О услуге "Защита рабочего места клиента ДБО"

    Думаю, надо поделить свое видение данной услуги на 2 части - "сервис-менеджерскую", вызванную тем, что последние несколько месяцев варюсь в услугах ИБ и с каждым днем все дальше скатываюсь к сервис-менеджерской функциональности и "рыночная", где напишу о том, каким я вижу влияние на рынок ИБ данной услуги.
    Сервис-менеджерская часть:
    Данная услуга в принципе является ритейлом, то есть мы продаем какой-то маленький но одинаковый обьем работ многим покупателям, а значит наша маржа зависит в первую очередь от т.н. транзакционных издержек - насколько дорого нам обходится привлечение клиента, контрактование, его поддержка в части изменений в контракте и пр. (мы же понимаем, что с т.з. предоставления самой услуги проблем особо нет - подцепили клиент забора логов и пользуем одинаковые для многих клиентов правила).
    Рыночная:
    Услуга забора и анализа логов для ДБО это конечно свежо, а вот всякие приблуды - давайте мы вам еще сто-питцот СЗИ установим, комп подавится, значит вирусы тоже - так что ли?:) По моему, охотников установить на ПК\АРМы\сервера антивирус и без Group-IB хватает:)
Другой интересной опцией было бы перепродавать услугу очистки трафика, например, от Zsclaler, ну и вообще делать акцент на "облачные" сервисы, ведь ДБО без Интернета не работает;)

Куда катится SecurityLab?..

Начал где-то месяц-другой назад постоянно читать СекЛаб замечаю какую-то, не побоюсь этого слова, фигню.
Факты следующие:
1) Новости типа этой, в стиле Капитана Очевидность... Редактор, если Вы меня читаете, то таких новостей надо было сделать еще 150 (или сколько там стран охваченных вездесущими МПС Visa и MasterCard?), ведь как Зевсу все равно чьи кредитки тырыть, так и преступниками все равно что продавать (лишь бы брали), а вот KPI бонуса редактора похоже завязан на количестве новостей;)
2) Странные телодвижения в блогах - сначала человека приглашают, а потом снимают, вот что значит критиковать Позитив:)
3) Нереальные глюки с дизайном и рекламой (или это такой "изощренный" рекламный трюк?)

4) Попытки дублировать Secunia при наличии собственного Research выглядят странно - почему бы не публиковать, например, только уникальные уязвимости от PT?
5) Слабый мониторинг источников информации, например, в блоге Владимира Безмалого уже несколько (!) дней пылится прямая ссылка на брошюру МВД с описанием схем мошенничества связанных с ИКТ. СекЛаб о нем ни сном ни духом?;)

В общем, все эти симптомы могут свидетельствовать о том, что пациент тяжело болен отсутствием стратегии взаимососуществования с "большим Позитивом", слабыми знаниями предметной области редакторами и отсутствием эффективного мониторинга источников информации.

Конечно, это все поправимо, но кто придет на смену если не поправят? Anti-malware? Да там все то же (даже хуже), остается только надеяться на возрастающий интерес к теме ИБ серьезных бизнес-изданий.

Идеальная структура подразделения ИБ

Привожу пример структуры ИБ с учетом нынешних тенденций аутсорсинга, развития ИБ-услуг, роста роли аудитов ИБ и участия ИБ в проектах.

ИБ контроли в BlackBerry

Пока Apple наконец-то начинает считать адресную книгу ресурсом системы (со всеми вытекающими)у продуктов малоизвестной в СНГ RIM все обстоит на несколько порядков лучше.
Случайно наткнулся на "BlackBerry Enterprise Server 5.0 SP3 and BlackBerry Security Technical Overview" (170 страниц на англ.), и просто поразился, как же все толково сделано с т.з. контроля, аудита и управления данными в "ежевике".
1) шифруются как данные как при передаче (data-in-transit) и хранении (data-at-rest), так и сами ключи шифрования данных при блокировке устройства;
2) есть возможность двухфакторной (с помощью пароля и смарт-карты) аутентификации пользователя на устройстве;
3) устройства управляются как по отдельности так и с помощью политик (IT policy, application control policy);
4) IT policy управляет парольной политикой, самими паролями, обнаружением устройства по Bluetooth и множеством других опций;
5) application control policy управляет правами пользователя на установку приложений, правами приложений на доступ к адресной книге, к сетевым подключениям и др. правами приложений;
6) личные и рабочие данные пользователя устройства разделяются автоматически (например, все письма отправленные на ящики домена работодателя считаются рабочими данными), возможны удаленные манипуляции как с поотдельности с рабочими или личными так и с обоими категориями вместе;
7) устройство полностью контролируется удаленно - возможно его блокировать, стирать данные, сбрасывать настройки;
Честно говоря, я был поражен насколько много контролей безопасности реализовано в "ежевике"...

Анонимным комментаторам

В последнее время появилось несколько анонимных комментариев (как ни странно, они комментировали не посредством установленной системы комментирования Disqus), и вот не понимаю как на них реагировать - ведь как можно общаться с человеком, не будучи уверенным что он же и отвечает?..
Поэтому просьба такая - как нибудь да аутентифицироваться, и желательно оставлять комментарии через Disqus, ведь так будет всем удобнее.

Обзор DEFCON #7812 №8 (МГУ)

16.02.2012 прошло восьмое собрание группы DEFCON #7812 (второе в Москве). Оно порадовало интересным составом спикеров - Евтеев, Воронцов, Тараканов, Синцов и еще пара не представившихся людей из DSec (парни, представляйтесь, а?).
На мероприятии я был, и дотошно все записал (благо, доклады были интересные):
1) первым выступал Дмитрий Евтеев, с докладом о практике пентестов в сетях Microsoft - ключевыми пойнтами доклада было а) сисадмины в безопасности разбираются не очень б) пентестеры не готовы встречаться с полноценным SOC'ом;
2) доклад Владимира Воронцова был больше веселым чем технически содержательным, в общем - ошибки в дизайне веб-приложений сводят на нет защиту посредством настроек механизмов контроля доступа и наоборот. И еще - пароли должны быть сложными:)
3) третьим был доклад Никиты Тараканова, он был примечательным забавной уязвимостью (оказалось, для расчета масштабирования шрифтов TrueType используется внутренний ассемблер) и тем фактом, что в середине доклада аудитория начала глядеть непонимающими глазами. Ах да, еще досталось "авероламерам", то бишь - антивирусные вендоры до сих пор не очень детектируют Duqu (мол, это крайне плохо) - но вот зачем им детектировать вирус, если он заражает малое кол-во клиентов? Это же экономически нецелесообразно;)
4) четвертым был доклад о технологиях безопасного программирования Синцова и нескольких других исследователей из DSec, на середине доклада и я начал терять нить:) Впрочем, доклад был не только технически глубокий но и интересный, было рассказано и про "полуавтоматические" технологии безопасного программирования, и про "ручные", как-то формирование "песочницы", которая в общем похожа на кучу правил взаимодействия между процессами, так сказать аналог сегментированной сети.
Все презентации доступны на офф сайте, так что предлагаю почитать детальнее доклады

P.S. Спасибо организаторам за мероприятие, оно было как интересно так и познавательно, жаль, что мне особо нечего рассказать по технической безопасности, а то бы с удовольствием принял участие:)

UPDATE 22.02.2012: Двумя другими докладчиками из DSec были Дмитрий Евдокимов и Александр Миноженко

Incidents выпустил отчет по инцидентам за 2011 г.

Ссылка. Немного поменялся формат, добавилось пару новых фишек.. а так в принципе все тот же отчет на основе новых данных.

Почему я ругаю Позитив

    Как-то так получается, что среди двух грандов (остальные лишь догоняющие) российской технической ИБ DSec и PT в блоге я все больше ругаю вторых и позитивно отзываюсь о первых.
    Может быть, это из-за общего стиля PT "щас мы Вас напугаем тут всех и Вы купите xSpider\MaxPatrol", а может из-за того, что у продуктовой компании (а PT пока что именно такая) однозначно более агрессивный пиар, который мне не нравится в любых формах.
Тем не менее, прошу читателей не считать, что у меня есть данные о действительно низком уровне выполнения PT каких либо проектов, продуктов или предоставления услуг. Большая часть моей критики вызвана сакраментальным "лучшее враг хорошего" и на самом деле, очень часто альтернативы продуктам PT фактически нет (не считать же таковой Сканер-ВС?:) как из-за излишней продвинутости Qualys, так и из-за необходимости максимизировать отдачу от инвестиций в т.ч. и выполняя требования ФЗ-152.

Anti-CISO

    Последняя презентация Дмитрия Евтеева показала мне пример того, как не надо защищать интересы стейкхолдеров в организации - а именно, не надо их пугать, рассказывать о практически безграничном арсенале злоумышленников, и одновременно не приводить сумм, сроков и конкретных примеров реализации конкретных средств защиты интересов стейкхолдеров в информационной сфере. Именно поэтому пост озаглавлен anti-CISO, потому, что презентация показывает "темную сторону силы".
    Да, она дает некое "могущество", способность пугать людей и фактически заставлять их тратить деньги и время на защиту информации, но... разве это достойно настоящего джедая?:)      Мне кажется, что ключевое слово тут может быть "забота". "Забота" заключается не только и не столько в защите собственно информационных активов, но и в защите душевного спокойствия стейкхолдеров;)
    Разве сила не налагает ответственность, в том числе ответственность за распространение паники?..А ведь если мы говорим о каких-то взломах без внятной модели нарушителя, рекомендаций по снижению рисков и конкретных примерах ущерба для стейкхолдера то мы именно сеем панику..

Пишу о Форуме Безопасного Интернета

На само мероприятие я не попал:) Так что пришлось довольствоваться новостями и презентациями, и нашлось довольного много интересного....
Сначала фактический материал:
Результаты работы горячей линии Лиги Безопасного Интернета (PDF) презентация
Концепция безопасного Интернета в РФ
Теперь вопросы:
Почему я как налогоплательщик должен платить за защиту чужих детей в принципе?
Почему Щеголев де факто заявляет о приоритетности централизованной фильтрации трафика? Разве это нельзя сделать каждому родителю банально постатив ребятенку продукт, например, от Касперского (ребятенок тормоза потерпит) с Родительским контролем?
Зачем выдумывать велосипед с новой системой фильтрации? В программе ФБИ уже светился WOT, а, например, SkyDNS вообще российская компания..ее легко купить или контролировать.

Вот и напрашиваются грустные выводы: то ли это распил, то ли под шумок построят Великий Российский Фаерволл, закрывающий не порно но политику и независимые СМИ. Дай то Бог, что бы я ошибался...

Отношение к ИБ в компании по стилю найма ИБшников

Делая очередной дайджест вакансий для Incidents.su возможно заметил тенденцию - если компании боятся угроз или регуляторов - нанимают человека-"затычку", который будет разгонять страхи и прикрывать дыры. Если же безопасность может каким либо образом принести прибыль компании (хоть и опосредованно) или усиление безопасности является результатом просчета рисков то нанимают человека-управленца (в хорошем смысле управленца), могущего считать и направлять безопасность в компании.
А Вы со мной согласны?

О Корпоративном управлении рисками или зачем нанимают Big4

Big4, конечно, обычно для штампа "Big4" нанимают, но есть области, в которых данные парни априори могут дать фору другим консалтерам*.
Из вопросов смежных с ИБ это в первую очередь управление рисками и внутренний контроль, как области тесно связанные с финансами (Big4 все таки в первую очередь бухгалтерские конторы).
Внутренний контроль ужасно надоел, поэтому поговорим сейчас о том что такое корпоративное управление рисками (в т.ч. с т.з. данных ребят).
Корпоративное управление рисками оказалось не просто зарабатыванием денег, а таки управлением рисками:) Однако, учитывая то, что рисков в больших компаниях много, возникла надобность их классифицировать и разделять таким образом, что бы была возможность принимать решения по управлению рисками.
Конечно, управлять несколькими сотнями рисков малореально, поэтому корпоративное управление рисками подразумевает несколько уровней рисков.
Это корпоративные риски, специфические риски уровня подразделений (например, юридические) и риски связанные с конкретной деятельностью подразделений - для ИТ это риски связанные с ИТ-системами, ИТ-бюджетом и внутренним контролем в ИТ-системах и подразделениях. Для ИБ это, например, репутационный риск.
Низкоуровневые риски, например, риск утечки информации конкурентам, сливаются в "среднеуровневые" и наконец риски организации (корпоративные риски). Такое разделение помогает держать под контролем риски компании и риски тех или иных сфер деятельности компании и вместе с тем, не грузить топ-менеджмент многостраничными отчетами по оценке рисков.
Конечно, погрешность в оценке низкоуровневых рисков может привести к накоплению погрешности в высокоуровневом корпоративном риске..но даже высокоуровневый риск с накопленной погрешностью много лучше чем вообще не управлять рисками организации.
Система конечно не идеальна, но это лучше чем ничего. Более детально про это все да еще доступным нашему брату языком можно почитать в NIST 800-39.






*относительно малоизвестные McKinsey, BCG и B&C в силу их элитарности и бешеной дороговизны не рассматриваем.

РИА Новости выпустила оценщик&генератор стойких паролей

Ссылка. Беглое тестирование показало, что оценщик стойкости в курсе про радикальное повышение стойкости к взлому с увеличением алфавита пароля (включением спецсимволов, например) и оценил взлом моего старого пароля в 5 мес (без спецсимволов, 8 символов всего - буквы, цифры и используется верхний регистр).
С одной стороны неплохо, что вот таким нехитрым образом популяризуется ИБ через продвижение стойких паролей, с другой - ссылку на Вики-страничку "ИБ" можно было бы и сделать;)

Книга: Учебник CIO

Попала мне в руки весьма противоречивая книга, а именно активно продвигаемый КРОКом "Учебник CIO". Книга была почти полностью мной прочитана (за исключением прощенного раздела про ITIL - я ITILF, и бегло пролистаного раздела управления финансами в ИТ).
Итого:
+ книга в меру пестрит красками и приятно читается, много диаграмм и таблиц;
+ книга насыщена отсылками на методологии, лучшие практики и вспомогательные средства;
+ в книге иногда есть искренние вещи, например, тендеры считаются "формальной процедурой" в комментариях некоторых "CIO" (я не зря взял в кавычки, так как понятие CIO трактуется авторами достаточно вольно);

- название книги не отражает ее суть, она скорее не учебник а энциклопедия, так как в ней нет единого целостного подхода и все время прорывается "этакий" винегрет из ITIL\CobiT\ValIT, что недопустимо для учебника;
- кроме явной рекламы спонсоров есть и скрытая, чего стоит только упоминание спонсоров в качестве лучшего выбора для ИТ-аудита;
- как и любая энциклопедия книга неравномерно "глубокая" - многие разделы очень слабые а многие наоборот боле проработаны (видать соответствующие лучшие практики сами по себе поглубже;)
- в книге субьективно мало практических сценариев привнесения пользы в бизнес, мало сценариев сотрудничества с другими "костами" (внутренним контролем, ИБ, админдепартаментов и др.);

И наконец, в книге есть претензии на контроль ИТ за ИБ! Я понимаю, что на CobiT принято молиться, но давайте будем молиться не только на него:) Шутки шутками, а слепое следование стандартам вместо соблюдения базовых принципов разделения функций и недопущения конфликта интересов не будет на пользу ни ИТ ни другой бизнес-функции..

О СК и применимости современного права

    Думаю уже все в курсе о последней "шутке" СК в отношении YouTube.
    Шутка получилась забавная..с одной стороны полный К.О. (Капитан Очевидность), с другой - что другое мог заявить СК?
    Право, ролики расположены на сервере вне юрисдикции СК, никаких логов СК Ютуб явно без решения американского суда не даст, идентифицировать лицо загрузившее ролик законным образом невозможно, так как же можно признать ролики подлинными?...
    С другой стороны - а чего СК вообще полез в Интернет, раз там априори все плохо?;)...

Не надо бежать впереди паровоза или High-Tech России

    Некоторое время назад один блоггер повторил навязшую в зубах вещь, а именно заявил "Россия не производит своих ИТ-решений".
    Казалось бы, кому как не человеку с МБА "Инновационный менеджмент" не знать какие компании в России производят ИТ-решения? А таких на самом деле не мало (привожу первые пришедшие на ум): Parallels, Kaspersky Lab, Yandex, ABBYY, Acronis, Positive Technologies, СКБ Контур).
    Конечно, доля данных компаний в ВВП страны довольно мала, но если смотря в анналы видим - рост ВВП США в конце 19 - начале 20-ого века был во многом обеспечег благодаря нефтяной индустрии, а именно продажей керосина гигантской компанией (почти мировым монополистом) Standard Oil. Кстати, именно эта компания стала основой богатства первого в мире долларового миллиардера Джона Рокфеллера.
    Напомню, что методы у Рокфеллера были те еще - картельные сговоры, взятки, содержание чиновников - чем не нынешняя Россия? Тем не менее, сейчас вряд ли кто скажет что "США не производят ИТ-решения"..

СВК и финансы

    Ох не зря ЦБ требует подчинять службу внутреннего контроля набсовету. Ладно набсовету, но хотя бы первому лицу! А то ведь если она будет в финансах, то цели финансовой службы будут постепенно выходить на первый план, так как СВК будет контролировать в первую очередь их. А это затирание производства, ну и обеспечивающих бизнес подразделений то же..