среда, 23 июля 2014 г.

СОИБ. Анализ. Новые угрозы ИБ нарушения контролируемой зоны компании

На состав актуальных угроз ИБ компании оказывают влияние не только новые ИТ технологии, но и новые технологии в смежных областях – миниатюризации и робототехники.  Наверное, все слышали об угрозах ИБ, связанных с очками Google Glass. Cегодня другая история.

Традиционно, проводные каналы связи внутри контролируемой зоны считаются доверенными. Беспроводные каналы – спорная тема. Из-за наличия технологий подключения Wi-Fi / bluetooth сверхдальнего действия до 2 км. (за счет направленных антенн, чувствительного приемника) в вашей корпоративной беспроводной сети могут перехватывать информацию далеко за границами КЗ. 


Но кроме применения криптографии, можно было принять некоторые организационные мери и существенно снизить риски: уменьшить мощность передачи сигнала на точках доступа, размещать точки доступа в помещениях, использовать средства, контролирующие местоположение беспроводных клиентов, использовать надежные протоколы безопасности wi-fi и т.п. Кроме того ответная передача информации или атака на клиентов корпоративной беспроводной сети с дальнего расстояния затруднена, в связи с низкой чувствительностью приемников на клиентах.

Риски вторжения в беспроводные сегменты нашей корпоративной сети существенно увеличились с появлением бытовых квадрокоптеров. Злоумышленник может сразу взять квадрокоптер с Linux и wi-fi на борту за 26 тыс. руб. и установить на него несколько утилит аналогичных набору kali linux либо специализированных утилит для квадрокоптеров типа snoopy.

Либо можно взять самый дешевыйквадрокоптер с подходящим радиусом полета и грузоподъемностью (от 1 до 5 тыс. руб) и прикрепить к нему wi-fi pineapple за 3 тыс. руб. для перехвата wi-fi, Ubertooth One за 3.3 тыс. руб. для перехвата bluetoоth и считыватель RFID дальнего действия за 6 тыс. руб.


Стоимость такой целенаправленной атаки на компанию резко снижается (10 – 25 тыс. руб.) Все это приводит к тому, что глубоко в границах нашей контролируемой зоны может перехватываться трафик или даже выполняться активные атаки из внутренних сегментов корпоративной сети.


При этом, не стоить надеяться что угроза не актуальна, если у вас не используются корпоративные беспроводные сети. На ноутбуках и смартфонах в половине случаев будет включен wi-fi, а в настройках имеется несколько профилей публичных wi-fi сетей, на смартфонах часто остается включенным Bluetooth и NFC. Кроме того есть угроза перехвата информации с беспроводной гарнитуры телефона, о которой недавно писал Алексей Лукацкий.

Из возможных мер защиты могу назвать:
·        Использование защищенных корпоративных беспроводных сетей (WPA 2 Enterprise, 802.1X authentication, encryption)
·        В особых случаях, использование шифрования трафика от клиента до сегмента приложений/сервисов
·        Использование беспроводных средств обнаружения вторжений, WIPS. (Например, Airmagnet уже выпустили сигнатуры для обнаружения wi-fi дронов-квадрокоптеров)
·        Использование NAC для контроля подключающихся в сеть устройств
·        Использовать корпоративные политики настроек wi-fi, bluetooth, nfc.
·        Использовать мобильные комплексы для поиска wi-fi нарушителей (как это делали на олимпиаде 2012 в Лондоне)
·        Использовать средства перехвата квадрокоптеров






среда, 16 июля 2014 г.

СОИБ. Проектирование. Дизайн защищенных КСПД

Достаточно часто приходится проектировать защищенные КСПД или их сегменты. При этом стараюсь придерживаться лучших практик, таких как Cisco SAFE и т.п. (подборка у меня в блоге)

Как правило в них используются либо межсетевые экраны с функциями VPN либо маршрутизаторы с функциями VPN либо универсальные шлюзы безопасности с функциями VPN.  Но в российских реалиях эти практики приходится адаптировать. У нас два регулятора ФСТЭК и ФСБ со своими требованиями. Выполнить их в одном устройстве очень проблематично, о чем я уже писал в одной из предыдущих статей. Тем более что скоро завершаются продажи единственного сертифицированного ФСБ западного шлюза безопасности с функциями МЭ и VPN. Ещё одна российская реалия: из-за требований ФСБ приходится накладывать VPN поверх арендованных каналов.

Так что нам приходится использовать выделенные криптошлюзы, сертифицированные ФСБ. Куда лучше их приткнуть в общей схеме защищенной корпоративной сети? Такой вопрос часто задают Заказчики. У производителей нет ответа на этот вопрос. Если и приводятся схемы, то в них криптошлюзы, как сферические кони в вакууме - единственные сетевые устройства.

Давайте попробуем разобраться подробнее.

Рассмотрим ситуацию компании с двумя центральными офисами и множеством удаленных офисов. Для соответствия законодательству должны применяться сертифицированные средства защиты для всех каналов связи. Для высокой доступности используются арендованные корпоративные каналы связи (WAN) и подключения к сети Интернет. Для высокой доступности в центральных офисах должны использоваться кластеры сетевых устройств.  Локальные сегменты и сервисы рассматривать не будем, только Internet Edge (блок подключения к сети Интернет) и WAN Edge (блок подключения корпоративных каналов связи).

Посмотрим на схемы из лучших практик





Remote site




Где-то на этих схемах нужно разместить наши криптошлюзы.

Посмотрим на правильный порядок обработки WAN трафика из документа NG WAN. По хорошему сначала должен подключаться маршрутизатор (агрегация каналов, QoS), потом криптошлюз, потом маршрутизатор (mGRE, маршрутизация трафика). Хотя эти два маршрутизатора можно совместить в одном.


Получается такая схема WAN Edge с криптошлюзами



Internet Edge с криптошлюзами



Remote site с криптошлюзами




Если у нас много различных каналов связи и получается слишком много криптошлюзов на центральном узле, то можно совместить криптошлюзы WAN и  Inet. Такой дизайн также описан в лучших практиках







четверг, 10 июля 2014 г.

СОИБ. Анализ. СЗИ, не поддерживаемые производителем 2 (ответ ФСТЭК)

Через три месяца получил ответ ФСТЭК Р на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ. Мои вопросы были связаны с окончанием поддержки Windows XP, а так-же часто встречаемой у заказчика ситуацией когда на СЗИ не продлевается техподдержка или заканчивается срок действия сертификата ФСТЭК. В предыдущей статье я привел свои варианты ответов, вы можете так-же учитывать их.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат,  без технической поддержки от производителя (ТП не оказывается производителем в принципе или ТП не приобретена организацией)
Ответ ФСТЭК:
В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, а также Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом от 27 октября 1995 г. № 199, заявители (разработчики и производители средств защиты информации) должны принимать меры по обеспечению стабильности характеристик сертифицированных средств защиты информации, обеспечивающих выполнение требований по защите информации, а также обеспечивать соответствие средств защиты информации требованиям безопасности информации.
Требования к средствам защиты информации, утвержденные нормативными правовыми актами ФСТЭК России (требования к системам обнаружения вторжений, средствам антивирусной защиты, средствам доверенной загрузки), содержат требования, выполнение которых осуществляется путем поиска и устранения недостатков и уязвимостей в средствах защиты информации, а также выпуска соответствующих обновлений программного обеспечения средств защиты информации.
Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от
11 февраля 2013 г. № 17, и Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, установлены меры по защите информации, которые реализуются путём применения обновлений программной части сертифицированных средств защиты информации пользователями.
В связи с изложенным, считаем необходимым при построении систем защиты информации объектов информатизации применять сертифицированные средства защиты информации, в отношении которых заявителями выполняются требования указанных документов ФСТЭК России.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое имеется действующий сертификат, но для которого нарушаются лицензионные права (срок прав использования закончился, количество СЗИ не соответствует лицензии, другие нарушения лицензионных условий
Ответ ФСТЭК:
Проведение работ по созданию систем защиты информации объектов информатизации должно осуществляться в соответствии с требованиями законодательства Российской Федерации, в том числе законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности.
В связи с этим, выбор и применение средств защиты информации должны осуществляться в соответствии с частью четвертой Гражданского кодекса Российской Федерации в рамках лицензионного договора (соглашения) с правообладателями указанных средств.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбирать СЗИ, на которое закончился срок действия сертификата?
Ответ ФСТЭК:
В системе сертификации ФСТЭК России под сертификатом на средство защиты информации понимается документ, удостоверяющий соответствие указанного средства требованиям безопасности информации. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации, утвержденным приказом от 27 октября 1995 г. № 199, срок действия сертификата соответствия – три года.
По истечении срока действия сертификат соответствия на средство защиты информации не может являться документом, удостоверяющим соответствие средства защиты информации установленным требованиям по безопасности информации.
Таким образом, считаем невозможным выбор и применение средств защиты информации с истекшими сроками действия сертификатов соответствия.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО, если на ОС или ПО отсутствует ТП от производителя?
Ответ ФСТЭК:
В соответствии с Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, под средствами защиты информации понимаются средства, предназначенные для защиты информации, средства в которых они реализованы, а также средства контроля эффективности защиты информации.
В связи с этим, программное обеспечение, в которое встроены механизмы защиты информации, в соответствии с указанным определением, является средством защиты информации.
По вопросу о возможности выбора и применения при создании систем защиты информации объектов информатизации сертифицированных средств защиты информации, не поддерживаемых заявителями, дан ответ в пункте 1 настоящего письма.
По вопросу применения в составе объектов информатизации (информационной системы) иного программного обеспечения, не применяемого для защиты информации, в том числе операционных систем, в средах которых функционируют средства защиты информации, сообщаем следующее.
Отсутствие обновлений разработчиком программного обеспечения приведет к появлению в нем эксплуатируемых уязвимостей.
В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, и Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, необходимо осуществлять анализ уязвимостей информационных систем, в том числе уязвимостей установленного в них программного обеспечения, и принятие мер по их устранению.
Применение в информационной системе программного обеспечения, не обновляемого пользователями, может привести к невозможности выполнения требований указанных нормативных правовых актов ФСТЭК России.
В связи с указанным, считаем нецелесообразным выбор и применение программного обеспечения, в отношении которого не производится обновление, при создании систем защиты информации объектов информатизации.

·        Возможно ли при создании системы защиты информации ограниченного доступа, выбор сертифицированных СЗИ, которые устанавливаются на ОС или встраиваются в ПО,  если для ОС или ПО нарушаются лицензионные права производителя?
Ответ ФСТЭК:
Проведение работ по созданию систем защиты информации объектов информатизации должно осуществляться в соответствии с требованиями законодательства Российской Федерации, в том числе законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности.
В связи с этим, выбор и применение средств защиты информации должны осуществляться в соответствии с частью четвертой Гражданского кодекса Российской Федерации с учетом наличия лицензионного договора (соглашения) с правообладателями операционных систем и прикладного программного обеспечения, в среде которых предполагается функционирование средств защиты информации.

·        Должны ли в процессе оценки эффективности или аттестации системы защиты информации ограниченного доступа, учитываться наличие действующей ТП на СЗИ, соблюдение лицензионных прав производителей СЗИ, действие сертификата СЗИ, наличие действующей ТП на ОС и ПО в составе ИС, соблюдение лицензионных прав производителя ОС и ПО в составе ИС?  
Ответ ФСТЭК:
Учитывая ответы, изложенные в пунктах 1-5 настоящего письма, необходимо учитывать в процессе аттестации объектов информатизации наличие действующих сертификатов соответствия средств защиты информации, предоставление обновлений средств защиты информации и программного обеспечения заявителями (разработчиками, производителями) пользователю и применение этих обновлений пользователями, а также соблюдение владельцами объекта информатизации требований законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности в части применяемых на объекте информатизации программного обеспечения, в том числе средств защиты информации

·        Может ли на основании отсутствия ТП или нарушения лицензионных прав или истечения срока действия сертификата быть принято решение о несоответствии системы защиты информации требованиям безопасности информации?
Ответ ФСТЭК:
Учитывая изложенное, сообщаем, что на основании отсутствия действующих сертификатов соответствия средств защиты информации, отсутствия и применения обновлений средств защиты информации и программного обеспечения, а также несоблюдения владельцами объектов информатизации требований законодательства Российской Федерации в области защиты прав на результаты интеллектуальной деятельности в части применяемых на объекте информатизации средств защиты информации и программного обеспечения может быть принято решение о несоответствии систем защиты информации объектов информатизации требованиям безопасности информации

·        Обязанности владельца или оператора системы защиты информации при истечении срока действия сертификата СЗИ, истечении срока действия ТП, обнаружении нарушения лицензионных прав?
Ответ ФСТЭК:
Владельцы объектов информатизации (операторы информационных систем) должны применять меры, направленные на соблюдение требований законодательства Российской Федерации в области защиты информации, оценки соответствия, а также в области защиты прав на результаты интеллектуальной деятельности. В этих целях считаем необходимым:
своевременно применять меры по получению сертификатов соответствия (копий сертификатов соответствия) средств защиты информации с продленными сроками действия или по замене указанных средств на средства защиты информации с действующими сертификатами соответствия; применять на объектах информатизации средства защиты информации, операционные системы и иное программное обеспечение, в отношении которых заявителями (разработчиками, производителями) осуществляется обеспечение стабильности характеристик (в том числе, выявление и устранение уязвимостей, разработка и предоставление пользователям обновлений и т.д.), а также применять к указанному программному обеспечению обновления, предоставляемые заявителями (разработчиками, производителями); применять на объектах информатизации средства защиты информации, операционные системы и иное программное обеспечение, соблюдая права их правообладателей

Как видно, одни ответы даются в виде логической цепочки из требований “нельзя / можно”, с которой трудно поспорить, другие в виде мнения “считаем целесообразным / считаем нецелесообразным”, которое можно учитывать или не учитывать. Кроме этого даются ссылки на меры из приказа №17 и №21, которые, как мы знаем, могут гибко выбираться.

Далее будем исходить из варианта в котором учитываются ответы и мнения ФСТЭК и разберем несколько типовых ситуаций:
·        В 2014 году вы приобретаете межсетевой экран, сертификат ФСТЭК Р на который был выдан в 2012. Через год срок действия сертификата заканчивается. Вы обращаетесь к производителю / продавцу и получаете ответ, что продлевать сертификат они не собираются. Вы выкидываете выводите из эксплуатации МЭ, ставите его на полку и покупаете новый с действующим сертификатом.
·        Окончание срока действия сертификата на СЗИ -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС
·        Не продление подписки на обновление СЗИ -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС
·        Окончание производителем техподдерхки ОС или сервисного ПО -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС -> замена ОС или ПО
·        Нарушение лицензионных условий на ОС или ПО -> приостановление или аннулирование Аттестата соответствия и приостановление эксплуатации ИС/АС

PS: если вы не применяете аттестацию то читать вместо “аннулирование Аттестата соответствия” - “принятие решения о несоответствии требованиям”, которое может возникнуть при внешней проверке или самооценке.


пятница, 4 июля 2014 г.

СОИБ. Проектирование. Инженеры по сетевой безопасности тоже плачут (от СКЗИ класса КС2)



Я достаточно много писал про проблемы и сложности использования сертифицированных ФСБ решений по удаленному доступу (remote VPN) в общем и сертифицированного по классу КС2 и выше в часности.

Но когда вы устанавливаете себе требования КС2 и с обычными криптошлюзами и Site-to-Site VPN можно испытать много горя.

Поставить электронные замки в криптошлюзы – проблема не такая большая. Да, они займут место, необходимое для доп. сетевых интерфейсов, но подставятся.

Проблема вот где – при каждом запуске криптошлюза, необходимо чтобы сетевой инженер бежал к нему с монитором, клавиатурой, таблеткой и локально вводил пароль администратора. Никакие варианты типа SSH, консольного, терминального – не подходят.

Во-первых, у инженера по сетевой безопасности пропадает возможность преднастраивать криптошлюзы и не выезжать на удаленные узлы при подключении криптошлюзов.

Во-вторых криптошлюз нам придется перезагружать. Кроме производственных случаев обновления, обслуживания, сбоев и т.п. есть ещё требования эксплуатационной документации. Приведу несколько цитат:

·        При использовании шлюза StoneGate Firewall/VPN, системы централизованного управления SMC и клиентского компонента StoneGate Firewall/VPN Client необходимо не реже чем раз в неделю осуществлять перезагрузку технических средств с установленными компонентами СКЗИ.” – из правил пользования 89625543.4012-001 90 02

·        Криптошлюзы, использующие в своем составе КриптоПро ссылаются “ Требования по криптографической защите изложены в документе «Руководство администратора безопасности» КриптоПро CSP”. В свою очередь этот документ содержит “Требования по криптографической защите …. 10. Ежесуточная перезагрузка ПЭВМ.

У других СКЗИ могут быть аналогичные требования.  Криптошлюзы у нас разбросаны по удаленным узлам, до которых добираться иногда приходится более суток (ну в среднем возьмем - пол дня)

В итоге не каждые 2 криптошлюза сертифицированных ФСБ по классу КС2 приходится нанимать дополнительного администратора. Если у нас 100 удаленных узлов, то можете представить какую армию инженеров по сетевой безопасности придется содержать и в какую дополнительную стоимость обойдется эксплуатация такой системы защиты.