Опыт полутора десятков онлайн-курсов за время самоизоялции

Так сложилось, что я не очень люблю отечественные учебные центры; не важно, в какой области они преподносят свои курсы - в ИБ ли или в чем-то ином. Пройдя немалое количество курсов западных (я тут посмотрел в нашей корпоративной LMS, в которую либо автоматом, либо вручную заносятся все мои курсы, и там их число давно перевалило за сотню), я понял, что ТАМ умеют делать из обучения реальный бизнес. Возможно, там просто больше специалистов, но там как-то умеют делать и качественный контент (и над ними не довлеет необходимость согласовывать свои программы обучения с регуляторами), и преподносить его по-разному и все равно интересно. А вот у нас что-то не то все время (я и за собой замечаю, что мои курсы достаточно однобоки и местами скучны, что, на мой взгляд, скорее связано с желанием втиснуть в 8 часов слишком много контента, не давая возможность поделать слушателям какие-то задания).

3,5 месяца самоизоляции (а мы глобально продолжаем на ней находиться до конца осени) позволили высвободившееся от очных мероприятий и командировок время уделить самообразованию, которое в 100% случаев проходило дистанционно. И это были совершенно разноплановые курсы - от продуктовых по Cisco до трехдневного курса по проектированию и планированию SOCов, от создания дашбордов до организации собственной онлайн-школы, от создания бизнеса с нуля (две недели со стартаперами) до сетевого threat hunting'а. На что-то я пошел для систематизации собственных знаний и навыков, что-то было обязательным на работе, а что-то было просто интересно изучить с точки зрения расширения кругозора. Заодно я прослушал записи ряда конференций по ИБ - от RSA Conference 2020 или Cisco Live US 2020 до "Кода ИБ. Профи" или конференции по ИБ O'Reily. И что я могу сказать по итогам такого образовательного дистанционного интенсива?..

Во-первых, дистанционное обучение - это челендж. Большой челендж. Без самоконтроля и постоянного пинания себя, вы постоянно будете отвлекаться от материала. И если обучение проходит в реальном времени, то нагнать потом будет сложно. Мне поэтому непросто дался трехдневный курс по SOC, на котором меня спасало только то, что многие вопросы были мне знакомы по проектам, в которых я участвовал или участвую, и я мог ненадолго отвлекаться.

Дима Мананнико как-то в Фейсбуке написал впечатления от преподавания онлайн на программе MBA в РАНХиГС. Мол удаленно, во-первых, сложно читать несколько часов подряд, а, во-вторых, вы не видите глаз слушателей и не понимаете их реакцию на вашу лекцию. Могу сказать как слушатель - это тоже непростая роль, так в онлайн вы не всегда можете достучаться до лектора; особенно, если речь идет о записи курса. Вы один на один с контентом и если вы его не понимаете или если платформа не приспособлена для преподавания, то это будет ад. Представьте, что курс проходит на платформе для организации вебинаров и вместе с вами на курсе еще несколько сотен человек (у меня такое было). Да, там есть чат и есть помощники лектора, но они не способны отработать весь тот поток сознания, который идет в чате непрерывно от сотен человек с разным уровнем знаний и навыков в изучаемой теме. В итоге вы не получаете очень многого, что можно получить при очном обучении.

В-третьих, у вас отсутствует социализация. Помню, когда я учился на курсах SANS по безопасности промышленных систем, около трети полезного я получил не на курсе от инструктора, а в кулуарах, общаясь с коллегами за обедом или вечером в баре (а обучение проходило в Амстердаме, в гостинице, где и проживало большинство слушателей). В онлайне у вас нет кулуаров и нет возможности обмениваться мнением за бокалом коньяка с коллегами. И это тоже большая потеря. На паре мероприятий, где мне довелось участвовать за время самоизоляции, организаторы с помощью курьеров доставляли участником еду и выпивку, но все-таки это не совсем то - общения-то все равно нет.

В-четвертых, на западных очных курсах обычно даются задания, которые вы выполняете во время многодневного курса. Например, на курсах SANS по обнаружению атак, SOCам, безопасности промышленных систем, Threat Hunting или реагированию на инциденты, в которых я участвовал у вас в день обычно проводится по 5-6 лабораторных работ, что приводит к 20-25 лабам за 4 дня, после чего пятый день целиком выделяется на практику. У нас такое мало где делается, а в онлайн это сделать вообще проблематично; как с точки зрения организаторов, так и с точки зрения слушателей. Особенно последним сложно - они же могут забить болт на "домашку" и ничего не делать. И проверить их сложно (хотя можно). В итоге обучение получается неполным. На очном обучении вы не можете откровенно манкировать заданиями, которые вокруг вас все делают.

А еще забавный момент - стоимость онлайн-обучения почему-то российские учебные центры не сокращают - она остается такой же, что и очное обучение. И это несмотря на существенное отличие этих двух форматов, которые надо готовить по-разному. У нас же обычно инструктор просто читает перед камерой с параллельным показом презентации и это считается дистанционным обучением. А все потому, что используемая платформа не позволяет организовать именно обучение, а не вебинар.

По итогам прохождения множества онлайн-курсов у меня составился некоторый список вопросов, который я задаю себе (и тем, кто предлагает мне дистанционное обучение), прежде чем принять решение:

1. Чем отличается дистанционное обучение от очного?
2. Будут ли домашние задания, включая стоп-задания (без которых нельзя пройти дальше)? На одном из курсов только стоп-задания заставили меня дойти до финала - курс был достаточно неудачно организованным, но я хотел его завершить и только стоп-задания стимулировали меня это сделать.
3. Какая платформа используется для обучения (специализированная или обычная, вебинарная)? Например, некоторые учебные центры используют Webex Meetings, который, в отличие от Webex Trainings, не очень подходит именно для обучения, при котором происходит активное взаимодействие со слушателями. А вот Webinar.ru, Youtube или Facebook, который также нередко используют для прохождения курсов, для этого совсем не предназначены.
4. Могу ли я общаться с другими участниками и как? В одном из курсов это происходило только в чате и только во время присутствия лектора, а в другом - организаторы создали специальные группы в Фейсбуке и Телеграме для постоянного общения.
5. Могу ли я задавать вопросы инструктору, в том числе и в частном порядке? Как это делается - в чате или голосом (писать длинные вопросы любят далеко не все)?
6. Будут ли мне доступны учебник и сопутствующие материалы (например, SANS заранее присылает вам коробку с учебниками и флешку с виртуалками для лабораторных работ)?
7. Как контролируется прогресс в обучении? Где-то это могут быть стоп-задания, а где-то специальная метрика, отражающая кумулятивный параметр оценки прохождения курса и выполненных домашек. 
8. В течение какого времени я буду иметь доступ к материалам онлайн-курса? У SANS, например, это обычно 6 месяцев. У курса по созданию бизнеса с нуля авторы предоставили пожизненный доступ к материалам. У всех все по-разному.
9. Если вам это важно, то уточните, сколько CPE вы получите от прохождения того или иного курса. Знаю, что многие сертифицированные специалисты иногда только ради CPE и ходят на конференции и обучение :-)

Вот такой, достаточно нестандартный для меня опыт, так как обычно лекции читаю я, а не мне :-) Может быть кому-то это будет полезным при выборе тех или иных онлайн-курсов. А я в следующей заметке попробую описать свой опыт прохождения курса по SOCам.

Подробнее…

5 типовых ошибок при проведении штабных киберучений

На этой неделе мне дважды довелось проводить/организовывать киберучения по безопасности (а всего я их провел уже больше десятка) и поскольку я считаю, что за этим форматом вовлечения в ИБ будущее, то хочу поделиться типовыми ошибками, которые совершаются при организации штабных киберучений.

Итак мой топ-5 ошибок выглядит так:

1. Вы не знаете свою целевую аудиторию и поэтому ваш сценарий не находит отклика у участников. Например, вы проводите учения для топ-менеджеров (главбух, финансовый директор, руководитель службы безопасности, директор HR и т.п.), но в своих кейсах даете слишком много технических деталей, которые не понятны участникам и они теряют интерес к мероприятию. Таже самая проблема возникает, когда ваш сценарий направлен на введение в реагирование на инциденты, а участвуют в киберучениях опытные специалисты службы Incident Response, которым ваши примеры кажутся детскими.
2. Вы не провели предварительное обсуждение с "заказчиком" учений и не уточнили, какую цель он преследует (а они могут быть разные). В итоге вы сделали не то, чего от вас ожидали. Например, генеральный директор захотел проверить, насколько эффективно его служба ИБ реагирует на нештатные ситуации в техническом, юридическом и организационном доменах, а ваш сценарий заточен на проверку способности службы ИБ пройти проверку регулятора, считая, что именно это важно в данный момент.
3. У вас нет сценария и вами управляет экспромт. Учитывая необходимость направлять участников в рамках многоходовой комбинации, экспромт не даст вам это сделать и вы уйдете далеко в сторону от первоначальной идеи.
4. Отсутствие четких правил и неумение держать аудиторию "в узде". Время учений обычно ограничено 2-3 часами (этого хватает для отработки 10-15 ситуаций для 5-6 групп) и поэтому вы не можете себе позволить давать участникам повторяться, долго думать, медлить с ответом, вступать в полемику не по делу и т.п. Работа ведущего (фасилитатора)  сродни модераторству, когда надо четко следить за временем и направлять дискуссию в заранее определенное русло. Пускать на самотек во время киберучений ничего нельзя.
5. У вас отсутствует follow-up и разбор полетов. Вы же проводите киберучения не потому, что это модно или прикольно. Вы преследуете вполне конкретную цель по выработке навыков ИБ и вовлечению (а не бездумному участию) ваших сотрудников в ситуации, схожие с реальной жизнью, но с которыми вы еще не сталкивались (и это хорошо). Для этого по окончании учений надо понять все ошибки (но не озвучивать их в рамках самих штабных командных киберигр, так как во время них не бывает правильных и неправильных ответов) и на их основе разработать планы по улучшению слабых мест, выявленных в процессе учений. Без этого, все эти "игрища" обречены на неудачу.

Подробнее…

Практические киберучения НАТО, АНБ и других

4 года назад я уже писал про киберучения и хотел бы вновь вернуться к этой теме, тем более, что совсем недавно (на протяжении последних полутора-двух месяцев) произошло несколько киберучения, в части из которых мне довелось принять участие. Про "Противостояние" на PHDays я уже писал, а вот про остальные хотел бы написать чуть подробнее.

Недавно в соседней Эстонии завершились крупные учения НАТО по кибербезопасности Locked Shield 2017, победила в которых команда Чехии. Я в этих учениях по понятным причинам не участвовал - был занят на другом мероприятии :-). В этом году 800 участников из 25 стран мира защищали различные системы - от дронов до цифровых электростанций, полностью имитируя действия настоящих защитников, противостоящих неназванному противнику, который, конечно же находится на Востоке от "прогрессивной" Европы и судя по СМИ ломает все, что движется и не движется.

Киберучения НАТО

2500 атак, 300 виртуальных систем - таков масштаб учений этого года, в рамках которых участники из различных европейских государств выступали на стороне Blue Team, то есть были защитниками своих информационных систем.

Чуть ранее закончились киберучения АНБ CDX 2017 (Cyber Defense Exercise), которые были похожи на учения НАТО, но меньше масштабом (в США это далеко не единственные киберучения). CDX рассчитан на военные и силовые структуры США - Академию береговой охраны США, Военную академию США, Королевский военный колледж Канады и т.п., которые выступает на стороне защитников - команд Blue Team. Им противостоят "Красные бригады" Red Team, команды "хакеров", осуществляющие свои атаки 24 часа в сутки, имитируя действия настоящих злоумышленников. За "красных" играют специалисты АНБ.

Киберучения АНБ

Однако в отличие от других киберучения, где команды делятся на две стороны "Силы" - Red и Blue Cell, в CDX было введено еще два типа участников. Grey Cell, то есть команда обычных рядовых пользователей, неподкованных в области ИБ, ходящих по левым сайтам, жмущих по фишинговым ссылкам, открывающим вредоносные вложения и т.п. "Серые" делают киберучения еще больше похожими на реальную жизнь. Команда "белых" наблюдает за учениями и штрафует команды за нарушения правил. В этом году выиграла команда Военно-морской академии США, которая последние годы входит в Топ лучших игроков CDX.

В учениях Cisco Cyber Range, облегченную версию которых мы проводили в конце апреля в рамках Cisco Connect, также принимает участие три команды, но вместо "серых" вводится Green Team, задача которой наблюдать за происходящим, изучая методы и нападающих и обороняющихся.

Cisco Cyber Range - это отдельный сервис, который мы предоставляем нашим заказчикам, желающим проверить свои знания и умения на практике. Это трех- или пятидневный тренинг (на московской Cisco Connect мы проводили бесплатный 4-хчасовой вариант таких "военных игр"), в рамках которого реализуется свыше 100 реальных атак и команда Blue Team противостоит им. При этом, в зависимости от длительности учений, участники могут почувствовать себя не только защитниками, но и нападающими, научиться мыслить и действовать как хакеры и понять, насколько легко или сложно проводить атаки, с которыми им приходится иметь дело на повседневной основе.

Если CDX, Locked Shield или "Противостояние" эмулируют реальную жизнь (а наша жизнь - игра) - ночные атаки, социальный инжиниринг и т.п., то Cyber Range носит явно обучающий характер. Участники получают определенные задания, которые надо решить за отведенное время. Победителем считается тот участник (мини-команда), которая быстрее и точнее всех решит поставленную задачу. Потом осуществляется переход к следующему заданию и так до конца киберучений Cyber Range, где победителем признается команда, набравшая максимальное количество баллов.

Помимо Cyber Range, сценарии которых разрабатываются под каждого заказчика, мы регулярно проводим так называемую клинику реагирования на киберугрозы (Cisco Cyber Threat Response Clinic), где за 8 часов участники становятся то на сторону хакеров, то на сторону защитников и по разработанному сценарию знакомятся с настоящим миром безопасности, пробуя реальный инструментарий злоумышленников и защитников. При этом, для лучшего усвоения материала мы облекаем это в красивую обертку - комиксы, инфографика и т.п.

Фрагмент комиксов Cisco Cyber Threat Response Clinic

Чтобы было понятно, на что похожи Cyber Range или CTR Clinic, я напишу отдельную заметку с примерами заданий. По сути Cyber Range и CTR Clinic являются промежуточными этапами перед соревнованиями уровня CDX или Locked Shield, а также они предназначены для повышения квалификации собственных сотрудников, которые может быть и не стремятся на публичные соревнования, где на тебя смотрят все вокруг.

Последним примером киберучений, в которых мне довелось поучаствовать недавно, могу назвать первые "киберигры" в Азербайджане, которые больше похожи на штабные учения, в рамках которых моделируются реальные сценарии атак и в сжатое время (4 минуты) участникам предлагается ответить как можно более полно на описываемую ситуацию. Жюри оценивает ответы и начисляет баллы командам (в последнем случае команд было две, но их может быть и больше). По сути речь идет об аналоге игр "А что если...", которые я уже несколько раз проводил в Магнитогорске, Питере и Москве (и тут). Да, это совсем не похоже на практические киберучения, описанные выше, но это не значит, что не учения и они не имеют никакого смысла. Это просто один из типов учений (которые иностранцы называет Table Top), коих всего насчитывается около десятка. И если CDX и Locked Shield рассчитаны на технарей, то штабные учения больше оиентированы на руководителей по ИБ, которые практически не работают "с консолью", а планируют деятельность своих подчиненных и своего подразделения.

Киберучения Cisco в Баку

В заключение хочу сказать, что наш опыт показывает, что геймификация позволяет существенно улучшить восприимчивость специалистов по ИБ к новым знаниям и гораздо лучше закрепляет навыки, чем обычные курсы по продуктам. Если верить современникам Конфуция, он как-то сказал: “Скажи мне – и я забуду, покажи мне – и я запомню, дай мне сделать – и я пойму”. Именно этой концепции мы придерживаемся, организуя Cisco Cyber Range или Cisco Cyber Threat Response Clinic, а АНБ и НАТО - свои отраслевые или национальные киберучения. По другому сегодня получить бесценный опыт практически невозможно (если не рассматривать вариант с отражением реальной атаки, во время которой и учиться приходиться "по живому", а не "на кошках").

Подробнее…

Не бойтесь лажать

Готовил заметку по прошедшему на прошлой неделе PHDays, и когда уже почти ее закончил обратил внимание, что у меня в ней 18 картинок и ни одного слова. Так не пойдет, решил я, и отложил выброс своих впечатлений от PHDays в эпистолярном жанре на страницах блога на пару дней. Но чтобы блог не пустовал я решил все-таки не обходить вниманием эти позитивные дни и выложить видео своего выступления на антипленарке, которая задумывалась организаторами (Алексей, спасибо за приглашение) как серия мотивационных коротких выступлений на свободную тему.

Когда я раздумывал над приглашением, о чем же таком мотивационном я могу рассказать, я вспомнил, что на питерском BIS Summit Рустем Хайретдинова мне сказал, что докладчик я хреновый, а приглашают меня, потому что я легенда ИБ и на меня просто идут заказчики посмотреть как на дрессированную обезьянку в зоопарке (про обезьянку в зоопарке - это уже мое дополнение, а остальные слова - истинная правда). Ну а раз я такой лажовый докладчик, то почему бы не рассказать про это на PHDays, - подумал я. В итоге в рамках мотивационного спича выбрал тему "Не бойтесь лажать или Negative Security" с рассказом о моем 25-тилетнем опыте лажания в ИБ и какие уроки я из этого извлек.

В процессе выступления опять слажал - вместо положенных 5-7 минут говорил целых 11, но я эту лажу распознал, в ней уже признался и себе и вам и, возможно, извлек некоторые уроки, хотя в последнем не уверен. Я вообще не люблю короткие презентации, а тут пришлось ужиматься уж как-то совсем по-крупному. Ну да первый опыт, можно и слажать :-)

В итоге получилось то, что вы увидите ниже:


В качестве резюме повторю то, что сказал в рамках антипленарки.

Не бойтесь лажать! Бойтесь не извлекать из этого уроков!

Подробнее…

Когда ни покупной SIEM, ни аутсорсинговый SOC не помогают. Третий путь создания SOC на предприятии

Продолжу тему SOCов/SIEMов/CSIRTов. Сегодня, в предверие SOC-Forum, до которого осталось меньше суток я бы хотел уделить несколько слов тому, как строится такая деятельность в Cisco. Я не буду рассказывать о нашем коммерческом SOC, который у нас называется Cisco ATA (Active Threat Analytics) - это коммерческий сервис, который не будет предметом моей заметки. Я бы хотел рассказать о том, как это все устроено внутри самой Cisco. Все-таки мы компания немаленькая и можем служить интересным примером. Тем более, что мы пошли по третьему пути создания SOC, попробовав сначала и покупной SIEM-продукт (с процессами, конечно), который лег в основу первого CSOC (Cisco Security Operations Center), и воспользовавшись услугами SOCа аутсорсингового.

Но начну я с краткого обзора, что из себя представляет инфраструктура Cisco сегодня:

• 300 офисов в 170 странах
• 120 тысяч пользователей, из которых 26 тысяч удаленных
• 400 зданий
• 7 центров обработки данных
• 1500 лабораторий
• 25000 партнеров, имеющих доступ к нашим внутренним системам
• 400+ сервис-провайдеров, чьими услугами мы пользуемся
• 40 тысяч маршрутизаторов Cisco
• 3 миллиона IP-адресов

Ежедневно на анализ нам попадает:

• 15 миллиардов потоков NetFlow
• 4,7 миллиарда DNS-запросов
• 6 миллионов Web-транзакций
• 27 ТБ Интернет-трафика
• 2 триллиона сетевых событий

Число ежедневно обрабатываемых событий по типам средств, от которых они приходят

Для хранения такого объема данных необходимо иметь немаленький центр обработки данных, емкость которого в нашем случае составляет 1,2 Петабайт (!). На иллюстрации ниже показано архитектура системы хранения, где слева отображены ключевые сегменты нашей сети (ЦОДы, точки выхода в Интернет и т.п.). Разумеется, пришли мы к такому хранилищу не сразу. Еще в 2010-м году у нас в день анализировалось "всего" 20 ГБ данных. А уже год спустя мы пришли к цифре в 1 ТБ. Основной объем из этой цифры (она растет понемногу) составляет трафик NetFlow - мы держимся на уровне 750 ГБ данных о сетевых потоках в день. Длительность хранения - от 4 до 26 месяцев (в зависимости от задач).

Наше хранилище событий безопасности

Мы перепробовали много различных SIEM (не буду сейчас называть имен), но в итоге остановились на Splunk. Почему именно Splunk, рассказывать долго. Приведу только два графика, которые показывают сравнение Splunk с лучшим на момент анализа SIEM-продуктом по двум показателям - среднее время запроса к базе данных (в секундах) и объем индексируемых данных в день (в ГБ). Можно видеть, что разница на порядок по обоим значениям. Для небольших организаций это может быть и некритично, но для нашего объема данных это было очень важно.

Наш CSOC занимается типовыми задачами, которые обычно возлагаются на центр мониторинга и реагирования на инциденты (этот термин гораздо лучше подходит под решаемые вопросы, чем SOC): мониторинг и анализ событий безопасности, реагирование на инциденты и их расследование. В CSOC входит 40+ человек, из которых непосредственно мониторингом событий занимается 6 человек с 12-тичасовой сменой (то есть всего их 12-13). 9 человек занимаются расследованиями (в том числе ложными срабатываниями), а 3 - сложными целевыми атаками.

Структура Cisco SOC

За годы работы CSOC на месте не стоял и если первоначально мы, как, наверное, и многие, ориентировались на события от систем обнаружения атак и иных сигнатурных систем, то позже к ним добавились потоки NetFlow. Затем мы стали активно анализировать различные поведенческие паттерны. И каждый у нас расширялся объем данных от систем Threat Intelligence. Сразу надо отметить, что почти во всех случаях в качестве источников данных для анализа выступают произведенные нами (ASA, ISR, WSA, ESA, CSA и т.п.) или позже приобретенные нами (например, IronPort, Lancope, Threat Grid и др.) средства защиты (хотя бывают и исключения).

Соотношение различных видов событий безопасности в Cisco SOC

Обычного, пусть и с корреляцией, SIEMа (хотя есть отдельные граждане, не считающие Splunk SIEMом) нам стало со временем не хватать. А все потому, что чуть ли не половина всех исходных данных для аналитиков составила информация об угрозах, которую не так просто было загнать в предлагаемые имеющимися на рынке SIEM структуры данных. В итоге мы пришли к выводу, что нам необходимо разработать собственную платформу для данной задачи. Мы ее, немудрствуя лукаво, так и назвали Threat Intelligence Platform (TIP).

Архитектура TIP

С технической точки зрения в основе лежит кластер из 45 серверов Cisco UCS (1440 процессоров, 12 ТБ памяти), технологии Hadoop, Hive, HBase, Elasticsearch, Titan и ряд других. Хранилище в 1,2 ПБ относится именно к Cisco TIP. В одной таблице находится свыше 1,3 триллионов строк.

Некоторые цифры, касающиеся объема данных в TIP

Если к прежнему используемому нами решению доступ имели только сотрудники CSIRT, то с Cisco TIP помимо них также работают сотрудники службы Security Services & Cloud Operations,  аналитики угроз Threat Grid, исследователи из Security Research & Operations и ряд других служб, которым необходимы данные обо всех событиях безопасности, собранных по всей компании.

По итогам работы на платформой TIP у нас родилась идея поделиться нашими наработками с мировой общественностью, что и было сделано:

• в виде open source решения OpenSOC, доступного на GitHub
• в виде коммерческого аутсорсингового сервиса Cisco Active Threat Analytics (также предлагается и на территории постсоветского пространства).

Концептуальная архитектура OpenSOC

Но об этих решениях (как минимум об OpenSOC) как-нибудь в другой раз.

Вот такой непростой путь прошла Cisco, создавая свой собственный центр мониторинга, реагирования и анализа угроз (сегодня можно уже не ограничиваться в названии только мониторингом и реагированием). Этот путь непростой и доступен не каждому, это тоже надо понимать. Наверное, он может быть интересен либо с чисто академической точки зрения, либо компаниям/организациям, схожим с нами по масштабу. Ну или в тех случаях, когда присутствующие на рынке решения по каким-то причинам не устраивают. Тогда и остается третий путь - собственная разработка.

ЗЫ. В заметке специально не описывал реализованные нами процессы - хотел ограничиться только технической стороной вопроса.

ЗЗЫ. Логично было бы выступить на SOC-Forum с этой темой, но не получится. У меня там и так насыщенная программа - участие в пленарке, выступление про Threat Intelligence и модерирование одной из секций. Второй доклад был бы роскошью, учитывая, что немало и других желающих поделиться своим опытом построения SOCов. Да и с практической точки зрения опыт Cisco подойдет далеко не каждому.

Подробнее…

ИТ-Диалог: электронная личность чиновника - мониторинг и защита

Третьим запомнившимся практичным выступлением на ИТ-Диалоге для меня стал доклад Дмитрия Едомского - заместителя директора по безопасности ГАУ Республики Коми "Центр информационных технологий", который рассказывал о таком понятии, как электронная личность чиновника и о том, какие "следы" оставляет чиновник в Интернете - в соцсетях, блогах, Твиттере, в публикациях, на почтовых серверах, в Интернет-магазинах и иных торговых площадках и даже на игровых серверах.

Видя регулярные сливы Шалтай-Болтая о наших чиновниках, взломы их электронной почты, понимаешь, что вопросы обеспечения безопасности электронной личности важны как никогда. Наверное, поэтому во многих ведомствах запрещено чиновникам иметь учетные записи в социальных сетях, а ФСБ регулярно рассылает письма с предупреждениями о рисках использования публичных, особенно, иностранных почтовых сервисов (хотя ломают преимущественно отечественные). Но чиновники считают, что если они зарегистрируются в социальной сети под псевдонимом, то это снимет все проблемы. Не снимет!

Дмитрий Едомский привел несколько примеров угроз электронной личности. Тут и ситуации, когда чиновники, якобы уехавшие в командировку, публикуют фотографии из Доминиканы. И публикации членами семьи чиновника своих роскошных подарков, машин и собственности. И обвинения чиновников в плагиате их публикаций в Интернет. И многое другое.

После рассмотрения интересных сценариев, Дмитрий перешел к вопросам информационной безопасности электронной личности чиновника.

Самое интересное, что данный вопрос информационной безопасности государственных мужей никак не отражен в нормативной базе. Ведь электронная личность чиновника не относится ни к защищаемой информации, ни к государственным информационным системам. Отделы защиты информации этому вопросу внимания почти не уделяют. А ведь именно через него можно заручиться поддержкой руководства своего госоргана или муниципалитета и показать роль ИБ в понятных терминах и проблемах. Именно этот вариант повышения осведомленности, не требуя денежных средств (достаточно регулярных рассылок и пары тренингов), позволит вовлечь руководство в процесс ИБ и позволит получить безопаснику внимание к себе и своим задачам.

На этом я завершу свой рассказ про прошедшей на прошлой неделе ИТ-Диалог, который в этот раз стал еще более практическим, чем в прошлом. Интересные доклады, интересные темы, интересные выступающие. Совершенно не зря потраченное время. Спасибо организаторам в лице комитета по информатизации Санкт-Петербурга и журнала "ИТ-Менеджер" за отличное мероприятие.

Подробнее…

ИТ-Диалог: как сделать систему электронного документооборота защищенной и удобной для чиновника

Еще один доклад на ИТ-Диалоге был от Кирилла Бермана, заместителя министра ИТ и связи Хабаровского края. Еще один примечательный доклад, в котором Кирилл делился опытом, как при следующих исходных данных:

• свыше 10 тысяч пользователей
• наличие VIP-пользователей (губернатор и т.п.)
• свыше 300 различных организаций и ведомств, находящихся вне прямого подчинения
• неоднородные и исторически сложившиеся системы защиты, особенно криптографической
• требования регуляторов
• мобильные устройства,

обеспечить эффективную и при этом удобную для пользователей систему защиты при доступе к системе электронного документооборота (СЭД) Хабаровского края. Из наиболее интересных моментов, которые мне запомнились в выступлении, могу отметить дифференцированный доступ как к открытой, так и к закрытой части СЭД, с использованием Web-интерфейса или отдельного приложения.

При этом, независимо от того, какая СКЗИ установлена у подключающихся абонентов СЭД, осуществляется выбор нужного VPN-шлюза. Тем самым, абонентам не требуется перестраивать свою систему подключения и приобретать VPN, которая стоит на периметре ЦОДа СЭД Хабаровского края - именно администрация берет на себя функцию приобретения шлюза, к которому и подключаются абоненты. Налицо и экономия бюджетных средств и удобство при подключении.

Так как многие чиновники получают доступ к СЭД с мобильных устройств, то достаточно остро стоит задача их защиты. Решается она двумя путями - установкой MDM и заворачиванием всего трафика на ведомственный периметр, где и осуществляется проверка с помощью эшелонированной системы защиты - контентная фильтрация, антивирус, IPS и т.п.

Помимо рассказа о построение удобной и защищенной СЭД, Кирилл Берман рассказал и о нескольких других интересных процессах обеспечения ИБ в Хабаровском крае, который, к слову сказать, является 4-м по величине в России. Во-первых, это очень интересный процесс моделирования угроз, который базируется на лучших практиках, в том числе на немецком каталоге угроз BSI (это именно немецкий институт, а не одноименной английский).

Во-вторых, очень интересен опыт проведения киберучений, позволяющих проверить способность ИТ/ИБ-специалистов противостоять угрозам, направленным на нарушение различных аспектов работы информационной системы - конфиденциальности, целостности и доступности. Не могу вспомнить, чтобы кто-нибудь еще из регионов проводил такие учения. Очень интересный опыт, который позволяет уйти от чисто бумажной безопасности в сторону реальной.

Кстати, даже с бумажной безопасностью в Хабаровском крае обстоит дело более чем интересно. Они одними из первых стали реализовывать 17-й приказ ФСТЭК, уйдя от обязательного набора защитных мер и выстраивая защитную систему из мер, нейтрализующих именно актуальные угрозы и учитывающих структурно-функциональные характеристики своих информационных систем. По словам Кирилла Бермана не все подрядчики оказались готовы к такому подходу, по старинке исходя из закрытого и неуменьшаемого перечня защитных мер в СТР-К. Но наличие тесного взаимодействия с местными управлениями ФСТЭК и ФСБ позволили доказать возможность такого подхода (в т.ч. и применение компенсирующих мер), что, во многом, и обусловило баланс между удобством и защищенностью пользования СЭД.

Последним запомнившимся мне моментом в выступлении оказался слайд с количеством обученных по вопросам ИБ сотрудников в государственных структурах Хабаровского края. 20-тикратный рост за 3 года! Есть чему поучиться во всех смыслах.

Подробнее…

ИТ-Диалог: опыт автоматизации рутинных задач безопасника в Санкт-Петербурге

Продолжаю рассказ про секцию "Россия защищенная" на ИТ-Диалоге. Теперь расскажу о докладах представителей трех регионов - Санкт-Петербурга, Республики Коми и Хабаровского края. Хотя, скорее, это были не доклады, а обмен опытом. Каждое из выступление мне запомнилось особо. Например, выступление Андрея Лихолетова из комитета по информатизации Санкт-Петербурга, который рассказывал об их опыте автоматизации рутинных задач безопасника.

Понятно, что эффективной работе служб и специалистов ИБ, особенно в крупных организациях, мешает большое количество рутинных и неавтоматизированных задач, среди которых Андрей Лихолетов выделил 5 ключевых:

• Сбор и анализ данных, о текущем состоянии защиты информации, поиск и анализ закономерностей, подготовка стандартных отчетов

Пример одной из множества анкет/опросника по ИБ

• Отслеживание контрольных сроков событий, исполнения поручений
• Повышение уровня осведомленности уполномоченных лиц
• Централизованное хранение и актуализация документов в области защиты информации
• Аудит.

При нехватке времени и людей и большом количестве рутинных задач, без их автоматизации не обойтись. Именно про опыт питерского комитета по информатизации и был интересный доклад. Не найдя на рынке удовлетворяющего требованиям продукта, в отделе защиты информации комитета было принято решение о заказной разработке данного решения, что и было сделано. В частности, для решения первой задачи разработанная система (а она решает все пять озвученных рутинных задачи) позволяет:

• формировать отчетность (плановую и внеплановую)
• формировать показатели, характеризующие уровень соответствия принимаемых в организации мерах по обеспечению безопасности информации принятым требованиям по защите информации
• анализ динамики изменения показателей
• «вечное» хранение исходных данных.

Второй важной задачей является контроль сроков. В феврале я уже писал про то, каким я вижу автоматизированный календарь безопасника. А в Питере он уже создан. В частности он позволяет отслеживать:

• сроки окончания лицензий организаций
• сроки действия сертификатов на СрЗИ
• сроки действия аттестатов соответствия;
• сроки повышения квалификации безопасников
• сроки контрольных мероприятий (аудита)
• сроки исполнения поручений
• другие контрольные точки, например, по объектам, имеющим "срок годности, в частности по поручения.  

Отдельно решается задача хранения разных версий разных нормативных и правовых документов. Эта же подсистема позволяет хранить и конструкторскую/эксплуатационную документацию ко всем информационным системам Санкт-Петербурга, а также проводить контроль знаний по законодательству в области ИБ.

За счет визуализации и контроля состояния всех объектов защиты Санкт-Петербурга удается также 

• Информировать уполномоченных лиц об угрозах безопасности информации
• Информировать уполномоченных лиц о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации
• Своевременно информировать лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе.

Задача аудита также автоматизирована, вплоть до подготовки отчетных документов и автоматической постановки задач ответственным об устранении выявленных нарушений.

Если все автоматизировать, что же тогда остается безопасникам? Не стоит ли их сократить? Нет! Как справедливо было замечено, безопасник часто погружается в рутину и у него не остается времени и сил на решение реальных задач, ради которых он и приходил на работу. В частности остаются нерешенными и заброшенными "творческие" задачи, которые откладываются на потом:

• моделирование угроз, анализ уязвимостей и рисков,
• оценка эффективности систем защиты информации,
• обеспечение непрерывности работы СЗИ,
• анализ инцидентов ИБ,
• обеспечение ИБ при взаимодействии с третьими сторонами,
• планирование и развитие СЗИ и т.д.

На меня доклад Андрея Лихолетова произвел впечатление, если честно. Это действительно круто - взять и заказать разработку для автоматизации собственных рутинных задач, чтобы можно было сконцентрироваться на главном. И ведь в госорганах таких рутинных задач, вытекающих часто из существующей нормативной базы, очень много. В Санкт-Петербурге смогли эту проблему решить очень эффективно, на мой взгляд.

ЗЫ. Кстати, именно Андрей Лихолетов привел крылатую фразу про ИБ, которая "как ПВО - и сама не летает, и другим не дает" :-)

Подробнее…