25.03.2019

Криптографический Кракен продолжает опутывать щупальцами бизнес и граждан

Чуть менее трех лет назад я написал заметку про криптографического Кракена, в которой выделил 10 "щупалец", которые захватили определенные направления российской экономики и требуют применения сертифицированной криптографии по требованиям ФСБ. За это время произошло еще ряд важных изменений, которые я решил подсветить в небольшой заметке. А навело меня на мысль написать ее вчерашняя дискуссия в Фейсбуке, где зашла речь о планируемой концепции 5G, которая сейчас разрабатывается и обсуждается в узких кругах.


В заметке написано, что сейчас предлагаются следующие планы по сертификации сетевого оборудования по требованиям ФСБ к средствам криптографической защиты информации (СКЗИ):

  • Оборудование центра изготовления ключей - КА
  • Отечественные USIM-карты - КСЗ
  • Оборудование для изготовления отечественных USIM- карт - КА
  • Оборудование для программирования и ввода ключевой информации в отечественные USIM-карты и их персонализации - КА
  • Средство криптографической защиты аутентификации абонента - КА
  • Средство защиты центра коммутации - КА
  • Средство защиты для базовых станций - КСЗ
  • Средство защиты для транзитного оборудования - КСЗ
  • Средство защиты шлюзового оборудования - КА
  • Абонентские устройства - КСЗ
Зачем превращать абонентские устройства в КС3 я не понимаю (это все-таки выбор абонента должен быть, а не регулятора). Еще меньше я понимаю, зачем для внутренней инфраструктуры оператора 5G требовать КА? Я не знаю, можно ли вообще выполнить в современных сетях требования к КА, но если да, то оператор, который сможет/захочет это делать, будет только один и тарифы он для покрытия своих расходов выставит просто конские.

Но это не единственное новое щупальце криптографического Кракена. Вспомним последнюю редакцию 382-П с требованием перейти всем платежным системам на российскую сертифицированную криптографию. И заодно Единую биометрическую систему (ЕБС). В прошлом ЦБ был оплотом криптографического либерализма и он не давал в обиду перед ФСБ банки. Но теперь ситуация иная :-( Это, кстати, не все. На Магнитогорском форуме зампред ЦБ, госпожа Скоробогатова, рассказывала о цифровом профиле гражданина (законопроект был недавно предоставлен для обсуждения ведомствам) и на своем слайде упомянула, что минимальный класс СКЗИ для работы с цифровым профилем будет КС3.

Нерадужная картина получается, если честно. Если сюда еще приплюсовать пакет Яровой, требующий предоставления ключей шифрования организаторов распространения информации, и ряд мероприятий из "Цифровой экономики", то скоро криптографический Кракен окончательно опутает своими щупальцами российский бизнес и граждан. И все мы скоро будем под колпаком защитой!

21.03.2019

О сертификации блокчейна по требованиям безопасности

Вчера я наскоком был на РусКрипто (в этом году не смог остаться подальше, и интеллектуальную игру не смог провести сегодня), на секции по блокчейну. Пока ждал своего выступления вдруг подумал, что даже если бы в России и были свои решения по кибербезопасности на базе блокчейна (системы управления идентификацией, SIEM, системы уведомления об инцидентах и т.п.),  то их было бы невозможно сертифицировать по текущим требованиям ФСТЭК по безопасности.


Ведь если посмотреть на текущий подход регулятора, то он мог бы быть описана тремя словами - изоляция, статика и централизация. То есть сертифицируемое средство защиты должно быть четко описано, иметь определенные границы и среда функционирования должна быть понятна. В случае с блокчейном это требование не соблюдается. Нет ни границ, ни понятной среды функционирования. Со статикой тоже все непросто. Число участников блокчейна может меняться, а так как его узлы составляют объект оценки при сертификации, то надо либо забыть о статике, либо забыть о сертификации (или менять ее правила). Ну а централизация в принципе противоречит идее блокчейна (если это, конечно, не закрытый частный блокчейн). Вот и получается, что если бы кто-то у нас решил создать систему защиты на блокчейне, то сертифицировать ее в текущих условиях было бы невозможно. Думаю, что и аттестовать тоже.

В рамках дискуссии у слушателей возник схожий вопрос о сертификации по линии ФСБ. И хотя тот же "Мастерчейн" Ассоциации Финтех сейчас находится на этапе сертификации в ФСБ (хотелось бы взглянуть на ТЗ), у многих участников сессии возникли закономерные вопросы о том, можно ли вообще сертифицировать блокчейн по требованиям криптографического регулятора. Ведь у него тоже, и местами даже более жестко, стоят требования к среде функционирования, которая в случае с блокчейном заранее не определена и, самое неприятное, может изменяться в процессе эксплуатации непредсказуемым образом. Если же оценивать (именно оценивать, а не сертифицировать) только криптографию в рамках блокчейна, то возникнет вопрос об оценке всего решения в целом - кто ее будет проводить и нести ответственность за законченное решение? Вопрос с оценкой безопасности алгоритма консенсуса тоже стоит достаточно остро, но на этот вопрос ответа вообще сегодня нет.

Отдельно стоит вопрос о применении требований безопасного программирования, а возможно, и сертификации (хотя бы по уровням доверия) смарт-контрактов, но этот вопрос вчера на РусКрипто не поднимался вообще.  И как подступиться к этому вопросу пока вообще непонятно.

20.03.2019

Применение блокчейна в кибербезопасности (презентация)

Сегодня выступал на РусКрипто с темой "Применение блокчейна в проектах по кибербезопасности. Реализованные проекты". Презентация ниже. Парадоксально, но если не брать тему digital identity, то "чистых" ИБшных проектов с блокчейном почти нет. Там, где он вроде бы мог неплохо применяться, - Threat Intelligence, управление инцидентами, управление уязвимостями, управление патчами, его вообще нет. А там где он применяется, пока сложно говорить о том, что он прижился. Каких-то прорывов не наблюдается и, допускаю, возможно было обойтись и традиционным подходом к решению стоящих задач. Но это именно про блокчейн в кибербезопасности. Про остальные сферы применения блокчейна я не буду столь категоричен, хотя червяк сомнения меня грызет, что пока это не более чем хайп, чем что-то реально полезное (разумеется, кроме тех, кто срывает различные раунды инвестиций, получая миллионы и десятки миллионов долларов на проектах, в названии которых есть слово "блокчейн").


11.03.2019

Майндкарта по 239-му приказу

Решил я тут освежить свои знания по 239-му приказу. Все-таки с категорированием мучаться все скоро закончат и наступит реальная работа по защите своих значимых объектов (ну если они, конечно, будут найдены у субъектов КИИ, которые не захотят загонять себя в прокрустово ложе жестких требований регулятора). Ну а какой самый лучший способ вспомнить и разобраться в хитросплетениях отечественной нормативки? Правильно. Сделать майндкарту. И вот я взял и сделал ее.


PDF с ней выложил в облако - качайте. В карте уже учтены последние правки, выложенные ФСТЭК на прошлой неделе для общественного обсуждения. Если и не примут что-то, то я потом быстро внесу изменения.

Пара замечаний по всему приказу. Обратил внимание, что местами нарушена методологическая составляющая (спустя полтора года обнаружил и только после составления майндкарты). Например, информирование и обучение персонала одновременно включается и в этап обеспечения безопасности в ходе эксплуатации значимого объекта и в список организационных и технических мер. Тоже самое относится и к реагированию на инциденты, и к обеспечению действий в нештатных ситуаций. Например, согласно перечню мер из приложения анализ возникших нештатных ситуаций (ДНС.5) не включен в базовый набор мер ни для одного уровня значимости, а в разделе 13.6 он включен для всех значимых объектов без исключения. Тут либо из перечня мер надо это исключать, либо из раздела 13 приказа. И я не знаю, что лучше. Логичнее вроде бы из перечня приказа, так как эти мероприятия логичны и их закономерно распространять на все ЗОКИИ, но с другой стороны, это нарушить преемственность с другими приказами ФСТЭК, например, с 31-м.

Пункты 15-18 я бы вообще вынес в самое начало приказа, в основные положения. А то получается, что о целях и задачах защиты ЗОКИИ мы узнаем только ближе к концу документа. Мелочь, а при составлении майндкарты за это глаз цепляется (я в итоге это и перенес в общие положения в майндкарте).

ЗЫ. А вообще классно было бы, если бы регулятор сопровождал свою нормативку майндкартами :-)

ЗЗЫ. Та же карта, но через Slideshare.



06.03.2019

Киберучения, VR-экскурсия, ИБ-баня и куча эксклюзивных мастер-классов!

Пора-пора... Все оттягивал момент, когда надо сесть за формулирование своих мыслей по поводу грядущего "Кода ИБ. Профи", который пройдет в Москве и который мне посчастливилось вновь курировать. Тут стоило бы вновь спеть песню про Security Dream Team и вот это вот всё, но я подумал, что повторяться смысла нет, а подыскивать новые эпитеты для классной команды спикеров, которые в этом году разведут тучи на серой ИБшной Москвой, я не буду. Просто перечислю тех, кто согласился выступить в этом году и поделиться собственным опытом в непростом деле управления ИБ:
  • Архипова Мона
  • Борисов Илья
  • Горчаков Денис
  • Карпов Антон
  • Леонов Александр
  • Мананников Дмитрий
  • Палей Лев
  • Плешков Алексей
  • Хайретдинов Рустем
  • и я :-)
В программе одни насущные темы - управление уязвимостями, психология управления ИБ, работа с Darknet, осведомленность пользователей, бизнес-процессы, машинное обучение, измерение ИБ в контексте бизнеса, гибкое управление проектами и программами ИБ и др. На мой взгляд темы нечасто звучащие на отечественных мероприятиях по ИБ и глубоко рассматриваемые со всех сторон специалистами-практиками. В этот раз я, хотя это получилось и неосознанно, но учел иногда звучащую критику о том, что спикеры, конечно, классные, но что-то много среди них вендоров :-) Вендор - это не приговор, на мой взгляд, но глас народа услышан - в этот раз стан "вендоров" представляю только я и Рустем; остальные участники - работают на другой стороне баррикад и будут делаться наболевшим и способами его лечения.


Важное дополнение. В этот раз мы попробовали сделать не просто набор классных мастер-классов, а по результатам каждого из него выдать участникам практический чеклист с набором конкретных шагов, действий, инициатив или источников информации, которые позволят применить полученные в рамках "Кода ИБ. Профи" знания на практике и сразу после окончания конференции. Я не случайно начал этот год с примеров различных чеклистов (тут, тут, тут, тут) - обкатывал формат, который можно использовать на конференции. 

Кроме того, еще одной рекомендаций после последнего "Кода ИБ. Профи" в Сочи, было увеличить объем интерактива. В этом году мы тоже реализуем это предложения. Илья Борисов свой мастер-класс превратит в командную игру, детали которой я пока раскрывать не буду, но она будет разбита на два дня по часу каждый день, чтобы была возможность не только решать задачи в режиме блиц, но и взять время на раздумье.

Учитывая, что тема с киберучениями достаточно неплохо зашла в прошлые разы, я решил провести их и в рамках "Кода ИБ. Профи", но немного поменять формат. Да, у нас по-прежнему будет командная игра. Но в этот раз я хочу сделать больше интерактива с командами, вовлекая их в процесс работы над задачами. Будет не просто мозговой штурм в течение двух-трех минут, как это было в прошлые разы, а мы задействуем активно флипчарты, чтобы каждый промежуточный этап учений приводит к наброскам, которые по итогам двухчасовых киберучений должны составить готовый чеклист по решению определенной и очень распространенной в ИБ проблемы. И если в прошлые разы участники уходили, довольные собой, но без наработок, которые можно было бы использовать на практике, то в этот раз все будет по-другому. Готовый чеклист на выходе и возможность начать воплощать его в жизнь на следующий рабочий день после конференции. Но идея симуляции реальных атак по-прежнему лежит в основе проводимых штабных игр.


Помимо киберучений у меня также запланирован мастер-класс по машинному обучению. И чем м же он будет отличаться от презентации с Уральского форума, спросите вы. Отличие простое - глубина изложения и практичность. Если в Магнитке у меня было всего 30 минут и я скакал галопом по Европам, то сейчас у меня целый час и я могу и больше погрузиться в те или иные темы, а также часть из них вынести в чеклисты, превращая мастер-класс в практичное руководство по применению машинного обучения в ИБ в своей организации (как в части выбора готовых решений на рынке, так и в части построения собственного решения по машинному обучению для ИБ).

Ну что еще можно добавить? Организатором конференции "Код ИБ. Профи" выступила уже немолодая, но по-прежнему энергичная компания Экспо-Линк, которая подготовила для участников много всяких вкусностей и интересных заманух. Уже по традиции (а "Код ИБ. Профи" проводится уже в 4-й раз) после конференционных двух дней будет двухдневная интересная культурная программа - тут и VR-экскурсия по "Москве, которой не было", и экскурсия на пивоваренный завод (конечно, с дегустацией) и даже, я на сайте увидел, предлагается некое иммерсивное шоу (кто его знает, что это такое) и ИБ-сауна (март в Москве - это вам не в Сочи, будет промозгло, и сауна - хороший способ погреться и расслабить мозг после двухдневного интеллектуального интенсива).

ЗЫ. Каким безопасником вам хочется быть? Тем, который показан наверху справа, или тем, который показан справа, но внизу :-) Выбор за вами. 

ЗЗЫ. И конечно, куда уж без этого, по просьбам участников прошлых конференций, которым не хватало живых дискуссий и общения, в этом году оно тоже будет. Это и пленарная сессия, которую мы попробуем переформатировать и исключить из нее "затравочную" презентацию, и финальная дискуссия, где можно будет спросить о том, что вас волновало, но вы боялись спросить раньше :-)

04.03.2019

Какое главное слово в словосочетании "Threat Intelligence"?

Какое главное слово в словосочетании "Threat Intelligence"? Большинство считает, что threat, угроза. На одном из мероприятий я как-то, не претендуя на социологическую правильность, провел блиц-опрос на тему, что для вас значит Threat Intelligence. 68% участников опроса сказали, что это фиды. Еще 17% сказало, что это информация об угрозах. Оставшиеся 15% затруднились с ответом. Так какое же главное слово в Threat Intelligence? Увы. Не Threat, и даже не Intelligence. Главное - принятие решений.

Именно это - ключевая ошибка большинства проектов по TI, которые реализуются многими компаниями. Cisco достаточно давно занимается аудитом SOCов и одним из популярных слабых мест в них является именно процесс Threat Intelligence, который воспринимается как сбор фидов различных типов и интеграция их в имеющиеся платформы Threat Hunting, SIEM, Incident Response и др. Поэтому частый вопрос во время аудита, который ты слышишь: "А какие источники фидов вы можете посоветовать для нашего TI?" Задаешь встречный вопрос: "А какие решения вы принимаете на основе желаемого TI?", а в ответ тишина и непонимание. Иногда на тебя смотрят как на ребенка, которому надо объяснять вроде бы очевидные вещи. 

Кстати, по поводу фидов и их источников. На Уральском форуме в презентации Владимира Бенгина из Positive Technologies были интересные цифры (я переделал его слайд), в котором он сравнивал C&C-фиды двух российских поставщиков за один и тот же интервал времени. Интересный результат - пересечение на уровне долей процента и это для одного региона и одного типа фидов. Как тут можно что-то советовать, не зная, исходной задачи, а самое главное, предназначения TI?

Но вернемся к исходному вопросу. Смена акцента с принятия решения на работу с индикаторами или угрозами почти постоянно выливается в то, что мы видим во время аудита - непонимание того, как демонстрировать работу TI. Точнее демонстрация есть, но она однобока, так как касается только самого нижнего, технического уровня TI. На этом уровне мы можем понять, какие источники хороши, а какие нет, какие источники TI наиболее релевантны для организации, каково соотношение получаемых извне IoC с теми, которые применялись в компании за отчетный период, каково распределение полученных IoC по типам и соотношение их с типами угроз внутри организации и т.п. Но этого мало и это не все, что может дать TI внедрившей его компании.


Например, именно TI помогает формировать планы по приобретению / обновлению технологического стека. Например, число индикаторов, полученных от внешнего источника TI с учетом их полезности для организации показывает нужно ли дальше платить за текущие источники фидов или нет. А соотношение количества угроз, пришедших по каналам TI, и не обнаруженных за счет внутренних возможностей (фишинговые сайты, украденные логины/пароли, сайты- клоны и т.п.) показывает не пора ли обновить имеющиеся средства обнаружения той или иной вредоносной активности, раз они не справляются с поставленной задачей?

А такой показатель, как количество получаемых извне IoC применявшихся в компании? Может оказаться вообще, что индикаторы компрометации вы получаете, но не используете, потому что руки не доходят или не знаете, как автоматизировать процесс интеграции внешних источников с вашими средствами защиты/анализа. Первое говорит о том, что команда TI не очень эффективна, а второе - что возможно имеющиеся средства просто не могут работать с внешними IoCами - такое тоже бывает. О качестве текущих средств защиты и, как следствие, необходимости их обновления или замещения говорит нам и динамика снижения числа ложных срабатываний средств защиты после обогащения сигналов тревоги данными от службы TI, а также соотношение количества обнаруженных угроз средствами защиты организации с данными от службы TI и без них (например, голый IDS в сравнении с IDS + TI или IDS + TI + SIEM). Вот такое применение TI мы в рамках аудита SOCов видим очень и очень редко.

На уровень руководства компании TI тоже готовит свою отчетность, которая помогает руководству принимать соответствующие решения. Например, в одной компании, в которой мы проводили аудит одной из ключевых метрик, по которой топ-менеджмент оценивал эффективность всей ИБ, являлась стоимость учетной записи клиента компании в Darknet (компания была финансовая). Если вдуматься, то это действительно очень интересный показатель, так как его снижение показывает, что злоумышленникам становится проще получать доступ к святая святых финансовой организации. Если он растет, то усилия ИБ заставляют хакеров тратить на получение клиентских данных больше - времени, усилий, денег. И самое интересное, что именно служба TI дает данную метрику, так как именно она следит за Darknet и собирает оттуда структурированную или не очень информацию (ну или привлекает для этого внешние сервисы).

26.02.2019

Датасеты по ИБ для машинного обучения

В презентации по машинному обучению в ИБ я приводил слайд с примерами датасетов, которые можно использовать в своих проектах по машинному обучению. У меня несколько человек попросили ссылок на них, что я и делаю.



  • Набор PCAP-файлов с записанным сетевым трафиком от Netresec
  • KDD Cup 1999. Это классический набор для проведения тестов IDS (уже размеченный). Да, ему уже 20 лет. Да, его часто используют разработчики вновь создаваемых систем обнаружения атак. И да, часто не достигается значения 100%, что крайне удивительно. 
  • 5 датасетов от Stratosphere Lab - для вредоносного ПО, включая самые последние семплы, для нормального трафика, для смешанного трафика (зараженного и вычищенного), для Интернета вещей, а также специальный датасет, основанные на данных из реальной инфраструктуры.
  • Еще один датасет NSL KDD для систем обнаружения атак.
  • Датасеты от Лаборатории Линкольна MIT, также предназначенный для систем обнаружения атак. Датасеты подготовлены DARPA и описывают несколько сценариев атак. На сайте Лаборатории Линкольна есть несколько версий датасетов - от 1998-го, 99-го и 2000-го годов.
  • Лаборатория Лос-Аламоса (занимается ядерным оружием США) также имеет ряд датасетов, гораздо свежее, чем у Лаборатории Линкольна. Один содержит девятимесячные данные по почти 3/4 миллиардам аутентификационных событий. Второй описывает двухмесячные данные (DNS, аутентификация, Netflow и т.п.) из внутренней сети Лос-Аламоса. Третий датасет описывает три месяца работы корпоративной сети Лос-Аламоса с точки зрения хостовых событий и Netflow.
  • Датасет АНБ. Да-да, того самого агентства национальной безопасности. Тут и логи Snort, и DNS, и логи Web-серверов.
  • Четырехмесячный датасет с 2,5 миллионами вредоносных URL. А тут еще один.
  • Датасет ADFA (австралийская академия сил обороны) для проверки хостовых систем обнаружения атак, работающих под Linux и Windows.
  • Коллекция Web-атак.
  • Тройка датасетов с примерами вредоносного кода - туттут и тут (этот с малварью для Андроида).
  • Датасеты для спама и фишинга.
  • Ember - датасет из 1.1 миллиона вредоносных семплов (PE-файлов), которые "прошли" через VirusTotal в 2017-м году.
  • Датасет с DGA-доменами.
  • Датасет по даркнету в периоде с 2013 по 2015 годы.
  • Топ 1000000 популярных доменов по версии Alexa и Cisco Umbrella.
Вопреки расхожему мнению, что в Интернет мало датасетов для обучения собственных моделей машинного обучения, это не совсем так. Примеры выше показывают, что их немало (и это только часть того, что выложено в открытый доступ). Но есть и проблемы, которые были отмечены в заголовке слайда выше - все датасеты имеют разные форматы, разные способы разметки, неполны и не всегда актуальны (угрозы-то меняются постоянно). В обозримом будущем датасеты останутся конкурентным преимуществом компаний, активно работающих в сфере применения машинного обучения в области кибербезопасности. Хотя, со временем, на рынке появятся, а возможно и будут сдаваться в аренду или продаваться, хорошие датасеты под разные задачи ИБ. Но до этого нам (особенно в России) еще далеко.

25.02.2019

Уральский форум за 15 минут (видео)

Кто подписан на мой Твиттер или читает меня в Фейсбуке, уже видел эту ссылку. Но если вы приверженец именно моего блога (а такие среди вас есть, я точно знаю), то вот вам видео моего выступления на Уральском форуме. Оно дополняет презентацию, выложенную в пятницу.


ЗЫ. Презентации форума должны быть выложены со дня на день на сайте.

ЗЗЫ. "Уральский форум за 15 минут" - это уже бренд и мы его не меняем. Само выступление заняло вдвое больше времени.

22.02.2019

Уральский форум за 15 минут (презентация)

По многочисленным просьбам участников и неучастников Уральского форума по банковской ИБ выкладываю свою итоговую презентацию, которая описывает все ключевые моменты, прозвучавшие на форуме с точки зрения регуляторов. Именно это интересует многих участников, которые готовят отчеты о посещении форума :-) В течение ближайших дней будет выложено видео этого доклада. Ищите на сайте форума.



Все презентации с форума будут выложен на его сайте.

ЗЫ. С моим докладом про машинное обучение в ИБ занял второе почетной место среди всех спикеров форума. Мне ура! Всем спасибо!  

21.02.2019

Искусственный интеллект в ИБ (презентация)

Выкладываю свою презентацию про машинное обучение в ИБ, которую я читал вчера на Магнитогорском форуме по банковской ИБ. Время было немного - всего 30 минут, поэтому пришлось сильно ужимать имеющийся материал, чтобы хотя бы основы рассказать и дать некоторые практические советы и тем, кому впаривают решения с машинным обучением, и тем, кто решил у себя сделать свою систему на базе той или иной модели машинного обучения.



19.02.2019

Как измерять ИБ в рамках государства?

В 2012-м году в СовБезе шла работа над основными направлениями государственной политики в области формирования культуры информационной безопасности. В процессе этой работы возникла тема о том, что достижение этих направлений должно как-то измеряться, но... к сожалению в итоговый проект документа ни одной метрики, ни одного показателя эффективности, ни одного индикатора не попало и причина тому была одна - никто не хотел брать на себя непростую задачу измерения результативности (как минимум) и оптимальности (как максимум) основных направлений.

В рамках федерального проекта "Информационная безопасность" нацпрограммы "Цифровая экономика" этот недостаток учли и добавили 6 индикаторов, которые должны олицетворять достижение (то есть измерять результативность, а не оптимальность) проекта:
  • Объем затрат на продукты и услуги в области ИБ. На первом месте именно размер денег, которые потрачены на защиту информации :-( 
  • Средний срок простоя ГИС в результате компьютерных атак. На мой взгляд, это хороший дифференциальный показатель, который отражает эффективность реализации мероприятий из 17-го приказа ФСТЭК. Правда, не совсем понятно, как измеряется этот показатель? Статистики же по времени простоя ни ФСТЭК, ни даже ФСБ в рамках ГосСОПКИ не собирают. Возможно, в скором времени планируется принятие какого-либо нормативного акта в этой сфере... Но ФСТЭК про него не упоминала на своей недавней конференции. Так что измерение этого индикатора пока находится под вопросом. Но цель в 1 час простоя к 2024-му году выглядит заманчиво.
  • Доля населения, использующего отечественные средства защиты информации (в процентах от численности Интернет-пользователей). Цель - 97% через 5 лет. Учитывая грядущее принятие нормы по установке на каждый смартфон или компьютер отечественного антивируса, этот показатель будет достигнут. Правда, к реальной ИБ он никакого отношения не имеет. 
  • Количество подготовленных специалистов по программам в области ИБ на базе отечественных средств защиты информации. Если бы речь шла о специалистах ИБ, то цифра в 21 тысячу человек к 2024-му году выглядит вполне себе неплохо. Но если речь о специалистах вообще, то это маловато. Особенно в условиях звучащих цифр в 500 тысяч айтишников, которые должны быть подготовлены.
  • Стоимостная доля закупленного или арендованного госорганами и госкорпорациями отечественного ПО (именно ПО, а не средств защиты). К реальной ИБ этот индикатор тоже никакого отношения не имеет.
Когда еще только шла подготовка ко второму заходу в "Цифровой экономике" в Кластере ИБ в РАЭК тоже готовились свои предложения по тому, что должно входить в направление ИБ и как измерять его успех. У нас тогда родился следующий перечень показателей:

  • Объем экспорта товаров и услуг в области информационной безопасности. Это тоже денежный показатель, но в отличие от затрат на покупку, он говорит о доходах от продажи и не внутри страны, а за ее пределами. Иными словами, речь идет о том, чтобы не пытаться законодательно заставить купить убогие поделки, ориентированные только на закрытые требования регуляторов, а предложить мировому рынку конкурентные решения и получать за это деньги.
  • Количество преступлений в сфере компьютерной информации. Понятно, что при палочной системе в МВД это не самый лучший показатель, но все-таки.
  • Количество компаний малого и среднего бизнеса в области информационной безопасности. Понятно, что можно измерять число лицензиатов ФСТЭК - это более простой и легко вычислимый показатель, но учитывая закрытое распоряжение Президента об ужесточении требований к лицензиатам, ждать роста этого индикатора не приходилось бы. А вот рост числа ИБ-стартапов гораздо больше говорит о благоприятном климате для бизнеса, чем все остальное.
  • Уровень грамотности населения в сфере информационной безопасности. Учитывая проникновение ИТ во все сферы нашей жизни, у каждого человека - от школьника до пенсионера должны быть навыки компьютерной гигиены.
  • Количество выпускников по направлению "Информационная безопасность". Ну тут все просто.
  • Количество Центров информационного обмена в области информационной безопасности. Вроде и эта метрика тоже очевидна.
  • Размеры инвестиций в научные исследования в области информационной безопасности. Какое нафиг импортозамещение без R&D? И вот тут как раз можно говорить о затратах. Хотя нет, не о затратах, а об инвестициях, которые вернутся; в отличие от затрат.
  • Ущерб по объектам критической информационной инфраструктуры. Эта метрика должна компенсировать слабость подсчета количества преступлений. Иначе может получиться ситуация, как в опросе Ральфа Лангнера (хотя он и не очень репрезентативен), когда инциденты (читай, преступления) есть, а ущерба нет.

Правда, если бы сейчас меня спросили, чтобы еще я включил в список индикаторов, то я бы добавил еще число международных стандартов по ИБ (ISO, ITU, IEC и т.п.), в разработке которых принимали участие российские специалисты.

18.02.2019

Несколько новых примеров геймификации в ИБ

Легкая заметка сегодня будет, но про серьезную тему, - про геймификацию в ИБ. Купил я на днях настольную игру HACKER, которая позволяет в упрощенной форме научиться думать как безопасник :-)


Да, согласен, настольная игра - не самый лучший для этого способ, но он достаточно интересен. А самое главное, что он позволяет это делать, начиная с детского возраста (с 10-ти лет), что достаточно важно для цифровой экономики (да-да, с маленькой буквы, так как речь идет не нацпроекте, а о чем-то более реальном).


40 сценариев и три фазы в каждом, позволяющих поучаствовать на стороне Добра и на стороне Зла (всего 120 кейсов).


Фазы описываются различные этапы жизненного цикла ИБ (условно) - создание системы, поиск уязвимостей, устранение проблем. Во втором случае участники (от одного до множества) могут почувствовать себя хакерами, ищущими слабые места.


Уровни сложности разные - от начинающего до продвинутого.




Второй пример будет в виде одной картинки - это штаб-квартира Salesforce, которая известна своей программой повышения осведомленности ИБ и различными интересными фишками в этой области. У них есть и своя многоуровневая система "мастеров и джедаев по ИБ", и различные конкурсы, и каталогов "плюшек" за участие в разных инициативах по ИБ. А на фото показан один день из жизни программы борьбы с фишингом, устроенный при входе в штаб-квартиру. Детская ловля рыбок на удочку, мини-"Своя игра", мини-тренинги, конкурсы и призы. И все это не так дорого - было бы желание...


Третий пример гораздо более "взрослый", чем первый. Это макет нефтедобывающей вышки, напечатанный на 3D-принтере, который демонстрирует уязвимость промышленных систем для руководства компаний или асутпшников, считающих, что их системы никому не интересны и их никто не будет атаковать. Его разработали в подразделении Cisco Talos, которое занимается исследованиями угроз ИБ и которое является крупнейшей в мире частной группой исследователей Threat Intelligence. Мы у себя в блоге подробно расписали, что это за стенд, и выложили все материалы для его повторения и, возможно, и расширения функционала.


Финальный пример возвращает нас снова в детство. Компания CyberSponse выпустила наборы Lego для создания детского `SOCа :-)


Теперь, когда у вас дети спросят, чем вы занимаете, вы можете вместе с ними собрать в домашних условиях SOC, чтобы продемонстрировать то, чем вы занимаетесь :-)


У CyberSponse разные наборы - для создания SOCа, SUPER SOCа, ЦОДа, зала для совета директоров, хакерской спальни и комнаты для ситуационного моделирования (war room). На подходе ряд других наборов - WhiteHat, государственные хакеры, команды реагирования на инциденты.


Все это разные примеры, но их объединяет одно - желание продемонстрировать ИБ для разных аудиторий и сделать ее ближе и понятнее. В этом и заключается цель повышения осведомленности!!!

12.02.2019

Что общего между собакой Павлова и специалистом по кибербезопасности?

Я никогда не мог понять, почему специалисты по кибербезопасности не пытаются выйти на уровень бизнеса, принижая свою роль в организации? И вот недавно я, как мне кажется, нашел ответ на странице Олега Вайнберга в Фейсбуке. Олег перепечатал заметку о теории Селигмана, американского психолога, который продолжал опыты известного русского физиолога Ивана Павлова.

Если вы помните школьную программу, то Павлов изучал условные рефлексы собак: у них выделялась слюна при звуке сигнала, за которым следовал прием пищи. Мартин Селигман решил сопровождать звук сигнала не куском мяса, а ударом тока. Логично предположить, что в такой ситуации собака должна была пытаться убежать от боли, что и происходило. Селигман стал фиксировать собак, чтобы они не сбежали. Проведя какое-то количество опытов, американский психолог выпустил подопытных собак в вольер с низким забором, чтобы проверить, как поведут себя собаки, если по-прежнему давать удар тока (конечно же во благо науки). И вот тут случился парадокс. Здравый смысл подсказывает, что собаки должны были убегать, но... нет. Они забивались в угол и скулили, даже не пытались покинуть вольер. Это явление назвали выученной беспомощностью.


Данная теория проверялась многократно, в том числе на людях, и выяснились удивительные факты: человек поступал так же, как и собака. Разумеется, он не забивался в угол и не скулил в прямом смысле слова, но в переносном именно так себя и вел. Психологи доказали, что если человек испытывает поражение, несмотря на многократные усилия, у него атрофируется желание что-то менять. Наступает апатия, и человек сдается. Я думаю, вы уже поняли, куда я клоню?

Да, именно так. Многие классические безопасники, которые никогда не учились на курсах MBA, не знают основ бизнеса, не умеют общаться со своим руководством, попытавшись несколько раз вынести проблематику ИБ на уровень бизнеса и не получив положительного ответа, теряют желание делать это вновь. Они опускают руки и продолжают заниматься тем, что у них получается прекрасно, – торговать страхом, запугивая регуляторикой и хакерами...

...продолжение в моей статье в "ИТ-менеджере".

11.02.2019

4П, которые интересуют каждый бизнес, в т.ч. и с точки зрения ИБ

Существует очень простая «модель 4П», которая описывает все, что волнует любое лицо, принимающее решение на вашем предприятии. Любая деятельность может быть и должна быть увязана с этими 4П. Если вам это удалось, то вы сделали большой шаг вперед. Если, как бы вы не старались, у вас не получается связать ваши проекты по кибербезопасности с 4П, значит вы делаете что-то не то (хотя отсутствие связи фиксируется достаточно часто).

Что же это за 4П? Прибыль, процессы, персонал и ***. Последнее слово, скрытое звездочками, я могу произнести вслух но не могу воспроизвести на бумаге из-за опасений блокирования блога Роскомнадзором). Но это то, что приходит неожиданно и сможет смешать все карты. Мы не будем дальше обсуждать эту четвертую П, сосредоточившись на первых трех).
Генеральному директору не нужен маркетинг – ему нужно решить эти три проблемы. Финансовому директору не нужен новый модуль в SAP – ему нужно решить эти три проблемы (или некоторые из них). ИТ-директору не нужен аутсорсинг – ему нужно решить эти три проблемы. И так далее. SAP, маркетинг, аутсорсинг только помогают в решении этих задач. Тоже самое и с кибербезопасностью. Надо просто связать два компонента вместе – с одной стороны у нас будет одна (или все) из «П», а с другой ИБ. Попробуем раскрыть каждую из трех букв «П».

Прибыль… Это то, ради чего существует любая компания (хотя есть и те, кто хочет нарастить клиентскую базу и продаться кому-то большому). Любая деятельность в компании должна быть увязана с прибылью в той или иной форме, в том числе и безопасность. Любой проект в этой области, когда вы его представляете топ-менеджменту своего работодателя, должен заканчиваться следующей фразой: «так, чтобы вы...». А в качестве многоточия может быть один из следующих вариантов:

  • «Зарабатывали больше». Можно ли зарабатывать больше на ИБ? Если речь не идет о производители средств защиты информации, то вроде бы и нет. Но это поверхностное суждение. Например, кибербезопасность может сделать сайт Интернет-магазина доступнее, то есть обслужить больше клиентов и заработать больше.
  • «Продавали больше». Представьте, что мы сможем ускорить процесс проверки заемщика в банке, тем самым уменьшив время на заключение сделки и увеличив их число?
  • «Открыли новые рынки»
  • «Снизили издержки». Утечка информации о клиентах, тарифах или ноу-хау приводит к издержкам. Расследование инцидентов ИБ тоже приводит к издержкам. Атаки «отказ в обслуживании» тоже. Борьба с этими издержками (а не с самими атаками или инцидентами) и есть еще одна задача кибербезопасности на предприятии в контексте бизнеса.
Про остальные две "П" модели "4П" можно прочитать в моей статье для "ИТ-Меенеджера", опубликованной на днях...

07.02.2019

Реестр сертифицированных средств защиты ФСТЭК 2.0

Близится конференция ФСТЭК, на которой помимо вопросов КИИ будут рассказывать о новой методике обеспечения доверия (взамен НДВ), практике оценке соответствия в соответствии с новым приказом ФСТЭК №55 по сертификации и т.п. И приснилось мне тут во сне, что один из докладов мог бы быть посвящен абсолютно новой версии реестра сертифицированных средств защиты ФСТЭК, который, как мне кажется, является самой популярной и самой востребованной страницей сайта регулятора. И вот выходит представитель воронежского ГНИИ ПТЗИ и начинает свой доклад (не по бумажке и с отличными слайдами).

Уважаемые коллеги! Все вы знаете, что одной из задач ФСТЭК является ведение реестра сертифицированных средств защиты информации, который является подспорьем для всех заказчиков, которые ищут для своей безопасности средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации. Мы давно и планомерно улучшаем реестр, расширяя его функциональность и повышая оперативность размещения в нем сведений о новых сертификатах. Если раньше данный реестр приходилось скачивать на комьпютер для полноценного поиска в нем, то сегодня это можно сделать сразу на сайте с помощью соответствующей строки поиска/фильтрации. Также, начиная с 2019-го года мы стали обновлять реестр не раз в квартал, как было раньше, а в течение суток после появления нового сертификата.


Однако мы не стоим на месте и хотим вам представить новую версию реестра, работа над которой сейчас завершается и в самое ближайшее время она будет представлена общественности. Сегодня же мне бы хотелось кратко рассказать о тех нововведениях, которые вас ждут и которые были реализованы опираясь на опыт работы с банком данных угроз и уязвимостей ФСТЭК. Те, кто активно пользуется БДУ знают, что в нем реализована эффективная система фильтрации, позволяющая быстро находить среди двух десятков тысяч уязвимостей те, которые вас интересуют. Мы решили перенять этот опыт и реализовали в новой версии реестра фильтрацию по всем полям реестра. Если раньше, например, можно было искать теперь можно легко найти все сертификаты, в которых упоминалось конкретное решение (например, Cisco ASA) наряду с его заявителем и испытательной лабораторией (надо было только в строке поиска указать через пробел три слова), то в новой версии мы сделали возможность более сложных множественных фильтров, учитывающих также диапазон дат действия сертификата и схему сертификации. Кроме того, у нас появилась возможность поиска всех сертификатов, которые начали свое действия позже указанной даты, а также сертификатов, которые завершают свое действие до указанной даты. Это позволит быстрее искать сертификаты, которые, например, скоро прекратят свое действие.

Для стимуляции заявителей более оперативно устранять выявленные в их продуктах уязвимости, мы решили добавить информацию об отозванных сертификатах и причинах этого. Кроме того, теперь доступа возможность поиска в уже недействующих сертификатах, для того, чтобы своевременно выявлять неточности в маркетинговых материалах отдельных компаний, использующих недобросовестную конкуренцию и рекламу.

Помимо расширения функции поиска и фильтрации, мы решили вставлять ссылки на требования, по которым сертифицировался тот или иной продукт. Это позволит сразу увидеть, какие требования проверялись в процессе оценке соответствия. При этом ссылка дается не на весь руководящий документ, а на конкретную таблицу с проверяемыми требованиями. Кроме того, мы добавили ссылки на сайт заявителей, на которых можно получить более подробную информацию о возможности приобретения сертифицированных средств защиты (это позволит поддержать наших разработчиков и стимулирует их развитие), а также о возможностях обновления сертифицированных решений.

Несмотря на то, что ФСТЭК исключила практику указания в сертификатах ссылок на классы защищенности информационных систем, в которых возможно применять сертифицированное средство защиты, в новой версии реестра появилась возможность такой подсказки. Наведя курсором на соответствующее упоминание класса защиты будет появляться подсказка, в каких классах защищенности ГИС, ИСПДн, АСУ ТП или КИИ могут применяться указанные решения. Разумеется, речь идет только о подсказке, которая, однако, очень востребована заказчиками, которые не всегда хорошо разбираются в мерах защиты, разработанных регулятором.

Наконец, мы решили сделать еще один большой шаг вперед и будем выкладывать теперь копии всех сертификатов, чтобы потребителям не пришлось искать их в Интернет или клянчить у заявителей, которые не всегда готовы делиться этими документами. Это вызывает раздражение у потребителя и поэтому мы решили помимо выходных данных сертификатов, в реестре также давать возможность скачивания и скан-копии самого сертификата. Для защиты от подделки таких сертификатов мы планируем ввести соответствующие цифровые "водяные" знаки. Кроме того, учитывая, что основными потребителями, использующими сертифицированные средства защиты, являются госорганы, мы думаем о том, чтобы снабжать копию каждого сертификата электронной подписью, что будет гарантировать ее подлинность. Пока вопрос еще не решен, но возможно, мы также будем выкладывать на сайт еще и ТУ (или выписки из них).

В заключение мне хотелось бы объявить о еще двух новшествах, связанных с реестром. Во-первых, мы добавим по аналогии с БДУ раздел инфографики, где можно будет увидеть статистику по сертификации различных типов средств защиты, наиболее активных заявителях и испытательных лабораториях, а также ряд других интересных графиков и диаграмм, отражающих процесс сертификации средств защиты информации. А во-вторых, мы запустим официальный Твиттер-канал для реестра сертифицированных средств защиты, в котором будут размещаться новости о новых, завершающих свое действие, продленных или отозванных сертификатов. Аналогичный Твиттер-канал действует для банка данных угроз и уязвимостей и он показал свою эффективность. За два года с момента его запуска мы опубликовали 170 обновлений, что говорит о том, что частота публикации в нем составляет около одного твита в четыре дня.

Уважаемые коллеги! На этом позвольте мне завершить свое краткое выступление про новую версию реестра сертифицированных средств защиты информации, которая в ближайшее время будет запущена и доступна для всех потребителей сертифицированной ФСТЭК продукции. Большое спасибо за внимание!

ЗЫ. Дабы у читателей не возникло мысли, что это все взаправду, я еще раз хочу отметить, что это моя фантазия, сон. Хотя такие мечты есть у многих коллег по цеху, судя по результатам опроса, который я проводил неделю назад в своем Твиттере и в Телеграме.



06.02.2019

Горячая дюжина ресурсов для бесплатного обучения по ИБ

Илья Борисов в своем Фейсбуке набросал перечень советов (не в формате чеклиста), как и где пополнять свой багаж знаний для специалиста по безопасности. А у меня как раз уже был загатовлен проект заметки, которую я сначала хотел удалить, а потом подумал, что все-таки выложу, чуть переписав. В конце-концов, у Ильи блога нет, а найти заметку в ФБ спустя месяц и вовсе невозможно. Так что можно рассматривать данную заметку, как мой вклад в бесплатное образование специалистов по ИБ (конечно, помимо моего блога :-).




Итак, мой перечень конкретных ссылок, которые позволяют поддерживать свои знания по ИБ на современном уровне:
  1. ENISA. На прошлой неделе народ активно репостил новость о том, что ENISA выложила в открытый доступ курс по сетевой форензике. На самом деле ENISA давно уже выкладывает просто отличные курсы по ИБ. В частности, среди технических курсов уже сейчас выложены - управление артефактами, управление инцидентами на мобильных устройствах, управление электронными доказательствами, обманные системы, управление индикаторами, управление уязвимостями и т.п. Длительность курсов - от 3 часов до 3 дней (24 часа). К курсам приложены виртуальные машины, руководства, тестовые задания и т.п. Отдельный блок курсов посвящен операционным вопросам - управление инцидентами в КИИ и APT, облаках и территориально масштабных системах, написание бюллетеней ИБ, социальные сети, как вектор атаки и т.п. Еще один блок посвящен созданию группы реагирования на инциденты CSIRT. Последняя группа курсов посвящена юридическим вопросам - взаимодействие с другими CERTами, правоохранительными органами и т.п.
  2. RSA Conference и Black Hat. Эта два огромных по объему ресурса с множеством презентаций, посвященных двум большим блокам - защите и нападению. На RSAC, понятно, тысячи презентаций и чуть меньше видео с одной из лучших мировых конференций по ИБ (на мой взгляд), ориентированных именно на обзор различных точек зрения на защиты. Black Hat в свою очередь ориентирована на обратную сторону нашей профессии и содержит много презентаций о том, как найти слабину в чем-то. Безусловно, есть еще много разных конференций (BSides, Gartner и т.п.), но они, к сожалению, редко выкладывают (а и то вовсе нет) свои материалы. Поэтому удаленно и бесплатно на них не поучишься. Из российских можно назвать тот PHDays, на котором материала поменьше, но зато есть видео всех докладов.
  3. SANS. В России SANS известен, но мало кто посещал курсы этой, одной из ведущих в США организаций по обучению и сертификации в области ИБ. Это связано с высокой ценой на обучение, которое составляет для недельного курса около шести тысяч долларов, не считая авибилетов и проживания в месте проведения (в США или Европе). Я учился на нескольких курсах SANS и могу сказать, что там дают очень качественный материал. Но у SANS есть и большой блок бесплатного контента, которым они делятся. Это архив материалов SANS Summit'ов по различным тематикам - Threat Intelligence, SOC, ICS, Awareness и др. Кроме этого, чуть ли не еженедельно SANS проводит различные вебкасты с участием различных компаний. Они тоже бесплатны. Наконец, у SANS есть проект по бесплатному обучению под названием Cyber Aces.
  4. Cybrary. Этот портал представляет собой кибер-библиотеку с множеством различных курсов, которые доступны в том числе и при наличии бесплатной учетной записи. В отличие от сайтов RSAC или Black Hat тут речь идет именно о разнообразнейших курсах обучения.
  5. NICSS. Это портал, который запущен американским US-CERT для выстраивания карьеры специалистов по ИБ и их обучения. Несколько сотен курсов, в том числе и онлайн. Чтобы найти среди них бесплатный придется постараться, но они там есть по разным направлениям - от анализа вредоносного кода до security operations. Но... может понадобиться VPN для доступа из России.
  6. ICS-CERT. Известный центр реагирования на инциденты в промышленных системах предлагает 11 бесплатных курсов по основному направлению своей деятельности. Все в онлайне.
  7. edX. На этой платформе онлайн-обучения 9 курсов - от базовых до фокусных (например, на управлении инцидентами или обнаружении угроз).
  8. MOOC. MOOC - это Massive Open Online Courses - программа, запущенная ведущими ВУЗами мира, по выкладыванию в онлайн курсов, которые раньше были не по карману многим специалистам. Есть такие курсы и по ИБ - от введения в управление рисками или стратегию ИБ до криптографии или аппаратной ИБ, от юзабилити в ИБ до цифровой демократии.
  9. OpenSecurityTraining. На этом ресурсе сейчас выложено 29 курсов общей длительностью 63 дня - все бесплатно и на разные темы - от ИБ мобильной связи или форензики до хантинга и безопасного программирования, анализа малвари до реверс-инжиниринга.
  10. Udemy. Еще одна платформа для онлайн-обучения, в том числе и по ИБ.
Хочу отметить, что из перечисленных ресурсов я пользовался почти всеми, но преимущественно вторым и третьим. Длительное обучение я прохожу на работе (у нас в Cisco для этого много возможностей), а вот для получения доступа к быстрым знаниям мне хватает RSAC, BlackHat и SANS. Тем же, у кого возможностей по обучению меньше, я бы рекомендовал прошерстить все ссылки в поисках интересного для себя курса (тоже можно посоветовать и применительно к YouTube). Если позволяют возможности или вы сможете обосновать перед своим руководством, то можно попробовать и заплатить за подписку (я бы в этом случае посоветовал Safaribooks - на ней тоже полно курсов и особенно книг по ИБ). В прошлый раз я уже упоминал Академию Кода ИБ - на этом ресурсе по ИБ много всего и на русском языке, но потребуется заплатить (есть и бесплатный доступ, но он сильно ограничен).

PS. Кстати, вопреки распространному мнению о том, что материалы и мероприятия Gartner все платные и обывателю недоступные, хочу отметить, что это не совсем так. Помимо лицензированных для публичного доступа документов, которые можно найти на сайтах многих производителей (например, документ Gartner про концепцию Zero Trust), на сайте самого Gartner регулярно проводятся вебинары, в том числе и по ИБ. Например, на днях прошел вебинар по системам мониторинга сетевой инфраструктуры с точки зрения безопасности. Так что "ищущий да обрящет"...

05.02.2019

Как подготовить презентацию для конференции по ИБ или топ-менеджмента (чеклист)

Продолжить идею с чеклистами я хотел бы еще одним чеклистом, который пусть и не относится впрямую к ИБ, все-таки важен в деятельности современного безопасника, который должен уметь готовить правильные презентации, как минимум, для своего руководства. В идеале, если следовать опубликованной вчера шкале значимости CISO, то презентации понадобятся и при выступлении на публичных мероприятиях.

Я разделил чеклист на 3 части. Первая описывает, что из себя вообще представляет презентация. Вопреки распространенному мнению, что это "просто слайды и все", это не так. Гораздо важнее знать, что мы отим рассказать и кому. Слайды, контент - это все вторично (хотя и важно). Вторая часть перечисляет в виде списка, что не надо делать при подготовке презентации или ее донесении для вашей аудитории. Ну а третья часть просто перечисляет способы улучшения навыков чтения презентаций, которые можно реализовать на практике.

Так как с февраля начинается активный "чёс" по ИБ-мероприятиям, то я думаю этот чеклист будет полезен как опытым спикерам, так и начинающим, которые приглашены выступать на мероприятия, многие из которых я перечислил в своем календаре. Если же вы планируете модерировать какие-то мероприятия, то рекомендую свой чеклист модератора, который я делал в 2014-м году (думаю оформить его в отчуждаемый формат для скачивания).



У грядущего московского "Кода ИБ. Профи" (при регистрации до конца января действует скидка 20%) ключевая тема как раз чеклисты - по итогам каждого мастер-класса планируется представить чеклист, чтобы участники конференции смогли получить концентрированную квинтесенцию мудрости спикеров :-)

ЗЫ. Файл с чеклистом можно скачать тут.

04.02.2019

Шкала значимости CISO

Давно ли вы проводили самооценку себя, своих знаний, своих способностей и своего места на работе? Чтобы не превратиться в застывший монолит, который скоро выкинут на свалку истории, необходимо регулярно заниматься этой непростой работой, чтобы не останавливаться на достигнутом и намечать шаги для дальнейшего своего развития. Я попробовал разработать шкалу значимости руководителя ИБ (но она применима и шире - для специалистов и даже для целых служб ИБ и даже компаний), в которой указаны ключевые вехи, позволяющие оценить нахождение себя на том или ином уровне.

Очевидно, что данная шкала нужна не для собственной оценки (это промежуточная цель), сколько для выстраивания плана своего развития (и своей службы).

ЗЫ. Шкалу можно скачать также и в формате PDF.


01.02.2019

Современные ИБшники перестали посещать курсы обучения или почему я больше не пишу книг

На днях в зарубежном Твиттере один из пользователей поднял вопрос о том, какие каналы чаще всего используются при обучении современные специалисты по ИБ. Варианты были даны следующие - книги, блоги, презентации/доклады или что-то иное (Twitter не позволяет в опросе использовать более 4-х пунктов). Интересно, что курсы обучения в список вариантов даже не попали, что само по себе интересно (либо они попали в Talk, либо в Something else). В любом случае на них приходится не так много голосов - основной способо обучения сегодня представляют блоги. Причины тут, на мой взгляд, просты. Подчерпнуть новые знания из блога можно очень быстро и не вставая с дивана (ну или с борта самолете или из зала ожидания в аэропорту). Приятно, что второе место отдано книгам, но оно все-таки второе, а не первое :-(


Я решил "украсть" идею и спросил тоже самое у своих подписчиков в Твиттере и в Телеграме (в Фейсбуке число вариантов ограничено всего двумя, поэтому я не стал там спрашивать). В Телеграме "Олимп" также заняли блоги. На втором месте прочно обосновались курсы, а третье отдано книгам (хоть в тройку вошли). 


В Твиттере (я надеюсь с Телеграмом аудитория голосовавших не пересекалась) блоги вырвались гораздо дальше, чем в Телеге или у "иностранцев". Второе и третье места также были поделены между курсами и книгами соответственно.


Глубокие выводы делать на основе этой статистики, наверное, не имеет смысла, но парочка напрашивается само собой. Во-первых, абсолютное большинство безопасников по-прежнему предпочитает читать, но уже не длинные тексты, а что-нибудь покороче. Не зря после поколения NEXT появилось поколение SMS, которое любит короткие тексты.

Отсюда следует второй вывод - писать сегодня книги по ИБ не имеет большого смысла. Разумеется при условии, что книга пишется как источник знаний. Порадовать маму или потешить свое самолюбие - вполне себе мотивы для написания книги, но не более. Если вы пишете книгу ради денег, то разочарую, на этом много денег не сделаешь. Свою первую книгу "Обнаружение атак" я писал в 2000-м году и потратил на нее около года, а гонорар составил меньше моей месячной зарплаты. Второе издание далось мне быстрее, но на полученные деньги ни год, ни даже месяц прожить было нельзя. Английское издание, а также соавторство в "Атаке из Интернет", не принесло мне ни копейки (это вообще две отдельные истории и хороший урок).

В России с книгами ситуация обстоит еще хуже, чем на Западе. Там просто огромный выбор книг на разные темы и от разных авторов. У нас же нормальных книг по ИБ не было оооочень давно (это я так мягко говорю) - авторов гораздо меньше, а интересно пишущих тем более. Поэтому фокус меняется на блоги - способ быстрого поглощения информации. Отсюда можно сделать третий вывод - формат блога очень востребован и жаль, что у нас не так много пишущих безопасников; знания не накапливаются и не передаются.

Интересно, что презентации у нас тоже не очень хорошо заходят как источник информации. Причина тут тоже лежит на поверхности - все устали от рекламы, которая превалирует на многих конференциях. Что-то интересное приходится выискивать по крупицам. Частично эту задачу выполняет Сергей Борисов, который на своем портале выкладывает избранные видео-презентации. Ну и большой потенциал у портала "Код ИБ. Академия", где выложено несколько сотен презентаций и видео со всех мероприятий Код ИБ (в том числе и "Профи"), но доступ к ним платный. Есть еще YouTube, но выискивать в нем что-то ценное непросто.

31.01.2019

Алаверды Дмитрию Кузнецову про сертификацию "комбайнов" и UTM-решений

Блогосфера оживилась... Блогеры комментируют и критикуют блогеров, жизнь кипит, аудитория радуется и жуют попкорн, регуляторы тоже при делах, получая обратную связь по касающихся их темам. Позволю себе небольшое алаверды Дмитрию Кузнецову, который прокомментировал мою недавнюю заметку про иллюзии сертификации ФСТЭК. Уважаю Дмитрия за его методологический подход, но позволю все-таки встрять в его рассуждения, которые, невольно, но подтверждают мою первоначальную заметку.

Дима в своей заметке упомянул, что есть два подхода при сертификации комбайна - использовать уже сертифицированные компоненты (и тогда их не надо сертифицировать в составе комбайна) или сертифицировать как интеграционную платформу. Второй метод я оставлю в сторону - на мой взгляд, так это чистой воды обход требований регулятора (пусть и законный). Но оставлю это в стороне, такой фокус скорее доступен для отечественных производителей, чем для иностранных. А вот первый вариант очень интересен и важен, хотя и упомянут вскользь.

Я начну с того факта, что сертифицируется обычно законченное решение, а встраивается отдельный модуль (например, антивирусный движок). Например, есть у меня Kaspersky Endpoint Security for Windows, который сертифицирован как антивирус (и не только). Он обладает набором функций, начиная от обнаружения вредоносного кода и обновления и заканчивая системой управления, контролем состояния и т.п. Так вот когда я хочу встроить антивирус в свой продукт, я беру не весь антивирус "из коробки" с определенными контрольными суммами, а только его часть, которая позволит моему продукту обнаруживать вирусы. И, например, систему управления я выброшу, так как антивирусный движок будет интегрирован с моей системой управления. И вот уже получается, что антивирусный движок не выполняет часть требований по безопасности и у него также не совпадают контрольные суммы с тем решением, на которое и выдан сертификат ФСТЭК. Поэтому считать встраиваемый антивирусный движок сертифицированным я никак не могу.

Кстати, если вспомнить, ровно с той же проблемой столкнулась в свое время ФСБ, которая регулярно сталкивалась с некорректным использованием криптобиблиотек и в конце концов запретила сертификацию библиотек, настаивая на сертификации законченного изделия целиком. Кроме того, встраивание криптобиблиотеки в чужие решение требовало и требует отдельного ТЗ, согласованного с ФСБ, которая проверит правильность (или как часто любят говорить корректность) встраивания и только после этого выдаст сертификат. Я не очень положительно оцениваю эту схему, хотя и понимаю ее правильность с точки зрения здравого смысла. Но то, как это реализовано (долго и непрозрачно) и вызывает мою критику. Если мы встраиваем антивирусный или ids'ный движок, то встраивание тоже должно проверяться. А то вдруг встроят, а трафик на модули заворачивать не будут?..

Ну да ладно, ФСТЭК не требует проверки корректности встраивания и это положительный факт для разработчиков. Я хочу посмотреть на эту проблему с другой стороны. Допустим на антивирусный движок от сертифицированного продукта также распространяется первоначальный сертификат (хотя это и странно). Но... у сертификата есть вполне конкретный срок действия. И действие сертификата на комбайн будет вычисляться исходя из минимально оставшегося срока действия любого из сертификатов, выданных на модули, входящие в комбайн. Попробую визуализировать эту ситуацию на примере всего одного компонента современных отечественных "комбайнов" - антивируса.

Представим, что вы разработали системы класса Endpoint Protection (EPP), которая включает в свой состав антивирусный модуль. Вы не имеет экспертизы в разработке антивируса, поэтому заключаете соглашение с Лабораторией Касперского, которая вам предоставляет свою прекрасную продукцию. Так как вы разработали средство защиты сразу для двух платформ - Windows и Linux (тему с форками Linux я оставлю в стороне), то вы взяли от ЛК их два продукта - KES for Windows и KES for Linux. Обратите внимание, эти два продукта получали свои сертификаты ФСТЭК в разное время и продлевали их в разное время. Поэтому и сроки окончания их действия тоже разнятся. Если вы разработали свое средство защиты в 2015-м году и 29 февраля 2016 года (срок взят с потолка) получили сертификат, то срок его действия должен закончиться через 3 года (обычно). В такой ситуации никакой проблемы нет - оба сертификата на KES перекрывают срок действия сертификата на ваше средство защиты. А теперь представим, что вы решили (а почему бы и нет) продлить срок действия сертификата своего решения еще на 3 года. ФСТЭК пошла вам на встречу и... вы надеетесь, что получите сертификат, продленный до 29 февраля 2022 года. Но... Согласно правилам ФСТЭК сертификат вам будет выдан исходя из срока сертификата, который заканчивается раньше всех. В данном случае это будет 25.11.2019 (по сроку KES10 for Windows).


Если же вы подождали бы до конца января, то вы могли бы встроить в свой EPP новую версию KES11 for Windows, которая была сертифицирована 22 января 2019 года. Правда, тут речь идет уже о новом продукте... Я не знаю, как будет трактовать ФСТЭК эту ситуацию. Если они отнесутся к встраиванию нового продукта лояльно (а почему бы и нет - производители-то свои, патриотически настроенные), то... срок действия продленного сертификата на ваше средство защиты будет заканчиваться... нет, 22 января 2024 года, и не 29 февраля 2022 года, а 18 ноября 2020 года. Именно тогда заканчивается срок действия сертификата на KES10 for Linux.

Вот такая картинка получается вроде бы из банальной идеи об использовании сертифицированных продуктов внутри "комбайна", Не такая уже она и банальная и простая. И ставит много новых вопросов по поводу сертификации по требованиям ФСТЭК в новых условиях. Надеюсь, что и на этот вопрос регулятор ответит на своей конференции 13-го февраля. Кстати, эту ссылку на конференцию ФСТЭК дважды удалили из группы обсуждения КИИ и ФЗ-187 в Телеграмме за якобы нарушение правил.

30.01.2019

12 причин, почему бизнес "не видит" ИБ, или кибербезопасность Шредингера

А продолжу-ка я тему с чеклистами и визуализацией :-) Тем более, что вчерашняя тема зашла очень хорошо - Андрей Прозоров даже флешмоб замутил и несколько человек в Фейсбуке на него уже откликнулись, опубликовав свои чеклисты CISO. Сегодня будет список из 12 причин, описывающих почему бизнес "не видит" ИБ и не ценит ее. Хотя после прочтения отчета anti-malware, в котором написано, что 63% компаний имеют бюджет менее полумиллиона рублей, становится понятно, почему. Это же в пределах погрешности для многих предприятий. За что любить ИБ, которая и не делает ничего (ибо не на что), и не тратит ничего, и не приносит ничего. Кибербезопасность Шредингера, которая вроде бы и есть, а вроде бы и нет :-(
Ну а чтобы заметка не выглядела совсем уж куце, прокомментирую эти причины.
  1. Вы считаете, что лучше знаете, что нужно бизнесу. Я поставил этот пункт первым, как и во вчерашнем первым стоял пункт, что вы знаете, что нужно бизнесу. Но вчера это звучало как выполненная после общения с бизнесом задача, а сегодня - как частая ошибка многих безопасников, считающих, что именно они могут диктовать своему работодателю, что ему нужно с точки зрения кибербезопасности.
  2. Вы прекрасно защищаете свою организацию, но совершенно не умеете “продать” это наверх. Говорите со своей аудиторией на ее языке! Я про это писал и говорил уже много раз - повторяться не буду (хотя одну ссылку приведу). Но планирую в блоге писать больше про это и публиковать больше примеров того, как можно доносить до бизнеса свою задачи и свои достижения.
  3. Вы не получили вовремя грамотную помощь или ее не было вовсе. Очень мало кто способен самостоятельно разобраться в том, чем живет бизнес, что ему нужно и как работают бизнес-процессы. В ВУЗах этому не учат, MBA безопасники пока массово не посещают (дорого). Отсюда и результат.
  4. Вы не делегируете. Один в поле не воин. В крупной организации, да и в небольшой тоже, нельзя все делать самому. Нужно уметь делегировать часть задач подчиненным, беря на себя контроль их исполнения. Наймите правильных сотрудников или отдайте задачи на выполнение подрядчикам. Все делать самому - значит не успеть все. Так делает бизнес, этого он ждет и от безопасника. 
  5. У вас нет бизнес-плана/цели/миссии, включая план действий на случай провала. Ну тут вроде все понятно и так :-)
  6. Вы ничем не отличаетесь от внутренних конкурентов, которые тоже хотят внимания руководства и бизнеса. Конкуренция сопровождает почти любой бизнес (только РЖД у нас монополист в России :-), как снаружи, так и внутри организации. На что потратить деньги? На кофе, туалетную бумагу, картриджи для принтера или безопасность? Надо уметь бороться с внутренними конкурентами; иначе проиграешь!
  7. Вы не относитесь к своей работе всерьез. Без комментариев.
  8. Вы тратите неоправданно мало на безопасность, стараясь сделать все подешевле и попроще. Бизнес умеет считать деньги, но это не значит, что он готов покупать дешевку. Он хочет получить то, что нужно, и с предсказуемым результатом. Нужен миллион? Хорошо. Но обоснуйте. Нужно десять? Обоснуйте. Можете сделать все бесплатно? Обоснуйте (бесплатный сыр только в мышеловке и чтобы бесплатное решение заработало возможно нужен соответствующий недешевый персонал).
  9. Вы тратите неоправданно много на безопасность. А это обратная сторона медали. Вы приносите бизнесу счет на проект по ПДн стоимостью в полмиллиона рублей. Ну ОК? А что теряет бизнес от невыполнения законодательства? 10 тысяч рублей? Дебет с кредитом не сходится - никакого смысла в такой инвестиции нет. Затраты в 50 раз превышают возможные предотвращаемые потери? Ну-ну...
  10. В вашей стратегии ИБ нет фокуса - вы пытаетесь защитить все. Защитить все нельзя - нужна концентрация на ключевых задачах и проектах. Нет ее, значит вы не умеете выделять главное, что и сказывается на отношении бизнеса.
  11. Вы не умеете сотрудничать. Научитесь общаться с бизнес-подразделениями, чтобы получать от них данные для своей работы, чтобы заручиться их поддержкой при защите проектов, чтобы понять их нужды, чтобы помогать им, а не мешать. 
  12. Вы склонны недооценивать, сколько времени и денег потратите, пока ваша служба встанет на ноги. Неумение считать деньги и время - это плохой знак для вас и для бизнеса. Как вам можно поручать задания и выделять бюджеты, если вы не умеете ими распоряжаться?
Если приглядеться внимательно, то эти 12 причин совпадают с вчерашним чеклистом, который направлен на их устранение. Здравый смысл подсказывает, что начать надо было с проблем, чтобы потом наметить пути их решения, но я решил немного нарушить логику и сделал наоборот. И получилось хорошо - мне, по крайней мере, понравилось как повернулась тема, - дискуссия, флешмоб, новые идеи и мысли...

ЗЫ. Тут можно скачать файл в PDF.

29.01.2019

План CISO на 2019 год (чеклист)

Продолжу тему чеклистов, которую я начал последней заметкой ушедшего года - ровно месяц назад. Тогда я предложил персональный план для безопасника на 2019-й. Сегодня решил вновь вернуться к этой теме, но уже в контексте деятельности руководителя ИБ. Попробовал составить план ключевых задач CISO в 2019-м году. Сделал немного в немного упрощенной форме, чтобы можно было распечатать на одной странице А4 и иметь перед глазами.


Формат чеклиста тоже выбран неслучайно. Во-первых, он позволяет систематизировать набор задач и оперативно отмечать их исполнение. В области кибербезопасности мы сегодня имеем доступ к беспрецедентному объему информации, что дает… множество проблем. Перегрузка, рассеяность, потеря фокуса, невозможность превратить теорию в практику, излишняя самоуверенность. Вот только небольшой список сложностей, с которыми приходится сталкиваться сегодня специалистам по безопасности. Как выстроить свою работу так, чтобы не утонуть в океане данных? Существует множество современных методик привести свои дела в порядок и не забывать важных вещей. На их фоне обычные чеклисты выглядят устаревшими и слишком простыми. Но в этом и кроется их уникальность и скрытая мощь.

Чеклист структурирует мысли и упорядочивает действия; особенно в ИБ, где часто требуется оперативность и точность, а не метание в поиске правильного ответа. Чеклист - мощный инструмент, который:
  • позволяет не забыть базовые вещи, особенно в сферах, с которыми еще не приходилось сталкиваться
  • дает возможность работать над сложными проектами, не заморачиваясь на мелочи
  • дисциплинирует в рутинных задачах, соверщаемых изо дня в день, что приводит к потере внимания и появлению ошибок
  • экономит время, так как не надо заново придумывать, что делать, особенно в непредвиденных ситуациях и тех ситуациях, которые встречаются нечасто и мы забываем, что делать
А во-вторых, грядет московский "Код ИБ. Профи" (28-31 марта), где я вновь являюсь куратором деловой программы. В этот раз хотелось бы сделать мероприятие еще более практичным, чтобы участники по окончании ушли не только со знаниями и впечатлениями, но и с набором чеклистов по темам выступлений, которые можно будет сразу применять на практике.

Если обратить внимание на чеклист, то там самый главный пункт - первый. Но так как он и самый короткий и в формате чеклиста его сложно раскрыть детально, то я детализирую его в виде нескольких заметок дальше (помимо тех, что уже описывают эту тему в блоге). А пока скачивайте файл в формате PDF и изучайте. Кстати, если у вас вдруг возникнет вопрос, почему я использовал иной шаблон, чем в прошлый раз, то ответ просто - я ищу и экспериментирую :-)