понедельник, 28 октября 2013 г.

Общее. Google-glass: будущие возможности безопасности

Многие эксперты говорят о проблемах ИБ, связанных с новыми гаджетами. Эти мнения могли бы замедлить скорость развития таких устройств, если бы не одно но. Кроме проблем, устройства так-же дадут и большие преимущества, компаниям.

Например, Google-glass могу послужить и безопасникам:
·        представим, что идет по офису офицер ИБ, смотрит на сотрудника в коридоре, а  Google-glass ему подсказывает логин пользователя, сколько было инцидентов, связанных с этим пользователем, активны ли сессии этого пользователя и т.п.
·        на входе сотрудник охраны сразу будет получать информацию о входящих сотрудниках, в том числе имеют ли они право вносить/выносить оборудование и т.п. Вертеть головой на экран монитора, потом на сотрудников – не удобно. А когда идет большой утренний или вечерний поток – нет вообще шансов. Google-glass решают эту проблему
·        Google-glass могут подсказывать инструкции / схемы пользователям, администраторам и ИБ-шникам при использовании различных ИС и средств защиты информации

Другие подразделения тоже могу активно использовать гаджет:
·        на собеседованиях, совещаниях можно будет задействовать опции распознавания лжи, настроения собеседника. решения уже есть
·        сотрудники отделов по работе с клиентами смогут оперативно получить всю информацию о клиенте, историю, какие-то визуальные индикаторы, непосредственно во время общения с клиентом
·        технические специалисты, у которых должны быть свободны руки, но которым нужно получать оперативную информацию, например работники склада вместо сканера штрих-кода могут использовать Google-glass, инженеры на производстве, водители, курьеры и т. п. – всем им такое устройство будет не лишним.

Так что, как только технология немного откатается, умные гаджеты пойдут в массы, причем продвигать их будут корпоративные заказчики. Вполне реальные перспективы представлены тут:



А безопасность, как всегда будет зависеть от конкретной реализации в конкретной компании. От полной открытости, до нормальных защищенных и интегрированных с безопасностью остальной сети решений.

PS: заметка по теме угроз Google-glass от Алексея Лукацкого и проблем конфиденциальности от Евгения Царева




понедельник, 21 октября 2013 г.

Общее. Анализ. Проект приказа Минкомсвязи об автоматизации прослушки связи (UPDATE 2)


16 октября 2013 выложен на экспертное обсуждение проект приказа Минкомсвязи об автоматизации прослушки сети Интернет «Об утверждении Правил применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-разыскных мероприятий».

Данный документ затрагивает как передачу голоса так и передачу данных.
"3. Правила распространяются на оборудование коммутации и маршрутизации пакетов информации, установленное в сетях связи, с использованием которых оказываются телематические услуги связи, услуги связи по передаче данных для целей передачи голосовой информации, услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации (далее – сети передачи данных).”

Все сетевые пакеты должно быть привязаны к конкретным идентификаторам (идентификаторам пользователя) по которым в дальнейшем может осуществляться отбор трафика. В том числе отбор по:
·        Ip-адресам
·        Логинам в web сервисах  и сервисах мгновенных сообщений
o   mail.ru;
o   yandex.ru;
o   rambler.ru;
o   gmail.com;
o   yahoo.com.
o   apport.ru;
o   rupochta.ru
o   hotbox.ru;
o   icq и других
·        Адресу электронной почты
·        Номеру телефона
·        Идентификатору оборудования пользователя  и т.п.

Плюс например, для голосовых операторов необходимо передавать ещё и месторасположение субъекта и может вестись фильтрация по местоположению.

Плюс например, для передачи данных прикладного уровня нужно будет делать отбор по параметрам:
·        «код протокола»  (порт назначения)
·        «IР адрес ресурса»;
·        «Порт ресурса»
·        «URL ресурса»

Хочу отметить  единственный положительный момент: Операторы обязаны обеспечить возможность отбора трафика по 2000 субъектов (целей отбора) для ОРМ. По выбранным субъектам должна обеспечиваться возможность хранения всего трафика за период не менее 12-ти часов.
То есть запись будет вестись только по выбранным субъектам в течении 12 часов. И оперативники делают запрос на запись только если уже знают какой-то идентификатор пользователя (знают кого искать). Это не то же самое что записывать весь трафик, как утверждают некоторые СМИ и блогеры.

(UPDATE) Из дополнительных обременений надо отметить что не все существующие СОРМ (особенно самописные) поддерживают поиск по URL или по пользователю систем мгновенных сообщений. По возможностям это должно быть чтото типа DPI или продвинутого СОРМ (например). Операторам, которые не внедряли такие решения придется сделать значительные вложения. Например, для фильтрации 30 Гбит/c трафика Cisco SCE 8000 будет стоить 2-3 млн. рублей.

(UPDATE) В результате пользователи СОРМ смогут делать всякие интересные запросы типа "записать трафик всех пользователей, находящихся на Болотной площади"
"записать трафик всех пользователей публикующих данные на сайтах Навального"
"записать трафик всех пользователей определенных групп вконтакте"
"записать трафик всех пользователей RUTOR"
"записать трафик всех пользователей приложения TOR"

(UPDATE 2)
Ещё одним важным обременением является обязанность оператора подключить Пульт управления ФСБ к своему ОРМ оборудованию по выделенным каналам, с пропускной способностью не менее 1-5% от всего трафика оператора связи (в том числе по гигабитным каналам). Для г. Москвы это подразумевает подключение всех операторов связи к какому-то специальному магистральному провайдеру для ФСБ (МГТС или Ростелеком) и потребует дополнительных затрат. Для региональных операторов связи данное требование может оказаться в принципе не выполнимым.

Кроме того, передача такого чувствительного трафика как ОРМ, по каналам связи, по которым передается также и другая информация общего пользования в том числе сети Интернет делает актуальным большое количество угроз.
Надеюсь, что узлы ОРМ и ПУ будут в дальнейшем квалифицированы как объекты ключевой информационной инфраструктуры и будут защищаться соответствующим образом, чтобы не допустить утечки информации или незаконного подключения к ОРМ.

Остальные требования к техническим средствам ОРМ (по моим данным) соответствуют сложившихся реалий. Просто раньше требования были закрытые и предоставлялись по запросу в ФСБ, а теперь их  опубликовали официально.  Соответственно теперь граждане РФ больше знают о том, как именно контролирует их государство.

И на последок сроки: “2. Операторам связи до 1 июля 2014 г. привести в соответствие с требованиями Правил используемое, а также вводимое в эксплуатацию в сетях передачи данных оборудование коммутации и маршрутизации пакетов информации, включая программное обеспечение…”



четверг, 17 октября 2013 г.

Семинары. Материалы с осенних мероприятий ИБ

К сожалению нет записи выступления Нильса Пульмана и последующего интервью, есть записи Лукацкого про тенденции законодательства ПДн, Волкова про практику защиты информации в холдинге, к сожалению опять без допвопросов, про свое виденье взаимодействия между подразделениями от Михаила Рыстенко, нет записей с интересных секционных заседаний, но есть запись финальной дискуссии с экспертами по контролю информационных потоков и защите от внутренних угроз.
В связи с тем, что выложены не все выступления, делаю вывод  что смотреть онлайн было выгоднее.

Infobez-EXPO. Видео
Видео, выбрал наиболее интересное из того что попалось в онлайн трансляции. К сожалению многое прошло мимо трансляции.
·        Блоггер-панель
 Infobez-EXPO. Презентации (пока не выложены организатором)

Yet another Conference 2013 от Яндекс. Видео и презентации (секция Information security, зал 5):

Enterprise Mobile Security Forum 2013. Часть презентаций

Код информационной безопасности. Часть презентаций

Infosecurity Russia 2013Часть презентаций (как в прошлый раз, надо зарегистрироваться, добавить в отчет, сформировать отчет и загрузить презентации)

CIO-Summit (секция 2 - по ИБ). Презентации

PKI-Forum Россия 2013. Презентации

Какая, то пошла мода, делать скорее веселые, чем содержательные слайды. Поэтому, я уже перестал понимать о чем идет речь и презентации в слайдах без видео не читаю. 
Так что выгоднее смотреть онлайн, а ещё лучше лично участвовать в мероприятиях (в том случае если контент будет стоящим)

PS: Так-же рекомендую посмотреть общие оценки мероприятиям, которые недавно опубликовал Андрей Прозоров. 
И пару заметок про данные мероприятия от Алексея Лукацкого - 1 и 2 


среда, 2 октября 2013 г.

СОИБ. Проектирование. Сколько человек нужно чтобы вкрутить сканер защищенности

Во времена, до эпохи ПДн, сканеры защищенности внедрялись организациями, переходящими на высокий уровень зрелости системы управления ИБ, для автоматизации мероприятий по анализу уязвимостей, тестирования средств защиты, контроля обновлений, инвентаризации устройств в сети, инвентаризации ПО.

После вступления в силу ФЗ о ПДн и выхода сначала “четверокнижья” а потом и 58 приказа ФСТЭК, сканеры защищенности стали входить по умолчанию во все встреченные мной проекты СЗПДн. Я бы сказал, что с 2008 года возник “бум” на сканеры защищенности. Но работают ли они? Посмотрим сколько сотрудников или ролей должно быть задействовано в эффективной работе сканера защищенности.

Администраторы систем (подразделения ИТ). Так как в процессе своей работы, сканер защищенности направляет в проверяемую систему нестандартные/аномальные запросы, то система может повести себя нестандартным образом – выход из строя, нарушение целостности информации, чрезмерная загрузка ресурсов.  Чтобы отслеживать подобные ситуации, администраторы систем должны быть уведомлены о графике проведения проверки и отслеживать состояние систем в период проверки, устранять найденные уязвимости и устанавливать отсутствующие обновления. Это касается администраторов всех направлений – АРМ, серверных ОС, СУБД и других сервисов, корпоративных информационных систем, активного сетевого оборудования.

Администратор сканера защищенности. Специалист, который настраивает профили сканирования, создает политики для контроля, вносит учтенные записи для аудита, настраивает расписание сканирования и создания отчетов. В зависимости от сложности системы это может быть сотрудник подразделения ИТ или технический специалист подразделения ИБ.

Оператор сканера защищенности. Так как работа сканера растянута по времени и занимает несколько дней, а то и неделю, в крупных сетях, требуется сотрудник, который в любой момент времени может  проверить состояние сканера защищенности, остановить, если сканирование нарушает работоспособность систем или перезапустить проверку. Как правило, администратор сканера защищенности – это один сотрудник, управляющий системой в свое рабочее время. В остальное время система может контролироваться дежурным оператором подразделения ИТ или даже службы безопасности.

 Администратор безопасности информации. Как правило, периодичность и детализация сканирования, а так-же сроки устранения обнаруженных уязвимостей и отсутствующих обновлений должны зависеть от степени критичности проверяемых систем. Поэтому при настройке системы и анализе отчетов не обойтись без сотрудника, обладающего знанием о степени критичности всех систем. Так-же этому сотруднику будет необходима информация о текущем уровне защищенности систем и о нарушениях политик ИБ.

Владельцы информационных систем, руководитель подразделения ИТ и куратор ИБ со стороны руководства компании. Так как устранение некоторых уязвимостей может потребовать значительных ресурсов (например, перехода на существенно новую версию ПО, приобретение поддержки, доработка ПО или заказ доработки ПО, замены устаревшего оборудования, невозможности использования необходимых сервисов и т.п.) то принять решение могут только на уровне топ. менеджмента компании. Процедурами использования сканера защищенности должно быть предусмотрено привлечение таких лиц в случае наличия критических уязвимостей в важных системах.

Полноценное участие всех приведенных выше сотрудников / ролей встречается далеко не в каждой компании. У многих сканер защищенности лежит на полке не вкрученным.

(UPDATE) Один из встреченных вариантов - сканер куплен и даже установлен на одном выключенном АРМ. Зато сертификат помогает защитится от регуляторов.

Другой возможный вариант - сканер используется одним единственным специалистом ИБ, который сам его запускает, сам изучает отчеты и сам пытается устранить уязвимости. Другие роли и подразделения в использование системы не вовлечены и не ознакомлены с принципами работы, поэтому воспринимают её только как источник проблем.