20.04.2017

Борьба с фишингом. Пошаговая инструкция

Выкладываю презентацию с мастер-класса по борьбе с фишингом, которую читал на CISO Forum 2017 в Москве. Это чуть более подробная версия, чем та, что читалась (часть слайдов в рамках выступления я скрыл, чтобы хватило времени за час все рассказать). Но есть и более полная версия, раскрывающая в деталях вопросы использования отдельных инструментов злоумышленников (тот же Social Engineering Toolkit, Evilginx, Punycode и др.) и защитных мер (фишинговые симуляторы, обучение сотрудников и т.п.). Полный вариант у меня занимает около 4-х часов.


Борьба с фишингом. Пошаговая инструкция from Aleksey Lukatskiy

В рамках мастер-класса было несколько демонстраций, которые, к сожалению, не очень хорошо были видны на малом экране с малым разрешением. Поэтому выкладываю отдельно и видео. В некоторых из них, в качестве примера взят Сбербанк, как наиболее лакомая и популярная мишень у злоумышленников. Если коллег из Сбербанка эти ролики будут напрягать, то удалю их, заменив на более нейтральные примеры.

Анатомия атаки:


Подбор фальшивых доменов с помощью URLcrazy:



Сбор контактных данных с помощью TheHarvester:



Сбор контактных данных с помощью Recon NG:



Поиск фальшивых и вредоносных доменов с именем sberbank в названии доменов:



Клонирование сайта с помощью Clone Zone:



Клонирование сайта с помощью SET:



Организация Spear Phishing с помощью SET:




12.04.2017

Accenture покупает iDefense

Компания Accenture объявила 3 апреля о завершении сделки по приобретению у VeriSign подразделения iDefense Security Intelligence Service, которая была анонсирована в феврале.

07.04.2017

Тенденции в области кибербезопасности Industrial IoT (презентация)

На Cisco Connect среди четырех прочитанных мной презентаций была и одна, практически не имеющая привязки к решениям Cisco, поэтому осмелюсь ее выложить сюда. Посвящена она некоторым последним трендам в области кибербезопасности Industrial IoT или просто промышленных сетей.


06.04.2017

АБС и финансовые приложения должны быть сертифицированными. Так сказал ЦБ

Ну и чтобы уж завершить начатую вчера тему с требованиями ЦБ по обязательной сертификации, покажу еще один фрагмент из проекта ГОСТа, который я упомянул во вчерашней заметке:


Тут все предельно понятно - АБС, мобильный банковское ПО, приложения для ведения брокерской деятельности, ПО страховщиков (в том числе на сайте - для выписки ОСАГО) и др. должно быть сертифицировано на отсутствие уязвимостей по ОУД4 по ГОСТ Р ИСО/МЭК 15408-3. Это то, что прописано в дорожной карте Банка России на 2016-2018 годы.

Позиция ЦБ понятна - разработчики АБС не спешат повышать качество своего ПО с точки зрения безопасности, чем и пользуются злоумышленники. Поэтому ЦБ, уже по традиции, устанавливает требования для своих подопечных, которые должны будут заставить разработчиков прикладного ПО выполнить требования ГОСТа. Такой же фокус был проделан и в 552-П, который обязал перенести функцию электронной подписи из АРМ КБР в АБС.

Правда, с текущим требованием есть ряд отличий. Во-первых, 552-П касалось только банков, а новый ГОСТ распространяется на все финансовые организации. И как будет, например, микрофинансовая организация сертифицировать свое прикладное ПО по "Общим критериям" я представляю с трудом. Во-вторых, согласно ГОСТ Р ИСО/МЭК 15408-3 оценка должна быть внешней и независимой, то есть разработчикам придется дополнительно раскошелиться на приглашение компании, которая займется анализом кода (а у нас их в России раз-два и обчелся). В-третьих, оценка соответствия в "Общих критериях" все-таки проводится не на соответствие ГОСТу, а на соответствие разрабатываемому заданию по безопасности, в котором надо учесть и среду функционирования и модель угроз. А кто будет это ЗБ разрабатывать? Заказчик ПО или его разработчик? Боюсь, что большинство разработчиков этого слова вообще не знают. Но в любом случае цена на ПО вырастет.

Требования ОУД4
С предложенным ЦБ уровнем доверия ОУД4 есть тоже нюансы. Согласно ГОСТу "ОУД4 – самый высокий уровень, на который, вероятно, экономически целесообразно ориентироваться при оценке уже существующих продуктов". При это необходимо с помощью выборочного независимого анализа уязвимостей продемонстрировать противодействие попыткам проникновения нарушителей, обладающим усиленным базовым потенциалом нападения. Базовым?! Но ломающие те же банки нарушителя врядли могут быть отнесены к базовому потенциалу нападения (даже усиленному). А значит и проверки тут нужны более глубокие, то есть ОУД6, а то и ОУД7. Но это уже будет за гранью разумного. И возникает вопрос - обеспечивает ли ОУД4 эффективное противодействие действиям злоумышленников или это просто некоторая золотая середина, которая должна отсечь разработчиков, явно неспособных хотя бы задумываться о безопасности своих творений?

Вот такие вопросы возникают и как на них отвечать, лично я пока не знаю. Писать свои собственные требования, по аналогии с PA DSS, ЦБ, видимо, не готов (много ресурсов нужно). Поэтому он пошел по вот такому пути - отсылкой на существующие требования. И смогут ли их выполнить отечественные разработчики платежных приложений - вопрос открытый.

05.04.2017

ЦБ вводит обязательную сертификацию средств защиты информации

Хочу вернуться к недавно мной описанному проекту ГОСТа ЦБ с набором базовых защитных мер для финансовых организаций. На днях на сайте ТК122 появился практически финальный проект этого документа, который 13-го апреля будет обсуждаться в ЦБ и, возможно, будет вынесено на голосование его принятие.

По сравнению с предыдущей в новую версию проект проникло очень интересное дополнение, которое обязывает финансовые организации применять только сертифицированные в ФСТЭК средства защиты информации. И речь идет не о пресловутых СКЗИ, уровень сертификации которых установлен классом КС2 (знакомая по СТО БР конструкция), а именно о всех остальных средствах защиты - МСЭ, IPS, антивирусы, DLP, сканеры безопасности, средства контроля доступа, системы идентификации и аутентификации, а также множество других защитных средств, описанных в ГОСТе. Выглядит этот фрагмент таким вот образом:


Надо признать, что на прошлом заседании ПК1 ТК122 эта тема также озвучивалась, так как в первом проекте также было указано про сертифицированные средства защиты, но не про все, а только про СВТ, МСЭ, IDS и антивирусы (то, на что у ФСТЭК были соответствующие РД).


На совещании была достигнута договоренность (мне так казалось, так как это требование многие банки - участники ПК1 ТК122 посчитали избыточным), что жесткую формулировку про обязательную сертификацию уберут и заменят ее дипломатичной "оценкой соответствия в установленном порядке" - так, как это написано в документах ФСТЭК по персональным данным или по защите АСУ ТП. И ЦБ вроде принял это предложение. И вот нате вам, сюрприз :-(

На мой взгляд, сюрприз неприятный, так как заставит все финансовые организации, включая малые банки, микрофинансовые организации, страховые, ломбарды, брокеров, негосударственные пенсионные фонды, операторы платежных систем и другие, выбросить то, что ими применялось до сих пор (а в массе своей оно было несертифицированным, исключая СКЗИ и некоторые крупные кредитные организации) и искать продукты, которые будут не просто сертифицированы как МСЭ или IDS или еще что-то, а искать продукты, проверенные на отсутствие НДВ (у МСЭ - это требование с 5-го класса, у IDS - пока с 4-го). Много ли у нас таких продуктов на рынке? И если с МСЭ или IDS еще можно поискать, то вот что делать с другими типами средств защиты, упомянутыми в проекте ГОСТа, но которые даже на ТУ не сертифицировались, не говоря уже про отсутствие НДВ.

Не знаю, многие ли финансовые организации с радостью воспримут такое нововведение? И есть ли у них бюджеты на это? А время на реализацию еще не принятого и не выпущенного документа? Это же не одномоментно делается - особенно если сертификата на средство защиты нет и надо подавать их на сертификацию. А процесс этот непростой и небыстрый. Число испытательных лабораторий в России ограничено.

В целом, какое-то у меня пессимистичное отношение к данной новации. Никакого отношения к реальной защите наличие или отсутствие бумажки с голограммкой не имеет и уж коммерческие организации вольны сами принимать решения о том, какие средства защиты применять - на то они и занимаются предпринимательской деятельностью, то есть на свой страх и риск. Ну да финансовому регулятору виднее.

ЗЫ. И самое интересное, что в дорожной карте Банка России с переченем мер по повышению уровня защищенности финансовой системы Российской Федерации эта норма (по сертификации средств защиты) отсутствует :-(

03.04.2017

Моя презентация с BIS Summit SPb 2017 (по критической инфраструктуре)

Моя презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго, а также планов по ним. Было всего 20 минут на выступление, так что пробежался по верхам, хотя в более полной версии каждый упомянутый документ расписан более подробно.



30.03.2017

О нетрадиционном применении криптографии

Модерируя секцию по нестандартному применению криптографии на Рускрипто, и слушая доклады Руслана Иванова из Cisco и Федора Синицина из Лаборатории Касперского, я в очередной раз задумался о роли криптографии в обеспечении информационной безопасности в России.


Вообще, я начинал свою деятельность на ИБ-поприще как раз с разработки СКЗИ в одном из московских "ящиков" в далеком 91-м году. С тех пор я не очень люблю эту тему, так как считаю, что она излишне жестко зарегулирована в России, а местами даже хиреет.

У нас в России признано всего три стандарта (открытых) по криптографии - на блочные шифры (Кузнечик), на хеш (Стрибог) и на электронную подпись (кстати, у него есть неформальное название?). Разработка, производство, распространение, техобслуживание СКЗИ - лицензируемый вид деятельности и "чужие там не ходят". ФСБ признает только сертифицированные СКЗИ, число которых очень ограничено, а под многие применения их попросту нет. При этом у нас есть федеральный государственный образовательный стандарт (ФГОС) по этому направлению, по которому готовятся и выпускаются молодые специалисты, которые непонятно для чего нужны (без обид). Разработка СКЗИ ограничена только разрешенными стандартами, а их применение описано в ТУ на СКЗИ - никакой свободы творчества.

При этом на РусКрипто активно обсуждаются SNP-шифры, гомоморфное шифрование, постквантовые алгоритмы, блокчейн и многое другое. По сути РусКрипто - это такая отдушина для тех, кто занимается направлениями, не имеющими практического смысла в России в обозримом будущем (по крайней мере мне так кажется). Любая же секция, на которой поднимаются вопросы практического применения криптографии (в финансовых операциях, в Интернет, в облаках, в АСУ ТП, в Интернете вещей, в блокчейне, в виртуализации, в трансграничном обмене...) разбивается об отсутствие четкой сформулированной позиции регулятора и его нежелание (как мне кажется) хоть что-то делать в этой области.

Да, ТК26 работает, выпускает различные рекомендации, методические документы, но крутятся все эти документы вокруг тех же трех стандартов и носят скорее теоретический характер, чем нечто прикладное и применимое в реальной жизни. Я помню свои дискуссии с покойным Кузьминым Алексеем Сергеевичем еще несколько лет назад на CTCrypt в Екатеринбурге. Поднималось некоторое количество вопросов "от потребителей", о которых 8ка обещала подумать и... воз и ныне там. И, видимо, уже там и останется :-(

Но оставим в стороне это лирическое отступление, поговорим о теме, вынесенной в заглавии заметки. Очень интересными оказались два доклада, которые показали криптографию немного с иной стороны. В докладе Руслана Иванова рассматривалось исследование (видео на английском), в котором была продемонстрирована возможность обнаружения вредоносного кода в зашифрованном TLS-трафике. Когда эта тема только заявлялась на РусКрипто, мне задавали вопросы, как это вообще возможно, ведь суть шифрования именно в том, чтобы нельзя было без ключа понять, что скрывается в закрытом потоке данных. Ну так вот исследования показали, что никакого ключа знать не надо и никакого перебора всех возможных вариантов тоже не требуется. Просто изучаются комбинации различных атрибутов сетевого трафика, по которым и принимается решение о наличии или отсутствии вредоносной активности. Эффективность детектирования для разных семейств вредоносного кода показана в таблице (все разъяснения даны в исследовании по ссылке выше):

Надо признать, что показатели в 99+% выглядят очень и очень многообещающе в условиях роста зашифрованного трафика в Интернет и пересечении 50%-го рубежа.

На схожую тему было выступление Федора Синицына из Лаборатории Касперского. Он также говорил о применении шифрования разработчиками вредоносного кода, но его рассказ касался внутренней кухни антивирусного вендора, который вынужден не просто детектировать вредоносный код в зашифрованном трафике, а бороться с уже зашифрованными файлами и шифровальщиками, вымогающими деньги у пользователей.

Из доклада Федора я сделал несколько выводов:
  • Авторы вредоносного кода сами не разрабатывают алгоритмы шифрования и криптобиблиотеки тоже не пишут. Они предпочитают использовать готовые инструменты - CryptoAPI, OpenSSL, LibTomCrypt и т.д.).
  • Используются различные схемы распределения ключей, сложность которых растет. Например, многие вредоносы используют отдельный ключ на каждый шифруемый файл и сам ключ генерится на командном C&C-сервере и отправляется вредоносному ПО по запросу (а не хранится на зараженном ПК, как это было раньше).
  • Хорошая реализация криптофункций в вредоносе приводит к невозможности расшифрования/дешифрования файлов. Таких случаев все больше. Злоумышленники стали применять очень непростые схемы и протоколы.
  • Злоумышленники применяют только западную криптографию в своих творениях. Федор упомянул только один случай, когда вредоносное ПО использовало наш ГОСТ и то только потому, что автор вредоноса задействовал библиотеку Delphi, содержащую набор реализаций криптоалгоритмов, включая и отечественный ГОСТ.
  • Злоумышленникам не нужны никаких лицензии на разработку или распространение, а также не требуется сертификация на законченные изделия - они не скованы никакими ограничениями, присущими законопослушными потребителями СКЗИ. Это дает авторам вредоносного ПО большую фору и только случайность или невнимательность разработчиков вредоносного ПО позволяет антивирусным компаниям найти в них изъяны.
  • От себя добавлю, что в условиях активного развития схемы Ransomware-as-a-Service, злоумышленникам вообще не требуется никаких знаний криптографии - все за них делают специально обученные люди.

В обоих докладах хорошо продемонстрировано, что основная проблема кроется не в самой криптографии, как таковой, а в ее практическом применении. В контексте борьбы с вредоносным кодом это позволяет "взломать" или "обойти" криптографические механизмы. А вот в контексте легального применения СКЗИ практики, прикладной эксплуатации как раз не хватает. Применение известных или рекомендованных алгоритмов или библиотек создает иллюзию безопасности, в то время как на самом деле ситуация далека от идеальной. Но, как я уже выше написал, серьезных подвижек в улучшении ситуации я не вижу.

29.03.2017

Конфуз с атрибуцией "русских хакеров"

Не раз обращась к теме атрибуции атак, уже высказывал мысль, что в современных условиях это очень непростая задача, которая сегодня носит скорее политизированный характер, чем позволяет реально обнаруживать истинных злоумышленников, стоящих за той или иной атакой. И вот на днях разгорелся скандал с известным обличителем "русских хакеров" - компанией CrowdStrike, которую основал родившийся в Москве в 1980-м году Дмитрий Альперович, уехавший в 1995-м году вместе с семьей в Канаду.

Напомню предысторию. 22 декабря прошлого года CrowdStrike опубликовала отчет с результатами своего расследования, согласно которому "русские хакеры", стоявшие за взломом DNC (а его также расследовала компания Альперовича), взломали и артиллерийское приложение, разработанное в Украине, что позволило российскому ГРУ получать доступ к координатам украинской артиллерии и выводить ее из строя. По версии CrowdStrike благодаря "русским хакерам" Украина потеряла до 80% своей боевой техники определенной модели.


23-го марта Международный институт стратегических исследований обвинил CrowdStrike в подтасовке данных, а точнее в манипулировании выводами, сделанными на основе данных, собранных IISS. Это привело к тому, что CrowdStrike вынуждена была сначала убрать нашумевший отчет со своего сайта, а потом внести в него несколько изменений, дезавуировавших прошлые заявления о потерях ВСУ.


Правда, удалили спорные цифры не везде :-)


При этом компания Альперовича продолжает настаивать на том, что "русские хакеры" взломали артиллерийское приложение, отказавшись только от заявлений о потерях военной техники. Однако, официальные представители ВСУ Украины отрицают факт взлома и считают, что это стало бы сразу известно. Об этом же говорит и автор приложения, высказавший серьезные сомнения в уме тех, кто писал этот отчет. Позже выяснилось, что в данном приложении вообще отсутствовал функционал, связанный с передачей местоположения артиллерийских установок.


Однако заявление и Шерстюка, и МинОбороны Украины не имело столь широкого резонанса, как отчет CrowdStrike, который активно обсуждался в американских СМИ и послужил еще одним кирпичиком в стене доказательств атак "русских" на американскую демократию. Этот же отчет усилил ранее высказанные обвинения CrowdStrike в атаках на сайт Демпартии США.

В настоящий момент Альперович отказывается от интервью и комментариев на эту тему, а пресс-служба CrowdStrike продолжает настаивать на своей первоначальной версии. Оно и понятно. Оказавшиеся шитыми белыми нитками доказательства по атаке на украинское мобильное приложение ставит под сомнение и отчет CrowdStrike по русскому следу в атаках на DNC, которое уже распиарено больше некуда и на которое Альперович сделал очень большую ставку, обвиняя страну своего рождения во всех смертных грехах. Признать свой провал в отчете по атрибуции атак на артиллерийское приложение, значит признать провал и в отчете на DNC, что имеет далеко идущие последствия для всех тех, кто использовал его как базу для своих обвинений России. Да и для Альперовича такое признание потаканию сиюминутной геополитической выгоде может оказаться финальным аккордом в карьере.

А тут еще масла в огонь подлила утечка из ЦРУ, в результате которой, на портале WikiLeaks стали публиковаться доказательства наличия у этой американской спецслужбы не только богатого арсенана кибервооружений, но и способности маскироваться под уже известных нарушителей, в том числе и из других стран. Иными словами, WikiLeaks опубликовала доказательства возможности (неизвестно, применялась ли данная тактика в реальности) ЦРУ выдавать себя за других хакеров. Интересно, что примерно в это же время специалисты по кибербезопасности компании BAE Systems опубликовали исследование, в котором исследуется тактика неизвестных хакеров маскироваться под "русских" в атаких на польские банки и другие организации в конце прошлого - начале этого года. Обнаружив русский язык в теле вредоносных программ, польские политики поспешили обвинить Россию в атаких на себя, однако на деле оказалось, что кто-то просто пытался замаскировать свою активность, пользуясь шумихой вокруг "русских хакеров в погонах". Так что получается, что данные WikiLeaks не являются вымыслом, а вполне могут быть реальной практикой, применяемой американскими (возможно и иными) спецслужбами для затруднения атрибуции кибератак. На этом фоне цена утверждений CrowdStrike о русском следе падает еще сильнее.

Я могу понять желание Альперовича нажиться на теме с русскими хакерами. Тут и бюджеты от государства, и бесплатный PR в СМИ и новые заказчики, и нелюбовь к бывшей Родине (в своих интервью он нелицеприятно высказывался о своем детстве в Советском Союзе, необходимости молчать о том, что думаешь, поездках отца на устранение аварий в Чернобыле, смерти и болезнях от радиации близких друзей). С другой стороны он сильно подмочил свою репутацию непроверенными до конца фактами. Мог бы ограничиться только публикацией индикаторов компрометации и артефактами, но он решил погрузиться в атрибуцию и прогорел. Предположу, что сейчас многие заказчики откажутся от услуг (но не факт, что продуктов) CrowdStrike после того, как выяснилось, что эта компания подменяет результаты своих расследований в угоду сиюминутной политической повестке дня.

Данный кейс лишний раз показывает, что атрибуция кибератак сегодня - это не так просто, как кажется. Это совсем не threat hunting, столь модный в последнее время. Тут последствия гораздо серьезнее. Можно как взлететь на волне PR о <имярек> следе и происках хакеров, спецслужб, киберпреступников, имеющих национальную принадлежность. А можно и крупно провалиться, если станет известно, что доказательства подтасованы, а заявления не основаны на реальных фактах, а базируются на заголовках СМИ или неподтвержденных фактах. Желание присосаться к бюджету и бесплатному PR понятно, но стоит учитывать последствия, когда в угоду политической ситуации, начинают жертвовать своим профессионализмом.

ЗЫ. А пока CrowdStrike будет под присягой отвечать перед Конгрессом за подтасоку фактов.

28.03.2017

Обзор долгожданного письма ФСТЭК по МСЭ и утвержденных поправок в 17-й приказ

Сегодня я хотел опубликовать немного другую заметку, но тут в ночи ФСТЭК разродилась парочкой новостей, которые я не могу не прокомментировать. Начну я с информационного письма ФСТЭК по межсетевым экранам, которое регулятор обещал выпустить еще в феврале, но что-то затянул до конца марта. Никаких сюрпризов по сравнению с ранее озвученным ФСТЭК на своей конференции и описанным мной я в письме не обнаружил:
  • Серийное производство уже сертифированных МСЭ продолжается в соответствии с выданными сертификатами, то есть производство и поставка сертифицированных по старым требованиям МСЭ допускается при наличии действующего сертификата.
  • В созданных в соответствии с 17/21/31-м приказом ИС/ИСПДн/АСУ ТП возможно применение МСЭ, сертифицированных по старым требованиям до окончания срока действия сертификата.
  • После принятия поправок в 17/21/31-е приказы ФСТЭК, в вновь создаваемых ИС/ИСПДн/АСУ ТП необходимо применять МСЭ, сертифицированные по новым требованиям. 
  • В ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможно применение МСЭ, сертифицированных по старым требованиям.
  • Аттестация вновь создаваемых принятия поправок в 17/21/31-е приказы ФСТЭК ИС/ИСПДн/АСУ ТП проводится только при условии применения в них МСЭ, сертифицированных по новым требованиям.
  • Повторная аттестация ИС/ИСПДн/АСУ ТП, уже введенных в эксплуатацию к моменту принятия поправок в 17/21/31-й приказы ФСТЭК, возможна с применением МСЭ, сертифицированных по старым требованиям (при наличии действующего сертификата).
Вторая новость касается принятия 15-го февраля ФСТЭКом и регистрации 14-го марта в Минюсте приказа ФСТЭК № 27 о внесении изменений в 17-й приказ, о котором я уже писал. Какие изменения я увидел по сравнению с проектом? Их несколько:
  • В проекте требовалось, чтобы по результатам анализа уязвимостей было подтверждено отсутствие в ГИС уязвимостей из БДУ ФСТЭК. В финальной редакции добавили, что также возможно доказать невозможность использования этих уязвимостей при их наличии (хорошее дополнение).
  • В проекте говорилось о том, что не допускается выполнение одним лицом функций проектирования и внедрения системы защиты ГИС. В финальной версии зачем-то добавили слово" должностное", что привело к новым вопросам (на мой взгляд). В законодательстве термин "должностное лицо" применяется только к органам власти, а аттестацией у нас ханимаются преимущественно коммерческие компании, к которым термин "должностное лицо" не применяется (кроме КоАП и УК). Отсюда вопрос, что имели ввиду во ФСТЭК, когда добавляли "должностное"? Раньше ФСТЭК использовала фразу "руководитель, иное должностное лицо или уполномоченный представитель лицензиата", которая лучше отражала круг лиц, на которых распространялись требования ФСТЭК.
  • Убрали термин "тестирование на проникновение" и вообще сократили описание данного вида аттестационных испытаний. Кроме того, убрали обязательность данного вида испытаний для ГИС 1-го и 2-го классов.
  • А на русский язык-то не проверили до конца. Например, в п.17.6 предлагается такая формулировка "должны используются" вместо "должны использоваться" или "используются". Интересно, как правильно?
  • Целиком переписали п.25 (в проекте его не было) про учет потенциала нарушителя при выборе защитных мер.
Приказ вступил в силу в течение 10 дней с момента его регистрации в Минюсте, то есть он уже действует. Всем удачи в его выполнении...

UPDATE: Пропустил. Оказывается в финальной версии изменилась также таблица с базовыми защитными мерами. В частности изменения претерпели следующие меры - УПД.3 (управление потоками) и ЗСВ.10 (сегментирование виртуальных сред); теперь они включены в базовый набор, начиная с 3-го класса защищенности информационной системы.

27.03.2017

Брейн-ринг "Криптографические этюда" на #ruscrypro

На прошедшей на прошлой неделе РусКрипто мне вновь довелось проводить интеллектуальные игры на околокриптографические темы. И хотя традицией это пока еще не стало, два раза - это уже два раза. В прошлый раз я остановил свой выбор на "Своей игре", а в этот организаторы попросили устроить "Что? Где? Когда?", а точнее "Что? Где? Зачем?".


На самом же деле, учитывая наличие двух команд, речь шла о брейн-ринге, который я посвятил, как это ни странно, криптографии. Отличительной особенностью брейн-ринга от "Своей игры" является упор на сообразительность, чем на знания.


Поэтому вопросы скорее можно было назвать заданиями, в которых надо было проявить знания, сообразительность, реакцию и скорость. Всего было подготовлено 11 вопросов в расчете на максимально возможный счет 6:5. В итоге счет оказался 6:4. На игру ушел один час, что, на мой взгляд, достаточно для таких игр. Как показывает опыт проведения аналогичных затей, больше чем 1,5 часа выделять под них бесмыссленно. Зрители начинают скучать. 1-1,5 часа - в самый раз.

Еще одно наблюдение - такие игры не для проходных и не для столичных мероприятий. Одно дело, когда вы находитесь за городом и вечером вы стоите перед выбором - пойти в бар или заняться интеллектуальной игрой? И совсем другое, когда вы прослушали доклады/мастер-классы и между вами и поездкой домой (в том же городе, что и место проведения мероприятия) стоит игра. Что вы выберете? Предположу, что желающих остаться поиграть будет гораздо меньше, чем в случае загородных игрищ. По этой причине я отказался от проведения "100 к 1" в рамках десятого юбилейного CISO Forum, проходящего в апреле в Москве. Как мне кажется, эта интеллектуальная игра там не пойдет (хотя я был бы рад ошибаться).

Сразу отвечу на вопрос - когда будет выложена презентациями с вопросами/заданиями? Никогда. Я не исключаю, что я буду использовать эту игру еще где-нибудь и поэтому мне не хотелось бы вновь тратить немало времени на подготовку к игре и формирование пула заданий/вопросов. Желающие могут это проделать самостоятельно. Могу подсказать несколько ссылок, которые помогли мне в моей работе:

Например, вот эту головоломку я придумал, когда решал головоломки с дочерью. Правда, у нее матрица была поменьше, но суть та же. В данной головоломке по горизонтали и вертикали зашифровано 35 имен российских и зарубежных криптографов.


Кстати, во время игры на Рускрипто ее целиком так и не решили - одной команде удалось найти 17 имен, второй - 15. При этом команды применяли разные методы поиска. В одной, как мне показалось, поиск был хаотичным и каждый член команды повторял работу других. В другой матрица была разбита на сегменты и каждому участнику был выделен свой кусок работы. Когда я проверял, за сколько времени можно решить эту задачу, я поступил иначе - с помощью линейки открывал линию за линией, выискивая последовательности, похожие на фамилии.

В любом случае мне игра вновь понравилась. Она дала возможность получить мне новые знания и навыки и дать участникам игры возможность с пользой и удовольствием провести время. Хочу поблагодарить организаторов Рускрипто (Вику, Игоря, Свету, Юлю, Юру) за приглашение и возможность провести эту игру. Надеюсь, что это может стать хорошей традицией для конференции. Тем более, что неиспользованными еще остались такие форматы, как "Как стать миллионером?", "100 к 1", "Умницы и умницы" и другие.

ЗЫ. Positivные коллеги прогнозируют такое развитие событий :-)


24.03.2017

Криптография как метод обезличивания ПДн и решения проблем с ФЗ-242

На окончившейся сегодня РусКрипто мне довелось не только вести аналог "Брейн-ринга" на криптографическую тему, но и выступать в секции "Нетрадиционное применение криптографии", которую я же и модерировал. Для этой секции я подготовил презентацию по применению криптографии (шифрования и хеширования) для обезличивания персональных данных в целях снижения обременений на операторов ПДн, вынужденных разрываться между необходимостью заниматься бизнесом и выполнять ФЗ-242. Вот моя презентация:



Сразу хочу отметить один момент - РКН может быть не согласен с такой постановкой задачи, так как она явно противоречит их установкам заставлять всех перености ПДн российских граждан в Россию. Поэтому надо быть готовым к отстаиванию своей позиции, если у вас не остается иных вариантов, как только обезличивать ПДн и передавать их за пределы РФ. Надо отметить, что криптографические преобразования полностью соответствуют не только международным нормам по обезличиванию, но и российским - тому же приказу №996 Роскомнадзора. Скажу даже больше - в первоначальной версии проекта этого приказа криптография была упомянута в числе других методов обезличивания. Но в финальной версии, после настойчивой просьбы ФСБ и не имея желания отстаивать позицию, РКН исключил шифрование и хеширование из списка.

В отдельных случаях РКН заявляет, что шифрование не может применяться для обезличивания, так как это защита информации. Это бред. Криптографические преобразования могут применяться не только для защиты информации, но и для ряда других задач, среди которых и обезличивание. Уж РКН будет последним, чьим мнением я бы интересовался относительно вопросов защиты информации и примененимости криптографии.

В любом случае презентация есть - может кому будет полезно.

20.03.2017

Модель угроз мобильного устройства

Заказывали у меня тут курс по безопасности мобильной и беспроводной инфраструктуры, для которого, очевидно, надо было составить модель угроз мобильным устройствам, от которой затем отталкиваться в самом материале, описывая для каждой угрозы соответствующие меры нейтрализации. Решил поделиться полученной моделью угроз.


Пока не систематизировал полученный перечень угроз, как и не расставлял их приоритеты и актуальность. Понятно, что у каждого специалиста будет свое видение этого вопроса.


Постарался учесть все, что пришло в голову, касающееся и программных и аппаратных угроз, а также такие вещи, как кража легитимного ПО и контента (нечастая проблема, наверное), ПЭМИН (очень специфическая угроза) и т.п.


Вспоминая про регулярную подмену данных геолокации около Кремля, не мог не включить и эту угрозу. В отдельных случаях это может привести к направлению жертвы по ложному пути/адресу.


На днях прошла новость о том, что можно узнать пароль (PIN) от смартфона по тепловому следу на клавиатуре/экране мобильного устройства. Угрозу инфракрасному каналу тоже включил, хотя давно не видел устройств с таким интерфейсом.


Ну и следуя модным тенденциям, не забыл включить угрозы со стороны инфраструктуры производителей (несанкционированное обновление, несанкционированное/случайное копирование данных с устройства в облако производителя и т.п.). Спецслужбы (несмотря на скандал с ЦРУ / Vault 7) не включал, так как они являются источником угроз, а сами угрозы реализуют те, что в модели перечислены.


Жизнь постоянно преподносит сюрпризы, показывая возможность реализовать угрозы, которые раньше считались или теоретическими или вообще невозможными. Поэтому, не претендуя на полный список всех угроз, я посчитал нужным включить два слайда с архитектурой мобильного устройства и экосистемой их взаимодействия с внешним миром. Эти слайды позволяют увидеть угрозы, которые я по каким-то причинам не включил.


Слайд с экосистемой очень общий и в каждом конкретном случае может быть расширен. Например, уточнен список облачных сервисов приложений, которые могут добавить ряд новых угроз, отсутствующих изначально в списке.


ЗЫ. Если что-то не включил, то буду рад дополнить и обновить слайды.

10.03.2017

Визуализация необходимости обеспечения киберустойчивости

Согласно исследованиям Cisco большинство компаний в мире (от небольших до очень крупных) строят свою систему защиты в пропорции 80-15-5, где 80% ресурсов (временных, финансовых, людских и иных) уходит на предотвращение угроз (МСЭ, контроль доступа, поиск и устранение уязвимостей, VPN и т.п.), 15% - на обнаружение (IDS/IPS, антивирусы, сисемы контентной фильтрации, DLP и т.п.) и оставшиес 5% - на реагирование на уже произошедшие инциденты (расследование, мониторинг аномалий и т.п.). До сих пор многие компании тратят львиную долю своих усилий именно на первый блок защитных мероприятий, забывая или не уделяя должного внимания оставшимся двум.

К чему приводит такое пренебрежение? Попробуем визуализировать. В момент реализации атаки или наступления инцидента (спорить о терминах сейчас не будет) у нас наступает определенная деградация системы и чем серьезнее атака и чем слабее система защиты, тем дольше эта деградация по времени и по масштабу у нас длится. Если посмотреть на график, то это отрезок А, отражающий способность системы деградировать под атакой и, возможно, смягчать/ослаблять эффект от атаки при наличии защитных мер. В какой-то момент времени мы останавливаем негативный эффект от атаки (точка В) и он начинает либо выправляться (значение Вт равно нулю), либо длится какое-то время до момента принятия нами мер реагирования, задача которых вернуть систему в предатакованное состояние (отрезок С).


Если у меня хорошая система предотвращения угроз (что обычно и бывает), но слабое обнаружение и реагирование, то график потерь будет выглядеть следующим образом. При понимании конкретных показателей продуктивности атакованного ресурса или системы мы можем даже посчитать все в количественном выражении.


Если с обнаружением и реагированием у меня все в порядке, но слаба системе предотвращения, то у нас будет затяжное пике с последующим быстром возвратом из него.

Худший сценарий - это когда у меня слабы все три составляющие - предотвращение, обнаружение и реагирование. Тогда после очень затяжного пике наступает длительный период нанесения ущерба и не менее длительное восстановление, которое (в зависимости от реализованных мер) может затянуться очень надолго.


Очевидно, что правильным было сбалансировать все механизмы между собой, быстро предотвращая, обнаруживая и реагируя на атаки/инциденты. Зеленым показан возврат от новых функций/преимуществ, которые получает предприятие, правильно инвестировавшее ресурсы в систему защиты. В зависимости от отношения к ИБ (центр затрат или бизнес-функция) зеленой области может и не быть (точнее ее сложно будет подсчитать), но как минимум, будет достигнут эффект у снижение красной зоны по сравнению с предыдущими тремя графиками.

Вывод простой - необходимо балансировать меры защиты, равномерно распределяя их по жизненному циклу атаки "ДО - ВО ВРЕМЯ - ПОСЛЕ". А для того, чтобы понять, каких защитных мер вам не хватает, можно воспользоваться матрицами NIST или МинОбороны США, о которых я уже писал. Матрица NIST, кстати, хорошо ложится на перечень защитных мер в приказах 17/21/31 ФСТЭК и даже на проект нового ГОСТа ЦБ по ИБ

ЗЫ. Я надыбал эти картинки из курса по киберустойчивости (cyber resilience), который в прошлом году проходил у нас в компании, и которые мне настолько понравились своей простотой и понятностью, что я их даже отрисовал для своих презентаций по измерению ИБ.

09.03.2017

Развлечения и призы на мероприятиях по ИБ, включая RSAC

После праздников, пусть и непродолжительных, хотелось написать о подарках на мероприятиях ИБ. В последнее время их (подарки и призы) стали разыгрывать для привлечения внимания к продукции или услугам или самой компании. Этого не чураются как на конференциях, так и на выставках по ИБ. И делают это как небольшие стартапы, так и крупные игроки. Поскольку скоро у нас начнется весенний сезон мероприятий по ИБ (CISO Forum, РусКрипто, PHDays, ITSF, Код ИБ, питерский BIS Summit и т.д.), то хотелось бы обратить внимание коллег на ряд моментов:

  • Не стоит путать приз и подарок. Второй дают просто так, а первый нужно заслужить. Например, на RSAC активно раздавали всякие недорогие подарки всем участникам, зашедшим на стенд какой-либо компании - ручки, сумки, USB-презервативы, книжки и т.п.

Это не приз, а подарок (игральные карты)
Snorty в качестве подарка
  • Приз - это нечто более ценное, что не раздают направо и налево. Его надо заслужить. Например, отслушать презентацию на стенде и потом поучаствовать в розыгрыше (за "просто послушать презентацию" дают подарок, но не приз). И дальше как повезет. Например, можно выигрыть дрона или очки виртуальной реальности или скидочные карточки Amazon или скидку на обучение в сумме 1-2 тысяч долларов или еще что-нибудь. Если компания богатая, то она может позволить себе разыгрывать призы, например, после каждой презентации. Если компания - стартап, то они обычно собирали визитки, а в конце каждого дня приглашали на розыгрыш призов, мотивируя тем самым человека прийти на стенд еще раз.
  • Многие компании добавляли элемент случая в свои розыгрыши призов, предлагая посетителям самим крутить "колесо Фортуны" и дальше положиться на волю случая.
  • Посетители вам ничего не должны. Они ходят между сотнями стендов и заинтересовать их не просто. Заставит вернуться на стенд еще сложнее. Вспомните себя, когда вы пришли в торговый центр с кучей магазинов. Как часто вы говорите: "Я еще посмотрю и вернусь" и не возвращаетесь? Тут тоже самое. Чтобы посетитель вернулся - его надо мотивировать.
  • "Мы вам подарим/вручим хороший приз" - это неконкретно. Нужна точная информация и заранее. Кому-то он хороший, а кому-то и нет. Когда я слышу "хороший приз", я понимаю, что либо приз - дешевка или полная хрень и это пытаются скрыть, либо приз еще неизвестен. Такое бывает в разных конкурсах перед мероприятиями или на самих мероприятиях.
  • Приз должен быть мотивирующим или желанным. Например, когда мы проводим Cisco SecCon и даем карточку для посещения спонсоров, то по итогам, среди тех, кто прошел по всем стендам, разыгрывается что-то солидное - планшетник или электронная книга или еще какой-то гаджет. Магнитики в качестве приза мало кого мотивируют.
Из развлечений на стендах было мало чего нового - стрелялки и т.п.


Запомнился мне, пожалуй, стенд какой-то компании, где разносили вдребезги аппаратные решения по безопасности. У меня вот до сих нереализованная мечта юности - бейсбольной битой размочить монитор компьютера или телевизор. Тут эта мечта трансформируется в мочилово неугодных вендоров :-)


В заключение хочу обратить внимание на применению геймификации, которая активно проникает в нашу отрасль. Например, на одном из стендов была вот такая "игра в клубочки". Проходя несколько раз мимо этого стенда, я постоянно видел толпы людей, желающих пораспутывать хитросплетения ИБ.


А вот BAE Systems вновь удивила. В прошлом году она показывала очки виртуальной реальности со стрелялкой - надо было мочить вирусы, вредоносные программы и т.п. В этом году они сделали игру, схожую по принципу с игрой KIPS от Касперского. На входе вам выдавали определенное количество денег, ставили задачу и вы должны были, выполнив несколько заданий, дойти до финала с наилучшими результатами.


Вот совсем короткое видео этой "игрушки" - сотрудники BAE запретили мне дальше снимать, заявив, что это их интеллектуальная собственность :-(


Вот как-то так...

07.03.2017

CA покупает Veracode

6 марта CA Technologies объявила о подписании соглашения о покупке компании Veracode, известной своей облачной платформой по анализу безопасности кода приложений. Цена сделки - около 618 миллионов долларов.

Обзор нового ГОСТа ЦБ по защите информации

Поймал себя на мысли, что уходящий декабрь был очень активен в части выпуска различных нормативных актов и их проектов и я просто упустил из ввиду, что я не написал про проект нового ГОСТа Банка России по информационной безопасности, который, в соответствии с ранее озвученными планами, должен стать обязательным. Решил исправить сие досадное недоразумение и пробежаться по проекту нового ГОСТа. В него возможно еще будут вноситься изменения, но ключевые положения останутся неизменными.

Во-первых, в отличие от СТО БР ИББС новый стандарт будет распространяться на кредитные и некредитные финансовыми организации и будет носить обязательный характер путем ссылок на него из нормативных актов Банка России, например, из обновленного 382-П или 552-П. При этом объектам стандартизации являются уровни защиты информации и соответствующий им базовый состав организационных и технических мер защиты информации.

Вот тут стоит обратить внимание, что впервые ЦБ переходит в своих требованиях на уровни защиты, которые схожи с тем, что прописано в ПП-1119 применительно к уровням защищенности персональных данных, в 17-м или 31-м приказах применительно к классам защищенности ГИС и АСУ ТП соответственно.

Стандарт определяет три уровня защиты информации:
  • уровень 3 – минимальный
  • уровень 2 – стандартный
  • уровень 1 – усиленный.

Уровень защиты информации для конкретной области применения устанавливается Банком России и зависит от:
  • вида деятельности финансовой организации,
  • состава реализуемых бизнес-процессов и (или) технологических процессов
  • объема финансовых операций
  • размера организации
  • отнесения финансовой организации к категории малых предприятий и микропредприятий
  • значимости финансовой организации для финансового рынка и национальной платежной системы.
Как можно было заметить в 5-й редакции СТО БР ИББС, тему ПДн ЦБ перестал драйвить и попросту отсылает всех к 21-му приказу ФСТЭК. Так и в ГОСТе - никаких отдельных защитных мер для ПДн нет. ЦБ просто соотносит уровни защиты нового ГОСТа и уровни защищенности ПДн ЦБ:



Еще одной новацией для ЦБ, но привычной для читаталей документов ФСТЭК, стал алгоритм выбора защитных мер. Выбор мер по обеспечению безопасности, подлежащих реализации в системе защиты, включает:
  • выбор базового состава мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам ИС, реализуемым ИТ, особенностям функционирования ИС
  • уточнение (включает дополнение или исключение)
  • дополнение адаптированного базового набора мер по обеспечению безопасности дополнительными мерами, установленными иными нормативными актами.


Обратите внимание, теперь не будет закрытого и неизменного списка защитных мер, как это прописано в СТО БР ИББС или в 382-П или в иных документах Банка России. Теперь этот перечень будет зависеть от множества факторов - для каждого случая будут установлены уровни защиты, а их реализация будет базироваться на новом ГОСТе. Получится вполне дифференцированный подход.

Структура нового ГОСТа будет следующей:
  • Область применения, нормативные ссылки, термины и определения, сокращения, назначение и структура стандарта
  • Общие положения
  • Требования к системе защиты информации
  • Требования к организации и управлению защитой информации
  • Требования по защите информации на этапах жизненного цикла автоматизированных систем
  • Приложение А – Модель угроз и нарушителей
  • Приложение Б – Состав и содержание организационных мер, связанных с обработкой финансовой организаций ПДн
  • Приложение В – Перечень событий защиты информации, потенциально связанных с несанкционированным доступом и инцидентами защиты информации, обязательных для выявления, регистрации и анализа
И вновь обращаю ваше внимание на 3-5 пункты. Если СТО БР ИББС состоял из множества документов, то новый ГОСТ один. Поэтому все требования по ИБ включены в один документ, но разбиты на 3 большие части - сами меры защиты, меры по управлению и требования к жизненному циклу.

Блок защитных мер состоит из 8 основных процессов, которые являются переложением уже принятых ЦБ стандартов СТО и рекомендаций по стандартизации РС (за редким исключением):
  • Обеспечение защиты информации при управлении доступом
    • управление учетными записями и правами субъектов логического доступа 
    • идентификация, аутентификация, авторизация и разграничение доступа при осуществлении логического доступа
    • защита информации при осуществлении физического доступа
    • идентификация, классификация и учет ресурсов и объектов доступа
  • Обеспечение защиты вычислительных сетей
    • сегментация и межсетевое экранирование вычислительных сетей
    • выявление сетевых вторжений и атак
    • защита информации, передаваемой по вычислительным сетям
    • защита беспроводных сетей
  • Контроль целостности и защищенности информационной инфраструктуры
  • Антивирусная защита
  • Предотвращение утечек информации, защита машинных носителей информации (МНИ)
  • Управление инцидентами защиты информации
    • мониторинг и анализ событий защиты информации
    • обнаружение инцидентов защиты информации и реагирование на них
  • Защита среды виртуализации
  • Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств

Фрагмент блока требований по управлению доступом
Блок управления состоит из четырех компонентов:
  • Планирование системы защиты информации
  • Реализация системы защиты информации
  • Контроль реализация системы защиты информации
  • Совершенствование реализация системы защиты информации.

Фрагмент блока требований к планированию системы защиты информации
Ну и блок требований к жизненному циклу защиты информации:

Фрагмент блока требований к жизненному циклу
Вот такая картина получается. Достаточно гибкий подход, как мне кажется. И ни слова про оценку соответствия или отправку в ГУБЗИ ее результатов. Правда, пока неясной (для меня) остается судьба самого СТО БР ИББС. Там остаются документы, положения которых не вошли и врядли войдут в состав нового ГОСТа. Например, свежий СТО 1.3 по сбору доказательств для расследования инцидентов. Возможно из них сделают то, что называется "рекомендация по стандартизации" с соответствующей их регистрацией в Росстандарте (как это сделано в ТК26). Посмотрим...

ЗЫ. На логичный вопрос, когда ГОСТ примут, ответить пока не могу. В дорожной карте ЦБ стоит второе полугодие 2017-го года. Но это не срок принятия, а срок разработки и внесения в Ростехрегулирования, за чем последует рассмотрение ГОСТа в Росстандарте и его принятие, на что обычно уходит не меньше года. Так что не раньше чем к концу 2018-го года новый ГОСТ примут, а вступит в силу он (предположительно) в 2019-м году.