Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

Скорее, даже не круговая, а тотальная, поскольку потенциальную опасность представляют не только внешние атаки на локальную сеть, но также нечестные сотрудники и различные надзирающие за безопасностью организации, требованиям которых компания должна соответствовать.

Конференцию «Код информационной безопасности», проходившую 8 октября 2015 года в Самаре, организовало агентство бизнес событий ЭКСПО-ЛИНК, вела её лично директор агентства Ольга Поздняк. Это первое яркое впечатление от конференции: такого чудесного уральского говора я никогда не слышал. Я даже поначалу подумал, что это украинское произношение, но это сверхтвёрдое «ч»… Как же велика и разнообразна наша страна!

Конференция проводится уже в 11-й раз, в этом году она проходит в 11-и городах России (в Самаре – второй раз).

В следующем планируется проводить её также в городах ближнего зарубежья, но где именно, пока не сказали. Недавно конференция обзавелась собственным логотипом, и это тоже связано с особенностями нашего произношения: в отличие от английского в русском языке «д» и «т» в конце слова звучат одинаково.

Ещё о кодах: на бейджах конференции кроме имени и компании был напечатан QR-код, при сканировании которого на экране смартфона появлялось предложение добавить этого человека в контакты. Приятно видеть, как безбумажные технологии приходят в нашу жизнь. К этому следует добавить просьбу организаторов сдать после конференции шнурки для бейджев, чтобы их можно было повторно использовать – трогательная забота о чистоте окружающей среды.

Ключевыми спикерами и модераторами конференции были исполнительный директор АйТи Таск Максим Степченков и Алексей Лукацкий, представленный в первую очередь как блогер, и только во вторую – как бизнес-консультант Cisco.

Ещё одно свидетельство перемен, которое я пока не знаю, как оценить: то ли как нежелание акцентировать, что на российской конференции по безопасности ключевым спикером является сотрудник американской компании, то ли как высокий статус деятельности блогеров – явления, вызванного повсеместным внедрением информационных технологий и демократизацией СМИ. Действительно, теперь каждый человек может быть самостоятельным изданием, не нуждающимся ни в регистрации, ни в помещении – вообще ни в чём, кроме собственной квалификации.

Конференция состояла из четырёх последовательных (в один поток) сессий:

  • Вводная сессия: Тренды и угрозы в сфере ИБ.
  • Сессия 1: Защита от внешних угроз.
  • Сессия 2: Защита от внутренних угроз.
  • Сессия 3: Текущее состояние законодательства по персональным данным.

Во вводной сессии г-н Лукацкий рассказал о тех новых угрозах, которые только набирают силу. В частности, о том, что пропагандируемый сейчас интернет вещей – штука далеко не безопасная даже в чисто информационном плане. Уже зафиксирован электрочайник, «завербованный» в члены ботнета (ботсети) и рассылающий вредоносный код – а кто мог ждать такого от чайника? Так что, похоже, знаменитая «победа холодильника над телевизором» приобретает в наши дни новый смысл. Как это часто бывает, новое – это забытое старое. В 90-е годы популярной среди вирусописателей была перезапись MBR: все данные на диске сохранялись, но компьютер переставал грузиться. Потом эта мода прошла, разработчики средств защиты перестали уделять такому виду вредительства должное внимание – и вот оно вернулось.

Более страшная вещь – шифрование диска. В те же 90-е годы на компьютерах бушевал вирус OneHalf, шифровавший диск так, что данные было невозможно прочитать. При этом уничтожение самого вируса не спасало положения: данные на диске оставались испорченными и уже безвозвратно. Лечение заключалось в загрузке компьютера с внешнего носителя (тогда это были дискеты) и запуске специальной утилиты, заставляющей вирус работать в обратном направлении. После того, как вирус возвращал всё на место (а это занимало до нескольких часов), его уничтожали. Сейчас, в соответствии с духом времени, эта идея дополнилась новыми особенностями. В 90-е, вредители, похоже, даже не могли представить себе, что они будут вымогать деньги у пострадавших, а правоохранители даже не будут пытаться их ловить. Сегодня, чувствуя безнаказанность, они открыто вымогают за расшифровку диска деньги. В 2009 году я брал интервью у г-на Лукацкого и задавал те же вопросы о вымогательстве: получается, что воз и ныне там, а усилия правоохранителей направлены совсем в другую сторону.

Усовершенствовано и шифрование. Теперь используется асимметричный шифр, в котором шифрование производится открытым ключом, внедрённом на компьютер клиента, а расшифровать можно только закрытым ключом, находящимся только у злоумышленника. В этом случае заставить вирус «дать задний ход» не получится, поскольку «заднего хода» у него попросту нет. Наконец, последнее, характерное не только для шифрующих зловредов: если вирус видит попытки своей ликвидации, он пытается нанести максимальный ущерб компьютеру, после чего, бывает, и самоликвидируется.

Оказалось, что опасна не только слишком быстрая для средств защиты работа зловредной программы, но и слишком медленная, когда её активность не ощущается. Что-то вроде крокодила, притворившегося бревном и незаметно дрейфующего в сторону жертвы.

Г-н Лукацкий развеял заблуждения по поводу безопасности открытого софта. Дело в том, что любой продукт не производится с нуля, «из руды». В случае программного продукта, это использование библиотек сторонних производителей, которые с одной стороны могут быть закрытыми, а с другой – не обслуживаемыми создателем конечного продукта по причине отсутствия персонала нужной квалификации. То есть в результате мы имеем то же самое, что и с коммерческим софтом, с той только разницей, что не с кого спросить.

Ещё одна важная тенденция, отмеченная г-ном Лукацким – использование комплексной защиты. Дело даже не столько в качестве компонентов «зверинца» от разных вендоров, сколько в сложности его администрирования и самостоятельной оценки работы каждого продукта.

1-я сессия началась докладом директор департамента продаж НТБ Евгения Архишина «Решение проблемы контроля привилегированных пользователей». Решающая эту проблему система предусматривает своеобразного вахтёра, допускающего таких пользователей к месту работы и контролирующего «вынос ценностей», то есть некоторых действий, характерных для кражи информации. При этом суть работы этих пользователей и характер информации, которую, как подозревается, они крадут, «вахтёру» неизвестны. Дополнительные предпосылки безопасности должна, как мне кажется, создавать разница в менталитете человека, принятого на должность «вахтёра», и креативных программистов.

Ведущий менеджер по работе с партнерами Центра защиты информации ГК Конфидент Евгений Мардыко представил доклад «Dallas Lock как комплексная система защиты информации. Новые возможности-2015. Практика применения». Группа компаний «Конфидент» образована в Санкт-Петербурге в 1992 году, когда позитивным считалось интегрироваться в мировые тренда ИТ, быть там своими, а не заниматься «импортозамещением», отсюда и нерусское название. Впрочем, в этом городе, как и в других российских городах, много иностранных названий, на которые до последнего времени не обращали внимания, да и имя самого города тоже нерусское.

Сертифицированная система защиты информации от несанкционированного доступа Dallas Lock соответствует требованиям законов РФ, стандартов и руководящих документов. Разработчики Dallas Lock первые в России заявили о поддержке ОС Windows 10.

«SIEM, как головной мозг системы обеспечения информационной безопасности» – с докладом под таким названием выступил Максим Степченков.

Это как раз про интеграцию. Своё выступление Максим начал с провокационного вопроса: когда вы в последний раз проверяли логи системы защиты (антивируса)? На что получил вполне ожидаемый ответ – а зачем их проверять, если система не сообщала об инциденте? Здесь мы возвращаемся к заявлению г-на Лукацкого о «зверинце» – если продуктов защиты много и каждый по-своему будет сообщать о чём-то для него важном, вряд ли администратор сможет сразу понять, что же на самом деле случилось. Представленный компанией IT Task полностью отечественный продукт RUSIEM решает эту задачу: оператор не будет отвлекаться на мелочи и не упустит ничего действительно важного.

О противостоянии DDoS атакам рассказал менеджер проекта KDP Kaspersky Lab Russia, Лаборатория Касперского Алексей Кисилёв. Продукт был разработан 3 года назад, и я уже подробно описывал его, поэтому желающих узнать подробности отправляю к тому материалу. Здесь же только скажу, что суть решения в распознавании аномально большого трафика, перенаправление его на серверы Лаборатории Касперского, очистка от мусора и возвращение клиенту. При этом все сервисы клиента продолжают функционировать. Разумеется, атака анализируется и вместе с клиентом прорабатываются организационные меры, отчёты по желанию клиента передаются в правоохранительные органы, где Лаборатория Касперского может также представлять интересы клиента.

Самую широкую аудиторию должен заинтересовать доклад эксперта по информационной безопасности Microsoft Андрея Иванова «Windows 10 – защита от современных угроз безопасности». Особое внимание было уделено новой системе аутентификации пользователей с помощью пары асимметричных ключей. В Windows 10 есть возможность, как входить в систему с любого устройства под своим логином/паролем, так и привязывать пользователя к устройству и входить с помощью ПИН-кода.

Virtual Secure Mode изолирует и защищает критические процессы Windows с помощью контейнера Hyper-V, даже если ядро Windows полностью скомпрометировано. Правда, для этого требуется процессор с расширениями VT-X и VT-D.

Также корпоративная версия Windows 10 умеет различать личные и корпоративные данные и приложения, что актуально при внедрении BYOD. При этом личные данные и приложения, в отличие от корпоративных, не управляются ИТ-персоналом работодателя, а обмен данными между разделами заблокирован либо находится под контролем. То есть линия обороны в данном случае проходит внутри персональных компьютеров сотрудников, а значит и деление сессий конференции на защиту от внутренних и внешних угроз весьма условно. Тем не менее организаторы не стали ломать исторически сложившуюся классификацию, и сессия №2 началась докладом руководителя Поволжского офиса в SearchInform (г. Казань) Владимира Велича «КИБ SearchInform – больше, чем просто DLP!».

Почему больше, объясняется просто. Дело в том, что классические системы DLP работают на предотвращение утечек данных, то есть должны сработать до того, как произошла утечка. Упоминаемые ранее системы SIEM фиксируют инциденты, то есть работать с ними специалисты начинают после того, как инцидент случился. Контур информационной безопасности SearchInform осуществляет как анализ случившихся инцидентов, так и предотвращение новых и является самообучающейся системой. При этом по каждому сотруднику ведётся досье, позволяющее определить, в какой момент его поведение становится аномальным. Само по себе изменившееся поведение ещё не повод для вмешательства, и, тем более, ограничения прав – вполне могли измениться его обязанности, он мог получить необычное задание. Однако это повод обратить внимание и понять, чем вызваны изменения.

Система включает в себя запись переговоров сотрудников по любым средствам связи. Например, ViberSniffer, как следует из названия, записывает всё, что сотрудник говорит через мессенджер Viber.

Собранная информация очень полезна при проведении расследований, в том числе в качестве доказательной базы. С 2013 года в компании SearchInform действует собственный учебный центр, который готовит как аналитиков, так и инженеров.

Г-н Велич также подчеркнул, что ООО «Сёрчинформ» (это в программе название было написано по-английски, а на собственных слайдах по-русски) является российским разработчиком. Продукты компании зарегистрированы в Роспатенте и соответствуют всем требованиям, предъявляемым к ПО для включения в Единый реестр российских программ для ЭВМ и БД, создаваемый для подтверждения происхождения программ из Российской Федерации, расширения их использования и оказания мер государственной поддержки российским правообладателям.

Внедрение таких систем требует не только грамотной работы ИТ-служб и служб безопасности. Конечно, по возможности сотрудники не должны знать, что за ними постоянно следят, однако этот факт может вскрыться (да что там «может» – рано или поздно вскроется), и вот тогда уже настанет работа кадровиков и юристов. Поэтому, возможно, следует с самого начала определить в трудовых соглашениях рамки контроля, разумеется, без раскрытия информации о его способах.

«Безопасность баз данных. Как разделить ответственность между ИТ и ИБ». Об этом был доклад Сергея Добрушского, менеджера направления защиты баз данных компании МФИ Софт.

В общем, всё то же самое, только в локальном ИТ-сегменте. Анализ сетевого трафика, аномального поведения сотрудников, имеющих доступ к БД, попытки превышения прав. Обещано, что это делается на уровне отдельных записей и полей.

Последним в этой сессии был доклад регионального представителя компании InfoWatch в сегменте СМБ (Приволжский федеральный округ) Дмитрия Бабушкина.

После обязательных страшилок (а как ещё обосновать необходимость защиты?) Дмитрий рассказал о том, как продукты его компании могут использоваться в малом и среднем бизнесе. Главный акцент делался на простоту эксплуатации и наглядность отображаемых данных. Собственно, это обычный путь информационных технологий: сначала сложные системы, доступные лишь специально обученным людям, потом интерфейс оптимизируется и упрощается, продукт меняется в сторону «коробочности» – и вот уже им с лёгкостью могут пользоваться все или почти все. Конечно, комплексное решение информационной безопасности в принципе не может быть простым, но в случае корпоративных продуктов речь идёт не об использовании их «обычными пользователями», а только о том, что грамотный сисадмин компании потратит на его изучение не слишком много времени. Плюс, конечно, в голове надо держать юридические и этические моменты – здесь работа уже не только с «железом», но и с живыми людьми, к тому же собственными сотрудниками. Одна из моделей использования – не постоянно, а когда возникли подозрения и их надо разрешить. Всё же в небольшой компании (создатели решения считают, что использовать его можно в компаниях от 25 человек) все люди на виду, и аномальное поведение опытный руководитель может увидеть «невооружённым глазом», поэтому наличие постоянно работающей DLP-системы не является обязательным. Предлагается три продукта:

InfoWatch Traffic Monitor Standard

Надежная система контроля движения важных корпоративных данных и защиты от утечек, созданная с учетом потребностей и интересов малого и среднего бизнеса.

InfoWatch Traffic Monitor Standard Appliance

DLP-система в комплекте с сервером – преднастроенное и полностью готовое к внедрению решение.

InfoWatch EndPoint Security

Сбалансированная система для контроля рабочих станций, подключаемых устройств и защиты информации с быстрым внедрением и простым управлением.

Даже если бы доклад Алексея Лукацкого «Текущее состояние законодательства по персональным данным» был первым, я бы всё равно оставил его описание напоследок. Потому сколько я ни слушал и не читал выступлений на эту тему, так и не понял, что именно и зачем защищается. Да и защищается ли: мне много раз приходилось подписывать согласие на обработку моих персональных данных, и общий смысл бумаг был в том, что я дозволяю им чего-то такое, что вообще-то не положено. Потому что если бы было положено – зачем им у меня разрешения спрашивать? А выполнить то, что положено, и при этом делать свою работу (фиксировать сделки с автомобилями, продавать билеты на поезда и самолёты), видимо, невозможно. Поэтому я понял доклад г-на Лукацкого не как рекомендации по защите данных, а как информацию о том, как продолжать работать в современных российских условиях.

Кстати, ведь и на наших бейджах были персональные данные, а по этому материалу можно сопоставить ФИО и фото докладчиков. И как доступность считывания персональной информации с QR-кода бейджей согласуется с российскими нормативными актами о персональных данных – не знаю.

Закончилось мероприятие розыгрышем призов от ЭКСПО-ЛИНК и Microsoft. Мне досталась книга Джулиана Ассанжа «Свобода и будущее интернета».

Следует отметить высокую степень вовлечённости аудитории: было много вопросов, задаваемых в ходе докладов, возникали стихийные дискуссии, при этом спикеры не гасили, а поощряли активность.

Общение не ограничивалось рамками конференц-зала, а продолжалось в фойе у стендов компаний.

В сухом остатке – не столько конкретные способы борьбы с атаками злоумышленников, сколько информация к размышлению. О том, каким бы хотелось видеть информационное пространство, о месте правоохранителей и бизнеса в деле информационной защиты, о проблемах доверия и контроля за сотрудниками. Способы решения, конечно, важны, но ведь ещё важнее постановка задачи.

----

Львовские имена

Львовские имена. Статья Владислава Боярова. 22.08.2023 г.

Галопом по вычислительным Европам. Часть 6. Спецпроцессоры.

Галопом по вычислительным Европам. Часть 6. Спецпроцессоры. Часть 5. Память. Статья Ильи Вайцмана. 15.03.2023 г.

«Домашний компьютер». Конкурс в Самаре.

«Домашний компьютер». Конкурс в Самаре.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть третья, объединительная

Кому кризис, а кому окно возможностей

Кому кризис, а кому окно возможностей. Статья Владислава Боярова. 17.07.2023 г.