10.03.2020

Криптографический квиз и другие интеллектуальные игры на РусКрипто

Ровно через неделю начинается РусКрипто, которая входит в мой топ-лист российских мероприятий по ИБ. И дело тут даже не в программе, а скорее в атмосфере и месте проведения, которые собирают многих специалистов по ИБ, имеющих отношение к теме криптографии, идентификации, аутентификации, производных технологий на их основе (например, блокчейн), и т.п

В этом году я буду выступать в секции "Секреты, ключи, сертификаты и идентификационная информация в современных ИТ-инфраструктурах" под руководством несравненного Алексея Качалина. Буду рассказывать о том, как сегодня, когда идентифицировать и аутентифицировать надо не только пользователей, но и устройства, которые подключаются к внутренним и внешним ресурсам изнутри корпоративной сети или снаружи ее, когда проверка подлинности проходит не только на уровне ОС или сетевого устройства, но и на уровне приложений, собственных или чужих, внутренних или облачных, мы должны по-другому посмотреть на то, как должна быть реализована и внедрена система управления идентификационной информацией и предоставления доступа. Попробую рассказать о том, как эволюционировали системы идентификации и аутентификации и какие решения нового поколения сейчас доступны заказчикам? Это будет 18-го марта.

А 19-го марта, вечером, я буду вести криптографический квиз "Игра в имитацию", который по формату будет отличаться от тех интеллектуальных игр, которые я вел в прошлые годы ("Своя игра", "Брейн-ринг", "Где логика?" и др.). В этот раз совершенно не важно, кто первый нажмет кнопку или поднимет флажок. Поэтому проявить свои знания в области криптографии сможет каждый. Но проверять буду не только теорию и исторические факты, но и знания в области музыки и литературы, кино и мультипликации. Надеюсь, что завершить насыщенную деловую программу участием в интеллектуальной игре будет познавательно.


Кроме игры, также подготовил несколько кроссвордов на каждый день, ответив на вопросы которого, все участники смогут получить призы от организаторов РусКрипто. И кроссворды (разных типов) тоже будут на тему криптографии. Дерзайте!

06.03.2020

17 способов проникновения во внутреннюю сеть компании (обновленная презентация)

Во Владивостоке на неделе проходил Cisco Security Day, где я выступал с несколькими докладами. Один из них, рассматривающий несколько крупных инцидентов (Equifax, MAERSK, British Airways, DNSpionage, Olympic Destroyer и т.п.), я и выкладываю. В нем я попробовал подсветить ряд вопросов, связанных с тем, почему крупные организации, тратящие миллионы на свою защиту, не смогли обнаружить и среагировать на эти и схожие инциденты.



05.03.2020

Как ДИБ и ФинЦЕРТ могли бы улучшить кибербезопасность финансовых организаций?

Одним из часто звучащих вопросов от руководства, которое мало что смыслит в ИБ, но хочет держать руку на пульсе, среди прочих, является: "Как мы соотносимся с конкурентами?" За этим, казалось бы простым и сложным одновременно, вопросом скрывается вполне понятные управленческие решения. Мы хуже других - значит надо "наказать" виновных и инвестировать в улучшения. Мы лучше других - надо наградить "непричастных" и хвалиться этим.
Но если отбросить в сторону болтовню, то знание своего уровня безопасности по сравнению с другими, позволяет безопаснику фокусироваться на тех процессах и проектах, которые позволят улучшить свою ИБ как в целом, так и в отдельных направлениях.

Чтобы узнать свой уровень можно обратиться к "большой четверке" и они в рамках Security Benchmarking смогут оценить вас, как по отношению к "коллегам" в вашей отрасли, так и по отношению с компаниями из других сфер деятельности. Схожую задачу могут решить и просто крупные международные аудиторы, которые за время своей работы накопили статистику и могут оценивать зрелость своих клиентов и сравнивать ее со "средней температурой по больнице" (мы, например, такое делаем при аудите SOCов, сравнивая их между собой).

А теперь вернемся к заголовку заметки. Как эту задачу мог бы помочь решить Банк России для своих поднадзорных организаций? А все просто. В ЦБ стекается на протяжении уже нескольких лет 202-я форма отчетности (а до этого отчетность по СТО БР, а сейчас еще и отчетность по ГОСТ 57580.2), которая содержит всю нужную информацию. Раньше ГУБЗИ уже публиковало сводную статистику по числу кредитных организаций, достигших того или иного уровня соответствия по 202-й форме. Но в последнее время уже ДИБ перестал это делать, уделяя внимание только данным по мошенническим операциям (свежий отчет) и атакам.

А ведь, что может быть проще, раз в год, публиковать сводную радарную диаграмму по средним уровням соответствия требованиям того же ГОСТа. Можно пойти еще дальше и делать выборку по разным типам финансовых организаций - банки с базовой лицензией, крупняк, операторы платежных систем, разные типы НФО и т.п.     


Никакой тайны в этом случае не раскрывается, репутация финансовых организаций не страдает, а у последних появляется ценнейший источник информации, на который можно ориентироваться в своей деятельности. И на вопрос руководства: "А как мы соотносимся с конкурентами?" всегда можно быстро подготовить один слайдик с радарной диаграммой и правильно его преподнести.

И ЦБ - единственный из всех регулятор, кто способен это сделать. У ФСТЭК нет этих данных, хотя если аккумулировать результаты аттестаций, то может получиться тоже неплохая аналитика. ФСБ/НКЦКИ все по привычки засекречивает и делится только данными о десятках миллионов атак, отраженных на сайт Президента России. И только ЦБ в лице ДИБ не только имеет все необходимые данные, но и может их публиковать, так как уже делал это раньше и делает сейчас по смежным направлениям своей деятельности. Думаю, вот за это ДИБу бы реально сказали "спасибо". А то попытка вынести тему ИБ на уровень Правления, предпринятая в проекте положения по системе управления операционными рисками в принципе неплоха, но очень уж сложна для восприятия и реализации. Я уже дважды прочитал именно эту редакцию проекта, но пока в голове не уложил всю схему того, что хочет сделать ЦБ и как это соотнести с уже имеющимися мероприятиями по ИБ, требуемыми по другим нормативным актам регулятора.

04.03.2020

Еще одна настольная игра по ИБ - Black Hat

Прикупил я тут на Amazon себе в коллекцию очередную игру по ИБ, которая скромно называется Black Hat.


В отличие от описанных позавчера карточных игр, Black Hat идеологически больше поход на KIPS, в которой карточки тоже есть, но они скорее дополняют игровое поле, чем являются основным инструментом игры.


В игру может играть от 2 до 6 игроков, которые могут использовать совершенно разные тактики и стратегии для достижения победы, которую не обязательно получает тот, кто заканчивает игру первым.


Карты разного значения:


Различные переходы на игровом поле:


Смена части поля для того, чтобы помешать противнику:


"Туз в рукаве", который может попасть при сдаче и который может мгновенно изменить ход игры: 


Цель - показать возможности и трюки, которые есть у "плохих парней", способных нанести ущерб вашей компании. А игра помогает вам в игровой форме погрузиться в методы, которые могут быть использованы против вас.


В целом, мне игра понравилась. И она могла бы легко занять свое место на различных мероприятиях или тим-билдингах безопасников. Особенно сейчас, когда лишний раз на улицу не выйдешь, страшась коронавируса, на зарубежное мероприятие особо не съездишь... Что еще делать долгими вечерами в перерывах между обсуждением поправок к Конституции и улучшением демографии в стране?.. Правильно! Играть!!!


03.03.2020

В аутсорсинговых SOC не бывает квалифицированных кадров!

"В нашем SOC работает высококвалифицированный персонал...". Примерно такие фразы можно встретить в рекламе чуть ли не каждого российского SOCа, предлагающего свои услуги заказчикам, задумывающимся о том, как выполнять требования законодательства по КИИ или нормативных актов Банка России, требующих незамедлительного оповещения регулятора об инцидентах. И каждый раз, когда я вижу эту победную реляцию о высококвалифицированных аналитиках, я порываюсь задать несколько вопросов такому SOC. Но так как меня могут побить камнями, а презентацию о том, что аналитики L1 не нужны мне до сих пор вспоминают, я решил задаться риторическими вопросами на страницах своего блога.

2-3 марта в Луисвилле проходит Blue Team Summit, на котором, в выступлении Стеф Рэнд прозвучала очень интересная цифра - среднее время, которое затрачивается на подготовку аналитика SOC, составляет 12 (!) месяцев. При этом у меня есть непубличная статистика европейских и американских SOCов, которая говорит, что средняя ротация кадров в SOC составляет около 90% в год, то есть за 12 месяцев сменяется почти весь состав аналитиков.


То есть мы уже видим некоторую нестыковку между заявлениями некоторых коммерческих SOCов и реальностью. А если посмотреть с другой точки зрения, с точки зрения бизнеса? Аналитики - это самое узкое место любого аутсорсингового SOC. И чтобы бизнес такого SOC мог расти по мере появления новых заказчиков, это узкое место должно иметь возможность почти мгновенного расширения. Ваш клиент, придя к вам за мониторингом ИБ, не может ждать, пока вы обучите за 12 месяцев нового аналитика (или даже нескольких аналитиков). И на рынке вы его не купите, так как аналитиков L2-L3 уже всех давно схантили, а L1 хантить бессмысленно (он запросит денег больше, чем стоит). Получается, что узкое место надо забивать молодняком, который готов работать за еду и который, увы, не будет блистать высокой квалификацией, но который сможет подхватывать задачи и помогать расти бизнесу.

В такой ситуации как никогда важной становится задача разработки эффективных playbook и автоматизации работы с ними и с другими задачами SOC. Тогда низкую квалификацию аналитиков SOC можно компенсировать грамотной автоматизацией и прописанными процессами, обеспечивающими движение от А до Я по наиболее короткому маршруту, недопускающим отклонений и траты драгоценного времени.

Кстати, о рутинных процессах в SOC. Профессионал не будет работать тупо методично выполнять одну и ту же работу согласно playbook. Ему очень быстро это наскучит и он либо вообще не возьмется за эту работу, либо очень быстро захочет перемен. Поэтому удел профи в SOC - это творческая работа типа threat hunting или forensics, но никак не L1-L2, коих и нужно большинство в аутсорсинговом SOCе и которые и закрывают большую часть кейсов. То есть мы опять возвращаемся к мысли, что типовые задачи SOC закрываются не профессионалами, а низкоквалифицированной рабочей силой. L1, там где работает основная масса аналитиков, это по сути конвейер, на котором каждый шаг имеет четко прогнозируемое время прохождения и предсказуемое качество. А это первые кандидаты на автоматизацию.

Вот методолог SOC - это, да, профессионал, но он нужен один, ну два, на SOC. Специалист по контролю качества SOC тоже профессионал, но и он нужен не в массовом количестве. Реверсер вредоносного кода может вообще в SOCе не дождаться, когда ему прилетит малварь для анализа. А если прилетит, то это столь редкое событие, что уж точно не требует наличия десятков специалистов. Архитектор SOC тоже птица редкая, но потому и высокооплачиваемая, Настройщиков пианино SOC тоже много не нужно. Вся массовка - это как аналитики первой и второй линии и именно их должно быть много и именно они будут низкоквалифицированной рабочей силой.

Если вам утверждают обратное и по-прежнему твердят о высокой квалификации аналитиков SOC, то стоит задуматься, понимает ли выбранный вами коммерческий SOC хоть что-то в коммерции? Какой нормальный руководитель будет нанимать высокооплачиваемых специалистов на рутинную работу, которую и робот при правильной автоматизации может выполнить? А где найти столько высокооплачиваемых профессионалов? Их в мире-то не хватает, не говоря уже о России с ее уровнем недоИБразования.

Я как-то в одной презентации по SOCам запостил скриншот одного коммерческого SOC, который как раз искал к себе аналитиков "без опыта работы", и потом на меня за эту презентацию наехали, мол, я подрываю репутацию и бизнес этого SOCа. А ведь в этом ничего такого нет - это нормальное бизнес-решение для растущего SOCа - других вариантов просто нет. Либо у вас все высококвалифицированные и дорогие и поэтому вы топчитесь на месте и уж точно не растете (а то и банкротитесь, не выдерживая конкуренции с теми, кто лучше вас понимает в бизнесе). Либо вы растете, но за счет найма "пушечного мяса", которое нахватается у вас знаний и опыта и или пойдет на повышение к вам же (а вы будете на его место искать других "студентов"), или на большую зарплату к другому работодателю. И так по кругу...

02.03.2020

4 карточных игры по ИБ

Андрей на днях написал про карточную игру по ИБ, которую выпустили горячие финские парни из NIXU (и чуть раньше про еще одну) Я решил накидать еще несколько примеров карточных игр по ИБ, которые можно внедрить как в процесс повышения осведомленности или обучения по ИБ в своей компании, или использовать их на мероприятиях по ИБ.

CERT компании Michelin в 2017-м году разработал свою версию карточной игры (на английском и французском языках), исходники которой можно скачать с Github и использовать по своему усмотрению. 42 карты с отличным дизайном поделены на 2 категории - защитники (зеленые) и нападающие (красные). При этом в каждой из категорий есть акторы (фиг знает, как это перевести нормально на русский язык, - термин уже активно используется дипломатами), то есть человеческие персонажи (государственные хакеры, аналитик ИБ, архитектор ИБ, Grey Hat, менеджер проектов, киберпреступники и т.п.), и инструменты (системы обнаружения атак, защита Wi-Fi, Zero Day, DoS, флешка на парковке и т.п.). Каждый персонаж имеет три характеристики - уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления. Сама игра достаточно проста - сдаются карты и затем идет подсчет значений имеющихся на руках характеристик. Интересная задумка и прекрасный дизайн, но не до конца проработанная логика игры, в которой слишком много уделяется удаче.

Еще одну карточную игры по ИБ разработали в японской ассоциации сетевой безопасности, взяв за основу игру "Оборотень" (Werewolf), которая в свою очередь базируется на классической "Мафии", придуманную Дмитрием Давыдовым в 1986-м году.

В SEC WEREWOLF идея отличается от предыдущей игры - коррумпированные работники стащили конфиденциальную информацию с помощью нанятых хакеров. Руководство компании узнает об этом, но коррумпированные сотрудники пытаются повесить всю вину для невиновных. CSIRT приглашается для проведения расследования. Цель игры - познакомить широкий круг неспециалистов по ИБ с ролью и деятельностью группы реагирования на инциденты.


Правила игры, описание персонажей доступно на сайте JNSA, но сами карты скачать нельзя - только купить в Интернет-магазине. Однако это не так уж и страшно - в правилах игры дано описание всех карт и их можно изготовить самостоятельно.


Гораздо более сложная игра, и более приближенная к реалиям ИБ, называется d0x3d!, доступная в исходниках на Github. Различные типы нарушителей и атак:
Различные объекты для нападения:

Различные цели (финансовая информация, интеллектуальная собственность, персданные и т.п.):

Различные действия:

По сравнению с предыдущими двумя играми это на порядок сложнее, но от этого и интереснее. Занимает она около 1 часа и играть в нее можно даже одному игроку (до 4-х игроков).


Последняя в этом обзоре игра называется Backdoors & Breaches. Она разработана для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны кар, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. У их карточного варианта есть как свои плюсы, так и минусы. Плюс связан с формой представления учений - в карты можно играть даже в купе поезда. Минус - вы ограничены теми TTP, которые записаны на картах. В остальном же очень интересный вариант карточной игры по ИБ.  


На прошедшей на прошлой неделе RSA Conference геймификация и интерактив заняли свое достойное место и немало сессий проходило не в скучном лекционном формате, а именно в игровой форме. Так что это стоит пробовать.