответствовать видению вашего генерального директора и сможете на ходу перестроить его, лавируя между интересами компании, руководства, вашими и киберпреступников.
  • Увидите узкие места и неэффективные процедуры ваших процессов реагирования на инциденты. И все это в яркой и живой форме, общаясь со своими коллегами, которые смогут поделиться с вами своим опытом или перенять ваш опыт, вместе достигая повышения защищенности бизнеса в киберпространстве.

Для участия в киберучениях на «Код ИБ. Профи» вам не нужно ничего, кроме вашего желания и хорошего настроения. Все остальное – сценарии, неожиданные вбросы, многоходовые комбинации, реальные жизненные ситуации и кейсы, шутки и юмор, вам предоставлю я :-)

Присоединяйтесь - будет интересно!!!


ЗЫ. Ну а кто не захочет участвовать в киберучениях, тот сможет пойти по традиционной программе - послушать мастер-классы достойных специалистов по ИБ, которые будут делиться своим практическим опытом.

26.6.18

Что общего между пенсией и ГосСОПКА?

Так сложилось, что я еще застал (но не долго) Советский Союз, который, пусть и с оговорками, считался социальным государством. Бесплатные квартиры (кооперативы не в счет), бесплатная и достаточно неплохая медицина для абсолютного большинства, бесплатное отличное образование, пенсия и т.п. Все это было и позволяло советским гражданам рассчитывать на вполне себе неплохое существование (хотя и без изысков). Прошли годы, изменилась экономическая и политическая ситуация, появилось поколение людей, которые родились уже не в СССР. Но очень многие до сих пор считают, что Россия, как преемница СССР, является тоже социальным государством и ждет от нее всех тех благ, которые были у наших родителей - квартиры (хотя их, вроде как уже никто и не ждет), медицина, образование, пенсия и т.п. Увы, это все в прошлом.

Эта заметка не про пенсии и не про Путина и не про экономику; она про безопасность. В нашей с вами теме до сих пор действует тот же миф про "социальное государство", которое придет и поможет нас защитить - от террористов, от воров, от киберпреступников. Увы... Во-первых, мы являемся заложниками неудачного термина "безопасность", а точнее "национальная безопасность", не понимая его сути. А во-вторых, мы не понимаем как и для чего работает государство, считая, что оно работает для меня. Вновь увы...

Если опросить многих людей, то для них термин "безопасность" имеет абсолютное значение и может быть описан бинарной логикой - вы либо в безопасности, либо нет. И мы почему-то эту логику транслируем на все фразу, в которых упоминается термин "безопасность". Например, "национальная безопасность". Мы считаем, что государство нас должно защищать от разных напастей. Меня, тебя, его, их... Но это не так. Государство обеспечивает безопасность себя. От врагов. Внешних и внутренних. В рамках своей модели угроз, которая отличается от вашей или моей. Мне иностранные ИТ-вендоры не враги. И Украина не враг. И Макаревич с Шевчуком. А государство считает иначе и поэтому предпринимает шаги, направленные на мою свою защиту.


Можно спорить с новой пенсионной якобы реформой. Можно не соглашаться с поднятием НДС. Можно выступать против обязательного страхования жилья (это новая инициатива государства). Можно требовать повышения качества медицинских услуг (я уже лет 20 не был в обычной поликлинике). Можно сетовать на низкое качество образования в ВУЗах. А можно попробовать самостоятельно, без оглядки на государство "которое должно" попробовать решить стоящие проблемы.

"Государство должно"... Как часто я слышу эту фразу. Кому оно должно? Где это написано? А главное, почему мы считаем, что оно должно именно то, что мы хотим? Я не хочу погружаться в политический срач и обсуждать тему, должно государство или нет заботиться обо мне, моей семье, моих близких и вообще своих гражданах. Мое мнение может не совпадать (и, как правило, не совпадает) с мнением государства. Поэтому я придерживаюсь немного иного сценария - "спасение утопающих - дело рук самих утопающих".

Я не жду, что регулятор спустит мне методику моделирования угроз - я сам составляю модель угроз. Я не жду, что ГосСОПКА меня защитит - я сам строю свою систему защиты. Я не жду, что ЦБ за меня разработает перечень защитных мер моей АБС - я сам определяю перечень мер безопасности. Я не жду, что МинЭнерго или ФСТЭК может за меня категорировать мои подстанции или посоветовать мне что-то - я категорирую объекты КИИ так, как сам считаю нужным. Я не жду, что Минкомсвязь поборет свою подведомственную структуру Роскомнадзор (которая кладет болт на субординацию и не учитывает мнение представителей Минцирка) в деле с "ковровыми блокировками" - я сам ищу способ доступа к интересным мне ресурсам. Я не жду, что нынешние выпускники ВУЗов будут лучше нас - я беру и занимаюсь самообразованием, чтобы быть востребованным еще долго. И вы не ждите :-) Лучше не будет (а если будет, то пусть это будет приятным сюрпизом). Спасение утопающих - дело рук самих утопающих! Сразу отмечу, что участвовать в дискуссии "раз мы ничего не ждем от государства, то зачем оно нам такое нужно" я не хочу и не буду :-)

ЗЫ. А что же общего между пенсией и ГосСОПКА? А вот что:
  • Вам обещают, что она защитит вас
  • Вас никто не спрашивает, какой ей быть
  • Мало кто ее видел
  • Она не дает никаких гарантий
  • Власти скрывают ее детали
  • Иностранцы в ней не участвуют
  • Лучше на нее не полагаться, а строить свою защиту самостоятельно
Но самое главное - и пенсия, и ГосСОПКА - это ОНА, а значит логика у нее женская и непредсказуемая; чтобы ты ни делал - все равно окажешься в дураках :-)

19.6.18

F-Secure покупает MWR InfoSecurity

18 июня финская F-Secure подписала соглашение о покупке MWR InfoSecurity, занимающуюся threat hunting, пентестами и антифишингом. Размер сделки составляет 91 миллион евро.

Новая отечественная TI-платформа и здоровая конкуренция между двумя главными банками страны

К этой заметке я подступался уже много раз на протяжении последних пары лет. Но вчерашние события в итоге сподвигли меня на ее написание. Ассоциация банков России (не путать с Ассоциацией российских банков) объявила о запуске пилотной версии платформы обмена данными об угрозах (презентация), о которой было стало известно еще в апреле этого года. Интересно, что решение о создании этой платформы, что удивительно, было принято в АБР только 27 марта, а спустя месяц уже был готов проект системы.

Интерфейс TI-платформы (фото BIS Journal)
Платформа обмена данными позволит участникам АБР в режиме реального времени получать самую актуальную информацию о киберугрозах, злоумышленниках и их методах работы (речь идет о TTP), и автоматически применять ее в своих защитных решениях через API. Что интересно, участники АБР могут направить (и уже направили) в BI.ZONE данные о своих средствах защиты, которые можно будет автоматически интегрировать с Платформой.

Компания BI.ZONE ("дочка" Сбербанка) - технический провайдер сервиса. В течение бесплатного пилотного периода, который продлится 3 месяца, информация (читай, индикаторы компрометации) в Платформу будут поступать только из потока данных BI.ZONE. После этого возможность загружать данные получат все организации-участники сервиса. База индикаторов компрометации и обширная контекстуальная информация помогут повысить защищенность инфраструктуры, снизить количество инцидентов и, в конечном счете, ущерб от атак киберпреступников. На данный момент к Платформе подключились «Сбербанк России», «Кубань Кредит» и Саровбизнесбанк. В ближайшее время также ожидается подписание соглашений с 17 другими банками, также выразившими желание присоединиться к Платформе.

Но заметка посвящена не этому знаменательному событию, а тому, что находится немного в его тени. Обратили ли вы внимание на некоторую конкуренцию, которая существует между двумя основными банками страны - Сбербанком и Банком России? Я попробовал составить некоторые ключевые вехи, которые в разное время звучали из уст представителей двух финансовых организаций.


То ЦБ был первым, то Сбербанк, то наоборот. Но в целом они идут ноздря в ноздрю, занимаясь в целом важным для финансовой отрасли делом - повышением ее кибербезопасности. Один банк имеет функции регулятора и может проводить многие решения в виде нормативных актов (своих или на уровне законодательства), другой имеет большую свободу в финансировании своих проектов и поэтому динамичнее в тех вопросах, где надо заплатить, привлечь лучшие умы страны и, возможно, всего мира (вы видели программу международного форума по кибербезопасности, который организует Сбербанк 5-6 июля?). ЦБ в этом плане менее поворотлив и поэтому Сбер часто опережает финансового регулятора там, где последний начинал первым. Например, про обучение банковских безопасников на Уральском форуме заговорили пару лет назад, а программы переподготовки должны быть еще только подготовлены, а Сбер запустил свою Академию Кибербезопасности еще в прошлом году. ФинЦЕРТ запущен уже несколько лет, но до сих пор так и не запустил автоматизацию процесса обмена данными об угрозах и индикаторами компрометации. Отчасти из-за бюджета, отчасти из-за необходимости согласования такого обмена с форматами и протоколами ГосСОПКИ (для этого как раз разработан стандарт СТО 1.5). Сберу ни с кем ничего согласовывать не надо и через свою дочку BI.ZONE этот процесс можно сделать гораздо быстрее, что и было продемонстрировано выше. В конце марта этого года на заседании АБР упомянули о важности такой платформы, в апреле был представлен проект и архитектура системы, а вчера запущен пилот. Зато у Сбера нет таких возможностей по продвижению своих инициатив на уровне Правительства (даже несмотря на вхожесть Грефа в высокие кабинеты).

Получается этакая здоровая конкуренция, которая движет рынок вперед. Тем интереснее будет увидеть планы, которые были озвучены Станиславом Кузнецовым (зампред Сбербанка по безопасности) в январе этого года:

  • Оповещать кредитные организации о рисковых событиях по абонентам, в том числе при выдаче дубликатов и замене SIM-карт.
  • Обеспечить выявление мошеннических и спам-рассылок SMS-сообщений в SMS и мессенджерах.
  • Законодательно закрепить ответственность социально значимых Интернет-проектов к информационному обмену с банками информацией о рисковых событиях и реализации собственной системы защиты от мошенничества. Мне казалось, что идею с "социально значимыми Интернет-проектами" похоронили :-(
  • Предусмотреть на законодательном уровне возможность создания площадки обмена данными о мошенниках в режиме реального времени. У ЦБ был (и сейчас он рассматривается) схожий законопроект, но без привязки к режиму онлайн.
  • Создать Национальную Образовательную и Исследовательскую организацию 0 Академию Кибербезопасности. Ну вроде как уже создали и запустили пилотные курсы.
  • Создать эффективную систему контроля защищенности ИТ-инфраструктуры банков страны.
  • Создать Национальный координационный центр по информационной безопасности.

Интересные проекты, которые действительно могут поднять уровень кибербезопасности не только финансовых организаций, но и остальных российских предприятий, на более высокий уровень. И тут стоило бы двум главным банкам страны, как мне кажется, начать сотрудничать более тесно, чем это происходит сейчас. Тогда и дело пойдет быстрее.

15.6.18

Инфовотч продала немецкую "дочку" EgoSecure

События такого плана нечастые, поэтому и тега в блоге у меня для них нет. Хотя я даже и не знаю как я бы назвал этот тег. "Расконсолидация"? "Распродажа"? Короче. Infowatch вчера объявила о продаже своей немецкой "дочки" EgoSecure, которая и так скрывала на всех мероприятиях (что InfoSecurity в Лондоне, что RSAC в Сан-Франциско) свои "русские" деньги. Наталья Касперская связывает продажу с информационными атаками на нее в немецкой прессе и обвинения в связях с Кремлем и ФСБ, что привело к потере нескольких клиентов. Как бы то ни было, контрольный пакет EgoSecure продан немецкому поставщику офисного ПО - Matrix42.

13.6.18

Capgemini покупает Leidos Cyber

Французская консалтинговая ИТ-фирма Capgeini 7 июня анонсировала приобретение киберподразделения Leidos Cyber у американской Leidos, которая раньше называлась SAIC. Размер сделки не сообщается.

Переход НПС на российскую криптографию и квантовые атаки

Решил продолжить предпоследнюю заметку и немного приземлить ее на отечественную реальность. Речь пойдет о постквантовой криптографии. В ФБ некоторые коллеги говорят, что Gartner - это не истина последней инстанции и он может ошибаться. На самом деле постквантовой криптографией занимаются многие компании (у Cisco тоже много внутренних проектов ей посвященных) и квантовые вычисления действительно могут быть определенной вехой в развитии не только вычислительной техники и коммуникаций, но и криптографии и всего, что на ней построено (того же блокчейна, криптовалют и т.п.).

Большинство современных средств криптографической защиты с симметричными алгоритмами, в том числе и встроенных в различные популярные продукты, базируются на предположении, что взломать криптографию в лоб очень сложно; при текущем уровне развитии вычислений на это уйдет тысячи лет. С асимметричными алгоритмами ситуация немного иная. Иная ситуация с квантовыми компьютерами, которые ускоряют процесс вычислений и делают многие криптографические системы уязвимыми к квантовым атакам.

Сейчас много говорят про уязвимость криптовалют к квантовым компьютерам. Согласно исследованиям текущая криптография во всех современных блокчейн-схемах будет взломана квантовыми компьютерами к 2027-му году. Это признает тот же Бутерин, который уже писал про квантовые атаки на криптовалюты. Решением проблемы могла бы стать модификация кошельков (хотя это тоже та еще работка). А вот защитить от квантовых атак майнинг гораздо сложнее. Но гораздо более опасны квантовые атаки для обычной криптографии.

Как показывают многочисленные исследования криптоалгоритмы, базирующиеся на сложности факторизации целых чисел (например, RSA) или дискретного логарифмирования (например, Эль-Гамаль или эллиптические кривые), находятся под ударом - они не являются квантовобезопасными, так как не могут адаптироваться к квантовым атакам просто увеличивая длину ключа (Диффи-Хеллман тоже уязвим). Симметричные алгоритмы AES или ГОСТ Р 34.12-2015 считаются квантовобезопасными, так как всего лишь достаточно увеличить длину ключа (считается, что квантовые компьютеры снижают эффективную длину криптографических ключей в два раза - ГОСТ с длиной ключа 256 бит для квантового компьютера - это тоже самое, что и ГОСТ с длиной ключа 128 бит для обычного компьютера).

Тем не менее у квантовобезопасных симметричных алгоритмов остается проблема распределения ключей, которая может быть решена с помощью соответствующих квантовых вычислений. Не случайно 20 июля 2017 года ФСБ утвердила «Временные требования к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну». А что с самими криптографическими алгоритмами? И вот тут мы плавно подходим к тому, ради чего эта заметка писалась.

На заседании ПК1 ТК122 в Банке России 30-го мая прозвучало, что в новую редакцию 382-П, которая уже прошла все согласования и находится на регистрации в Минюсте, внесли требование по использованию в НСПК с 2024 года HSM российского производства, а с 2031 года - переход всей крипты в национально значимых платежных системах на российские алгоритмы. Обратите внимание, речь идет только о национально значимых; то же ПП-127 по категорированию объектов КИИ касается только системно или социально значимых. По данным на 8-е июня к национально значимым платежным системам относились (понятно, что этот список будет меняться):
  • Юнистрим
  • НКК
  • Юнион Кард
  • HandyBank
  • BLIZKO
  • НРД
  • Таможенная карта
  • Мультисервисная платежная система
  • Платежная система ВТБ
  • Платежная система Сбербанк
  • REXPAY
  • БЭСТ
  • CONTACT
  • Sendy.

Понятно, что переход на отечественную криптографию в масштабах упомянутых платежных систем будет происходит неодномоментно и потребует немало ресурсов (временных и финансовых) на протяжении оставшихся 13 лет (а для НСПК 6 лет). И начнут многие финансовые организации уже скоро. И вот тут основной вопрос. А на какую отечественную криптографию переходить? Учитывают ли принятые и введенные в действие ГОСТы по шифрованию, ЭП, хэшу квантовые атаки? Являются ли наши ГОСТы по электронной подписи и хэшу квантовобезопасными? А "симметричные" ГОСТы? Если да, то останутся ли они таковыми к 2031-му году, учитывая существующие прогнозы? Если нет, то каковы сроки внесения изменения в ГОСТы и реализации этих изменений в отечественной криптопродукции? И какова стоимость обновления текущих решений на будущие, квантовобезопасные?


Думаю, что оба регулятора, и Банк России, и 8-й Центр ФСБ, прекрасно все понимают и имеют ответы на поставленные вопросы и они готовы к ответу на них, если таковые будут от финансовых организаций. А они будут, как только 382-П будет зарегистрирован и увидит свет.

8.6.18

SIGMA - новый язык описания индикаторов компрометации для SIEM

Пока все ждут от ФСБ документов по ГосСОПКЕ и, в частности, по правилам и форматам передачи данных об инцидентах, я бы хотел поговорить об одном из недавно появившихся стандартов описания индикаторов компрометации. Но сначала вопрос. Какие языки для описания индикаторов компрометации / сигнатур / шаблонов для файловых атак вы знаете? Первое, что приходит на ум, - это YARA. А для сетевых атак? Правильно, Snort. А что для системных событий? И вот тут мы пасуем. Наши SIEM просто берут данные в форматах syslog или Event Log и анализируют по сути сырые данные. Существует ли язык, который мог бы помогать SIEM анализировать события?


Оказывается да. Это SIGMA, язык появившийся год назад, который позволяет легко описывать события для анализа в SIEM и делиться ими между различными организациями в рамках информационного обмена. По мере получения популярности SIGMA для логов должен стать тем же, что YARA для файлов и Snort для сетевого трафика.

Вот так, например, будет выглядеть очистка одного из логов Windows:

title: Очистка EventLog
description: один из логов Windows очищается
author: Florian Roth
logsource:
  product: windows
detection:
  selection:
    EventLog: System
    EventID: 104
  condition: selection
falsepositives:
    - Unknown
level: medium

А вот так выглядит описание сценария, когда офисный документ запускает интерпретатор командной строки cmd.exe:

title: Макрос в офисном документе запускает cmd.exe
status: экспериментальный
description: правило для Windows
references: - https://www.hybrid-analysis.com
author: Florian Roth
logsource:
  product: windows
  service: sysmon
detection:
  selection:
    EventID: 1
    ParentImage:
      - '*\WINDOWRD.EXE'
      - '*\EXCEL.EXE'
    Image: '*\cmd.exe'
  condition: selection
fields:
    - CommandLine
    - ParentCommandLine

А вот так будет выглядеть описание сценария с несколькими неудачными попытками входа под разными учетными записями с одной рабочей станции:


Наконец, вот так описывается один из тригеров DragonFly:

action: global
title: CrackMapExecWin
description: Обнаружение активности CrackMapExecWin как описывает NCSC
status: экспериментальный
references: - https://www.ncsc.gov.uk/alerts/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control
author: Markus Neis
detection:
  condition: 1 of them
falsepositives: - None
level: critical
--- # Сначала анализируем Windows Audit Log 
logsource:
  product: windows
  service: security
  description: 'Requirements: Audit Policy : Detailed Tracking > Audit Process creation, Group Policy : Administrative Templates\System\Audit Process Creation'
detection:
  selection1:
  # Does not require group policy 'Audit Process Creation' > Include command line in process creation events
     EventID: 4688 
     NewProcessName: - '*\crackmapexec.exe' 
--- 
# Затем анализируем Sysmon 
logsource:
  product: windows 
  service: sysmon 
detection: 
  selection1: 
  # Does not require group policy 'Audit Process Creation' > Include command line in process creation events 
   EventID: 1 
   Image: 
     - '*\crackmapexec.exe'

Достаточно несложно и эффективно. Однако есть один нюанс - нужны средства автоматизации для работы со сценариями SIGMA. Пока это делает только MISP (для обмена индикаторами компрометации) и Splunk через соответствующий App - TA-Sigma-Searches. Также SIGMA поддерживает Elastic и kibana. У автора SIGMA были планы по интеграции своего языка в различные SIEM (например, ArcSight и QRadar), но пока они не реализованы. Может отечественные производители будут первыми?

ЗЫ. Кстати. Вы слышали что-нибудь про JA3, метод описания цифровых отпечатков для SSL/TLS-клиентов, который может использоваться в рамках Threat Intelligence? Вот так выглядит отпечаток JA3 для Dridex - 74927e242d6c3febf8cb9cab10a7f889.

7.6.18

О чем говорили у Gartner'а

На этой неделе в пригороде Вашингтона прошел очередной Gartner Risk & Security Management Summit. В этот раз я на него не смог поехать, но пристально следил за тем, что там происходит, получая информацию от коллег или из Интернет. Некоторым образом меня зацепило во всем потоке информации три тенденции, на которые я бы хотел обратить внимание.

Первая касается планов по распределению бюжетов на покупку новых технологий в ближайшие 2 года. Да, это результаты опроса среди преимущественно американских компаний. Да, в США немного иной процент проникновения технологий, о которых в России либо еще не слышали, либо внедрения носят эпизодический характер. Но как взгляд на то, что происходит на самом крупном рынке ИБ, эта картинка очень интересна. Посмотрите, в Топ 6 технологий, которые будут привлекать новые бюджеты входят:

  • Cloud Access Security Broker (у нас отечественных решений такого класса нет и вроде как никто и не разрабатывает)
  • Управление привилегированными запиясми (особенно учитывая, что данная защитная мера наряду с обновлениями ОС и приложений, а также замкнутой программной средой позволяет закрыть 85% всего угроз)
  • Контроль поведения пользователей (пресловутая UEBA)
  • Тестирование безопасности приложений
  • Шифрование и токенизация (думаю, к нам эти технологии с Запада не придут ввиду особенностей отечественного законодательства по криптографии)
  • SIEM (ох уж эти SIEMы).


Еще в сентябре я писал про каталог новых профессий АСИ, в котором нашлось место и новым специальностям по кибербезопасности, которые будут востребованы в ближайшем будущем. На мероприятии Gartner эта тема тоже не была обойдена вниманием и было представлено 4 новых профессии:

  • Охотник за киберугрозами (threat hunter). Ну тут все понятно - в условиях усложнения угроз и неспособности ловли их в автоматическом режиме, возрастает важность специалистов, которые могут выявлять эти проблемы.
  • Аналитик в области контршпионажа. Все говорит о том, что использование кибератак на геополитической арене только усилится и поэтому специалисты по атрибуции киберугроз, введении хакеров в заблуждении и их обмане, дезинформации, будут очень востребованы.
  • Инноватор в области обнаружения инцидентов, который должее разрабатывать новые методы обнаружения атак.
  • Защитник бренда. Специалисты этого профиля будут следить за сайтам-клонами, бороться с тайпсквоттингом, мониторить соцсети и т.п.


На самом деле, в оригинальном материале, опубликованном в апреле этого года, говорилось не о 4-х, а о 7-ми новых профессиях. К упомянутой выше четверке еще надо добавить:

  • Стратег по кибербезопасности, который должен определять путь движения компаний в области ИБ с учетом всех тенденций - в области ИТ, угроз, бизнеса, регуляторики и т.п.
  • Эксперт по продуктивности / QA / стюард по процессам. Человек, чья задача будет заключаться в улучшении гигиены безопасности, росте эффективности процессов ИБ, разработка корпоративных правил и мониторинге их применения.
  • Пиарщик по ИБ / евангелист / гуру маркетинга по ИБ. Данная роль означает не только формирование позитивного образа ИБ внутри организации (внутренний маркетинг), но и ответственности в области повышения осведомленности сотрудников по вопросам кибербезопасности.

Третьим наблюдением, стало обращение Гартнера к постквантовой криптографии, в рамках которой выступающие предрекли гибель традиционной криптографии и переход на постквантовую, неподверженную угрозам со стороны пока еще не существующих, но активно проектируемых квантовых компьютеров.


Помимо мрачных прогнозов были даны и некоторые направления, в которых можно искать пути решения для постквантовой криптографии.


Ну и последним штрихом стал прогноз, сделанный Gartner'ом, относительно пентестов, которые должны не то, чтобы умереть, сколько существенно потесниться, уступив место либо внутренним Red Team командам, либо специализированному ПО класса BAS (Breach & Attack Simulation). Это новый класс средств защиты, который ввел Gartner в прошлом году, и примеры которого можно было найти на RSA на протяжении последних пары лет. Автоматизация работы пентестеров уже предсказывалась некоторое время назад - пришло время воплощать это в жизнь.


Каких-то выводов делать не буду - каждый пусть сам их делает - потребители, отечественные разработчики, регуляторы...

5.6.18

Fortinet покупает Brafdord Networks

4 июня американская компания Fortinet объявила о завершении покупки американской же Bradford Networks, занимающейся технологиями контроля сетевого доступа. Размер сделки составляет от 17 до 19 миллионов долларов.

Впечатления от темы искусственного интеллекта и ИБ

К моему удивлению тема искусственного интеллекта и кибербезопасности оказалась более чем востребованной. Я уже 4 раза читал в разных местах регулярно обновляемую презентацию и еще как минимум 3 заказа есть на ближайшее время. И так как я не люблю повторять презентации, то для каждого выступления добавляю что-то новое, все больше погружаясь в тематику, которая, на мой взгляд сейчас больше смахивает на очередной хайп.


Да, ИБ-стартапы (не в России) активно применяют (или заявляют об этом) различные варианты искусственного интеллекта (как правило, машинное обучение) в своих продуктах, делая именно на ни ставку. За прошедшие 6 лет было совершено более двухсот сделок в этой области и рынок кибербезопасности входит в Топ 5 сфер для сделок слияний и поглощений в этой сфере. Очень активны в этой области различные инвестиционные фонды, которые, как мне кажется, просто хотят нажиться на горячей теме, чем продвинуть ее в массы. Хотя наличие среди самых активных инвесторов ЦРУшной In-Q-Tel заставляет думать и об обратном.


Но какие наблюдения у меня родились в процессе подготовки различных версий презентации по ИИ и кибербезопасности? Их несколько. Во-первых, многие "апологеты" и "евангелисты", похоже, не учили математику в своей юности (или юность их не так далеко от них ушла) и поэтому они почему-то считают, что ИИ - это что-то новое и он вот-вот поработит нас, как Скайнет в "Терминаторе". Но разочарую - этой теме уже с полсотни лет и пока никакого порабощения нас роботами и компьютерами не произошло (и пока нет уверенности, что это произойдет в ближайшем будущем). Я вспоминаю свое обучение в институте по специальности "Прикладная математика" и многое из того, что сегодня преподносят как новое, на самом деле является хорошо забытым старым. Кстати, одна из курсовых у меня была посвящена созданию экспертных систем (да, это еще не Big Data и не совсем ИИ, но многое из области эксертных систем потом перешло в область искусственного интеллекта).

Очень мало где говорится об атаках на искусственный интеллект, позволяющих превратить все новомодные модели в тыкву. Безопасникам же наоборот требуется смотреть на все новомодные штуки именно с прицела "как можно ее обойти" или "как можно использовать ее во вред". Об этом пишут не так уж и много, так как исследователей ИИ в первую очередь интересует положительная сторона их творений (как тут не вспомнить Манхеттенский проект).


Еще меньшее число исследований говорит о том, как защитить ИИ от негативных направленных воздействий? Как защитить обучающую выборку? Как защитить модели от внедрения некорректных данных или использования "белых пятен" в алгоритмах ИИ? Как обеспечить целостность данных и моделей и защититься от манипуляции с ними? Про SecOps для ИИ тоже мало кто говорит, хотя в этой нише как раз много наработок из традиционной корпоративной сферы.


Наконец, мало говорят о том, как искусственный интеллект может быть использовать во вред, то есть применен для обхода систем защиты. И дело не в банальном обходе CAPTCHA, а в более сложных механизмах уклонения от антивирусов и системы защиты от вредоносного кода, от систем контентной фильтрации, от систем сетевой безопасности. Такие технологии активно тестируются различными сторонами - от хакеров до военных ведомств разных государств, что вновь обращает нас к мысли, что не стоит так уж бездумно бросаться в тему искусственного интеллекта. Вот уж, кстати, дурацкое название. Кому в голову пришла мысль перевести "intelligence" как "интеллект" (при наличии английского "intellect")?


К чему это я? Какой-то конкретной цели заметка не преследует. Скорее это наблюдение, которым я решил поделиться и которое мне не хотелось терять в суматохе. В любом случае стоит помнить о здравом скепсисе, который должен сопровождать безопасника при изучении/внедрении новых технологий. Без этого жить становится сложно.

1.6.18

Немного юмора по ИБ

Пятница... Первый день лета. Можно и пошутить немного :-) Решил собрать последние мемы и шутки, которые замутил с начала года. Хотя, как известно, в каждой шутке есть доля... то ли шутки, то ли правды :-)

Надоело быть просто специалистом по ИБ? Хочешь быть президентом собственного объединения или ассоциации? Не знаешь какое название дать своему союзу? Воспользуйся методичкой и у твоего партнерства по ИБ будет свое уникальное имя. Не забудь в начало добавить "независимый" или "некоммерческий" :-)


Как отличить криптографа от нормально человека?


На борт раньше красили звездочки по количеству подбитых самолетов/танков. Сегодня спецам по ИБ нужны такие стикеры для ноутов по количеству отраженных хакерских группировок:


И тоже самое для "бумажных" безопасников (это часть возможных стикеров - в списке отсутствует, например, GDPR):


Взгляд на деятельность службы ИБ с точки зрения самой службы и с точки зрения бизнеса:


Мозг ибешника перед сном:


Популярная стратегия кибербезопасности:


Thoma Bravo покупает контрольный пакет LogRhythm

31 мая инвестиционный фонд Thoma Bravo, известный своими поглощениями на ниве ИБ, объявил о подписании соглашения о покупке контрольного пакета акций SIEM-производителя LogRhythm. Остальные детали сделки не разглашаются.