четверг, 23 августа 2012 г.

СОИБ. Анализ. Инвентаризация активов


С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ.
С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок.

Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты. 

Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов:
·        152-ФЗ.
“Статья 19.
2. Обеспечение безопасности персональных данных достигается, в частности:
5) учетом машинных носителей персональных данных;”
·        ПП 781
“12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;”
·        Приказ ФСТЭК 58
“2.1. Методами и способами защиты информации от несанкционированного доступа являются:
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
Приложение 1
2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;
4.1. Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:
дублирующий учет защищаемых носителей информации;”
·        Методические рекомендации ФСБ № 149/54-144 по защите ПДн
“3.2       Методология формирования модели угроз верхнего уровня
Определение условий создания и использования персональных данных
Должны быть описаны условия создания и использования персональных данных. Для этого определяются:
-             информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;
-             используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.”
·        Типовые требования ФСБ № 149/6/6-622 по защите ПДн
“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;”
·        Положение ЦБ РФ N 382-П
“ 2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.10.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.”
·        СТО БР ИББС 1.0
“7.8.3.  Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских платежных технологических процессов. Состав уста-новленного и используемого в ЭВМ и АБС программного обеспечения должен соответ-ствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.
7.9.7. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен со-ответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.”
·        ИСО 27002
Весь раздел 7.1.1 Опись активов

Плюс инвентаризация и паспорта технических средств нужны при аттестации.

Конечно, инвентаризацию и учет активов можно делать в ручную. Но это не эффективно. Поэтому для оптимизации затрат необходимо использовать автоматизированные решения по инвентаризации активов.

 Выбор таких решений широк.
Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):
·        КБ: Инвентаризация 2.2  (большие возможности для ИБ - контроль USB, белые и черные списки, категории ПО, инвенторизация СЗИ, сертификат ФСТЭК)
·        Realite (есть интеграция с бухгалтерией, учет материальных ценностей)
·        Hardware Inspector (учет перемещения ТС, привязка к карте, возможность ввода визуальных серийниов, заявки)
·        Total Network Inventory 2 (современный нью стайл интерфейс)
·        Altiris (Symantec) Client Management Suite 7.1 (комплексное решение по управлению конечными узлами с поддержкой Windows, Linux, Mac)
·        Microsoft System Center Configuration Manager 2012 (комплексное решение по управлению конечными узлами для сети полностью на Windows)

вторник, 21 августа 2012 г.

Общее. Как компании ИБ ищут молодые таланты (UPD)



Компании рынка ИБ используют разные способы поиска и привлечения молодых талантливых ребят в свои ряды. Так например недавно Александр Бондаренко предлагал студентам платную подработку на месяц-полтора для ISM Systems/ЛЕТА.


Пара краснодарских интеграторов тоже проявляет активность в работе со студентами.

Сириус – организовал тесное сотрудничество с Кубанским государственным технологическим университетом, участвует в учебном процессе. Правда, пока они не обучали, а только проводили отборочное тестирование лучших кандидатов для прохождения летней практики.

Сириус совместно с Кубанским государственным технологическим университетом и Саратовским государственным университетом проводил онлайн-трансляции с PHDays 2012. Что тоже способствовало поиску самых талантливых.


РосИнтеграция, увидев что позиции в южных вузах потеряны, решила зайти с другой стороны – объявила конкурс статей на тему ИБ. Писать можно почти на любую тему, касающуюся ИБ. За статьи обещают небольшое денежное вознаграждение и главный приз - романтическое путешествие на двоих (интересно куда?).

Почему это предложение именно для студентов? Эксперта врядли заинтересует публикация на мало популярном сайте и небольшой вознаграждение.
А вот студентам самое то – и в интересной теме разобраться и небольшой бонус получить и перед потенциальным работодателем засветиться.



(UPD) Компания "Инфотекс" проводит компанию по поддержке исследований студентов, аспирантов, научных сотрудников, независимых исследователей в области ИБ. Максимальный возможный объем поддержки по одному проекту составляет 500 тыс. руб.
Ждут заявки до 22 октября.

(UPD) Компания Intel проводит конкурс исследовательских проектов в области компьютерной безопаности. Призовой фонд 30000$.



вторник, 14 августа 2012 г.

Общее. Обзор утилит с Def Con 20


Пару недель назад прошло крупнейшая мировая конференция по ИБ Def Con 20, на которой собрались лучшие спецы – как в белых, так и в черных шляпах.

В рамках конференции, хакерскими группами было продемонстрировано ряд новых утилит. На сайте конференции они не опубликованы, но в недрах интернета их можно найти. Посмотрим на самые интересные из них,  так как скоро придется защищаться от угроз связанных с большим количеством подобных атак.

Subterfuge 4.0 от команды kinozoa. Предназначено для тестирования защищенности от атак типа “человек посередине” (Man-in-the-Middle) c использованием возможностей протокола ARP. В общем тема далеко не новая (есть тот же Cain), но утилита обладает широкими возможностями (например, по встраиванию кода в чужую http сессию). Утилита очень проста и не требует специальных навыков – достаточно выбрать пару галочек и нажать пару кнопок, может использоваться как в открытых wifi так и в корпоративной сети.

Для защиты от подобных атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) и  встроенные функции защиты ARP  сетевого оборудование ведущих производителей (например, Cisco)

Chapcrack от Moxie Marlinspike. Данная утилита эксплуатирует уязвимость протокола MS-CHAPv2. Данный протокол аутентификации может использоваться в рамках подключений PPTP большинства домашних пользователей выделенного интернета и при подключениях к беспроводной сети по WPA2. Уязвимость позволяет атакующему серьёзно понизить криптостойкость алгоритма и быстро восстановить пароль их хэша.

MS-CHAP далеко не единственный из возможных протоколов аутентификации. Для защиты от приведенных выше атак можно использовать надежную аутентификацию входа в сеть (например, по сертификатам) или централизованные сервисы аутентификации (RADIUS), которые позволяют использовать другие протоколы аутентификации.

NFCProxy от Blackwing Intelligence. В основе утилиты лежит  беспроводная технология NFC «коммуникация ближнего поля» совместима с RFID и используется при изготовлении различных бесконтактных карт. Карты могут быть транспортные, гостиничные, предназначенные для контроля доступа на территорию, для перемещения грузов и т.п. Последнее время стали появляться банковские карты беспроводным интерфейсом NFC, что позволяет использовать их в бесконтактных банкоматах.

Так-же появилось большое количество телефонов со встроенным интерфейсом NFC.
Идея NFCProxy проста – кладете один NFC телефон рядом с беспроводной картой (например, банковской картой) жертвы. Со вторым NFC телефоном подходим к NFC банкомату и получаем дистанционный канал от карты до банкомата в котором телефон с NFCProxy находится посередине. С более простых беспроводных карт – транспортных, гостиничных, для входа на территорию – можно просто считать и сохранить информацию в телефоне.
Как показывает практика – любая беспроводная технология с одной стороны удобна вам, с другой стороны удобна злоумышленнику. Поэтому выбирая беспроводные технологии, позаботитесь о дополнительной защите (2 и 3 факторная аутентификация).


Diggity от Stach&Liu. Первоначальным этапом целенаправленной атаки является сбор максимального количества информации об объекте атаки. Вся необходимая информация уже может хранится в различных базах – в поисковиках, на файловых хранилищах и т.п. Diggity - это комплексная утилита по сбору информации о целевой системе в сети интернет.

Она совмещает в себе как ряд классических методов:
·        Google hacking
·        аналог google hacking для Bing
·        сканнер flash файлов
·        сканнер локально-загруженных файлов по ключевым словам (как DLP)
·        проверка ссылок на внешние ресурсы (LinkFromDomain)
·        поиск следов вредоносных программ на сайте (MalwareDiggity)
Так и новые:
·        пассивное сканирование портов через Google (PortScan Diggity)
·        поиск утечки данных и публикации их на других сайтах (NotInMyBackYard Diggity)
·        поиск вредоносных программ по сигнатурам с использованием Bing (BBMS)
·        поиск в исходных кодах google code search (CodeSearch Diggity)
·        поиск в хакерской поисковой системе SHODAN (SHODAN Diggity)

В плане защиты от таких атак трудно что-то порекомендовать. Если информация уже опубликована – то врядли удастся её полностью вычистить из интернета. Можно проводить периодические проверки в публичных базах информации о защищаемых вами ресурсов, для своевременного определения, когда будет индексирована какая-то уязвимость или произойдет утечка информации.

четверг, 9 августа 2012 г.

СОИБ. Проектирование. Усиленная аутентификация

В продолжение одной из предыдущих заметок об усиленной аутентификации.

Допустим, что вы уже осознали всю опасность использования классических паролей, например, прочитав эту заметку, решили внедрять усиленную аутентификацию по сертификатам или однократным паролям, в качестве дополнительного устройства аутентификации выбрали например, eToken или телефон, в качестве системы управления усиленной аутентификацией выбрали например, SafeNet Authentication Manager, SAM (бывший TMS).
Достаточно ли этого, чтобы отказаться от использования классических “слабых” паролей в рамках всех ключевых корпоративных приложений и сервисов?

Сразу ответить «Да» не получится, нужно провести небольшой анализ.

Кроме самого устройства аутентификации eToken в процессе аутентификации участвует так-же “сервер аутентификации” или “сервис аутентификации” который и проверяет подлинность пользователя. Напомню, что SAM – система управления аутентификацией, не участвует в процессе аутентификации, т. е. не является “сервисом аутентификации” (исключение – аутентификация в облачных приложениях и специальный сервис аутентификации по однократным паролям).

Давайте посмотрим какие в нашей сети используются сервисы аутентификации и поддерживают ли они усиленную аутентификацию:



Из приведенной выше таблицы видно что в ряде случаев возможностей существующих/втроенных сервисов аутентификации недостаточно и требуется использование специализированных сервисов аутентификации, о которых я напишу в следующих заметках.



пятница, 3 августа 2012 г.

СОИБ. Автоматизация анализа рисков ИБ


Оценка рисков ИБ является основой риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации неприемлемых рисков ИБ.

Оценка рисков ИБ является обязательным требованием законодательства РФ:  
·        161-ФЗ «О НПС» и подзаконных актов;
o   Требования ЦБ РФ;
o   Требования PCI DSS;
o   Требования других операторов ПС;
·        152-ФЗ «О ПДн» и подзаконных актов (Оценка вреда, моделирование угроз – часть оценки рисков ИБ);
·        документы по КСИИ (разработанные, но не опубликованные).

Оценка рисков ИБ необходима для соответствия  таким Российским и международным стандартам в области ИБ, как:  
·        Группа стандартов ISO 27001;
·        COBIT 5 for Information Security;
·        SOX;
·        СТО БР ИББС  и других.

Причин и преимуществ применения риск-ориентированного подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.
Как правило, оценка рисков ИБ включает в себя следующие мероприятия:
·        определение и документирование политик оценки рисков;
·        классификация информационных активов;
·        идентификация и документирование информационных активов;
·        идентификация и документирование угроз ИБ;
·        оценка вероятности реализации угроз  и степени тяжести последствий реализации угроз;
·        оценка и документирование рисков ИБ;
·        планирование обработки рисков ИБ;
·        документирование результатов обработки рисков.

Мероприятия эти достаточны объемные (моязаметка о трудозатратах) и хочется по максимуму автоматизировать этот процесс. На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM, CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для меня стали неактуальны.

Наибольший интерес вызвали у меня 2 свежих продукта российских производителей:  BCM-Analyser от IRADD и Risk Manager от ISMSystems. Демо-версии которых я решил протестировать и сравнить (демо-версия Risk Manager появилась несколько дней назад). Результаты сравнения привожу в таблице ниже.



               Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге Risk Manager сейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.

Оба продукта показались достаточно интересными. Основаны на своих собственных комбинированных методиках оценки рисков ИБ.  

Risk Manager произвел впечатление большей свежести интерфейса и идей. Его сильная сторона в детальном моделировании угроз, но есть и упрощенный мастер оценки.

BCM-Analyser видится более подходящим для четкого финансового обоснования выбираемых контрмер.  Только вот оценивание всего возможного вреда в рублях занятие очень трудоемкое.

Параскриншотов BCM-Analyser:



Параскриншотов Risk Manager: