четверг, 29 декабря 2016 г.

Общее. Стоит ли пускать обычных ИБшников на ZeroNights?

Наконец у меня нашлось время написать пару слов про ИБ конференцию ZeroNights, прошедшую 17-18 ноября 2016 г.  Несомненно, это было одно из лучших практических ИБ мероприятий РФ. Со стандартным отчетом я не успел (если не считать twitter), поэтому порекомендую вам ознакомится с отчетами коллег.


Я же хотел порассуждать на следующую тему: для специалистов занимающихся исследованием безопасности ПО и ТС, пенсетеров, охотников за уязвимостями, разработчиков СЗИ это мероприятие просто не имеет альтернатив и обязательно для посещения; а что на счет обычных специалистов по ИБ? Это те, которые занимаются управлением ИБ в организации, администрированием СЗИ,  комплаенсом, внутренним аудитом и т.п.? Таких ИБшников в сотни раз больше. Стоит ли их пускать им идти на ZeroNights?

Я в лице обычного ИБшника (с опытом консультации, комплаенса, проектирования) попытался найти ответ на самом мероприятии. На первый взгляд все выступления на мероприятии сводились примерно к следующему:
·         до меня никто толком не исследовал такую-то железку / ОС / ПО/ новые функции защиты / СЗИ
·         я решил это исследовать
·         нашел одну / пачку опасных уязвимостей
·         все это позволит получить доступ к вашей системе / данным / захватить мир
·         правда работает это не всегда, а при условиях X1+X2+..+Xn
·         рекомендации в результате исследования: вендорам - внимательнее делать такие-то проверки и реализовывать такие-то функции / пользователям – выбирать производителей, которые внимательно относятся к безопасности и не допускают уязвимостей.
Ни на одном из докладов нельзя было узнать следующей информации:
·         какое волшебное средство защиты поможет мне защитится от угроз ИБ
·         как мне выбрать волшебное средство защиты
·         как мне продать руководству это средство защиты
·         какая компания поможет мне защитится если я сам не справлюсь

Так что же было делать ИБшнику?
Во-первых, можно было узнать своего врага в лицо. Конечно не в прямом смысле. Подходите к этому как к моделированию нарушителя. Большинство докладчиков offensive докладов (их можно было обнаружить по черному цвету фона презентации) качественно смоделируют для вас нарушителя. Подробно опишут этапы того как готовилась и проводилась атака. Пару месяцев назад все говорили про Attack Kill Chain. На ZN вы узнаете более 20 возможных цепочек атак. Изучайте, планируйте как вы будете противостоять им на каждом этапе.
Во-вторых, вам помогут снять розовые очки. Вы на конкретных примерах поймете, что волшебного средства, защищающего от всех угроз, не существует. Что, через небольшое врем я после выхода новой функции защиты, придумывают способы его преодоления. Что, для каждого средства защиты есть не обнаруживаемый способ антиобнаружения атаки. Что, при достаточном времени исследователь может пробраться через любую защиту.
В-третьих, можно расширять ИБ кругозор.  Например, на Offensive вы можете:
·         узнать, что у всех компонентов ваших критических ИС есть физический уровень
·         компоненты ваших ИС на физическом уровне тоже могут иметь уязвимости
·         уязвимости на физическом уровне позволяют получить доступ на любом вышестоящем уровне, а значит ко всему
·         запланировать включение анализа компонентов на физическом уровне в область управления уязвимостями и обновлениями
·         вспомнить, что в компонентах ваших ИС тоже есть UEFI и BIOS
·         понять наконец почему в БДУ ФСТЭК так много угроз связано с UEFI и BIOS
·         вспомнить что прошивки и ОС на вашем сетевом оборудовании, принтерах, периферии и другом второстепенном оборудовании не обновлялись уже как десять лет (хотя ОС на АРМ вы обновляете каждую неделю)
·         запланировать включение анализ описанных выше компонентов в область управления уязвимостями, обновлениями и контроля целостности
·         узнаете, что происходит в тот момент, когда компьютер сам разблокируется, выполняет пару команд и снова блокируется
·         узнать, что бывает разная криптография, по-разному реализованная в разных устройствах и запланировать категорирование компонентов критических ИС по степени стойкости крипты в них
·         узнать, что вредоносы могут внедряться и в ваши эталонные дистрибутивы ПО и запланировать дополнительный контроль их целостности
Ну а секция Deffensive была специально и полностью предназначена для нас – обычных ИБшников. Только по сравнению с традиционными ИБ мероприятиями обладала рядом недостатков:
·         вместо того чтобы посоветовать готовое решения или поставщика услуг нам зачем-то рассказывали про опыт построения системы обнаружения целенаправленных атак, системы мониторинга почты и системы управления уязвимостями своими силами из опенсорсных кусочков
·         вместо того чтобы рассказывать про плюшки и бонусы, нам рассказывали про сложности и ограничения применения двухфакторной аутентификации в гетерогенной linux среде
·         вместо того чтобы рассказать, как выстроить в компании эффективные из зрелые ИБ процессы, нам рассказывали, как обеспечить безопасность в условия хаоса и вседозволенности сотрудников
·         лидеры ИТ отрасли вместо того чтобы хвастать успешными внедрениями современных ИБ решений, жаловались на отсутствие денег и необходимость писать себе СЗИ самостоятельно

Конечно же никакое хорошее обучение не обойдется без практики. В рамках двух task-based CTF (от QIWI и bi.zone) был подготовлен набор практических задачек, которые можно было решать на ZN, а потом померяться с коллегами. Немалая часть задачек была подходящей для обычных ИБшников: в категориях OSINT, Forensic, MISC  на 50, 100 и 300. Если хорошо поискать, то можно было найти на ZN ещё практические задачки, посильные обычному ИБшнику.  

Итак, если отвечать на первоначальный вопрос: наверное, не стоит пускать идти на ZN топ-менеджерам, занимающихся высокоуровневыми вопросами ИБ, а также ИБ специалистов компаний, которые решают свои задачи ИБ исключительно силами интеграторов и аутсорсинга.  

Стоит посещать ZN специалистам по ИБ компаний, которые пытаются самостоятельно реализовать некоторые меры защиты, которые самостоятельно занимаются управлением уязвимостями, обновлениями, мониторингом и расследованием инцидентов.

PS: Если бы организаторы расширили Defensive сессию на 2 дня, так было бы совсем замечательно.


Комментариев нет: