К основному контенту

Безопасность на дорогах и безопасность в компьютерных сетях


Аналогия
Если провести аналогию с правилами дорожного движения и правилами информационной безопасности, то можно увидеть куда надо стремиться. Правила дорожного движения разрабатываются давно, поэтому их все более менее знают. Если кто-то хочет выехать на дорогу, то он знает, что сначала нужно выучить правила, сдать их и потом уже можно.  Если ты просто подключаешься в интернет, то простейшая наглядная агитация на стенах учреждения, висит только в продвинутых компаниях, типа Сбербанка. В Интернет если кто-то хочет подключить свою организацию, то правила тоже есть: отраслевые (банк России), государственные  (ФЗ-152) и надгосударственные (GDPR, PCI DSS). Правила эти никого сдавать не требуют. Обучать людей не треюут. А почему? Ведь аналогия с правилами дорожно движения говорит, что это нужно делать.  Соответственно на курсы никто не ходит, а они (слава богу) есть. Я об этом и хочу поговорить.
Специалисты
Основная проблема любой организации, что в ней нет специалистов, которые бы где-то сдавали какие-то экзамены по информационной безопасности. Если при подключении в Интернет требовать наличие в организации такого человека, если требваеть у этого человека наличие сданных экзаменов, то уже можно ожидать, что в организации есть человек, которые понимает в основных темах: инвентаризация ресурсов, сканирование уязвимостей, установка патчей, зачем нужна двухфакторная аутентификация в интернет-банке и VPN или у администраторов сети, как работает хостовая и сетевая защита.
Я понимаю что таких специалистов мало, но ведь существует аутсорсинг. Интернет и угрозы существуют, а специалистов - не существует. Машины и дороги существуют - правила и обученные люди на дороге не просто существуют - их необученными туда и не пускают.
Оборудование
Критерием современных законодательных инициатив является наличие специализированного оборудования. У оборудования постепенно появляются классы, например, для IPS придумали аж 6 классов, для межсетевых экранов придумали еще 6 классов с разными буквами вперемешку: АБВГД. Например, требуется наличие сертифицированного межсетевого экрана. А то что в нем одно правило permit any any - это никого не волнует. Почему?
В ПДД есть тоже требования к сертификации автомобилей, но они не требуют передачи интеллектуальной собственности в лаборатории. В информационной безопасности производитель должен полностью открыть все технологии как работает продукт и даже показать исходные коды. Хотя можно было бы просто проверить, что он выполняет те функции, которые нужны для работы, как это делают с автомобилями. Почему?
Технологические процессы
А еще никто не читает журналы IDS (да и любые журналы) - тоже не волнует никого что там идут атаки. Почему? А то что администратор домена свободно может зайти куда угодно без двухфакторной аутентификации и любой человек, запустивший mimikatz может стать администратором домена - тоже никого не волнует. Почему? А то, что бекапы почтового сервера хранятся незашифрованные и доступны на общем сервере и любой сотрудник может подмонтировать его образ и почитать всю почту - тоже никого не волнует. Почему? Потому что никто не проверяет как все работает, не делает пентесты или аудит.
В общем в информационной безопасности не хватает одного требования - в любой организации должна быть фамилия ответственного за ИБ, у которого есть сданные "права" или сертификат. Жестко?

Комментарии

Популярные сообщения из этого блога

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.
Смотрим:
В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано 4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блоки…