17.01.2019

Что общего между ИБ и кухней?

Есть три вещи, которые меня раздражают в российских новогодних праздниках - безделье (но я научился с ним бороться), фейрверки в новогоднюю ночь до 4-х утра и бесконечная еда (кого-то еще раздражает постоянные возлияния горячительными напитками, но не меня). Вот про еду мы сегодня и поговорим :-) Когда-то я написал несколько заметок, которые проводили параллели между ИБ и ремонтом, поясом верности, женщиной, медициной, футболом, автомобилем и, наконец, фауной. Это было несколько лет назад и я решил вернуться к теме аналогий, проведя параллели между ИБ и кухней.
  1. Вы готовите блюда. Будучи шеф-поваром, ваша задача приготовить блюдо, которое устроит ваших клиентов, имеющих совсем разные вкусы и разные потребности. Так и в ИБ - ваша служба должна удовлетворить их все. У кого-то изысканный вкус, у кого-то его и вовсе нет; кому-то нужны специфичные блюда по ИБ, а кого-то устроит и обычный фастфуд. При этом именно шеф службы ИБ отвечает за все.
  2. У вас должно быть меню. Когда вы приходите в ресторан, вы врядли самостоятельно набираете ингредиенты и указываете поварам, как их готовить (хотя такие фишки у ресторанов бывают). Вот и в ИБ вам нужно меню, в котором будут ваши фирменные блюда, то есть сервисы ИБ, которые должны удовлетворять потребности клиентов. При этом, в зависимости от "высоты" вашей кухни у вас будут либо только типовые "блюда" - борьба с DDoS, контроль утечек, защита периметра, антивирус и т.п., либо вы сможете приготовить и рецепты высокой кухни - безопасность промышленных систем, защита ERP, BYOD, DevSecOps и т.п.
  3. Вам нужны правильные ингредиенты. Качество ваших блюд зависит от ингредиентов - их качества, свежести, количества. А что является ингредиентом в ИБ? Данные, которые позволяют принимать нужные решения - события ИБ, инциденты, атаки, потоки, транзакции и т.п. От того, насколько они полны и вовремя поданы и будет зависеть ваше блюдо. Вот нет у вас событий с облачной инфраструктуры и вкус вашей безопасности уже не тот. А если у вас Netflow, то в вашем меню будут отсутствовать "блюда", связанные с внутренней ИБ. Важную роль играет и комбинация этих ингредиентов. Например, данные от оконечных устройств, скоррелированные с данными Netflow, взятые с существующей сетевой инфраструктуры, позволяют детектировать сложные атаки, а решения UEBA так и вовсе не могут функционировать без набора разных данных - от ПК, сети, СУБД, приложений и т.п.
  4. Вам нужны квалифицированные повара разных специализаций. Вы смотрели сериал "Кухня"? Там повара имеют свою специализацию - кто-то кондитер, кто-то по мясу, кто-то по рыбе специализируется. В других ресторанах есть также сомелье, бариста и даже вителье (специалист по сигарам). В ИБ все тоже самое - для приготовления правильных блюд нужны специалисты разного профиля - аналитики, криптографы, писатели политик, реверсеры малвари, специалисты по расследованию и реагированию на инциденты и т.п. И все они должны быть квалифицированными и, более того, регулярно повышать свою квалификацию и компетенции.
  5. Шеф-повар. Какие бы ингредиенты и повара у вас не были, кухню "играет" шеф-повар. Именно от него зависит, получит ваша кухня звезду Мишлена, не будет иметь наград, но будет славиться среди клиентов, или при наличии огромных ресурсов ваша кухня будет достойна только привокзальной столовки где-нибудь на перегоне на Кольском полуострове. Так и с CISO, от которого зависит правильный замес всех элементов - данных, безопасников, средств защиты и т.п. 
  6. Вам нужна правильная посуда! Правильная, а не дорогая или широко разрекламированная. Понятно, что иногда это синонимым, но все-таки эти понятия неравнозначны. Так и в ИБ - вам нужные разные инструменты для аудита, инвентаризации, построения векторов атак, моделирования угроз, блокирования и обнаружения разных типов атак, реагирования на инциденты, мониторинга и т.п. Недорогой инвентарь (open source) может быть компенсирован классным поваром, а слайсеры или наборы поварских ножей (SOAR, SIEM, UEBA, NTA, CASB и др.) могут нивелировать некоторые слабости поваров.
  7. Помещение. Кухня - это еще и помещение, от правильной расстановки мебели в которой, а также от вентиляции, освещения, давления, наличия окон и т.п. зависит очень многое. Помните, я писал про особенности дизайна и проектирования помещений для Security Operations Center (SOC)? Эта заметка неплохо показывает важность этих вопросов в обеспечении ИБ. Комнатушка, в которой толкутся и сидят на коленях друг у друга безопасники, явно не делает их работу легче (хотя и сближает).
  8. Рецептура. Моя жена говорит, что я достиг идеала в приготовлении шашлыка (мне и самому нравится :-) и это не случайно. Я не являюсь кулинаром от бога, просто строго соблюдаю рецептуру. Точное количество ингредиентов, точное время приготовления, точная последовательность действия, точная подготовка мяса и маринада. Вот и в ИБ самодеятельность и хаотичность вредят результату. Нужна книга рецептов ИБ, то есть то, что иностранцы любят называть словом Playbook и Runbook. Неслучайно в названии многих книжек по ИБ или презентаций часто используют слово cookbook (кулинарная книга) или recipe book (книга рецептов). Кстати, время приготовления блюда очень важно и в ИБ - долгое расследование или несвоевременное реагирование влекут за собой ущерб, нарушение сроков внедрения системы защиты также влечет за собой ущерб, нарушение сроков согласования договора может привести к прекращению срока действия лицензии на систему защиты и ее останову, то есть опять к ущербу.
  9. Анализ трендов. Вы замечали, что как и в модной индустрии, в ресторанном бизнесе есть свои течения, свои новинки, свои "горячие" блюда, которые вдруг появляются сразу во многих местах? Да, в кулинарии тоже важно отслеживать тенденции на рынке и своевременно им следовать их. В ИБ все тоже самое - анализ трендов по ту сторону баррикад (Threat Intelligence), тенденций в области технологий ИБ, в области законодательства и т.п.
  10. Вы гоняетесь за "звездами Мишлена". Люди (и организации) падки на похвалу и награды. Это касается шеф-поваров, ресторанов, директоров по ИБ и ИБ-проектов. У нас в отрасли нет своего "красного гида Мишлена", но зато есть различные отраслевые награды - SC Award, Best Security Blogger, Top100 CISO, "Маяк безопасности", ЗУБР, "Информационная безопасность банков" и т.п. 
  11. Проверки. Рестораны, как места общественного питания и обслуживания населения, постоянно проверяют - санэпидемстанция, налоговая, пожарники, и куча других надзорных органов. Да-да, вы поняли, куда я клоню. В ИБ тоже полно своих надзорных органов - ФСТЭК, ФСБ, РКН, ЦБ и др.
  12. Правильная подача. От того, как вы подадите свое блюдо (блюда) зависит отношение к вам клиентов. Их лояльность, их желание поделиться с вами деньгами и желание посещать вашу кухню снова и снова. Так и в ИБ - от того, как вы "продаете" свои блюда целевой аудитории (преимущественно руководству вашей компании) зависит судьба службы ИБ, ее статус и ее ресурсы. Помните другую мою заметку про мониторинг бизнес-показателей со стороны SOC? Она как раз об этом. 

Дюжина совпадений. На самом деле их гораздо больше. У ИБ вообще очень много схожего с различными сферами нашей жизни и деятельности. А тему кулинарии я выбрал неслучайно - дело в том, что именно она выбрана заглавной на весеннем CISO Forum, который так и называется "XII Международный Форум CISO FORUM: Кулинарная книга CISO". Мастер-классы от шеф-поваров, разговоры об ингредиентах, гастрономические клубы, кухни разных регионов мира, разнообразное меню, выставка инструментов... А в качестве вишенки на торте - настоящая кулинарная книга рецептов от руководителей служб ИБ российских предприятий. Кстати, если вы любите и умеете готовить, у вас есть любимые рецепты и вы готовы поделиться своей тайной с коллегами, то вы тоже можете поучаствовать в создании кулинарной книги рецептов CISO - присылайте свои рецепты организаторам мероприятия!

До встречи на CISO Forum!

ЗЫ. Я на CISO Forum планирую проводить киберучения и, возможно, будет еще что-то - пока есть время до мероприятия и формирования моих планов.

15.01.2019

Впечатления от курса CompTIA Cybersecurity Analyst CySA+

Новогодние праздники достаточно длинны и их можно тратить на что-то более полезное, чем обжирание и пьянство :-) Вот и я, после чтения купленных на праздники книг по математике и регулярных коньков, перемежающихся расчисткой дорожек от снега на даче, решил пройти обучение. Давеча завершил я прохождение онлайн курса про программе CompTIA Cybersecurity Analyst CySA+ и хотел бы поделиться впечатлениями.


Не могу сказать, что мне это обучение было нужно, но где-то я увидел его упоминание, как один из возможных вариантов для аналитиков SOC, и поэтому решил пройти его, чтобы понять, чему нынче учат тех, кто сидит в первой линии SOC (да-да, я не сторонник того, что эта линия нужна, но со мной многие несогласны :-)


Этот курс, как написано в описании, дает глубокое понимание основ и принципов кибербезопасности. И в этом я целиком согласен с аннотацией. 21 час, 4 модуля, 17 уроков посвящены рассмотрению почти всех тем по ИБ - от kill chain до пентестов, от выбора защитных мер до обзора нормативки, от анализа различных защитных технологий до рассмотрения процесса реагирования на инциденты, от SDLC до SABSA.


Все это в формате живых дискуссий между инструкторами, демонстраций, лекционного материала. Кстати, насчет инструкторов. Их было два - архитектор Джозеф Муниц из Cisco (автор многих книг, в том числе и одной из лучших книг по SOC) и исследователь ИБ Аамир Лахани из Fortinet. Аамир взял на себя первую часть курса про атаки, инвентаризацию, аудит, анализ защищенности и защитные механизмы. Джозеф взял на себя второй блок - реагирование на инциденты, процессы ИБ, нормативка, особенности обнаружения различных типов атак, индикаторы компрометации и т.п.


Согласно аннотации курс относится к уровню Intermediate и я склонен с этим согласиться. Хотя по ряду тем курс ближе к pre-intermediate, а по ряду к post-intermediate.



Практики нет, но ряд заданий можно выполнять самостоятельно, повторяя за инструкторами, запускающими nmap, wireshark, SET и другие утилиты Kali Linux, демонстрирующими основные положения первой части курса. Во второй, процессной части, практики почти нет, что обусловлено материалом.

В целом, курс может быть полезен как быстрый способ получить основы кибербезопасности с упором на роль аналитика ИБ, например, в SOC. Для тех, кто в сфере ИБ работает уже давно, курс может помочь систематизировать имеющиеся знания и закрыть некоторые пробелы.


ЗЫ. Проходил курс на www.safaribooksonline.com в рамках корпоративной подписки. Экзамен не сдавал - необходимости нет. 

14.01.2019

Крупные мероприятия по информационной безопасности на 2019 год

На прошлой неделе несколько человек спросило меня, буду ли я делать в очередной раз календарь мероприятий по ИБ на 2019-й год. Если честно, то я не планировал это делать, так как работа немного теряет смысл. Новые мероприятия появляются достаточно редко, уже проводимые не раз повторяются примерно в те же даты и на том же уровне, корпоративные мероприятия (а их становится все больше) ограничены для входа. Повторить мои прошлогодние перечни может любой желающий - для этого нужно всего лишь проапдейтить даты, взяв их с сайтов мероприятий. Ну да ладно причитать. Я запустил опрос на Facebook и результат оказался не в мою пользу :-)


В итоге пришлось повторить перечень мероприятий по ИБ, обновив в нем только даты. Новых в нем почти нет (разве, что Сберовские ICC и Offzone, а также промышленный и итоговый Коды ИБ). Скачать файл можно по ссылке на Dropbox (если вы не хотите обходить блокировки Роскомнадзора).



Повторю критерия внесения в список:
  • известная дата
  • возможность попасть со стороны (пусть и за деньги, но не по приглашениям и закрытым спискам)
  • невендорские
  • достаточно массовые
  • очные (онлайн/вебинаров в списке нет - что-то можно у Сергея Борисова посмотреть)
  • только Россия
  • широко известные (про многие региональные мероприятия я просто ничего не знаю) 
  • ИБшные (ИТшные с вкраплениями ИБ не включаю)
  • неВУЗовские (у них своя целевая аудитория и специфика).

ЗЗЫ. Проект http://risc.events все-таки, похоже, умер - никакой активности ни на сайте, ни в его Твиттере я не видел давно. А жаль :-(

ЗЗЫ. Если будут новые, то буду обновлять только файл на Dropbox (на Slideshare поменяли правила игры и теперь там нельзя обновить файл - надо заливать новый).

11.01.2019

Сертификат о прочтении моего блога и засчитывании его в качестве программы повышения квалификации по ИБ

Нередко слышу от людей комментарии, что они "выросли на моем блоге", что мой блог сильно помог им разобраться в ИБ и т.п. А вчера, в группе RuScadaSec в Telegram всплыл вопрос о том, что делать, если появится требование об обязательном повышении квалификации по ИБ для защиты КИИ. Кто-то написал, что он читает мой блог и ему не нужны никакие дополнительные программы повышения квалификации (даже новая ФСТЭКовская :-) А кто-то спросил, выдаются ли читателям моего блога сертификаты государственного образца?..

Что я могу сказать? Мне лестно читать такие отзывы о блоге. Значит не зря я все это затеял больше 10 лет назад. В любом случае я решил отблагодарить всех читателей и разработал сертификат, подтверждающий прочтение моего блога, что можно (по числу записей) благополучно засчитать за прохождение повышения квалификации в количестве 512 часов :-) Так что, если кому-то нужно подтверждение, что он прочитал мой блог, то вот вам сертификат. Скачивайте, вписывайте свое имя над кровавой полосой и вешайте к себе на стену. Если кому-то нужен PDF, то он тоже доступен.


Попробую поговорить с ведущими работодателями России, чтобы они засчитывали этот сертификат при приеме на работу. Думая к 1-му числу второго квартала смогу уже сообщить о результатах.

10.01.2019

2 новых примера повышения осведомленности

Пока не все еще вступили в боевой режим работы, а кто-то и вовсе не вернулся с отдыха, не буду постить что-то серьезное. Просто поделюсь двумя примерами повышения осведомленности, которые мне попались в рамках новогодних подарков. Первый - перекидной настольный календарь от Газпромбанка с лайфхаками о том, что можно и что нельзя делать рядовому пользователю с точки зрения информационной безопасности.


Вторым примером порадовал Сбербанк, который включил свои широко известные в узких кругах постеры в ежедневник, расширив их конкретными советами по полутора десяткам направлений - мобильные приложения, Wi-Fi, облака, пароли, двухфакторная аутентификация и т.д.

В целом ничего сверхествественного, но оно и не нужно в данном случае. Простые и понятные советы, которые всегда перед глазами. А самое главное эта защитная мера не требует особых финансовых затрат - нужна только креативная идея, которую достаточно легко можно воплотить в жизнь без помощи дизайнера. Например, идея не раскрывать пароль коллегам можно проиллюстрировать зубной щеткой, расческой (в женском коллективе) или трусами, которые нельзя передавать даже близким друзьям. А слоган "не полагайтесь на один антивирус - используйте несколько защитных мер" можно легко сопроводить фотографией разрезанных многослойных луковицы или белокачанной капусты. И таких идей, для которых картинки легко найти в Интернете, можно нагенерить немало. Можно даже привлечь сотрудников (в любом коолективе есть креативные люди) и предложить им поучаствовать в придумывании слоганов и идей для плакатов по ИБ. Я знаю несколько организаций в России, которые использовали эту рекомендацию, вовлекая таким образом сотрудников в процесс обеспечения ИБ. В приведенных выше примерах работа проделана более качественно - видна работа дизайнера, который облек все советы и слоганы в единый стиль.

09.01.2019

Блиц-обзор новостей по ИБ за прошедшие праздники

Уже по традиции решил сделать блиц-обзор новостей, которые попали в поле моего зрения за последние почти две праздничные недели. Ничего похожего на прошлогодние Spectre и Meltdown не произошло, но были другие интересные события:

  • Число утечек продолжает активно расти и новогодние праздники не стали исключением - почти на всех материках (кроме Антарктиды) зафиксированы инциденты с персональными данными - в Австралии утекли данные работников правительства штата Виктория (еще в Австралии было 4 утечки, но не столь массовых), утечка у игровой компании BlankMediaGames, в Германии утекли персональные данные немецких политикой, включая и Ангелу Меркель, у американской металлургической компании украдены данные покупателей. Не обошли утечки и компании, занимающиеся безопасностью - произошла утечка данных 24 миллионов пользователей парольного менеджера Blur. Вообще, утечка данных десятков миллионов пользователей уже не представляет из себя ничего уникального - таких примеров уже десятки, а общее число утекших данных превысило 4 миллиарда записей и скоро достигнет общей численности земного шара. В 2019-м году эта тенденция только продолжится, о чем я уже писал в нашем корпоративном блоге на Хабре.
  • Эксперты отмечают рост внимания злоумышленников к провайдерам услуг и вот первый пример этого года - атака шифровальщиком Ryuk облачного провайдера Data Resolution.
  • Уязвимости
    • Очередная, но неплохая обзорная публикация о том, что Телеграм небезопасен
    • Злоумышленники стали использовать новую тактику для обхода антифишинговых средств - скрытие исходного кода фальшивых страниц с помощью пользовательских цeb-шрифтов
    • Zerodium поднял цены на скупку уязвимостей. Цена на дыры в iOS возросла до 2 миллионов долларов (рост на 25%), в WhatsApp - до миллиона (рост на 50%). Цена на RCE в Chrome цена выросла в 2,5 раза до полумиллиона долларов, а цена на RCE в Windows в 2 раза - до 1 миллиона долларов.
  • Новые тулы
    • Анонсирована новая децентрализованная платформа обмена Threat Intelligence на блокчейне - Polyswarm. Предполагается, что она будет отличаться от VirusTotal двумя моментами - привлечением независимых аналитиков вместо антивирусных движков и вознаграждением работы аналитиков.
    • Стало известно, что на грядущей RSA Conference АНБ откроет сообществу свой open source реверс-инжиниринговый тул GHIDRA, который упоминается в утечке Vault 7 на Wikileaks 
  • Новогодние праздники ознаменовались двумя отключениями Интернет в африканских странах, Конго и Габоне, в которых проходили демократические выборы.
  • Геополитика
    • В России задержали американца за получение секретных сведений на флешке от неизвестного лица (На флешке? В эпоху Интернета?). Считается, что этого "шпиона" будут менять на задержанную в США Бутину или на Сайпане Макаренко. После этого МИД выпустил предупреждение россиянам, о том, что стоит соблюдать остороность при поездках заграницу. Некоторые американские специалисты по ИБ уже написали в соцсетях, что они воздержатся от посещения России (даже те, кто и не планировал никогда сюда ехать) из-за опасности задержания с целью последующего обмена. Помимо нас и американцев в эпопею с задержаниями активно включился Китай, который, после задержания топ-менеджера Huawei в Канаде, задержал у себя на территории 13 канадцев. К ИБ это имеет мало отношения - тут чистая геополитика, но держать в голове этот факт при планировании поездок стоит. 
    • Вдруг на праздниках американцы стали активно обсуждают офицера ГРУ Нетыкшо и его в/ч, якобы замешанных в кибератаках на американскую демократию. В чем причина такого интереса разных специалистов к Нетыкшо я пока не понял - вроде никаких причин для этого нет - обвинения к нему американский Минюст предъявил еще летом 2018-го года.
    • Американские эксперты начинают прямо говорить, что кибервойна с Китаем гораздо опаснее "русских хакеров". Если с нами все предельно понятно и просто, то китайцы действуют медленно и незаметно, что гораздо опаснее. Кроме того, китайцы ставят перед собой цель мирового экономического господства, что делает их попытки кражи интеллектуальной собственности в США достаточно серьезными.
    • Американское сообщество разведывательных органов начинает кампанию помощи частным американским компаниям против угроз (преимущественно из киберпространства), исходящих от иностранных государств, в первую очередь Китая, России, Северной Кореи, Ирана. 
  • Япония ввела новый налог с выезжающих из страны по морю или воздуху, который пойдет на компенсацию затрат на сбор биометрии.
Еще в мое поле зрения только на праздниках попал канадский список защитных мероприятий, которые должны решить большинство проблем с ИБ. Этот список, выпущенный в октябре, идеологически схож с австралийским списком 4/8/35 мер DSD и американским CIS Controls (бывший SANS Top 20). Ничего нового, но все равно интересно :-)