Скорее, даже не круговая, а тотальная, поскольку потенциальную опасность представляют не только внешние атаки на локальную сеть, но также нечестные сотрудники и различные надзирающие за безопасностью организации, требованиям которых компания должна соответствовать.
Конференцию «Код информационной безопасности», проходившую 8 октября 2015 года в Самаре, организовало агентство бизнес событий ЭКСПО-ЛИНК, вела её лично директор агентства Ольга Поздняк. Это первое яркое впечатление от конференции: такого чудесного уральского говора я никогда не слышал. Я даже поначалу подумал, что это украинское произношение, но это сверхтвёрдое «ч»… Как же велика и разнообразна наша страна!
Конференция проводится уже в 11-й раз, в этом году она проходит в 11-и городах России (в Самаре – второй раз).
В следующем планируется проводить её также в городах ближнего зарубежья, но где именно, пока не сказали. Недавно конференция обзавелась собственным логотипом, и это тоже связано с особенностями нашего произношения: в отличие от английского в русском языке «д» и «т» в конце слова звучат одинаково.
Ещё о кодах: на бейджах конференции кроме имени и компании был напечатан QR-код, при сканировании которого на экране смартфона появлялось предложение добавить этого человека в контакты. Приятно видеть, как безбумажные технологии приходят в нашу жизнь. К этому следует добавить просьбу организаторов сдать после конференции шнурки для бейджев, чтобы их можно было повторно использовать – трогательная забота о чистоте окружающей среды.
Ключевыми спикерами и модераторами конференции были исполнительный директор АйТи Таск Максим Степченков и Алексей Лукацкий, представленный в первую очередь как блогер, и только во вторую – как бизнес-консультант Cisco.
Ещё одно свидетельство перемен, которое я пока не знаю, как оценить: то ли как нежелание акцентировать, что на российской конференции по безопасности ключевым спикером является сотрудник американской компании, то ли как высокий статус деятельности блогеров – явления, вызванного повсеместным внедрением информационных технологий и демократизацией СМИ. Действительно, теперь каждый человек может быть самостоятельным изданием, не нуждающимся ни в регистрации, ни в помещении – вообще ни в чём, кроме собственной квалификации.
Конференция состояла из четырёх последовательных (в один поток) сессий:
- Вводная сессия: Тренды и угрозы в сфере ИБ.
- Сессия 1: Защита от внешних угроз.
- Сессия 2: Защита от внутренних угроз.
- Сессия 3: Текущее состояние законодательства по персональным данным.
Во вводной сессии г-н Лукацкий рассказал о тех новых угрозах, которые только набирают силу. В частности, о том, что пропагандируемый сейчас интернет вещей – штука далеко не безопасная даже в чисто информационном плане. Уже зафиксирован электрочайник, «завербованный» в члены ботнета (ботсети) и рассылающий вредоносный код – а кто мог ждать такого от чайника? Так что, похоже, знаменитая «победа холодильника над телевизором» приобретает в наши дни новый смысл. Как это часто бывает, новое – это забытое старое. В 90-е годы популярной среди вирусописателей была перезапись MBR: все данные на диске сохранялись, но компьютер переставал грузиться. Потом эта мода прошла, разработчики средств защиты перестали уделять такому виду вредительства должное внимание – и вот оно вернулось.
Более страшная вещь – шифрование диска. В те же 90-е годы на компьютерах бушевал вирус OneHalf, шифровавший диск так, что данные было невозможно прочитать. При этом уничтожение самого вируса не спасало положения: данные на диске оставались испорченными и уже безвозвратно. Лечение заключалось в загрузке компьютера с внешнего носителя (тогда это были дискеты) и запуске специальной утилиты, заставляющей вирус работать в обратном направлении. После того, как вирус возвращал всё на место (а это занимало до нескольких часов), его уничтожали. Сейчас, в соответствии с духом времени, эта идея дополнилась новыми особенностями. В 90-е, вредители, похоже, даже не могли представить себе, что они будут вымогать деньги у пострадавших, а правоохранители даже не будут пытаться их ловить. Сегодня, чувствуя безнаказанность, они открыто вымогают за расшифровку диска деньги. В 2009 году я брал интервью у г-на Лукацкого и задавал те же вопросы о вымогательстве: получается, что воз и ныне там, а усилия правоохранителей направлены совсем в другую сторону.
Усовершенствовано и шифрование. Теперь используется асимметричный шифр, в котором шифрование производится открытым ключом, внедрённом на компьютер клиента, а расшифровать можно только закрытым ключом, находящимся только у злоумышленника. В этом случае заставить вирус «дать задний ход» не получится, поскольку «заднего хода» у него попросту нет. Наконец, последнее, характерное не только для шифрующих зловредов: если вирус видит попытки своей ликвидации, он пытается нанести максимальный ущерб компьютеру, после чего, бывает, и самоликвидируется.
Оказалось, что опасна не только слишком быстрая для средств защиты работа зловредной программы, но и слишком медленная, когда её активность не ощущается. Что-то вроде крокодила, притворившегося бревном и незаметно дрейфующего в сторону жертвы.
Г-н Лукацкий развеял заблуждения по поводу безопасности открытого софта. Дело в том, что любой продукт не производится с нуля, «из руды». В случае программного продукта, это использование библиотек сторонних производителей, которые с одной стороны могут быть закрытыми, а с другой – не обслуживаемыми создателем конечного продукта по причине отсутствия персонала нужной квалификации. То есть в результате мы имеем то же самое, что и с коммерческим софтом, с той только разницей, что не с кого спросить.
Ещё одна важная тенденция, отмеченная г-ном Лукацким – использование комплексной защиты. Дело даже не столько в качестве компонентов «зверинца» от разных вендоров, сколько в сложности его администрирования и самостоятельной оценки работы каждого продукта.
1-я сессия началась докладом директор департамента продаж НТБ Евгения Архишина «Решение проблемы контроля привилегированных пользователей». Решающая эту проблему система предусматривает своеобразного вахтёра, допускающего таких пользователей к месту работы и контролирующего «вынос ценностей», то есть некоторых действий, характерных для кражи информации. При этом суть работы этих пользователей и характер информации, которую, как подозревается, они крадут, «вахтёру» неизвестны. Дополнительные предпосылки безопасности должна, как мне кажется, создавать разница в менталитете человека, принятого на должность «вахтёра», и креативных программистов.
Ведущий менеджер по работе с партнерами Центра защиты информации ГК Конфидент Евгений Мардыко представил доклад «Dallas Lock как комплексная система защиты информации. Новые возможности-2015. Практика применения». Группа компаний «Конфидент» образована в Санкт-Петербурге в 1992 году, когда позитивным считалось интегрироваться в мировые тренда ИТ, быть там своими, а не заниматься «импортозамещением», отсюда и нерусское название. Впрочем, в этом городе, как и в других российских городах, много иностранных названий, на которые до последнего времени не обращали внимания, да и имя самого города тоже нерусское.
Сертифицированная система защиты информации от несанкционированного доступа Dallas Lock соответствует требованиям законов РФ, стандартов и руководящих документов. Разработчики Dallas Lock первые в России заявили о поддержке ОС Windows 10.
«SIEM, как головной мозг системы обеспечения информационной безопасности» – с докладом под таким названием выступил Максим Степченков.
Это как раз про интеграцию. Своё выступление Максим начал с провокационного вопроса: когда вы в последний раз проверяли логи системы защиты (антивируса)? На что получил вполне ожидаемый ответ – а зачем их проверять, если система не сообщала об инциденте? Здесь мы возвращаемся к заявлению г-на Лукацкого о «зверинце» – если продуктов защиты много и каждый по-своему будет сообщать о чём-то для него важном, вряд ли администратор сможет сразу понять, что же на самом деле случилось. Представленный компанией IT Task полностью отечественный продукт RUSIEM решает эту задачу: оператор не будет отвлекаться на мелочи и не упустит ничего действительно важного.
О противостоянии DDoS атакам рассказал менеджер проекта KDP Kaspersky Lab Russia, Лаборатория Касперского Алексей Кисилёв. Продукт был разработан 3 года назад, и я уже подробно описывал его, поэтому желающих узнать подробности отправляю к тому материалу. Здесь же только скажу, что суть решения в распознавании аномально большого трафика, перенаправление его на серверы Лаборатории Касперского, очистка от мусора и возвращение клиенту. При этом все сервисы клиента продолжают функционировать. Разумеется, атака анализируется и вместе с клиентом прорабатываются организационные меры, отчёты по желанию клиента передаются в правоохранительные органы, где Лаборатория Касперского может также представлять интересы клиента.
Самую широкую аудиторию должен заинтересовать доклад эксперта по информационной безопасности Microsoft Андрея Иванова «Windows 10 – защита от современных угроз безопасности». Особое внимание было уделено новой системе аутентификации пользователей с помощью пары асимметричных ключей. В Windows 10 есть возможность, как входить в систему с любого устройства под своим логином/паролем, так и привязывать пользователя к устройству и входить с помощью ПИН-кода.
Virtual Secure Mode изолирует и защищает критические процессы Windows с помощью контейнера Hyper-V, даже если ядро Windows полностью скомпрометировано. Правда, для этого требуется процессор с расширениями VT-X и VT-D.
Также корпоративная версия Windows 10 умеет различать личные и корпоративные данные и приложения, что актуально при внедрении BYOD. При этом личные данные и приложения, в отличие от корпоративных, не управляются ИТ-персоналом работодателя, а обмен данными между разделами заблокирован либо находится под контролем. То есть линия обороны в данном случае проходит внутри персональных компьютеров сотрудников, а значит и деление сессий конференции на защиту от внутренних и внешних угроз весьма условно. Тем не менее организаторы не стали ломать исторически сложившуюся классификацию, и сессия №2 началась докладом руководителя Поволжского офиса в SearchInform (г. Казань) Владимира Велича «КИБ SearchInform – больше, чем просто DLP!».
Почему больше, объясняется просто. Дело в том, что классические системы DLP работают на предотвращение утечек данных, то есть должны сработать до того, как произошла утечка. Упоминаемые ранее системы SIEM фиксируют инциденты, то есть работать с ними специалисты начинают после того, как инцидент случился. Контур информационной безопасности SearchInform осуществляет как анализ случившихся инцидентов, так и предотвращение новых и является самообучающейся системой. При этом по каждому сотруднику ведётся досье, позволяющее определить, в какой момент его поведение становится аномальным. Само по себе изменившееся поведение ещё не повод для вмешательства, и, тем более, ограничения прав – вполне могли измениться его обязанности, он мог получить необычное задание. Однако это повод обратить внимание и понять, чем вызваны изменения.
Система включает в себя запись переговоров сотрудников по любым средствам связи. Например, ViberSniffer, как следует из названия, записывает всё, что сотрудник говорит через мессенджер Viber.
Собранная информация очень полезна при проведении расследований, в том числе в качестве доказательной базы. С 2013 года в компании SearchInform действует собственный учебный центр, который готовит как аналитиков, так и инженеров.
Г-н Велич также подчеркнул, что ООО «Сёрчинформ» (это в программе название было написано по-английски, а на собственных слайдах по-русски) является российским разработчиком. Продукты компании зарегистрированы в Роспатенте и соответствуют всем требованиям, предъявляемым к ПО для включения в Единый реестр российских программ для ЭВМ и БД, создаваемый для подтверждения происхождения программ из Российской Федерации, расширения их использования и оказания мер государственной поддержки российским правообладателям.
Внедрение таких систем требует не только грамотной работы ИТ-служб и служб безопасности. Конечно, по возможности сотрудники не должны знать, что за ними постоянно следят, однако этот факт может вскрыться (да что там «может» – рано или поздно вскроется), и вот тогда уже настанет работа кадровиков и юристов. Поэтому, возможно, следует с самого начала определить в трудовых соглашениях рамки контроля, разумеется, без раскрытия информации о его способах.
«Безопасность баз данных. Как разделить ответственность между ИТ и ИБ». Об этом был доклад Сергея Добрушского, менеджера направления защиты баз данных компании МФИ Софт.
В общем, всё то же самое, только в локальном ИТ-сегменте. Анализ сетевого трафика, аномального поведения сотрудников, имеющих доступ к БД, попытки превышения прав. Обещано, что это делается на уровне отдельных записей и полей.
Последним в этой сессии был доклад регионального представителя компании InfoWatch в сегменте СМБ (Приволжский федеральный округ) Дмитрия Бабушкина.
После обязательных страшилок (а как ещё обосновать необходимость защиты?) Дмитрий рассказал о том, как продукты его компании могут использоваться в малом и среднем бизнесе. Главный акцент делался на простоту эксплуатации и наглядность отображаемых данных. Собственно, это обычный путь информационных технологий: сначала сложные системы, доступные лишь специально обученным людям, потом интерфейс оптимизируется и упрощается, продукт меняется в сторону «коробочности» – и вот уже им с лёгкостью могут пользоваться все или почти все. Конечно, комплексное решение информационной безопасности в принципе не может быть простым, но в случае корпоративных продуктов речь идёт не об использовании их «обычными пользователями», а только о том, что грамотный сисадмин компании потратит на его изучение не слишком много времени. Плюс, конечно, в голове надо держать юридические и этические моменты – здесь работа уже не только с «железом», но и с живыми людьми, к тому же собственными сотрудниками. Одна из моделей использования – не постоянно, а когда возникли подозрения и их надо разрешить. Всё же в небольшой компании (создатели решения считают, что использовать его можно в компаниях от 25 человек) все люди на виду, и аномальное поведение опытный руководитель может увидеть «невооружённым глазом», поэтому наличие постоянно работающей DLP-системы не является обязательным. Предлагается три продукта:
InfoWatch Traffic Monitor Standard
Надежная система контроля движения важных корпоративных данных и защиты от утечек, созданная с учетом потребностей и интересов малого и среднего бизнеса.
InfoWatch Traffic Monitor Standard Appliance
DLP-система в комплекте с сервером – преднастроенное и полностью готовое к внедрению решение.
Сбалансированная система для контроля рабочих станций, подключаемых устройств и защиты информации с быстрым внедрением и простым управлением.
Даже если бы доклад Алексея Лукацкого «Текущее состояние законодательства по персональным данным» был первым, я бы всё равно оставил его описание напоследок. Потому сколько я ни слушал и не читал выступлений на эту тему, так и не понял, что именно и зачем защищается. Да и защищается ли: мне много раз приходилось подписывать согласие на обработку моих персональных данных, и общий смысл бумаг был в том, что я дозволяю им чего-то такое, что вообще-то не положено. Потому что если бы было положено – зачем им у меня разрешения спрашивать? А выполнить то, что положено, и при этом делать свою работу (фиксировать сделки с автомобилями, продавать билеты на поезда и самолёты), видимо, невозможно. Поэтому я понял доклад г-на Лукацкого не как рекомендации по защите данных, а как информацию о том, как продолжать работать в современных российских условиях.
Кстати, ведь и на наших бейджах были персональные данные, а по этому материалу можно сопоставить ФИО и фото докладчиков. И как доступность считывания персональной информации с QR-кода бейджей согласуется с российскими нормативными актами о персональных данных – не знаю.
Закончилось мероприятие розыгрышем призов от ЭКСПО-ЛИНК и Microsoft. Мне досталась книга Джулиана Ассанжа «Свобода и будущее интернета».
Следует отметить высокую степень вовлечённости аудитории: было много вопросов, задаваемых в ходе докладов, возникали стихийные дискуссии, при этом спикеры не гасили, а поощряли активность.
Общение не ограничивалось рамками конференц-зала, а продолжалось в фойе у стендов компаний.
В сухом остатке – не столько конкретные способы борьбы с атаками злоумышленников, сколько информация к размышлению. О том, каким бы хотелось видеть информационное пространство, о месте правоохранителей и бизнеса в деле информационной защиты, о проблемах доверия и контроля за сотрудниками. Способы решения, конечно, важны, но ведь ещё важнее постановка задачи.