среда, 17 августа 2016 г.

СОИБ. Анализ. Защита пользователей систем банк-клиент

Почти на каждом мероприятии по ИБ говорят о проблемах с защитой систем банк-клиент и о регулярных инцидентах с хищениями средств, а воз и ныне там – у большинства организаций с которыми приходилось работать плачевная ситуация с защитой банк-клиента.

Для того чтобы в очередной раз привлечь внимание и донести наиболее важную информацию до организаций провели закрытый вебинар по теме защиты пользователей банк-клиент. Участвовали самые обычные организации малого и среднего бизнеса. Для них эта информация наиболее актуальна

Выкладываю презентацию с вебинара, возможно кому-то будет полезной.


Если есть необходимость послушать вебинар – обращайтесь по указанным контактам. Наберется желающих – проведем повторно, но уже открытый вебинар. 


понедельник, 8 августа 2016 г.

СОИБ. Анализ. Разработка безопасного ПО

В сегодняшней заметке хотелось бы поговорить про свежий ГОСТ Р 56939-2016 ЗАЩИТА ИНФОРМАЦИИ. РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. ОБЩИЕ ТРЕБОВАНИЯ. Разработан ЗАО НПО Эшелон, недавно отличившимся в пропущенных уязвимостях SN и DL. Введен в действие с 1 июня 2016 г.

Стандарт современный, учитывающий актуальные практики, но высокоуровневый. Всё-таки это общие требования, которые потом хорошо бы детализировать. Предназначен для разработчиков ПО и организаций, проводящих оценку соответствия процесса разработки ПО (аудиторов).  В соответствии с лучшими практиками (как в австралийском ISM) требуемые меры вводятся тремя формами: должен (must), следует(should) и может(may). Предусмотрены компенсирующие меры для неприменимых.

Несмотря на то, что стандарт утвержден в июне этого года, уже есть российские производители, заявившие о соответствии требованиям стандарта. Видимо внедрение мер безопасной разработки ПО была проведена до выхода стандарта?

Пожалуй, для полноты картины в стандарте не хватает приложения с таблицей для оценки соответствия. Решил сделать такую таблицу, для быстрой самооценки, в случае если вы только планируете внедрять этот стандарт – может быть полезным.



Пример возможного перечня документальных свидетельств, полученного в результате выполнения требований:
·         Руководство по разработке безопасного программного обеспечения (РБПО)
·         МУ
·         ТЗ
·         Проектная документация
o   Архитектура ПО
o   Описание средств разработки ПО
o   Описание средств управления конфигурацией
o   Порядок оформления исходного кода
o   Порядок маркировки версий ПО
o   Порядок передачи ПО
o   Порядок отслеживания уязвимостей
o   Порядок систематического поиска уязвимостей
·         План тестирования
·         Отчеты (о разовых мероприятиях)
o   Статистического анализа кода
o   Экспертиза исходного кода
o   Функционального тестирования
o   Тестирования на проникновение
o   Динамического анализа кода
o   Фазинг тестирования
·         Свидетельства об обучении сотрудников



среда, 3 августа 2016 г.

Общее. Недавние нестандартные онлайн мероприятия по ИБ


Так как являюсь регулярным участником онлайн мероприятий по ИБ, кровно заинтересован в их улучшении и развитии. Обсудим два недавних – Код ИБ онлайн и Кибербаталии

Код ИБ онлайн:
·         лично для меня неудобное время проведения – с 18.30 до 20, это время я стараюсь проводить с семьей + домашние дела. На 3 дня отказаться от этого я готов только за что-то реально стоящее. мне было бы удобнее в рабочее время. по факту – смотрел в записи
·         для платного мероприятия слишком многовато проблем (проблем со звуком, размером презентаций, видео, громки эхо и т.п.). Я попал на не менее 5 проблем.
·         площадка проведения не подходит для платного участия. Алексей Комаров уже писал про возможность само регистрации на мероприятие. Да и по сути есть статические ссылки на вебинары типа https://my.webinar.ru/record/791606/ (эта фейковая, нашел перебором около реальной). Кто-то может поделится ссылкой с друзьями. Другой просто найдет нужный вебинар перебором. Для платного цифрового контента – защита никакая
·         для платного мероприятия, раздражала реклама в начале мероприятия и в перерывах. Да это были перерывы, а не выступления, но всё равно раздражает. При просмотре в записи есть глюки при перемотке рекламы. Мы же договаривались что, если платят слушатели, рекламы спонсоров быть не должно. Когда есть рекламодатели, брать оплату со слушателей я считаю неуместным
·         за пол часа ничему толковому научить не успеешь, подробностей не расскажешь. Все спикеры извинялись что придется скакать по верхам. Думаю, что должен быть доклад по часу хотя бы по один в день (2 обзорных + 1 детальный или 1 обзорный + 2 детальных) 
·         кратко пробежимся по докладам:
o   доклад Алексея Лукацкого на тему что “интересует руководство предприятия с точки зрения ИБ” хороший, но Алексей на других мероприятиях достаточно много рассказывал на тему обоснования инвестиций в ИБ или на тему общения ИБ и бизнеса. При чем ранее у него были мастер классы и по полтора часа, где тема раскрывалась полнее
o   Рустем Хайретдинов, непонятный доклад, начала субъективного с обзора текущей ситуации ИБ, пожаловался, что все СЗИ стали пассивными, а потом вдруг неожиданно перешел на продвижение решений по анализу кода, который он выпускает (да, без упоминания названий) как средство решения всех проблем
o   отличный обзорный доклад Андрея Прозорова, но успел затронуть только самую поверхность темы. Хотелось бы посмотреть на пример расчета интегральной метрики. Тем кто заинтересовался – ещё копать и копать.
o   Даниил Тамеев, очередной обзорный проект про защиту АСУ ТП, которые интеграторы обычно рассказывают на всех мероприятиях в последние пару лет, про мифы, правильные подходы и т.п. в общем хороший
o   доклад Дмитрия Мананникова хорош, рассмотрел варианты реализации антифрод системы для защиты от внутреннего мошенничества, полезно для развития ИБ-шника в область борьбы с внутрикорпоративным мошенничеством. Патерны нормального поведения, паттерны фрода, контрольная среда. Но непонятно как это реализовать на практике?  
o   в целом интересный доклад был у Ильи Шабанова про выбор DLP, единственная проблема в том, что тема заезженная, Илья с ней выступает регулярно, подробные материалы опубликованы на anti-malware.
Раз уж эта аналитика бесплатно доступна читателям anti-malware, почему за неё должны платить слушатели код ИБ онлайн?
o   Андрей Брызгин и Group-IB занялись пентестами? типичный боян от пентестера, очередные байки про бумажную безопасность, дырки в заборах, простые пароли, тестовые учетки, незащищенные принтеры, как легко вы обошли WAF – все это я слышал уже десятки раз. Советы пользователю “осмотрись, подумай, спроси, проверь, сделай, проверь, проверь …” – да вы шутите…
o   доклад Евгения Царева с отличными советами клиентам ДБО, с учетом юридических практик. Тут Евгений ворвался на незанятую нишу (про кражи денег с ДБО говорили многие, но рассмотрение практических кейсов в суде, досудебной и судебной экспертизу – не припоминаю) как кстати и в блоге. С возвращением.
o   Алексей Комаров попытался добавить интерактива в онлайн мероприятие, запустил голосовалки, сравнивал ответы зала со статистикой аналитиков. Но в целом давать рекомендации на основе прогнозов и советов ведущих мировых аналитиков считаю неким зомбированием. Мое мнение что прогнозы мировых аналитиков (типа Gartner) надо учитывать, но серьезно адаптировать их к российской специфике, а не применять в слепую.   
Кибербаталии:
·         слишком много модератора, главного редактора BISA!
·         мало Сколково, в половине битв модератор должен быть от них! а этого нет ...
·         не самые серьезные темы для баталий: орг. меры против тех. мер, все сотрудники или только безопасник, кто виноват в провале проекта заказчик или исполнитель – такие проблемы не стоят перед специалистами. Это скорее проблемы, которые беспокоят главреда BISA.  

лучше бы что-то поконкретнее - например собрать вендора, интегратора и заказчика - и спросить как бы они внедряли DLP решение (или другое решение), сравнить подходы, обменяться мнениями. Или например, IDM vs SSO. Банк vs клиент банка - как защитить ДБО. WAF vs NGFW+WEB. Песочница vs облачный антивирус. Пентест vs сканнер кода. Поговорить про уязвимости, bugbounty и SDL. Реестр российского ПО. Сертифицированная СКЗИ vs несертифицированная. системы управления ИБ vs excel и word.
·         не чувствуется реального противостояния. Видно, что приглашенные эксперты скорее в общем согласны с друг другом, просто отыгрывают роли, которые их попросили. 
·         неуместные, нелепые, неактуальные вопросы и цитаты от модератора. Посмотрим, например, с 14 по 24 минуту пятой серии (больше выписывать лень). Он говорил, пожалуй, больше приглашенных экспертов:
o  " как часто под организационными мерами защиты скрывается лукавство от поставщика тех или иных услуг и в чем это проявляется?
o   много раз слышал в кулуарах что если ИТ директор живет душа в душу с генеральным директором, то интегратор должен в первую очередь их поссорить, тогда у него будет контракт с этой компанией
o   … в идеале, а на практике никто ни за что не отвечает
o   … всегда найдется причина почему кто виноват
o   с точки зрения корпоративных политик и практик расследования инцидентов, инструкции пишутся не с точки зрения расследования инцидента, а чтобы знать кто виноват в случае его наступления
o   понимаешь какая штука, лучшие практики говорят о том, что второго такого случая в практике не повторяется
o   ситуация такова что любой проект, он уникальный, и такое впечатление что даже с большим опытом ты начинаешь все заново, просто тот, кто имеет больше опыта спокойнее к этому относится, закладывает больше времени чтобы разобраться и не пытается тиражировать проекты, которые были где-то там, но к сожалению жизнь такова что хочется быстрее копипастить, и качество решений и систем, которые потом следуют за этим делом оно снижается по эффективности, вот лукавство в этом проявляется
o   хуже ситуации, когда ты ведешь себя нормально, все хорошо, но у тебя есть точки уязвимости и благодаря твоему поведению на них и выходят – дети, семья, старики, вот это получается страшная ситуация, о чем мы часто забываем, ну хорошо, я думаю, что на мой взгляд, в самом понятии того чтобы, держать сотрудника в тонусе кошмаря его тем что за ним наблюдает большой брат - это не нормальная ситуация. То есть сейчас ситуация такова что люди должны работать самоотвержено и не думать о том, что они идут не туда, делают не то и они постоянно себя контролируют, что скажет обо мне кто-то там? За мной следят. Вот это не должно быть запрещающей мерой
o   и ещё поймите одну вещь, когда мы говорим в общем то о внутренних угрозах, мы говорим не о злоумышленниках, мы говорим о своих сотрудниках, которые ничего плохого сделать не хотят, просто какую-то глупость"
·         как может говорить человек, который на практике никогда Иб не занимался: о практике, о лучших практиках, о том, что всегда делается, о том, что в идеале делается, как инструкции пишутся? Журналист учит экспертов по ИБ?  
·         часто эксперты не понимают вопроса модератора, иногда видно, что вопрос не в тему или с некорректной формулировкой. Часто выдает цитаты и афоризмы...тут я не сомневаюсь, что журналист, часто посещающий ИБ мероприятия может потом тоже выдавать красивые фразы по ИБ, но разве за этим собираются слушатели?
·         из серии в серию следуют вопросы про роботов? Можно ли доверять роботам? Смогут ли они без человека предотвращать атаки? Эффективны ли? Infowatch готовит что-то в этой теме ?
·         в целом были в кибербатвах интересные мысли и выступления экспертов, но их приходится выуживать, по причинам, описанным выше
·         в первой части про противостояние заказчика и исполнителя проекта – потенциальная возможность для хорошего противостояния, но в этот раз его не случилось. И это было видно по реакции аудитории – против всех. Думаю, надо поднимать эту тему ещё раз, только в более широком и опытном кругу экспертов
·         в четвертой части простивостояние было прямо качественным (Степченков vs Гулевич). Так и надо. В остальных скорее беседа согласных лиц.
·         после пары проблем и переезда на сайт infowatch, дальше онлайн мероприятие проходит стабильно. Но не хватает интерактива со слушателями.  Не видно зрителей, нет общего чата, голосовалка не удобная, кроме оценки спикеров можно было бы ещё задавать какие-то вопросы аудитории

В целом это можно вынести в общие выводы:
·         помимо стандартных рекламных вебинаров стати появляться ещё интересные онлайн мероприятия, что не может не радовать. Хотя есть куда улучшать
·         пока не вижу площадки для проведения действительно интерактивного онлайн ИБ мероприятия. Особенно такой площадки нет для платных онлайн мероприятий и платного предоставления контента