среда, 8 апреля 2020 г.

Безопасность онлайн совещаний и переговоров


В свете последних событий большая часть коммуникаций ушла на онлайн платформы для конференций.

Зачастую с одних и тех же устройств и платформ, мы общаемся с фитнес инструктором, преподавателем иностранного языка, на них подключаемся в школьные конференции и факультативы для детей и на них же нам приходится вести онлайн совещания и переговоры с клиентами и коллегами по работе.

Каждый использует что придется, настраивает как получится и вся страна “сидит в Zoom-е”.

Сейчас лучшее время чтобы провести повышение осведомленности ваших работников по вопросам безопасности онлайн совещаний и переговоров. 
И возможно в этом вам пригодится мой перевод и его адаптация плаката от NIST.




PS: Вопрос - интересно было бы обсудить эту тему на вебинаре?


Чтобы не пропустить важную информацию по ИБ подписывайтесь в вашем любимом канале

четверг, 2 апреля 2020 г.

Чем заняться ИБшнику во время длинных выходных: выбрать фреймворк для ИБ


Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ.
В прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для CISO тоже есть чем заняться.

Для чего нужен фреймворк ИБ в вашей организации?
·        для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу
·        для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий
·        для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты
·        для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса
В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики:
·        ISO 27001
·        CIS Controls
·        NIST Cyber Security Framework
·        Приказы ФСТЭК 17/21/235/239
·        СТО БР ИББС/ГОСТ 57580
Как выбрать подходящий для вашей организации Framework?
·        поможет решить указанные выше задачи
·        регулярно обновляется
·        есть сопутствующие фреймворку документы, которые помогают оценить угрозы, выбрать меры, реализовать меры, оценить степень выполнения мер
·        не только технические меры, но и управление ИБ
Например, почему раньше был хорош СТО БР ИББС?
·        разработка сообществом
·        регулярно обновлялся,
·        имел методики оценки,
·        модель зрелости
·        сопутствующие полезные документы
Поэтому встречались компании не из финансовой сферы, которые брали его за фреймворк для своей ИБ. Посмотрим, сможет ли сейчас ГОСТ 57580 занять его место.
А приказы ФСТЭК 17/21/235/239?
·        часть не обновлялась 7 лет
·        нет связи с угрозами
·        не согласованы между собой
·        нет модели зрелости или степеней внедрения
·        нет пояснений по отдельным мерам
У меня в блоге было достаточно много статей по лучшим практикам и фреймворкам. Возможно это поможет вам с выбором.

Также хорошая статья по выбору фреймворка была у Алексея Лукацкого.
Если приведенных фреймворков мало, то посмотрите ещё в подборке Андрея Прозорова.

Ну и конечно же отмечу недавнее видео Ильи Борисова про фреймворки ИБ. Это обязательно к просмотру, поэтому привожу ниже.

Основная мысль из всего этого – прежде чем делать что-то по ИБ в компании, выбери фреймворк и далее везде его используй. Идея простая, но во многих компаниях все ещё не выбрали…

Далее вам скорее всего понадобиться сделать маппинг(связь) между этим фреймворком и всеми иными требованиями. Например, вы выбрали NIST CSF и вам нужно будет сопоставить их с приказами ФСТЭК/ФСБ, постановлениями правительства РФ. Кстати, тут призываю к совместному творчеству – сбережем друг другу время, без потери качества результата.


понедельник, 30 марта 2020 г.

Чем заняться ИБшнику во время длинных выходных: виртуальные стенды ИБ


Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про виртуальные стенды ИБ.

В прошлой статье мы рассмотрели какие видео и семинары по ИБ можно посмотреть, но обучение будет не полным без практики. И тут нам, конечно, пригодятся стенды.

Почему виртуальные стенды?
·        Быстро получить
·        Не нужно загружать корпоративные ресурсы
·        Готовые сценарии или помощь в их моделировании

1. Cisco dCloud Guided Demonstration – детальные виртуальные стенды со скриптованными событиями и трафиком. Можно протестировать:
·        identity services engine
·        Endpoint Security Analytics
·        Umbrella
·        Cisco Defense Orchestrator
·        Firepower, Firepower Management Center
·        Duo
·        Stealthwatch
·        Cisco Threat Response
 

2. Check Point Infinity Portal – это web сервис для управления облачными сервисами Check Point. На нем же можно получить доступ к тестовым сервисам и поучиться на них. Доступны:
·        CloudGuard SaaS (threat protect и identity protect)
·        CloudGuard Connect
·        Management as a Service
·        SandBlast Agent Cloud Management
·        SandBlast Mobile
·        SourceGuard

3. У Fortinet есть онлайн демо стенды всех своих продуктов (ограничены возможности настройки). Но отдельно доступны полноценные образы Fortigate-VM и Fortiweb Cloud, которые можно протестировать в реальной инфраструктуре, плюс сценарии для них.

Это было несколько популярных примеров. Вы можете поискать аналогичные у ваших любимых вендоров (хотя виртуальные стенды не особо практикуются у российских производителей).


пятница, 27 марта 2020 г.

Чем заняться ИБшнику во время длинных выходных: видео про ИБ


Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про вебинары и видео.



1. На канале ПроИБ стараюсь подбирать для вас наиболее интересные видео с сортировкой по темам: ИБ Решения, Эксперты, Угрозы, Законодательство, Проектирование, Асу Тп, Аналитика.  
На данный момент ИБ решения самый наполненный раздел – представлены основные ИБ решения рынка РФ.

2. Много полезных видео представлено на платном портале Код ИБ Академия и их бесплатном youtube канале Полосатый инфобез. Также всё ещё можно заскочить на поезд Код ИБ ПРОФИ

3. После PHDays остается столько классных докладов на канале PT, что посмотреть их все в обычное время нет никакой возможности. Сейчас самое время.

4. На 01 апреля в 15.00 у нас с Ксенией Шудровой был запланирован межблогерский вебинар по проверкам регуляторов (по персональным данным и не только).

Мы провели опрос – не стоит ли перенести вебинар на рабочее время, но более 90% читателей высказались за вебинар 1 апреля несмотря на то, что это выходной день и несмотря на то, что все проверки сейчас заморожены. Поэтому он состоится - ссылка для регистрациина мероприятие.

четверг, 26 марта 2020 г.

Защита рабочих станций на Mac OS


Бывает так, что несколько ключевых сотрудников (разработчики, дизайнеры, ТОП менеджмент) компании работают на Mac OS. Как правило такие РС выпадают из сферы защиты ИТ/ИБ.
Но на них зачастую обрабатывается критическая информация и осуществляется доступ в корпоративные системы с высокими привилегиями. Давайте посмотрим несколько примеров как можно защитить такие устройства.

В экосистеме Apple имеется достаточно много встроенных возможностей, которые можно использовать для обеспечения безопасности – главное включить и настроить (пароли и блокировку, обновления, местоположение, Gatekeeper, XProtect, Firewall, FaceID, TouchID, SecureBoot, FileVault, AirDrop, WiFi, Find my Mac). При настройке можно руководствоваться CIS Benchmark. Но по ряду направлений, возможности безопасности урезанные (XProtect, Firewall) и для обеспечения высокого уровня защиты нужно использовать дополнительные средства.

1. Если рабочих станций на Mac OS немного или компания небольшая, то можно обойтись локальными настройками встроенных функций, которые дополняются локальной установкой СЗИ (цветом отметив возможную комбинацию средств)

2. Если Mac OS широко применяются в компании, то имеет смысл использовать решения с централизованным управлением и развертыванием, а также интегрировать в существующие корпоративные сервисы, если они поддерживают Mac OS (цветом отметив возможную комбинацию средств)

Наименования некоторых производителей приводятся исключительно для примера (наиболее популярные в РФ), без претензии на полноту обзора.

PS: Также было бы интересно услышать какие вы используете средства защиты корпоративных Mac OS?

Чтобы не пропустить важную информацию по ИБ подписывайтесь в вашем любимом канале


понедельник, 23 марта 2020 г.

Подборка рекомендаций и предложений мира ИБ во имя коронавируса


Рекомендации от регуляторов по мерам ИБ на время карантина:
И ещё миллионы рекомендаций от обычных компаний и экспертов как перейти на удаленную работу…


Бесплатные предложения и сервисы по ИБ на время коронавирусной инфекции (на срок от 2 месяцев до года, в зависимости от производителя):
·       Cisco, Anyconnect + Umbrella + Duo
·       Check Point, RemoteAccess VPN + Sandblast + Mobile Security + Endpoint Security
·       Palo Alto, PRISMAAccess + Globalprotect
·       Код Безопасности, Континент АП + Secret Net Studio, 1 год
·       Инфотекс, ViPNet Client, ViPNet Connect, ViPNet IDS HS и ViPNet SafeBoot, 6 мес.
·       Kaspersky, Endpoint + Cloud + MSOffice 365 + виртуальные, для медицинских организаций
·       BI.ZONE Доступ к облачным сервисам PerimeterScanner, Continuous Penetration Testing (CPT), Cloud Email Security &Protection, Phish Zone
·       Searchinform, DLP
·       Devicelock, DLP
         Infowatch, Person Monitor и Vision, ARMA industrial
·       Аладдин Р.Д., Secret Net 5

Самое время попробовать на практике решения ИБ, на которые раньше не было средств.
Если необходима помощь с получением каких-либо из указанных выше решений, обращайтесь.  


среда, 18 марта 2020 г.

Экспертный аудит ИБ

В понедельник 16.03.2020 на митапе по компьютерной безопасности Kuban Cyber Security Tech Talks рассказывал про экспертный аудит ИБ. Речь шла о соответствии лучшим практиками, рекомендациям производителя и опыту защиты аналогичных систем - наиболее экспертной части комплексного аудита ИБ.

Есть видео с данного доклада.


Презентацию можно скачать в группах VK и Facebook.
Интересно услышать ваше мнение, какие руководства, средства сбора и анализа вы используете для тонкой настройки безопасности существующей инфраструктуры.

Также хочется сказать пару слов о митапе Kuban Cyber Security Tech Talks - в Краснодаре это был уже пятая встреча. Планируется регулярность раз в 1-2 недели (если эпидемия короновируса не нарушит планы). Удобное расположение в центре города, уютно и при этом достаточно много места (чтобы сидеть на расстоянии 2 метра друг от друга), интересные доклады - в общем есть всё чтобы стать местом встреч и общения по ИБ. Рекомендую - подписаться расписание.

Чтобы не пропустить важную информацию по ИБ подписывайтесь в вашем любимом канале


среда, 26 февраля 2020 г.

Лучшие практики ИБ для больниц и медицинских центров


Пару дней назад европейский регулятор ENISA выпустил руководство по обеспечению кибербезопасности при оснащении больниц и медицинских центров (Procurement Guidelines for Cybersecurity in Hospitals)

В отличие от других лучших практик и рекомендаций по обеспечению ИБ, в данном документе отдельно рассматривается процесс оснащения современным оборудованием, ПО и сервисами больниц и медицинских центров и даются рекомендации по встраиванию безопасности в этот процесс.

Рассматриваются разные виды возможного оснащения
  
Возможные проблемы, связанные с оснащением разного вида – например, необходимость проверять производителя и тестировать оборудование с точки зрения безопасности
Приводится модель угроз для ИТ инфраструктуры и анализ рисков, связанных с оснащением современным оборудованием


И наконец приводится набор лучших практик по обеспечению кибербезопасности в больницах, распределенных по 3-м этапам жизненного цикла оборудования и ПО: планирование, закупка, управление


Несколько мер, на которые хотелось бы обратить внимание:
  • вовлечение ИТ/ИБ в процессы оснащения оборудованием



  • анализ уязвимостей оборудования и после закупки
  • внедрение политики обновления мед. оборудования и ПО
  • внедрение политики тестирования и тестирование на проникновение
  • включение аудита и логирования во всех системах
  • сегментирование сети и использование шлюзов безопасности
  • установление требований ИБ для подрядчиков и аутсорсеров
  • контроль операций по обслуживанию оборудования
  • минимизация удаленного доступа

В целом документ интересный, мер немного, все они очевидно нужны, поэтому медицинским организациям, находящимся в процессе переоснащения или планирующим оснащение в будущем рекомендую скачать и изучить подробнее.

PS: почитать про другие лучшие практики ИБ можно в моем блоге

Планирую ещё несколько публикаций по обзору лучших практик, для того чтобы не пропустить подпишитесь в вашем любимом канале:
VK 


пятница, 21 февраля 2020 г.

Двухфакторная аутентификация. Уже пора?


Исследование Verison говорит, что 80% инцидентов ИБ связано с аутентификацией. В соответствии с обзором ФинЦЕРТа Банка России, слабости в аутентификации и парольной защите являются первоочередной причиной инцидентов ИБ.

Проблемы классической парольной аутентификации очевидны. Так почему так много вопросов вызывает требования банковского ГОСТ 57580.1 к применению двухфакторной аутентификации (2FA)? Давайте разбираться.

Что в НПА? Посмотрим, где есть требования к 2FA:
В приказах ФСТЭК №17, 21 и 239 есть меры группы ИАФ, которые требуют аутентификацию пользователей и управление средствами аутентификации, но применение 2FA остается на усмотрение оператора.

В методическом документе ФСТЭК «Меры защиты информации в ГИС» ещё в 2014 г. появляются обязательные требования 2FA для ГИС 1 и 2 класса защищенности:
“Требования к усилению меры ИАФ.1
1-2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему …
3-4) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему …”

Обязательность использования 2FA была определена в узких областях: системах ФНС, прокуратуры, центральных контрагентов. Также 2FA возникала в таких рекомендациях ЦБ РФ, как 146-Т, 20-МР и РС БР ИББС-2.8-2015. Все НПА связанные с единой биометрической системой, это тоже про 2FA.

И наконец в ГОСТ 57580.1 использование 2FA стало обязательным при аутентификации эксплуатационного персонала (администраторов и иных привилегированных пользователей) и пользователей удаленного доступа фактически для всех финансовых организаций.
“РД.4 Идентификация и многофакторная аутентификация эксплуатационного персонала
УЗП.26 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию
РД.28 Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию
ЗСВ.9 Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации
ЗУД.5 Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45”

Что по угрозам?
Около 15 угроз в БДУ ФСТЭК связано с паролями или аутентификацией. Большая часть этих угроз исходит от нарушителей с низким потенциалом и при объективной оценке должны быть актуальными.
Что в лучших практиках?
NIST SP 800-53, примерно те же требования что и в методическом документе ФСТЭК по ГИС.

Возьмем известную CIS Controls: для средних и крупных компаний рекомендуется использоваться 2FA для удаленного доступа, доступа по wifi, управления сетевым оборудованием, доступа администраторов и всех пользователей во все ИС.

Посмотрим руководство“State of Art” немецкого от TeleTrusT при поддержке ENISA: MFA или 2FA рекомендуется одной из первых мер, при этом уровень осознания необходимости многофакторной аутентификации оценивается как очень высокий, а применимость 2FA на практике также высокая. Во многие систему 2FA уже встроена по умолчанию и появились удобные способы усиления аутентификации.

Взглянем на наши смартфоны – у всех аутентификация по отпечатку.

Какие выводы?
Думаю, необходимость применения двухфакторной аутентификации в корпоративных системах вполне очевидна. Давно пора! А в идеале надо применять для всех пользователей и всех систем. Если надо поэтапно с чего-то начинать, то я бы начинал применять 2FA с тех сценариев, которые рекомендуются ГОСТ 57580.1:
  • удаленный доступ в КИС по VPN
  • доступ с правами администраторов в ИС
  • любой привилегированный доступ к серверам, сетевому оборудованию, в СУБД, корпоративные сервисы и системы управления

Если какие-то сервисы или унаследованные системы на первый взгляд не поддерживают двухфакторной аутентификации, посмотрите в направлении интеграции их с AD (или аналогом), которая в свою очередь поддерживает 2FA. Можно посмотреть на централизованные системы аутентификации (SSO) в которых есть поддержка legacy приложений. Можно посмотреть на системы контроля привилегированного доступа, в которые интегрируются с 2FA.

В крайнем случае применяйте компенсирующие меры: стойкие пароли, выделение административных интерфейсов в отдельные сегменты или даже out of band, ограничение по узлам, с которых разрешено администрирование, особые правила на SIEM.