27.11.2019

Новая концепция кибербезопасности - Zero Trust (презентация)

Последний региональный "Код ИБ", который я посетил в этом году, проходил в Самаре, где я рассказывал о новой концепции Zero Trust. О самой концепции я уже написал небольшую заметку, а теперь пора выложить и презентацию.



Есть еще и видео про Zero Trust, но оно с другого мероприятия и включает в том числе упоминания Cisco.

26.11.2019

ИБ в госорганах. Голоса с мест

Этой осенью мне довелось поучаствовать в нескольких региональных мероприятиях по ИБ, на которых я пообщался с представителями госорганов, которые поделились со мной своей болью относительно того, что происходит у них с точки зрения кибербезопасности. А на прошлой неделе на SOC Forum было искрометное выступление представителя Самарского ДИТа, который рассказывал о схожих проблемах. В совокупности набежало на целую заметку.
  1. ВУЗы практически убили специалитет по ИБ, оставив преимущественно магистратуру и бакалавриат. А ФСТЭК в своей нормативке требует специалистов по защите информации. А их в природе больше и не готовят почти ;-( Как выполнить это требование?
  2. Качество подготовки кадров оставляет желать лучшего. Это старая история, но не теряющая своей актуальности. То, чему учат, плохо подходит под новые требования, а то, что подходит, не имеет согласований у регуляторов, что вызывает опасения у представителей госорганов - полученную "корочку" не покажешь проверяющим, которые часто следуют формальным признакам.


  3.  С 1-го января 2020 госы переходят на профстандарты, требующие специалистов (опять) с опытом работы от трех лет. Выпускник не подходит, а реальный спец с опытом 3+ на зарплату в гос не пойдет ;-( А если брать выпускника ВУЗа, то это штраф за нарушение профстандарта. В итоге получается коллизия, которую непонятно как решать. Судя по всему, регулятор в лице ФСТЭК не в курсе происходящих изменений в сфере образования и свои документы под них не обновлял.

  4. Зарплата же в регионах в госорганах оставляет желать лучшего. Найти на такую зарплату специалиста с опытом непросто. И даже 13-я зарплата и премии не всегда сильно выправляют эту ситуацию. Приведенный внизу слайд с SOC Forum вызвал бурю эмоций в соцсетях; особенно ассоциативная картинка слева от сумм денежного довольствия :-(


  5. Лицензия на мониторинг ИБ требует специалиста с опытом мониторинга ИБ от трех лет, который (опыт) может быть получен только при наличии лицензии, который требует специалиста с опытом мониторинга ИБ от трех лет, который... Рекурсия-с... Это старая история, но до сих пор всплывает, так как регулятор не дает четкого и официального (или хотя бы публичного на сайте) ответа.
  6. ФСТЭК в числе ошибок по категорированию ОКИИ указывает отказ в признании субъектами, что у них есть КИИ, или занижение категорий значимости. А почему госы так делают? А денег им никто не дал на выполнение ФЗ-187. Лучше не признать наличие ОКИИ, чем признать и не выполнить ФЗ и сесть по 274.1 УК РФ. Парадоксально, но часто именно такие действия рекомендует региональное управления ФСТЭК своим подопечным (разумеется, неофициально).


    1. Новые требования ФСТЭК не может даже сама ФСТЭК выполнить, а точнее ее региональные управления, часто сидящие в арендуемых помещениях, в которых нельзя выполнить все требования регулятора (в т.ч. и по ГТ). Это тоже старая история - многие требования ФСТЭК пишутся из расчета, что подопечные находятся в собственном здании или помещении, а это не так.
    2. К ГосСОПКЕ все подключились, а от нее уже несколько месяцев никаких уведомлений и фидов не приходит. И в чем тогда был весь смысл? Чтобы ФСБ получила дополнительные права по проверкам?.. На SOC Forum прозвучало предположение, что сотрудники НКЦКИ готовились к выступлению и поэтому им не хватало рук на подготовку бюллетеней :-) А может просто атак не было. Хотя по данным регулятора враг не дремлет - на виртуальных границах обстановка неспокойная.


      1. Российские вендора по ИБ достали. Вместо того, чтобы рассказывать о способах решения проблем, тупо впаривают свои поделия, часто даже повышая цены в условиях отсутствия конкуренции и запугивая требованиями по импортозамещению и обращением в суд или прокуратуру, если госорган не побоится и решит купить зарубежное решение. Часто звучит от госорганов вопрос "что делать, когда российских продуктов вообще нет под нужные требования, а дамоклова меча импортозамещения от плеч никто не отнимал?" Российские вендора только в рекламных листовках аналогичны иностранным решениям. А на деле далеки от того, что они импортозамещают.
      2. Отдельная тема - боль испытательных лабораторий, которые не знают, как реализовывать новые требования по доверию от ФСТЭК. И ладно бы, это был единичный случай, я уже от 6-8 лабораторий это слышал в неформальной беседе.
      Вот такая нерадужная картина вырисовывается. Но мы выстоим! Не в первой!

      25.11.2019

      Измерение эффективности SOC. 3 года спустя (презентация)

      На прошлой неделе я выступал на SOC Forum с презентацией о том, как изменилось за последние три года отношение к измерению эффективности SOC. С этой темой я уже выступал три года назад и вот решил вновь к ней вернуться и посмотреть, что изменилось. В качестве иллюстрации использовал данные отчетов о состоянии SOC от SANS и Exabeam, а также результаты еще неопубликованного обзора по российским SOCам, который проводился в преддверии SOC Forum. Отдельный обзор по форуму я еще напишу, а пока выложу свою презентацию:

      08.11.2019

      Как не ошибиться в выборе SOC-as-a-Service (презентация)

      Вчера выступал на нижегородском Коде ИБ, где рассказывал про особенности выбора аутсорсингого партнера по ИБ на примере SOC-as-a-Service. Выкладываю презентацию (на Slideshare).



      06.11.2019

      Как защищать систему без моделирования угроз?

      Сегодня совпало три события, которые и повлекли за собой написание этой заметки. Во-первых, я читал сегодня вебинар по концепции Zero Trust (если вдруг интересно, то вот ссылки на  материалы и видео). Во-вторых, а сейчас изучаю проект новой методики ФСТЭК по моделированию угроз, которая должна быть утверждена до конца года. Наконец, среди интересного проскочила новость, что исследователи нашли способ взламывать Siri, Alexa, Google Assistant с помощью лазера, который внедряет команды, заставляющие голосовых помощников открывать двери, заходить на сайты, запускать и разблокировать автомобили и т.п.

      Вот интересно, включили бы вы такую угрозу в свою модель угроз? Предположу, что все-таки нет, так как врядли вы изначально рассматривали такой сценарий реализации угрозы. Понятно, что теперь, узнав о такой возможности, вы ее включите в свою модель угроз, если используете голосовые помощники. И так каждый раз, когда появляются сведения о какой-то новой угрозе, а это происходит слишком часто. Есть ли варианты решения этой "гонки вооружений"?

      По сути мы являемся заложниками подхода, который заключается в том, что сначала мы моделируем угрозы, а потом разрабатываем меры их нейтрализации и никак иначе. Это даже в нормативной базе прописано. Но что делать, когда у вас не хватает квалификации для этого или система меняется достаточно оперативно, чтобы постоянно вносить правки в модель угроз? Именно в таких условиях и родилась концепция "нулевого доверия" или Zero Trust, появившаяся в 2010-м году у компании Forrester.

      Первоначально она развивала идеи термина "депериметризация", родившегося ранее на Jericho Forum, и касавшаяся только сетевой составляющей. В оригинальную модель Zero Trust входило три компонента, которые позволяли повысить уровень защищенности, не доверяя статическим правилам на МСЭ, коммутаторах и точках доступа. 

      Позже к ней добавили еще ряд компонентов, направленных на более высокий уровень - приложения, пользователей и данные.


      Концепция Zero Trust исходит из того, что мы предполагаем, что угроза может исходить откуда угодно и все их заранее мы никогда не опишем и не приоритезируем. А, следовательно, надо выстраивать принцип минимума привилегий на уровне сети, приложений и пользователей, при этом обеспечивая не статическую, а динамическую политику безопасности, стремясь к непрерывной верификации тех же сетей, приложений, пользователей и данных.

       Это краткое изложении концепции Zero Trust, которая сейчас реализуется многими компаниями, - Cisco, Illumio, Okta, Google, Intel, Akamai, MobileIron и т.п. Но этот, достаточно инновационный подход для многих российских компаний врядли так быстро займет свое место на нашем рынке. Требования регуляторов по моделированию угроз и от него никуда не деться. Поэтому придется совмещать первое со вторым.

      05.11.2019

      Киберучения на SOC Forum 2018 (видео)

      BIS TV выложило на своем канале в YouTube запись прошлогодних киберучений, который я вел на прошлом SOC Forum 2018. Меня многие спрашивали то презентацию с них, то примеры сценариев, и вот теперь есть возможность увидеть не только это, но и саму процедуру их проведения. В обычной жизни они проходят не так пафосно и пишутся под конкретную организацию, но и данное видео очень неплохо показывают всю концепцию и ее реализацию.


      ЗЫ. Остается всего две недели до нынешнего форума