вторник, 30 сентября 2014 г.

СОИБ. Анализ. Пентест н-надо?

В последние 3 месяца мы наблюдаем растянутую во времени публичную дискуссию про пентесты. Вот эта история:

1. Очередной виток начал известный блогер, рассказав как одна компания-пентестер обманула ввела в заблуждение заказчика, а именно: был проведен пентест, который показал, что система защищена, а через неделю после окончания работ в системе была обнаружена критическая уязвимость, посредством которой она была вероятно взломана.

В результате были подняты вопросы:
·        А нужен ли пентест вообще на таких условиях? Он не гарантирует что отсутствуют уязвимости, он не гарантирует что система защищена.
·        Может ли компания пентестер предложить что-то полезное заказчику?


2. Продолжил тему один пентестер на вебинаре RISC “ Тестирование на проникновение: задача, решение и ограничения”, который дал определение пентеста, указал ограничения,  условия и разъяснил многие моменты из своего опыта пентеста.
С моей точки зрения там было дано достаточно полное, правильное  часовое описание Пентеста.
Но на вебинаре обсуждается столько ограничений и работ, которые в рамках пентеста не делаются, что опять поднимается актуальный вопрос: а нужен ли пентест вообще на таких условиях?
Ещё вебинаре и в блогах после него было озвучена пара спорных моментов, которые я прокомментирую позднее:
·        Если клиент не знает ничего о своей ИТ-инфраструктуре, то лучший способ разобраться, это провести пентест
·        Риск утечки информации от пентестеров не превышает риск утечки от Интеграторов. .... у Интегратора априори больше информации о системах Заказчика.


3. Далее тему развивает директор одной компании-пентестера в статье "сломать всё", который отвечает на вопросы:
·        За что может и должен отвечать пентестер, а за что не может и не должен?
·        Можно ли доверять пентестеру?
·        Что может подтвердить квалификацию пентестера?

Но в статье есть большая ошибка: в термин пентест, автор включает кучу всего -  аудит защищенности инфраструктуры, аудит приложений, исследования уязвимостей, но только не сам пентест. В результате в статье перепутались пентестер, аудитор и исследователь и стало непонятно, а ответы на вопросы ответственности/доверия/квалификации они для кого? С моей точки зрения эти ответы будут разными для пентестера/аудитора/исследователя.
Дальнейший комментарий автора статьи в facebook только показал что он отлично все понимает, но специально так написал в статье. Можно сделать вывод, что компания-пентестер пытается перейти из узкой ниши услуг пентестов в поле услуг аудитов и исследований.

Заметил ещё одну общую проблему из части 2 и 3: пентестеры ошибочно считают, что в результате пентеста помогут разработать заказчику план дальнейших действий в области ИБ, могут заменить работу интеграторов, могут заменить «системный полный аудит защищенности информации».

Мои выводы по результатам дискуссии:
1.      Если кратко, то пентест – это тест/набор тестов. Тест проверяющий является ли система “слабозащищенной”. Основной результат – это ответ Да или Нет. В крайнем случае возможно градация по шкале от 0 до 10. Не стоит ожидать от пентеста большего. (Более длинное и четкое определение смотрите в вебинаре RISC)
2.      Мы так и не получили ответа на вопрос – а нужны ли такие пентесты и когда нужны?
Мое мнение, что пентесты нужны в двух случаях:
·        Показать руководству (а не безопаснику) что сейчас “все плохо” и нужно принимать какие-то дополнительные меры (но не показать какие именно меры)
·        После внедрения комплекса организационных и технических мер, проверить, что теперь не “все плохо” и заодно провести независимую практическую проверку работы интегратора по ИБ
3.      На рынке ИБ есть высококлассные “специалисты по поиску уязвимостей”= “специалисты в слабостях настройки сервисов/систем” = “хакеры в белых шляпах” = “практические безопасники” = “пентестеры”. Им хотелось бы как-то монетизировать свои знания и умения.  
Для того чтобы лучше монетизироваться они предлагают проводить пентесты чаще, силами только пентестеров проводить обследования ИТ-инфраструктуры, давать консультации по созданию системы защиты, проводить аудиты ИБ.

А вот это считаю совсем не корректным:
При проведении обследования ИТ-инфраструктуры достаточно базовых знаний в обследуемой области и работа обычно заключается в опросе специалистов, сборе документов, рисовании схем сети (L2, L3, маршрутизации), рисовании схем ИС, рисовании схем информационных потоков,  фотографировании стоек , сборе текущей конфигурации. Не вижу где тут применить особые знания по “практическому хакингу”.

И давайте сравним консультации которые может дать технический специалист “пентестер” в сравнении с техническим специалистом “архитектором ИБ”.
Пусть найдена уязвимость X. Что может пентестер при консультациях – это сказать что уязвимость X нужно устранить и через три месяца провести повторный пентест. Он даже не всегда может сказать как устранить данную уязвимость – уметь искать уязвимости это не тоже что уметь безопасно программировать и не то же самое что организовать процесс безопасной разработки. А то что в системе кроме найденной уязвимости может быть ещё сотня уязвимостей и закладок, это пентестера совершенно не беспокоит – найдет в следующем пентесте.

Архитектор ИБ + консультант ИБ в аналогичных условиях сначала оценивают риски связанных с ИБ в данной системе (может быть и не стоит её защищать), потом создают процессы управления уязвимостями, процессы мониторинга ИБ, процессы реагирования на инциденты, разрабатывают требования к разработчику ИС, при необходимости внедряют SS, FW, IPS, WAF, DBF, SIEM. В результате заказчик получает эффективную систему защиты, которая будет и обнаруживать уязвимости (пусть не такие сложные как пентестер, но зато с полным охватом), быстро принимать решения по их обработке, опасные атаки будут обнаруживаться быстро, 0-day уязвимости будут наносить небольшой ущерб, пропущенная в одном месте уязвимость или неправильная настройка будет компенсироваться другой мерой защиты.
По сравнению с этим заказчик, выбравший для консультаций пентестера садится на “пентестерскую иглу”. Он должен регулярно заказывать пентест и надеятся что пентестер найдет все уязвимости, ничего не пропустит, не ошибется, не скроет, он будет обязан сразу устранять все уязвимости (не смотря на то что придется останавливать производство, заключать с разработчиком ИС невыгодные контракты на доработку). А пропущенная пентестером уязвимость (смотрите ограничения пентеста из дискуссии) может обернуться для заказчика существенно большим ущербом (ведь он не внедрит компенсирующих мер).  


PS: Да, высококлассные “специалисты по практическому хакингу” нужны, но давайте их использовать правильно. Интеграторам, проводящим аудиты нужно брать таких специалистов с свой штат или привлекать на субподряд. При создании систем защиты консультации таких специалистов тоже нужны, но в определенных частях – в правильной настройке существующих ОС, сервисов, сетевого оборудования, поэтому тоже пригодятся в штате или на субподряде.



вторник, 16 сентября 2014 г.

СОИБ. Анализ. Применение компенсирующих мер защиты информации. Часть 2

Продолжение предыдущей статьи по применению компенсирующих мер, на примере  УПД.17 “Обеспечение доверенной загрузки средств вычислительной техники”. Для реализации данного требования для условной ИС должна “осуществляться доверенная загрузка …, реализованные на основе программно-аппаратного модуля” (далее для данной меры будем использовать обозначение – электронный замок).

По каждому пункту будет несколько вариантов из которых необходимо выбрать один или несколько наиболее подходящих для вашей ситуации.

3. Описание содержания компенсирующих мер защиты информации.
·        Шифрование дисков. Решение требует ввести пароль до загрузки ОС и далее расшифровывает на лету. Как правило, это программное решение, позволяющее кроме шифрования выполнять ещё ряд функций (Endpoint Protection). Но в связи с требованиями ФСБР к сертификации данных решений, выбор существенно снижается.
·        Шифрование файлов/папок.  Аналогично предыдущему варианту, но шифруются только файлы и папки, содержащие защищаемую информацию.
·        Организационные меры по обеспечению доверенной загрузки. Обеспечивается контролируемый доступ в помещение с техническими средствами ИСПДн, опечатывание портов ввода-вывода, опечатывание системного блока, маркировка штатного оборудования, установка правильного порядка заргузки ОС, установка пароля на БИОС.
·        Применение терминальных решений. Обработка защищаемой информации производится централизованно на серверах терминального доступа или на виртуальных рабочих столах. На клиентских местах могут быть аппаратные терминалы либо полноценные АРМ, без возможности выгрузки на них защищаемой информации.
·        Применение программных СЗИ от НСД, с возможностями контроля целостность ПО и аппаратных компонентов и возможностью блокирования в случае обнаружения загрузки в не доверенном режиме.

4. Сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации.
Выбранные компенсирующие меры обеспечивают функциональные возможности аналогичные требуемым для реализации меры (усиления 1 меры) УПД.17:
·        предотвращение/обнаружение попыток несанкционированной загрузки нештатной операционной системы (среды) или нештатной загрузки операционной системы;
·        контроль доступа пользователей к процессу загрузки операционной системы;
·        контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники
Затраты на применение компенсирующих мер ниже в ___ раз, время внедрения компенсирующих мер меньше в ____ раз.

5. Аргументация, того что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации
·        Функции контроля целостности программного обеспечения и аппаратных компонентов средств вычислительной техники, снижают вероятность нарушения состава компонентов аппаратного обеспечения и соответственно  нейтрализуют угрозу  нарушения состава компонентов аппаратного обеспечения средств вычислительной техники.
·        Функции контроля целостности программного обеспечения и аппаратных компонентов средств вычислительной техники, снижают вероятность такого нарушения целостности ПО и соответственно  нейтрализуют угрозу  нарушения целостности программной среды.
·        Организационные меры по обеспечению доверенной загрузки позволяют контролировать доступ к техническим средствами и факты несанкционированного подключения устройств, снижают вероятность такого подключения и соответственно  нейтрализуют угрозу локальной загрузки операционной системы с нештатного машинного носителя.
·        Функции по шифрованию ______ позволяют уменьшить возможный ущерб (свести к нулю) и соответственно  нейтрализовать угрозу локальной загрузки операционной системы с нештатного машинного носителя.



понедельник, 8 сентября 2014 г.

СЗПДн. Анализ. Приказ ФСБ по обеспечению безопасности ПДн


Документ фактически не поменялся в сравнении с проектом, который неоднократно обсуждался в блогах.
Сводную таблицу с перечнем мер для разных уровней защищенности уже выкладывал Андрей Прозоров, а теперь Александр Бондаренко.

Есть пару моментов, на которые хотелось бы отдельно обратить внимание:
1.      Несмотря на то, что приказ “определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных …. с использованием средств криптографической защиты информации”, в нем содержатся требования не связанные с СКЗИ, например по хранению носителей ПДн (ни зашифрованных носителей ПДн, ни носителей с зашифрованными файлами, содержащими ПДн, а просто носителей с ПДн)
То есть, если вы решите зашифровать канал передачи данных с помощью криптошлюзов, вам непонятно по каким причинам придется менять процессы хранения носителей с ПДн. В чем логика ?

2.      Много было споров относительно “электронного журнала сообщений”. Что это – точно никто не знает. ФСБ Р как авторы данного термина могли бы дать точное определение, но вместо этого раскрывают тайну по кусочкам
“а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;
в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений;”

Во-первых у меня вопрос – откуда такое внимание к этому журналу,  если в нем регистрируются всего лишь “Пользователь Петров П.П. запросил ПДн типа 1. Доступ предоставлен” 
Зачем тут требования по утверждению перечня лиц и автоматическое разграничение доступа? Вполне можно было обойтись общими правилами предоставления доступа к информационным ресурсам.

Во-вторых, видно что прикладное ПО всех ИС УЗ1-2 придется порядком переделывать. Выделять в ИС – подсистему управления ПДн, которая будет знать, что такие то данные - это ПДн. И это всё из-за пары криптошлюзов на границах сетей. В чем логика ??



вторник, 2 сентября 2014 г.

СОИБ. Анализ. Применение компенсирующих мер защиты информации

Как вы наверное знаете, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.

В методическом документе ФСТЭК России “Меры защиты информации в государственных информационных системах” есть некоторые пояснения по поводу применения компенсирующих мер, следуя которым необходимо провести и документально зафиксировать обоснование. Попробуем подготовить его для одного примера.

Пусть у нас класс ИС = K1 или УЗ1.
Рассмотрим требование УПД.17 “Обеспечение доверенной загрузки средств вычислительной техники”. Для реализации данного требование должна “осуществляться доверенная загрузка …, реализованные на основе программно-аппаратного модуля” (далее для данной меры будем использовать обозначение – электронный замок).

Далее, по каждому пункту будет несколько вариантов из которых необходимо выбрать один или несколько наиболее подходящих для вашей ситуации.

Обоснование применения компенсирующих мер защиты информации
1. Изложение причин исключения меры (мер) защиты информации:
·        Высокая стоимость приобретения. Как правило, электронные замки в 2-4 раза дороже чем программные СЗИ от НСД. При этом Электронные замки будут реализовывать для нас только одну меру, а СЗИ от НСД 5-10 мер .
·        Высокая стоимость внедрения. Работы по внедрению Электронных замков проводятся непосредственно на каждом объекте, на каждом техническом средстве, выводят из эксплуатации техническое средство на определенное время, разбирают корпус технического средства, устанавливают электронный замок, собирают корпус, настраивают электронный замок на месте. Как можно заметить стоимость внедрения Электронных замков пропорциональна их количеству. Для сравнения другие программные СЗИ, как правило настраиваются один раз для каждого типа защищаемых узлов и далее распространяются автоматически. Итого, трудозатраты на внедрение Электронных замков, как правило выше в 5-100 раз.
·        Неприемлемо большие сроки реализации. Пункт связан с предыдущим. Если есть жесткие сроки внедрение ИС (ФЗ, ПП, указ, распоряжение и т.п.), и большое количество распределенных пользователей, то увеличение сроков внедрения в 5-100 раз, по сравнению с другими программными СЗИ может никак не вписываться в требования.
·        Высокая стоимость эксплуатации. Как правило, изменение конфигурации, обслуживание, перезагрузка сервера, решение проблем с электронными замками – все это требует непосредственного присутствия администратора на объекте (об этой проблеме я писал в одной из предыдущих статей). Аналогичные работы с програмнными СЗИ можно выполнять удаленно. Затраты на эксплуатацию выше в 2-3 раза.

·        Отсутствие технических решений, работающих на всех защищаемых узлах. Электронные замки разных производителей гарантированно заработают только на небольшом белом перечне протестированных технических средств. Есть черные списки с которыми точно не работают – например, сжигают материнскую плату. Большинство технических средств находится в серой зоне – пользователям придется самостоятельно проводить эксперименты. Не поддерживается большое количество современных ноутбуков. Не поддерживаются планшеты с полноценной ОС типаWindows 8, на которые отлично устанавливается СЗИ от НСД. (об этой проблеме я уже писал в одной из предыдущих статей)

2. Сопоставление исключаемой меры (мер) защиты информации с блокируемой (нейтрализуемой) угрозой (угрозами) безопасности информации:
·        Актуальна угроза локальной загрузки операционной системы с нештатного машинного носителя. Например, нарушитель использует слабости контроля физического доступа к защищаемым техническим средствам чтобы подключить собственный машинный носитель, загрузить с него другую ОС и из неё получить несанкционированные действия с защищаемой информацией.
·        Актуальна угроза нарушения целостности программной среды. Например, злоумышленник может запустить ОС в безопасном режиме, в котором СЗИ не функционируют в полном объеме  и отключить их.
·        Актуальна угроза нарушения состава компонентов аппаратного обеспечения средств вычислительной техники. Например, злоумышленник подменяет обычную клавиатуру на клавиатуру с кейлогером.
Если все приведенные угрозы неактуальны, то есть вариант обойтись без обоснования применения компенсирующих мер – вместо этого сделать краткое пояснение к мерам исключенным на этапе адаптации базового набора мер.

На этом первая часть статьи подошла к концу. В продолжении смотрите разделы Обоснования:
3. Описание содержания компенсирующих мер защиты информации.
4. Сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации.
5. Аргументация, того что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации.