понедельник, 23 ноября 2015 г.

Общее. New generation решения Кода Безопасности

      19 ноября 2015 прошла lite пресс-конференция Кода Безопасности “Трансформация ИБ-решений в российских реалиях”

В начале Конференции представитель TAdviser рассказал о том, что в 2015 г. рост рынка ИБ составит 0%, при этом закупать импортное ПО поИБ меньше не стали, а к 2018 г. существенно снизится роль бумажной безопасности.




Продолжил развивать эту мысль Андрей Голов, генеральный директор КБ, который пообещал, что к 2018 г. решения Кода Безопасности будут отличатся в первую очередь функциональными возможностями и удобством, а во вторую уже сертификатами. У КБ есть инвестиции от заказчиков покрывающие 100% стоимости будущих разработок, но обязательное условие – обеспечить функциональность и качество на уровне западных решений.

Подтверждают движение КБ в этом направлении следующие этапы: технологическое партнерство с ESET и анонс двух next generation решений Secret Net Studio и СОВ Континент 4.0.
Далее показали новые интерфейсы Secret Net Studio, в том числе и видеоролик в лучших традициях пресс-конференций (прошу прощения за низкое качество, думаю скоро оф. версия будет доступна на сайте вендора). SN Studio включает в себя все необходимые компоненты для защиты узла (возможности СЗИ от НСД, МЭ, СОВ, клиента VPN, 2 вариантов антивируса) объединенных одной платформой и системой управления. Система управления выглядит действительно круто, включает консоли мониторинга и отображения необходимой информации, в том числе предварительную группировку, классификацию и фильтрацию событий.

Наконец то реализовали централизованное развертывание и обновление всех компонентов SN Studio встроенными средствами. В дальнейшем это поможет для накатывания сертифицированных сервис-паков минимальными трудозатратами. Так-же радует план развития – на сертификацию подают на днях и ожидают получения сертификата уже в Q1 2016, а в конце 2016 года мы наконец увидим версию SN Studio централизованное управление и развертывание которой будет работать и без AD.

Про СОВ Континент 4.0 рассказали, что удалось повысить производительность аппаратных платформ в несколько раз, а также существенно улучшить эффективность системы по всем показателям. Хотя для 2016 г. максимальная производительность в 10 Гбит/c может оказаться недостаточной. Интерфейс управления СОВ 4.0 выглядит круто – дэшборды, круговые диаграммы, настраиваемые алерты, изменение критичности событий, изменение критичности защищаемых углов, настраиваемые виджеты.  

Насторожил только тот факт, что на показанных примерах критические события исчислялись тысячами, средней критичности сотнями, а низкой и средней критичности событий не было. Это свидетельствует о том, что после установки системы придется уделить определенное время тонкой настройки чтобы добиться обратного результата: 1-2 критичных события, десятки средней критичности, сотни и тысячи низкой критичности и информационные.  


По поводу сигнатур для СОВ – пока закупают. В следующем году планируется создание подразделения, которое будет заниматься сбором информации с доступных источников и написанием собственным сигнатур. В общем выход СОВ 4.0 на рынок произойдет не так быстро – конец 2016 года.

Также на конференции выступал представитель ESET который рассказал, про процесс интеграции их решения в SN Studio (прошло все очень быстро по меркам R&D – за 8 месяцев) про ожидания выйти за счет интеграции на рынок Гос. заказчиков, в которых он традиционно мало представлен, а так-же решить вопросы импортозамещения.

PS: Не могу не отметить несколько моментов:
·         одно из решений Secret Net Studio было анонсировано до данной пресс-конференции, на общий доступ уже выложена демо. версия и (по заявлениям производителя) её загружали по 300 раз в день, а так-же производителем уже проведено 2 вебинара по SN Studio – так что в этой части новости не получилось
·         на одном из слайдов приглашенный докладчик из TAdviser обозвал Код Безопасности – Информзащитой, (из комментариев в твиттере) наверное на пресс-конференции производителя это ещё обиднее, когда тебя нет в ТОП-е российских компаний по ИБ.

вторник, 10 ноября 2015 г.

СОИБ. Анализ. Почему классические российские производители СЗИ не торопятся с сертификацией?

Есть ряд классических российских производителей СЗИ, которые плотно работают регуляторами и выводят на рынок свои технические решения только после окончания сертификации. Но бывают и в этом механизме и сбои. Вот несколько примеров.

Пример 1. Решения по межсетевому экранированию и криптографической защите семейства ViPNet CUSTOM. Данные СЗИ обычно славились высокими классами защиты и маленькими ограничениями сертифицированных версий и завоевали большую популярность - используются многими коммерческими компаниями для защиты ПДн, используются, наверное, во всех Гос-ах.

В некотором приближении можно сказать что решением ViPNet пользуется полстраны и эти полстраны сейчас страдают – в последней сертифицированной версии 3.2 отсутствует поддержка современных ОС: Windows 8, 8.1, 10, 2012 Server. А между тем Microsoft уже закончила основную поддержку ОС Windows Vista и 7, на которых ещё работает ViPNet.

Версия ViPNet 4.0 была анонсирована аж 2012 году. С тех пор разработана уже версия 4.3.1 и до сих пор ни одного сертификата ФСТЭК или ФСБ. 3 года. Что они делают всё это время? Не могут встроить качественную закладку?

Почему регуляторы устраивают гонения на западных вендоров, не сертифицирующих обновления для закрытия уязвимостей, а тут допускают использование сертифицированного СЗИ, которое не обновлялось уже более 3 лет.

Пример 2. В документации на некоторые свежие СКЗИ указывается требование использовать антивирус, сертифицированный ФСБ России. Возьмем, например, СКЗИ КриптоПро CSP которым пользуется ещё полстраны.

“При эксплуатации СКЗИ ЖТЯИ.00083-01 должны выполняться следующие требования:
5. СКЗИ должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах. В период отсутствия сертифицированных ФСБ России антивирусных средств для операционной системы iOS допускается использование СКЗИ на работающих под управлением операционной системы iOS устройствах без антивирусных средств, при условии загрузки приложений на устройство, на котором используется СКЗИ, только штатным образом.”

Антивирусов, сертифицированных ФСБ России у нас раз-два: Касперский, Dr.Web и непонятное M-42. Куда смотрят другие вендоры - Nod32, Symantec, McAfee, TrendMicro, КБ SSEP, почему не проходят сертификацию в системе ФСБ России? Кто создает монополию?

Пример 3. В июне 2012 года вышли новые требования ФСТЭК России к средствам антивирусной защиты (профили САВЗ). Немалый ряд вендоров уже успели сертифицироваться по новым требованиям -Касперский, TrendMicro, McAfee, КБ SSEP. А вот один помянутый выше вендор тормозит – сертификации по новым требованиям нет у Dr. Web. А ведь требования к новым классам антивирусной защиты приводятся в приказах ФСТЭК России №17, 21, 31.

Недавно Dr.Web вывесил у себя информационное письмо по поводу использования его для защиты ГИС. С одной стороны, это может показаться разрешением использовать в определенных случаях. С другой стороны – это указание не использовать Dr. Web в новых ГИС и при повторной аттестации существующих. Аналогичные рассуждения и выводы можно провести и для ИСПДн.


Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты ГИС с СКЗИ у нас является антивирус Касперского.

(UPDATE более корректная формулировка) Вывод из примера 2 и 3 - единственным легитимным антивирусным средством, подходящим для защиты вновь создаваемых ГИС с СКЗИ или при переаттестации существующих ГИС с СКЗИ - у нас является антивирус Касперского.



Пример 4. В феврале 2014 года ФСТЭК России утверждены требования к средствам доверенной загрузки. Прошло почти два года, а сертифицировано только одно СДЗ Alltel TRUST
Чего ждут электронные замки типа Соболь или Аккорд, средства защиты от НСД типа Dallas Lock и Secret Net? Так можно дождаться разрешения использоваться только в старых ГИС и ИСПДн.




понедельник, 9 ноября 2015 г.

СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от CIS

Как-то я пропустил момент, когда Twenty Critical Security Controls for Effective Cyber Defense или Top 20 от SANS превратился в The Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense. Произошло это между версиями 4.1 и 5. Далее для повышения эффективности объединились некоммерческие организации Council on CyberSecurity (CCS) и the Center for Internet Security (CIS). А октябре 2015 года вышла уже версия 6.0



Принципы и основная структура документа не изменились. Подробности о них можно почитать одной из предыдущих статей этого блога. Давайте посмотрим, что существенного изменилось:

        Убрали категорирование подконтролей по сложности и цели (Quick wins, Visiblity, Improved, Advanced)
        Добавили категорирование подконтролей по области защиты: System, Network, Application
        Существенно повысили приоритет меры “контролируемое использование административных привилегий” (Controlled Use of Administrative Privileges) – с 12 на 5 место
        Удалили из числа 20 наиболее важных меру “Разработка защищенной сети” (Secure Network Engineering), которая заключалась в разработке и применении дизайна сети с разделением на зоны разной степени защищенности
        Добавили новую меру в число наиболее важных “Безопасная работа электронной почты и web сайтами” (Email and Web Browser Protections), которая включает правильную настройку email клиентов и web браузеров, фильтрацию и аудит web и email трафика
        Для простоты планирования и оценки пронумеровали все подмеры вторым уровнем (CSC 1.1, CSC 1.2, … , CSC 2.1, CSC 2.2, …)
        Разделы мер, связанные с измерениями (Metric) и тестированием (Test) вынесли в отдельный документ A Measurement Companion to the CIS Critical Security Controls. Измерения ИБ стали более четкими, с разделением по подпунктам (1.1, 1.2, …), с указанием рекомендуемых диапазонов значений для разных уровней риска.
        Поменялся (а точнее потерялся) рекомендованный план применения Top 20. В версии 4.1 предлагалось начать с обязательного внедрения первых 5 мер + наиболее быстрых и эффективных подмер (quick wins) из всех мер, далее нужно было запланировать и поэтапно внедрять более сложные подмеры, обеспечивая при этом их постоянный мониторинг и измерение. В версии 6.0 говорится о необходимости внедрения в первую очередь первых 5 мер (связано с национальной публичной компанией Cyber Hygiene, в которой более простым языком описана необходимость и применение первых 5 мер, и которая рассчитывает на максимально широкий круг пользователей), далее порядок применения на усмотрение организации, но нужны все 20 мер.


Что осталось прежним: концепция, заключающаяся в том, что внедрение этих Top 20 мер защитит от большинства угроз ИБ; меры и подмеры отсортированы в порядке приоритета и в таком же порядке их предлагается внедрять (сначала CSC 1 потом CSC 2 … ,  сначала CSC 1.1 потом CSC 1.2 ….); простота мер, их небольшое количество, четкие схемы взаимодействия, простота измерений и проверки, а так-же большое количество организаций и экспертов работающих над совершенствованием документа – делают его полезной лучшей практикой.

К сожалению, для версии 6.0 пока нет таблицы соответствия мерам NIST 800-53, а эту таблицу я использовал для построения соответствия с мерами из приказов ФСТЭК 17, 21, 31.  Но думаю, что в ближайшее время обновлю таблицу из предыдущей статьи.



понедельник, 2 ноября 2015 г.

Общее. Лукакратия на ИБ-мероприятиях

В своей статье Алексей Лукацкий поделился опытом интерактива со слушателями на одной из недавних конференций и вовлечением их в выбор темы пленарной дискуссии.

В этой же статье он предлагает всем спикерам брать эту идею на вооружение - готовить по несколько докладов и давать выбор аудитории. Выглядит это небольшим издевательством. Если бы в доступе организаторов мероприятий было 30-50 Алексеев Лукацких. К сожалению, это не так. Им удается заполучить максимум одного, и то с трудом. 

Там, где у А.Л. подготовка выступления занимает 2-3 часа в ночь перед мероприятием, у других спикеров на подготовку качественного контента уходит несколько дней, а то и недель. Тратить в 3 раза больше времени, чтобы не терять качество выступлений – оно надо спикеру? Тратить столько же времени, но снижать в три раза качество докладов – оно надо слушателям?

Кроме того, есть ограничения – если докладчик спонсор, ему надо отрабатывать бюджет и рассказывать про ходовые решения или услуги, если докладчик со стороны заказчиков – он рассказывает про интересную задачу, которую ему удалось решить и три темы у него может и не набраться.

Выбор, например, 3 спикеров из 5 идея неплохая.  Но чтобы спикеры не тратили значительное время в пустую (как я уже говорил, большинству спикеров, в отличие от Алексея Лукацкого, приходится тратить значительное время), выбор надо делать не на месте, а предварительно – каждому платному посетителю давать 1 голос и за 2 недели до мероприятия отсеивать лишних спикеров.  Возможные проблемы – спикеры могут делать анонс круче чем будет выступление на самом деле (обещать больше); часть спикеров – спонсоры, убрать их доклады не получится.

Более реальные способы учета мнений аудитории:
·         можно спикеру, который получил больше голосов, давать больше времени на выступление
·         давать возможность доп. средствами задавать вопрос спикерам – мобильное приложение, web приложение, twitter, sms
·         давать возможность во время выступления голосовать – нравится или не нравится через мобильное или web приложение, с пульта

Но всё же отмечу что в ИБ мероприятие – это частично шоу. Дают ли организаторы шоу программ возможность выбора для зрителей? На концертах выбирают ли зрители певцов? На открытии / закрытии олимпийских игр – давали ли зрителям возможность выбирать? Нет. Пришел – смотри что показывают. Не нравится - в след. раз иди в другое место.