Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Это главное мероприятие по информационной безопасности екатеринбургская компания «Экспо-Линк» проводит в Самаре уже не в первый раз, и в этом, 2019 году, оно прошло 14 ноября в гостинице «Холидей Инн».

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

К настоящему времени сформировалось три направления безопасности.

Первое – это выполнение требований регуляторов. Возможно, это покажется странным, ибо принято спасаться не от полиции, а от нарушителей закона, но таковы странности нашей действительности, и с ними нам жить.

Нет, с одной стороны странности в этом вроде бы и нет: существуют же общепринятые требования безопасности, например, что непристёгнутым ездить нельзя. Но здесь всё намного сложнее. И требований много, и меняются они постоянно, и выполнение этих требований отвлекает серьёзные ресурсы, которые в ином случае администрация могла бы потратить тоже на безопасность, но уже по своему разумению. Потому что, в конечном счёте, отвечать всё равно приходится ей, и если выполнение всех требований регулятора реальной безопасности не обеспечат, регулятору претензий не предъявишь.

Понятное дело, что и производителю ремней безопасности претензий не предъявишь за все последствия, но тут как раз и хотелось бы рассмотреть приоритеты. Потому что, если продолжить аналогию, вас заставляют купить у жутко лицензированного поставщика по соответствующей цене ремни безопасности, а в результате у вас не хватает денег на зимнюю резину – и где тогда суммарная безопасность, что погибнешь пристёгнутым?

Но вопросы эти сложные, рядом с секретностью и её потенциальным разглашением, поэтому всё, чем интересовались участники конференции у начальника отдела Управления ФСТЭК России по ПФО, касалось того, как избежать наказания.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Однако здесь имеется как минимум конфликт интересов, потому что работу контролирующих органов вышестоящее начальство не по количеству инцидентов (снижению этого количества), связанных с безопасностью (иначе бы они мухой летали вокруг вверенных им организаций), а по количеству выявленных ими нарушений. Да, собственно, кому я это рассказываю – не с Луны читатели же свалились. Другое дело, что решиться этот вопрос может только через гласность (надо почаще вспоминать этот термин), а это уже зависит от всех нас, от нашей смелости.

Свою версию озвучил в докладе бизнес-консультант по безопасности Cisco Алексей Лукацкий: что «органы» переносят свой опыт защиты от шпионов на бизнес, но, поскольку в бизнесе совсем другие угрозы, опыт этот создаёт больше проблем, чем обеспечивает реальную безопасность. Свою позицию он аргументировал яркими примерами: людей погибает больше от комаров, чем от акул, больше в ДТП, чем в авиакатастрофах, больше от отравлений, чем от террористов. Но внимание направлено всегда на второе.

Второе направление безопасности – техника. Здесь разговор начался с рисков, которым подвергается ИТ-инфраструктура (в самом широком понимании) и средств снижения этих рисков. Ставилась задача доказать руководителям и собственникам бизнесов экономическую целесообразность использования различных способов защиты, иногда дело доходило даже до попыток рассчитать прибыль от закупки и внедрения инструментов противодействия атакам. На мой взгляд, это похоже на расчёт прибыли от содержания армии (в плане того, что если не кормить свою, придётся кормить чужую). Пожалуй, любая защита (в том числе и установка железных дверей в квартире) – это затраты, причём риск атаки носит вероятностный характер и оценить его можно только экспертным, а не расчётным способом. Что ни в коем случае не отменяет целесообразность защиты.

Ещё одна вещь, которая заставила меня напрячься – это заявление ведущего аналитика отдела развития компании «Доктор Веб» Вячеслава Медведева о том, что их антивирус ловит значительно больше половины неизвестных вирусов, а также имеет систему самозащиты, не позволяющей неизвестной вредоносной программе нарушить нормальную работу антивируса.

Ещё на слайде была дана справка: «Тесты на лечение активных заражений проводятся на уже достаточное время известных вирусах. Победа в этих тестах ничего не говорит о возможности антивируса сопротивляться неизвестным вредоносным программам». Также было заявлено, что у компании есть «технологии, позволяющие лечить любую заразу».

Озадачило слово «неизвестные» (а также «любую»), потому что как же мы можем в принципе обещать защиту от того, что нам неизвестно и вообще от чего угодно?

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Разъяснения я получил на стенде. Оказалось, что в данном случае под неизвестными понимаются версии программ с известным ядром, поскольку реальных вирусописателей в РФ около десятка, а огромное количество вирусов создают на их платформе «пионеры» – так обычно называют дилетантов из серии «я тоже хакер, я сменил заставку» (автор однострофика Полина Воронина, «Компьютерра» 12.04.98 N14(242)).

Тут, конечно, возникает вопрос, почему этот десяток злоумышленников не могут ликвидировать государственные службы безопасности? Все же мы видели в кино как полиция старается выйти на главарей наркомафии, а потом в титрах пишут «основано на реальных событиях» … хотя стоп, это же там, у «загнивающих».

И ещё один вопрос, на который ответа не может быть в принципе. Предположим, победа в тестах на лечение известных вирусов ничего не значит, но мы же не можем тестировать программу на вирусах, про которые сами ничего не знаем. И тогда выходит, что вообще никакое тестирование не отражает качество антивируса? И как теперь его выбирать?

Это ни в коем случае не камень в огород «Доктора Веба», он не раз меня выручал, да и знаменитый WannaCry этот антивирус сумел обнаружить эвристическим методом. Вопрос только в таких обещаниях, которые вряд ли вообще выполнимы. А вот против рекомендаций по ограничению доступа к ресурсам, ограничению прав пользователей и контролю запускаемых программ возразить ничего нельзя.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Директор по развитию бизнеса ИБ Ростелекома Алексей Богданов доказывал преимущества сервисной модели, которую может предоставить только провайдер, когда средства безопасности интегрированы в доступ к сети. В этом случае от пользователя требуется только абонентская плата – остальное не его забота. Пожалуй, кроме обучения персонала и контроля за ним, поскольку пресловутому человеческому фактору по плечу преодолеть любую защиту. В дополнение к этому Ростелеком предлагает использовать технологию SD WAN, при которой все сетевые устройства управляются централизованно.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Технический специалист Алексей Кисилёв показал, как должна выглядеть адаптивная структура безопасности, которую развивает ESET. Здесь и обнаружение зловредов по поведению, и расширенное сканирование памяти, и оценка репутации ресурсов. Кстати, интересный момент: как только в конце 90-х появился перезаписываемый BIOS (до этого использовалась исключительно заводская прошивка), был написан вирус «Чернобыль», который портил содержимое микросхемы BIOS до такой степени, что компьютер переставал грузиться. Я хорошо помню скандалы, когда владельцы приносили свои неработающие компьютеры туда, где их купили, и требовали гарантийного ремонта или замены. И хотя лечение от вирусов (а уж тем более выпаивание и перепрошивка убитого вирусом BIOS) никогда не являлось гарантийной процедурой, компьютерным компаниям приходилось во избежание скандалов делать эту работу. Через какое-то время были внесены изменения, не позволяющие вирусам уродовать BIOS, и проблема, вроде бы была решена. Тем более, когда BIOS сменил UEFI, там-то уж точно было сделано всё надёжно. Ан нет, борьба меча и щита продолжается, и ESET имеет в своём арсенале инструменты для сканирования UEFI, позволяющего своевременно выявить проблемы.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Отдельное направление – защита данных в базе, о которой рассказал эксперт компании MONT (совместно с IBM и Puzzle Systems) Денис Кириченко. IBM Security Guardium Data Protection не полагается на нативные логи СУБД, а строит свои, контролирует доступ к отдельным таблицам и даже записям, причём делает это в реальном времени с минимальной загрузкой системы.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Кульминацией технического направления безопасности, безусловно, было выступление бизнес-консультанта по безопасности Cisco Алексея Лукацкого. Свой доклад он начал с цитаты многолетнего главы Cisco Джона Чемберса: «Существует всего два вида компаний – те, кого уже взломали, и те, кто об этом ещё не знает». Звучит немного не по-русски (это называется силлепс), но смысл понять можно.

Рассказ был о новой концепции Cisco под названием Zero Trust. Не «доверяй, но проверяй», а «вообще не доверяй». В концепции Zero Trust модели угроз нет вообще, поскольку опасно всё. Нет понятия внутренней сети.

Конечно, на самом деле это продолжающаяся интеграция контроля за всем происходящем в системе (данные, приложения, пользователи), обнаружение аномалий и блокирование угроз в некоем глобальном контексте, и всё это не в форме паранойи, а, что называется, в разумных пределах.

Но только вот само название наводит на мысль о том, что во время всеобщего импортозамещения и перспектив признания частных лиц иностранными агентами как мы можем доверять американской компании со штаб-квартирой в калифорнийском Сан-Хосе? Нет, лично у меня никаких предубеждений нет, и я неоднократно высказывался о том, что портить отношения что с ближними, что с дальними партнёрами – это плевать в колодец. Просто многие мои коллеги, в том числе и из Cisco, активно не соглашались с такой позицией, но тут уж, как говорится, или трусы или крестик.

Тем не менее, сами идеи Cisco, как всегда великолепны, и главное – они постоянно проходят проверку на инфраструктуре самой компании. А эта инфраструктура содержит около 200 тысяч клиентских устройств, более 10 тысяч UCS (это тоже новое слово в вычислительно-хранительной области) серверов, 87 петабайт данных, более 6 тысяч маршрутизаторов и 8 тысяч коммутаторов, почти 30 мегаватт мощности, которую в сумме потребляют ЦОДы Cisco. Это не на кошках тренироваться!

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Однако в конце доклада внезапно оказалось, что в результате тотального недоверия Cisco формирует 4 столпа доверенного предприятия:

  • Доверенная идентичность через многофакторную аутентификацию и технологию единого входа (Single Sign-On).
  • Доверенная инфраструктура через доверенные точку входа, сервер, сеть и управление сервисами.
  • Доверенный доступ через безопасное администрирование и программное определение доступа.
  • Доверенные сервисы.

Ох уж эти маркетологи!

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

На границе между техникой и «человеческим фактором» находятся системы SIEM, которые собирают, анализируют и представляют службе безопасности информацию из сетевых устройств, средств защиты информации и информационных систем. Также в SIEM входят приложения для контроля за идентификацией и доступом. О том, каким был SIEM вчера и каким он будет завтра, рассказал менеджер коммерческого отдела RUSIEM Глеб Косоруков. По его мнению, SIEM продолжит свою эволюцию, анализируя все больше разных событий с всю возрастающей разумностью. В качестве примера он привёл интеграцию СКУД (доступа на территорию компании) с регистрацией доступом в систему, который выявил, что часть сотрудников логинились вне территории, а их проход на территорию имитировали за них их коллеги.

Третье направление безопасности связано исключительно с человеческим фактором.

От компании Searchinform («СёрчИнформ») выступали директор по безопасности Георгий Минасян и

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

менеджер по работе с корпоративными клиентами Алексей Индейкин.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Разговор постепенно ушёл в сторону оценки поведения сотрудников, что смыкается с задачами кадровой службы и линейного руководства, а безопасность – только частью того, что могут предоставить эти системы администрации предприятия.

Когда я пришёл на завод, мне повезло с начальником, и некоторое время, пока он поднимался по служебной лестнице, я шёл у него в кильватере. И так вышло, что по своему характеру и способностям я был техническим лидером, а он больше внимания уделял человеческим отношениям. Бывало, вызывал меня, и указывал на ошибки: что не так график отпусков составил, неправильно премию распределил. Наверное, если система будет подсказывать такие вещи, это совсем неплохо. В конце концов, администрация – это не враг, а партнёр сотрудникам.

Другое дело, что очень сложно формализовать служебные обязанности, не убив при этом творчество, не подавляя личность сотрудника. Ведь то, что в устах одного звучит весёлой шуткой, у другого может выглядеть неприемлемой пошлостью. И ритм работы у всех разный, и потребность в «перекурах» (в смысле, отвлечься от рутины). Но, похоже, от этого нам уже не уйти, а потому чем шарахаться, лучше внедрять и совершенствовать подобные системы.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

В перерыве на стенде у меня состоялся забавный разговор с руководителем Московского подразделения отдела технической поддержки компании «Атом Безопасность» Юрием Основским. Меня интересовала этическая сторона вопроса контроля «человеческого фактора». Потому что, какие слова ни употребляй, а на язык всё равно просится «слежка», и чем прятать голову в песок, лучше найти такие формы обеспечения безопасности и их документального оформления, когда и контроль будет обеспечен, и сотрудники не будут чувствовать себя униженными. Или хотя бы разумный компромисс.

В ответ я получил длинную тираду в стиле «Какую страну про$рали!». Что мы оба в силу возраста мог встать на защиту Страны Советов, но вот не исполнили свой гражданский долг, потому и огребаем эти отрыжки капитализма, в том числе и в форме эксплуатации трудящихся с использованием средств ИТ и ИБ. Напор был столь силён, что я, выждав паузу, поблагодарил за ответ и отошёл.

В докладе Юрий Основский продолжил эту линию, заявив, что в советское время контроль и учёт был замечательно налажен во всех сферах, в частности, Почта СССР на постоянной основе проводила операции под названием «Меченые атомы», смысл которой был в отправке писем из разных пунктов по разным адресам с регистрацией доставки и последующим анализом работы подразделений с целью улучшения этой работы.

Тут я уже не выдержал и с места поправил докладчика, сказав, что операцию «Меченые атомы» проводила не Почта СССР, а журналист «Литературной газеты» Анатолий Рубинов как раз с тем, чтобы эту Почту прижучить и вывести на чистую воду. Дело ведь не в том, плох или хорош был СССР, это пусть каждый решает для себя сам, а какой он был на самом деле. И, если вдуматься, эксперименты Анатолия Рубинова в публикациях Литературки с одной стороны выявляли недостатки советской действительности, а с другой демонстрировали активность журналистики и стремление граждан избавиться от этих недостатков.

Я думаю, ценность правды абсолютна, и информационная безопасность здесь не исключение. И то, что компания «Экспо-Линк» регулярно проводит своё мероприятие Код ИБ, на котором мы можем увидеть общую картину – это здорово.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

Спасибо, вы – классная команда!

Код ИБ 2019 в Самаре. Три кита безопасности. Статья Владислава Боярова. 20.11.2019 г.

----

«Альфа Конфа» в Самаре

«Альфа Конфа» в Самаре. Статья Владислава Боярова. 05.03.2024 г.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая. Статья Владислава Боярова. 12.03.2024 г.

«Домашний компьютер». Конкурс в Самаре.

«Домашний компьютер». Конкурс в Самаре.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть третья, объединительная

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность.

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность. Статья Ильи Вайцмана. 11.12.2023 г.