вторник, 19 марта 2024 г.

Реагирование и расследование ИТ-инцидентов. Ваш пошаговый план.

 


Расследование инцидентов сегодня все больше интересует руководство компании, поскольку позволяет минимизировать глубину вторжения хакерских групп и создать для них максимальные трудности. Как это правильно делать и с чего начать? Пожалуй тут может быть несколько важных советов. Я собрал некоторые важные факты и методики в одном видеоролике.

Посмотрите:

пятница, 15 марта 2024 г.

Подробности встречи с экспертами про российские VPN шлюзы

Посмотрел ток-шоу о российских VPN шлюзах и привожу основные моменты.
На встрече прозвучало мнение Кода Безопасности, Солара, МТС и TSS.
Встречу прекрасно провел Руслан Иванов.

1. Все отметили всплеск запросов на VPN более высокого класса (КВ) из-за действия регулятора
2. Число российских разработчиков аппаратных платформ увеличилось. При этом российские разработчики не очень интересуются делать специализированные устройства для VPN и NGFW
3. Пришли снова к выводу, что VPN шлюзы никогда не будут совместимы друг с другом, пока регулятор или ТК26 их не заставит. Даже для доступа к СМЭВ нужно взять три разноцветных шлюза.
4. Есть понимание что будут VPN шлюзы на новый ГОСТ 34.12 с Кузнечиком и Магмой

03:58 Отметили использование VPN у облачных провайдеров и у телекомов. Им требуется высокая производительность и надежность.
05:08 Коммерческие компании переходят на российскую криптографию, чтобы получать нужные им сервисы
11:30 Наивно полагать что Suricata и nDPI позволят "выйти на рынок NGFW"
11:55 Сложно найти высокопроизводительное оборудование и трансиверы и добиться совместимости производителей
15:01 Появились запросы на объединение ЦОД по DCI мощными каналами (часто просят 100 Гбит/с). Там важна задержка
16:49 Требования по эксплуатации криптографии ГОСТ мешают добавить в устройство какую-то другую функциональность, например, IPS или NGFW
19:24 Заказчики не понимают, что VPN это высокая нагрузка на процессоры и думают что VPN + IPS + DPI можно включить сохранив производительность из datasheet
25:12 Можно у оператора арендовать канал с ГОСТ шифрованием и не мучаться с поиском своего оборудования и сотрудников
28:20 Импортное оборудование ждать полгода, российское оборудование ждать 2 недели
31:29 Большинство заказчиков стало требовать RMA замену оборудования Next Business Day
35:25 Найденные уязвимости в VPN шлюзах нельзя сразу исправить, потому что, если поставишь патч, то ты теряешь и сертификат и аттестацию.
44:47 VPN шлюз это про ИТ инфраструктуру, а не про безопасность. Важна пропускная способность и задержки, поэтому обязательно иметь мониторинг канала, задержек и фрагментации пакетов. Стоит посмотреть на класс продуктов DEM.
49:20 Есть много ограничений в формуляре, в частности на подключение к виртуализации и разрешению на вывод за границу - смотрите в него.
50:43 VPN шлюзы имеют множество юридических и таможенных проблем с ввозом в страну и с вывозом из страны. Как по российскому законодательству, так и по местному законодательству. Сломанное оборудование вообще невозможно вернуть обратно.
56:02 Организация DCI: L2 канал на MPLS, темная оптика, растягивать L2 - боль, инкапсулировать L2 в L3 - тоже боль.
58:06 TSS: аппаратная реализация шифрования дает задержку 10 мкс и это вообще незаметно для сети. Также уже есть 100 Гбит/с оборудование.
59:55 Всегда учитывайте условия измерений: размер пакетов (маленькие пакеты снижают производительность), размер фреймов (jumbo frame могут повысить производительность)
01:04:53 Для NGFW есть методология измерения производительности у NetSecOpen и RFC 9411. Паша назвал RFC 2544, но я несогласен - это документ 1999 года, когда NGFW еще не было на рынке.
01:07:28 Важно понимать, что будет разная производительность у разных ГОСТ 34.12-2018 (Кузнечик RFC 7801 и Магма RFC 8891), 34.13 и 28147-89 ведь там разные ключи 128 и 256 бит
01:15:40 Квантовая криптография просто использует криптографические ключи большой длины, допустим 760 бит. И это упирается в производительность железа.
01:19:53 Сертификаты у VPN шлюзов: СКЗИ от ФСБ, от ФСТЭК на МСЭ А и Б, и есть еще сертификат как СОВ от ФСТЭК и СОА от ФСБ и есть новый от ФСТЭК на NGFW где еще требуется защита от НСД. Вообще почему-то забыли сертификацию по уровню доверия и по ТУ.
01:23:20 Как управлять МСЭ без сертифицированного ФСБ защищенного канала? Надо ли получать сертификат СКЗИ в ФСБ в случае работы TLS расшифрования в NGFW и WAF и балансировщиках? Балансирощик, NGFW, WAF должен быть криптошлюзом.
01:30:52 В трансиверах SFP есть маленький компьютер в самом интерфейсе и его можно сертифицировать как СКЗИ в ФСБ. Но они не входят в ТОРП Минторга и шансов туда внести - нет.
01:37:00 У одного заказчика стоит 40 VPN шлюзов в двух стойках для обслуживания широкого канала.
01:39:12 Active-Active кластера хороши только на бумаге, в реальной жизни это боль. Лучше взять высокопроизводительный Active-Passive.
01:40:24 Интересный кейс: пакет роняет криптошлюз, трафик переходит на второй и этот же пакет роняет и второй критошлюз.
01:41:24 Илья Тимофеев: несовместимость криптошлюзов - доколе?
01:55:02 Для подключения к СМЭВ нужно три разноцветных шлюза
01:57:26 Пункт управления под Linux
01:58:02 TSS управляется через любой браузер. Здесь у меня конечно вопросы про сертификацию ФСБ этого браузера и операционной системы как СКЗИ для TLS.

01:58:36 Дальше слушать страшно: распределение ключей через УЦ на Windows - что?! ) По букве закона все ключи должны локально на флешке загружаться в каждый СКЗИ - это очень неудобно. КВ требует ключевого блокнота, который нужно официальным письмом заказывать! Нет официального документа описывающего как работать с ключевой информацией.

02:06:40 Результат опроса по тому что нужно улучшать в криптошлюзах.
02:08:08 Прогноз от Павла Коростелева
02:10:30 Прогноз от Ильи Шарапова
02:13:19 Прогноз от Александра Веселова
02:16:25 Прогноз от Виталия Медведева

02:17:32 Чипы для АСУТП с криптографией и защитой приборов учета
02:19:00 Мнение зрителей об отечественных VPN (опрос)


Запись

Опросы








воскресенье, 10 марта 2024 г.

Зарплаты сотрудников информационной безопасности по всему миру

В международном опросе специалистов на портале infosec-jobs.com/salaries/ приняли участие около 7000 человек из 62 стран.

В топ-3 по числу опрошенных вошли должности Security Engineer, Security Analyst, DevSecOps Engineer. Возможно что таких должностей и больше требуется по всему миру.

Страны абсолютно разные от Австралии и Индии до России и США, поэтому если вас интересует конкретная страна, то вам интересно самому посмотреть в базу. Здесь в таблице зарплаты переведенные в доллары со всего мира.

Также вам будет интересно разнообразие должностей, чтобы понимать к чему стремиться. Здесь в таблице более 150 разных должностей. Понятно, что некоторые очень похожи, или просто по-разному названы авторами.  

Топ-3 зарплат у Security Engineer, Incident Response Manager и Ethical Hacker.

Выбирай свое будущее! )

ДолжностьЧислоМинимум  Максимум 
Security Engineer266431 795 700 000 
Security Analyst47020 000 285 000 
DevSecOps Engineer31331 915 280 000 
Security Architect23468 400 414 000 
Penetration Tester17016 806 280 000 
Cyber Security Analyst16918 138 200 000 
Security Researcher15753 192 336 000 
Information Security Analyst12830 000 230 000 
Compliance Analyst11455 000 240 000 
Information Security Officer10134 043 396 000 
Information Security Manager8820 349 310 000 
Security Specialist8831 700 242 990 
SOC Analyst8631 250 234 900 
Security Consultant8415 897 230 000 
Cyber Security Engineer7719 077 410 000 
Information Systems Security Officer7358 300 270 000 
Cyber Security Specialist5827 392 250 000 
Security Software Engineer5667 500 700 000 
Incident Response Analyst5337 500 247 500 
Cyber Engineer5147 000 246 000 
Compliance Manager5059 300 247 500 
Professional Services Consultant5088 000 189 200 
Threat Intelligence Analyst5052 100 252 000 
Security Officer4630 325 249 800 
Cyber Threat Intelligence Analyst4438 349 287 500 
Security Lead4441 875 296 100 
Security Operations Engineer4217 805 247 600 
Information System Security Officer4058 400 234 900 
Cyber Security Architect3735 000 280 000 
Chief Information Security Officer3435 000 400 000 
Information Security Specialist3418 720 248 000 
Application Security Engineer3316 228 250 000 
Detection Engineer3342 026 370 000 
IAM Engineer3371 259 257 000 
Compliance Specialist3245 000 247 000 
Information Security Engineer2821 013 320 000 
Threat Hunter2749 800 207 500 
IT Security Manager2667 672 198 000 
Cyber Security Consultant2525 912 313 600 
Cyber Threat Analyst2523 641 179 101 
Head of Security2569 673 394 250 
Privacy Manager2494 700 185 000 
Security Operations Analyst2422 800 186 000 
Director of Information Security2265 000 298 320 
GRC Analyst2262 500 200 000 
Information System Security Manager2273 100 234 900 
Malware Reverse Engineer2290 700 250 000 
Security Administrator2051 000 196 500 
Cloud Security Engineer1931 618 170 000 
Head of Information Security1939 823 300 000 
Penetration Testing Engineer1942 026 247 600 
Vulnerability Management Engineer1850 000 331 640 
Information Security Architect1755 351 325 000 
IT Security Engineer1619 858 169 000 
Security Compliance Manager16108 600 247 500 
Technical Consultant1649 216 215 100 
Cloud Security Architect1582 499 224 000 
Security Operations Manager1585 000 250 000 
Cyber Intelligence Analyst1451 000 246 081 
DevSecOps1464 000 368 000 
Cyber Security Manager1343 779 259 000 
Incident Response Manager1399 980 600 000 
IT Security Analyst1331 000 115 500 
Cyber Security Researcher1120 285 285 118 
Vulnerability Analyst1165 300 212 000 
Malware Analyst1086 000 234 000 
Security Engineering Manager1020 000 305 000 
Vulnerability Researcher1049 800 180 000 
Incident Response Lead933 661 249 000 
Digital Network Exploitation Analyst886 000 304 000 
Ethical Hacker853 192 456 621 
Information Security Program Manager8116 047 252 000 
Information Systems Security Manager856 250 198 800 
Lead Security Engineer864 781 246 266 
Product Security Engineer864 255 170 000 
Security DevOps Engineer830 000 205 000 
Staff Security Engineer860 805 450 000 
Cyber Program Manager760 000 269 100 
DevOps Security Engineer734 836 175 000 
Offensive Security Engineer715 061 180 000 
Principal Security Engineer751 389 271 600 
Security Operations Center Analyst724 009 212 000 
Application Security Analyst636 773 259 000 
Incident Response Engineer675 000 195 000 
Information Security Consultant670 000 140 000 
Information Security Lead654 000 204 500 
Network and Security Engineer646 229 240 000 
Software Reverse Engineer6122 600 240 000 
Zero Trust Architect694 000 234 900 
Digital Forensics Analyst582 960 140 000 
Information Systems Security Engineer544 000 200 000 
Network Security Engineer564 781 155 000 
Security Incident Response Engineer528 106 260 000 
Security Solutions Architect588 721 205 150 
SOC Engineer575 577 269 100 
SOC Manager593 600 157 000 
Cyber Security Technologist495 000 230 000 
Detection and Response Engineer4100 000 219 535 
Firewall Engineer490 000 204 900 
GRC Specialist4150 000 180 000 
Infrastructure Security Engineer482 499 130 000 
Lead Information Security Engineer480 000 166 500 
Privacy Officer4216 000 409 000 
Security Control Assessor481 800 186 000 
Software Security Engineer438 874 320 000 
Threat Researcher4151 200 230 000 
Vulnerability Management Analyst468 400 132 100 
Azure Security Engineer360 000 77 576 
Cloud Cyber Security Analyst316 498 104 000 
Cyber Security Training Specialist3100 000 130 000 
Data Security Analyst338 000 50 000 
Information Security Compliance Lead363 552 140 000 
Information Security Compliance Manager3150 000 360 000 
Information Security Risk Analyst3150 000 264 500 
IT Security Auditor372 000 125 000 
Application Security Architect2122 928 315 000 
Business Information Security Officer264 781 221 000 
Cloud Security Engineering Manager250 000 65 013 
Corporate Security Engineer2150 000 180 000 
Cyber Security Officer286 000 138 000 
Cyber Security Project Manager2110 000 150 000 
DevSecOps Architect297 900 250 000 
GRC Manager2150 000 190 000 
Information Security Compliance Analyst246 800 75 650 
Information System Security Engineer220 400 110 000 
Insider Threat Analyst2110 000 185 000 
IT Security Officer288 888 122 222 
IT Security Specialist225 000 62 000 
Principal Business Value Consultant2211 000 290 200 
Principal Cloud Security Engineer264 132 130 000 
Product Security Manager2140 000 150 000 
Security Compliance Engineer2110 000 134 000 
Security Solution Architect2120 000 200 000 
Splunk Content Developer2146 000 234 000 
Staff Application Security Engineer2126 080 180 000 
Threat Intelligence Response Analyst2220 000 300 000 
Application Security Specialist185 000 85 000 
Computer Forensic Software Engineer1122 000 122 000 
Concierge Security Engineer1131 154 131 154 
Corporate Infrastructure Security Engineer1105 070 105 070 
Cyber Security Lead1133 000 133 000 
DLP Security Engineer145 000 45 000 
Enterprise Security Engineer1130 000 130 000 
Information Security GRC Manager1192 000 192 000 
Infosec Risk Manager1212 000 212 000 
Lead Application Security Engineer162 726 62 726 
Principal Application Security Engineer1237 000 237 000 
Principal Security Architect1113 750 113 750 
Security Analytics Lead1100 000 100 000 
Security Operations Lead187 500 87 500 
Security Operations Team Lead1106 510 106 510 
Systems Security Engineer193 500 93 500 
Threat Hunting Lead161 000 61 000