среда, 31 июля 2019 г.

ПДн. Межблогерский вебинар по защите ПДн


Вчера в Роскомнадзоре прошел день открытых дверей по ПДн, который показал, что вопросов у слушателей много, но не все РКН отвечает, некоторые вопросы предпочитает не замечать, а некоторые не в их сфере компетенции.

Не всегда официальная информация от регулятора понятна слушателям


Видимо поэтому ко мне, а также к другим блогерам часто обращаются читатели с различными вопросами по защите ПДн. Совместно с Ксенией Шудровой решили провести вебинар по Защите ПДн. Выбрали несколько небольших горячих тем:
·        варианты моделирования угроз безопасности ПДн;
·        меры защита web сайта с ПДн;
·        проверки Роскомнадзора по ПДн;
·        судебная практика в сфере ПДн.

Я расскажу первые две темы – про облегченные варианты моделирования угроз, про меры защиты альтернативные сертифицированным СЗИ – в общем все то, что нельзя рассказывать на официальных мероприятиях, а также отвечу на вопросы. 
Так что готовьте вопросы по указанным темам, а может и по другим актуальным для вас. Если будет хорошая обратная связь, то этот пробный вебинар может превратиться в серию - будем встречаться пока у вас не закончатся вопросы.   

Вебинар пройдет 08.08.19 15:00-16:00 мск. Ссылка для регистрации.

PS: Видео записи официальных выступлений РКН с дня открытых дверей можно посмотреть тут. Спасибо Листку бюрократической защиты информации и Валерию Комарову за опубликованные материалы


понедельник, 22 июля 2019 г.

ИБ. Канарейки на службе ИБ


Идея использовать “канареек” в информационной безопасности – не новая, но в РФ все ещё редко применяется, поэтому решил напомнить читателям про эту идею.
Эксперты по ИБ предупреждают что защититься от 100% кибератак невозможно – всегда может найтись слишком доверчивый пользователь, непубличная уязвимость или целевая атака. Основной смысл решения с “канарейками” в том, чтобы вместо поиска вторжений в миллионах событий (иголки в стоге сена), мы получили уведомление, когда злоумышленнику всё-таки удалось добраться до нашей ценной информации.

Размещать “канареек” имеет смысл в наиболее ценных активах – как только нарушитель доберется до них, вы получите уведомление и возможно оперативно заблокировать его, провести расследование инцидента, устранить уязвимости, которыми пользовался нарушитель и возможно собрать информацию, полезную для правоохранительных органов.

В целом идея похожа на honeypot, но только размещение “канареек” должно происходить максимально просто – в пару кликов. С https://canarytokens.org буквально за пару часов мы можете создать и пристроить птичек – а потом целый год пожинать плоды. Посмотрим на несколько примеров:
·        Если у вас активно используется обмен ценной информацией через сетевые папки, то вы аналогично можете создать новую папку с похожим привлекательным названием, запретить к ней доступ обычных пользователей, оставить доступ административных или системных учетных записей.
Далее создаем канарейку / токен типа Windows folder (работает с использованием desktop.ini) и размещаем его в целевой папке.


После того как кто-то заходит в папку, получаем подобное уведомление

·        Если ценные данные ИС размещаются в базах данных, будем селить “канарейку” в БД.
Создаем токен типа SQL Server – для него придумаем новый VIEW с привлекательным названием, который не используется в реальной работе, но к которому будет доступ у любой учетной записи.
 
Применяем полученный скрипт в SQL сервере

Как только злоумышленник проберется в базу и посмотрит наш view, мы получим уведомление

·        Ценная информация отправляется контрагенту в формате word и pdf, но нужно проконтролировать чтобы она не распространялась слишком широко, или не использовалась дольше чем указано в договоре (как это работает обсуждалось тут)
Создаем токен типа Microsoft Word Document или Adobe Reader PDF document

Вставляем в него нашу информацию – отправляем.
Получаем следующие уведомления.


·        У нас есть ценный сайт, который может быть склонирован злоумышленником, и использован для фишинговой атаки на пользователей.
Создаем канарейку типа Cloned web site

Размещаем java-скрипт на странице с авторизацией или там где пользователь вводит данные
При появлении клона сайта получаем уведомления

·        У нас есть ценное web приложение. В каком-то из закрытых разделов, где нет доступа пользователей размещаем привлекательный файл – канарейка типа Adobe Reader PDF document, либо на закрытой web странице размещаем специальные картинки, ссылки либо редиректы – канареки типа URL token, DNS token, Custom Image token, Fast Redirect.  
Пользователи, а этот раздел не ходят, а злоумышленник проберется через уязвимость и посмотрит.

Кому понравилась данная тема и хочется большего, смотрите полноценные honeypot проекты где нужно самим создавать и настраивать приманки; также можно развернуть у себя “канареечный” сервер с кастомным именем – ведь злоумышленики могут блокировать стандартное canarytokens.org; также можно приобретать многофункциональных “канареек”, которые из коробки могут прикидываться АРМ на windwos, маршрутизатором или Linux сервером.

Ps: Для эксперимента по точности обнаружения можете скачать и открыть у себя pdf файл  - потом опубликую что обнаружилось




вторник, 9 июля 2019 г.

КИИ. Методические рекомендации от Ассоциации документальной электросвязи



разработан рабочей группой АДЭ "Методологические аспекты обеспечения безопасности критической информационной инфраструктуры" с участием специалистов ПАО "МегаФон", ПАО "Вымпел-Коммуникации", ПАО "Мобильные ТелеСистемы", ООО "Т2 Мобайл", ООО "НТЦ "Вулкан" и других организаций-членов АДЭ (приятно что не забыты герои, но хорошо бы ещё имена указывать). Документ согласован ФСТЭК России и 8-м Центром ФСБ России и может использоваться операторскими компаниями связи.

Документ очень понравился, по сути, рабочая группа для отрасли связи сделала анализ, который я делал в блоге для здравоохранения, только доработали его до конца и согласовали с регуляторами.

Фактически всю сложную работу, где нужно было думать или анализировать уже провела рабочая группа. Подготовили перечень критических процессов, перечень типовых объектов КИИ с описаниями и схемами, подготовили обоснования неприменимости отдельных показателей вреда, перечень основных угроз, описание нарушителя, дали форму акта категорирования и предзаполненные формы перечня объектов КИИ и уведомлений ФСТЭК.

Субъектам КИИ из сферы связи остается только вписать в таблицы и формулы:
·        конкретные наименования для типовых объектов КИИ
·        суммы налоговых отчислений
·        допустимое время простоя из договоров
·        количество абонентов и зоны обслуживания
·        указать гос. органов которым предоставляют услуги связи

Выводы:
·        Возможно, не стоило нагружать максимально широкий круг субъектов КИИ задачами по анализу процессов, выявлению критических и оценке вреда?
Может быть надо было весь этот анализ провести Регулятору совместно с рабочими группами, а с субъектов КИИ спрашивать самые простые вопросы (по аналогии с тем, что привел выше)

·        Субъекты КИИ из других сфер (не связи) также могут подчерпнуть что-то полезное из этого документа (раз уж он согласован с ФСТЭК и ФСБ):
o   Формулы для оценки ущерба бюджетам РФ + пороговые значения для федерального бюджета





o   Обоснование неприменимости ряда показателей

o   Модель нарушителя (хотя по моему мнению она слишком суровая)


o   Перечень основных угроз ИБ (он из базовой модели угроз КСИИ от 2007 г., хотя по моему мнению он слишком древний и мне больше нравится перечень основных угроз из проект методики ФСТЭК от 2015 г.)