среда, 29 апреля 2015 г.

СОИБ. Аналитика. Топ уязвимостей от Positive Technologies

В этом месяце компания Positive Technologies провела 2 вебинара «Уязвимости веб-приложений и систем ДБО в 2013и 2014 годах», «Уязвимости корпоративных информационных систем в 2014 году»  и сделала анонс по главным уязвимостям КИС 2014года.  Подробный отчет об исследовании уязвимостей информационных систем крупных компаний за 2014 год обещают представить  на форуме Positive Hack Days V.

 Давайте пока посмотрим на некоторую статистику и инфографику из этого 
·        Уязвимости КИС в части внешнего периметра


·        Уязвимости КИС в части ЛВС


·        Выводы из уязвимостей КИС


·        Уязвимости web приложений


·        Выводы из уязвимостей web приложений


·        Уязвимости ДБО


·        Угрозы ДБО


·        Уязвимости клиентов ДБО


·        Выводы из уязвимостей ДБО







среда, 22 апреля 2015 г.

Ищу новую работу

Вот и пришла моя пора найти новую работу и покинуть компанию Микротест. Когда я пришел туда 3,5 года назад, там был отличный коллектив из порядка 20 специалистов по ИБ. С самого начала приятно удивили следующие сильные стороны департамента системной интеграции:
·        Высокие корпоративные требования к технорабочим проектам.  Зачастую проект прорабатывался даже детальнее, чем требовалось Заказчику.  Объяснения этому – более детальная проработка на этапе проектирования, позволит на этапе внедрения реализовать проект быстрее и качественнее; позволит реализовывать проект силами менее квалифицированных специалистов
·        Высокие корпоративные требования к технико-коммерческим предложениям и другим предпродажным работам. Когда требовалось, ТКП разрабатывался на уровне эскизного проекта. Это позволяло Заказчикам четко понимать какие задачи будут решены, архитектуру и состав решения, общий перечень работ, перечень работ который будет выполнен исполнителем в рамках данного предложения, перечень работ который должен будет выполнить Заказчик, перечень работ, который может быть выполнен дополнительно, но не входит в данное предложение, состав оборудования которое имеется у Заказчика и будет использовано в работах, состав оборудования которое будет поставлено дополнительно, спецификации, точная стоимость и т.п.
·        Хорошая внутренняя регламентация работы ГИП (главного инженера проекта), внутреннего обучения ГИП, отбора ГИП, регламентация работы с субподрядчиками и детальная проработка заданий на работы. Все это позволило вырастить в направлении ИБ большое количество ГИПов, каждый из которых мог брать на себя комплексный или интеграционный проект, привлекать большое количество субподрядчиков, и реализовывать проект без потери качества
·        Ориентация на современные и эффективные решения по ИБ и тесная интеграция с существующей ИТ инфраструктурой. Это позволяло при реализации комплаенс-проектов (соответствия требованиям законодательства РФ по ИБ) решать так-же и внутренние задачи Заказчиков и при этом вносить минимальные возможные изменения в существующую ИТ инфраструктуру. Это приятно, когда системы внедряются не только для галочки, а реально работают.

Но вот уже от старой команды никого не осталось, работодатель перестал выполнять свои социальные обязательства и пришло время мое покинуть группу компаний Микротест.

Если вам нужен профессионал в области ИБ, посмотрите мое резюме на HH, linkedin или в pdf.  

Работу ищу в г. Краснодар либо удаленно в интеграторе/консалтере/вендоре, придерживающемся принципов Remote. Последние 3 года я как раз работал удаленно в московской компании и осознал следующие моменты:
·        большинство интеграционных и консалтинговых работ может эффективно выполняться территориально распределенной командой
·        в любых крупных проектах закладываются командировочные расходы и это капля в общей массе расходов.

четверг, 16 апреля 2015 г.

СОИБ. Анализ. Свежие документы ЦБ РФ по ИБ

15 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение “О несанкционированных операциях, совершенных сиспользованием устройств мобильной связи”.

В нем ЦБ РФ предупреждает об опасности связанной с мобильными платежами и рекомендует принимать следующие меры ИБ:
·         установить на устройство мобильной связи антивирусное ПО;
·         не переходить по ссылкам, приходящим из недостоверных источников;
·         своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи;
·         не скачивать на устройство мобильной связи приложения из непроверенных источников;
·         не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;
·         не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код (СVV/CVC-код1 ), пароли от «Клиент-банка», одноразовые коды подтверждения.


16 апреля 2015 г. ЦБ РФ опубликовал информационное сообщение о вводе в действие рекомендаций в области стандартизации Банка России:                                                                                                                                                                      
·         рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ресурсное обеспечение информационной безопасности» (РС БР ИББС-2.7-2015);
·         рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использованиитехнологии виртуализации» (РС БР ИББС-2.8-2015).


На первый взгляд документы представляются интересными, но детальный анализ буду проводить позднее. Пока отмечу пару моментов:
 РС БР ИББС-2.8-2015:
“6.4. Реализацию требований и правил ограничения доступа к виртуальным машинам с АРМ, установленных в пункте 6.3 настоящего документа, рекомендуется осуществлять на уровне не выше третьего (сетевой уровень) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, путем применения технических средств, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации (далее – сертифицированные сетевые технические средства)”
“6.8. В соответствии с требованиями законодательства РФ для защиты контура безопасности ИСПДн следует применять СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
6.9. Для организации информационного обмена между сегментами вычислительных сетей, используемыми для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, и сегментами вычислительных сетей, используемыми для размещения АРМ, включенных в контур безопасности ПТП и контур безопасности ИСПДн соответственно, рекомендуется использовать сертифицированные сетевые технические средства.”
6.11. Рекомендуемым решением является использование гипервизоров, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”
“8.1 … Рекомендуется использование сертифицированных сетевых технических средств для реализации запрета использования иных АРМ для выполнения задач управления и администрирования серверных компонентов виртуализации.
8.2. Доступ к средствам управления и администрирования серверных компонентов виртуализации рекомендуется осуществлять с использованием СЗИ от несанкционированного доступа, прошедшим оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”
9.4. Для виртуальных машин, размещенных на физическом СВТ (хост-сервере), используемом для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, техническими средствами рекомендуется реализовать:
– контроль целостности ПО виртуальных машин, в том числе выполняемый на этапе загрузки виртуальных машин;
– контроль и регистрацию доступа пользователей и эксплуатационного персонала к виртуальной машине, выполняемый техническими средствами, прошедшими в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”
10.5. Для доступа пользователей к виртуальным машинам, включенным в контур безопасности ПТП и контур безопасности ИСПДн посредством АРМ пользователя, рекомендуется применять двухфакторную аутентификацию с использованием аппаратных средств.”
13.3.4. Рекомендуемым решением является применение сертифицированных сетевых технических средств для контроля доступа к логическим разделам СХД
13.4. АРМ, используемые для выполнения задач управления и администрирования СХД, рекомендуется располагать в специально выделенном сегменте вычислительных сетей. Размещение в указанных сетевых сегментах СВТ, не связанных с выполнением задач управления и администрирования, не рекомендуется. Выполнение задач, связанных с управлением и администрированием СХД, с использованием иных АРМ, рекомендуется ограничивать сертифицированными сетевыми техническими средствами.”
13.6. Для организации защищенного доступа к средствам управления и администрирования СХД рекомендуется использовать двухфакторную идентификацию, реализуемую СЗИ от несанкционированного доступа, прошедшими оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.”

Итак, в тексте РС даются ссылки на следующие типы СЗИ:
·         гипервизор (встроенные функции ИБ)
·         МЭ
·         СЗИ от НСД виртуальной инфраструктуры
·         СЗИ от НСД ОС
·         Средства двухфакторной аутентификации

При этом все СЗИ – сертифицированные: как применяемые для защиты ИСПДн, так и для других случаев. Раньше в серии документов СТО БР ИББС встречались более мягкие требования и формулировки относительно оценки соответствия СЗИ. Что это – смена политики, давление ФСТЭК или лобби от производителей СЗИ?


РС БР ИББС-2.7-2015 содержит 4 важных раздела:
·         Вводятся уровни зрелости выполнения процессов СОИБ (от 0 до 5) и методология оценивания уровней зрелости
·         Вводится методология оценки рисков ИБ в зависимости от зрелости ВП СОИБ (ниже зрелость – выше риск, выше зрелость ниже риск)
·         Приводятся рекомендации по определению потребностей службы ИБ в кадровых ресурсах, при этом функции службы ИБ предлагается сгруппировать по направлениям:
o   методология
o   реализация и сопровождение
o   контроль
o   криптографическая защита
·         В приложении А приводятся примеры всех расчетов


Руководствуясь документом, Банк легко сможет сравнить экономию на уменьшении рисков с издержками на повышение уровня зрелости и быстро принять управленческое решение: остаться на текущем уровне зрелости = 0 тратить X1 ресурсов и иметь Риск * 1 или затратить X2 ресурсов для повышения уровня зрелости до =2 и иметь Риск * 0,45 (для принятия решения сравниваем Риск * 0.55 и (X2-X1)).  Если такая идея и была в основе документа, то она хороша.


понедельник, 13 апреля 2015 г.

СЗПДн. Анализ. Проект отчета NIST по обезличиванию ПДн

7 апреля 2015 г. NIST опубликовал проект отчета по обезличиванию ПДн (NIST Draft NISTIR 8053, De-Identification of Personally Identifiable Information, далее документ NIST)

Документ NIST описывает терминологию, процессы и процедуры обезличивания ПД и является результатом обследования различных техник обезличивания ПДн из электронных ресурсов.  

Для сравнения в качестве результатов аналитической работы по запросу РКН явились "Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013,  далее  - МД РКН)

В документе NIST рассматриваются ситуации, когда оператору требуется выгружать / передавать ПДн из ИСПДн и при этом необходимо обеспечивать безопасность ПДн. Обезличивание (de-identification) рассматривается как один из путей выполнения данной задачи. Давайте посмотрим на наиболее интересные положения документа.



Аксиома: чем более сильные техники обезличивания применяются тем менее полезными (utility) получаются данные. 

Если после обезличивания данные обладают хоть какой-то полезностью, то есть вероятная возможность связать получившиеся данные с исходных субъектом ПДн. Поиск связей между обезличенными данными и субъектами ПДн - деобезличивание  (re-identification). Если попытки такого поиска несанкционированные – то процесс называется атакой на обезличивание (re-identification attacks)


Далее в документе NIST уделяется большое внимание атакам на обезличивание, слабостям различных техник обезличивания, приводятся примеры инцидентов, в которых по обезличенным данным были определены субъекты ПДн. В отличие от этого, в МД РКН нет информации о слабостях методов обезличивания и указаний оценивать эффективность обезличивания и т.п.

Документ NIST при анализе угроз / рисков обезличивания (re-identification risk) предлагает рассматривать:
·        риск деобезличивания некоторых субъектов ПДн (prosecutor scenario)
·        риск деобезличивания любого из субъектов ПДн (journalist scenario)
·        риск деобезличивания некоторого процента субъектов ПДн
·        угрозу восстановления удаленных данных, позволяющих напрямую идентифицировать субъекта ПДн  (linkage attack) – восстановление выполняется путем сравнения  общедоступных ПДн с обезличенными данными

В документе NIST рассматриваются следующие методы обезличивания:
·        (Removal of Direct Identifiers) удаление части ПДн, позволяющих напрямую идентифицировать субъекта ПДн (Direct Identifiers, ISO/TS 25237:2008) – данных которые позволяют идентифицировать субъекта ПДн без применения дополнительной информации
·        (De-identification of Quasi-Identifiers) обезличивание псевдо-индентификаторов – данных, которые не позволяют идентифицировать субъекта ПДн без применения дополнительной информации, но при объединении с некоторым другими известными наборами ПДн (общедоступными ПДн или базами данного оператора) позволяют идентифицировать субъекта ПДн.
o   (Suppression) удаление псевдо-индентификаторов
o   (Generalization) замена псевдо-индентификаторов на некоторый обобщенный диапазон (например, “возраст = 33 года” на “возраст в диапазоне между 30 и 40”)
o   (Swapping) перестановка псевдо-индентификаторов между записями различных субъектов ПДн
o   (Sub-sampling) замена псевдо-индентификаторов на более общие (например, вместо “номера телефона” – “последние 4 цифры номера телефона”, вместо “дата рождения” – “год рождения”)

Предлагается использовать следующий 11 этапный процесс обезличивания (авторы El Emam и Malin):
·        Этап 1: Определяем часть ПДн, позволяющая напрямую идентифицировать субъекта ПДн (direct identifiers)
·        Этап 2: Удаляем их или заменяем на условные идентификаторы
·        Этап 3:  Выполняем моделирование угроз, определяем актуальные типы нарушителей, определяем массивы данных, которые могут быть доступны нарушителям и которые совместно с псевдо-индентификаторами позволят определить субъекта ПДн
·        Этап 4: Определяем минимально достаточный объем ПДн / полезность выгрузки (utility), определяем на сколько сильно могут быть обезличены ПДн
·        Этап 5: Определяем приемлемый уровень риска разглашения ПДн
·        Этап 6: В ручную выгрузить тестовую выборку ПДн
·        Этап 7: Оценить риск деобезличивания ПДн
·        Этап 8: Сравнить актуальный риски и приемлемый риск.
·        Этап 9: Если актуальный риск ниже приемлемого, внедрить метод обезличивания . Если актуальный риск выше приемлемого, подобрать другой метод обезличивания
·       Этап 10: Проверить реализацию метода обезличивания, убедиться что деобезличивание всё ещё невозможно
·       Этап 11: Разрешить выгрузку данных и задокументировать применяемый метод обезличивания


В документе NIST рассматриваются отдельно рассматриваются методы обезличивания ПДн в формах отличных об БД, например:
·        ПДн в тексте
·        ПДн в изображениях
·        Биометрические ПДн
·        ПДн местоположения, координаты, расположение на картах

В целом могу отметить что документ NIST более ориентирован на ситуации экспорта / выгрузки ПДн и носит более практический характер (схемы, примеры, ссылки на инциденты, ссылки на исследования стойкости методов обезличивания, разбор актуальных ситуаций) по сравнению с МД РКН, который более ориентирован на обезличивание ПДн для обработки внутри ИСПДн, и имеет более теоретический характер.  

PS: другой документ NIST по этой теме Special Publication 800-122  guide to protecting the confidentiality of personally identifiable information (pii)


Общее. Конференция КодИБ в Краснодаре

16 апреля в Краснодаре пройдет конференция Код ИБ.

Буду участвовать в ней в качестве эксперта в компании с Андреем Прозоровым из InfoWatch, Максимом Степченковым из IT-Task, Андреем Брызгиным из Group IB на приветственной сессии, на которой будем обсуждать актуальные проблемы и тенденции, а так-же отвечать на вопросы аудитории.

Так-что приглашаю подготовить актуальные для вас вопросы в области ИБ, прийти на конференцию и задать эти вопросы – постараюсь на них ответить исходя из опыта выполненных проектов. Сам же планирую немного рассказать про проблемы, с которыми сталкивался в этом году и которые обсуждал с регуляторами.

В программе намечается большое количество докладов от производителей СЗИ.  В этом году в Краснодаре - это единственная многовендорное мероприятие по ИБ (до этого прошли два моновендорных мероприятия от Infowatch и Cisco) так что другого шанса пообщаться сразу со всеми интересующими производителями в Краснодаре может просто не представится.


Увидимся  16 апреля 2015 в ЦМТ-Краснодар (ул. Советская 30) в 10.00 

вторник, 7 апреля 2015 г.

Общее. Средства защиты информации 2030-ого года. Часть 1

Intro: Статья носит скорее развлекательный характер и планировалась к выходу 1 апреля, но задержалась в связи с командировкой и раздутием темы.

В связи тем, что цикл создания СЗИ очень велик, разработчикам приходится продумывать и планировать новые технические решения на годы вперед. Также приходится учитывать возможное направления развития ИТ-технологий.
Давайте посмотрим на некоторые актуальные направления развития и связанные с этим угрозы и будущие СЗИ. Будем предполагать что SDL ещё не успеет внедрится во все умы и не все технические решения будут выпускаться заведомо безопасными.

Направление развития: умные вещи
Тут будет всякая умная и подключенная к беспроводной сети одежда, ботинки, зонты, сумки, чайники, кружки, столы, холодильники, туалеты, матрасы, одеяла, обои, ручки, визитки, мячи, и т.п. обычные сейчас вещи.
О безопасности умных вещей (при отсутствии самих вещей) уже говорят несколько лет, например Лукацкий и  Новиков, поэтому пропустим эту тему.


Направление развития: виртуализация работы / жизненного пространства / дополненная реальность

Зачем идти в музей, театр, путешествие, если можно посетить виртуальную копию. Зачем каждый день тратить время для поездки на работу, если можно всем вместе собраться в виртуальном офисе. Вместо утомительных походов в гости – посещение виртуальной гостинной. Университеты и обучение будет более эффективным в форме дистанционного виртуального обучения. Многие произведения искусства, предметы интерьера и развлечений будут производится изначально в цифровом виде.  
В целом все технологии уже имеются и движение в этом направлении ведется - доступные очки виртуальной реальности, ещё одни,
очки и концепция от MS
ещё одна реализация доп. реальности от google

 и ещё одна реализация дополненной реальности из японии



Можно ожидать появление следующих “новых” угроз:
·        Несанкционированный доступ, изменение, просмотр окружающего виртуального пространства
·        Копирование, похищение виртуального имущества, недвижимости
·        Копирование, похищение виртуальной части компании / бизнеса
·        Блокирование виртуальной части бизнеса / жизни
·        Подмена личности в виртуальном пространстве

И соответственно новых типов наложенных СЗИ:
·        Средства защиты инфраструктуры виртуального пространства (СЗИВП)
·        Средства защиты окружающего виртуального пространства (СЗОВП)
·        Доверенные виртуальные пространства (ДВП) и выделенные виртуальные помещения (ВВП)
·        Средства защиты виртуального имущества (СЗВИ)
·        Средства защиты виртуальных образов личности (СЗВОЛ)



Направление развития: глубокое погружение

Данное направление схоже с предыдущим, но дополняется технология прямой передачи / считывания информации из головного мозга через миниатюрные чипы,  минуя ограничения органов чувств и необходимости конвертировать информацию в промежуточные образы. Теоретически должна получится более достоверная виртуализация. Предполагаем что команды головного мозга / импульсы (назовем визуальные образы) будут перенаправляться на чип, чтобы человек не ходил по комнате, когда он идет в виртуально  
Готовых технологий пока нет, но разработка в этом направлении ведется, например тут и тут.


Можно ожидать появление следующих “новых” угроз в дополнение к предыдущему направлению:
·        Несанкционированный доступ, изменение, управление чипом или устройством для глубокого погружения в виртуальное пространство
·        Трансляция пользователю опасных визуальных образов, оказывающих деструктивное воздействие на психику / мозг
·        Несанкционированное удержание в виртуальном пространстве
·        Вложенные погружения

И соответственно новых типов наложенных СЗИ:
·        Средства фильтрации визуальных образов (СФО)
·        Средства обнаружения вредоносных образов (СОВА)
·        Средства аппаратного контроля погружения (САКП), в том числе контроль физ. Состояния пользователя и принудительное отключение


PS: Остальные направления рассмотрим в следующей части...