среда, 21 декабря 2016 г.

Хватит уже делать проекты на базе прокси серверов

Получил очередной запрос от заказчика сделать ему защиту внутри HTTP(S) с анализом контента с антивирусом, URL фильтром и DLP.
Кто вообще учит людей защищать только одно приложение? Кто эти люди? Это продавцы прокси серверов. Когда они уже перестанут пудрить мозги людям.
В современной компании любой индустрии банк или телеком или ретейл трафик создают порядка 200-300 приложений. Рекордсменом была компания у которой я видел трафик 719 разных приложений! Вот, например, разрез современного канала передачи данных
Приложения в вашем канале в Интернет

Это наверно круто, если вы защищаете целое одно приложение HTTP и его разновидность внутри SSL/TLS под названием HTTPS, но как быть с остальными 199-299 приложениями? Хрен с ними? Компании, которые стартуют проекты по защите только одного приложения должны понимать, что еще бы неплохо брать под контроль FTP, POP3, IMAP, SMB/CIFS, не говоря уже про динамические Skype, TeamVewer, Bittorent. А еще бывает "экзотика" которой несколько лет уже - туннели внутри SSH или  DNS. Например в 80% компаний я постоянно вижу что сотрудники ставят туннель tcp over dns Многие просто не в курсе, что он у них есть, потому что для обычного межсетевого экрана это обычный DNS, то есть TCP пакеты по 53 порту. А на самом деле это полноценная реализация TCP поверх DNS запросов, где в поле TEXT размещается зашифрованный контент.

В общем, прекратите защищать только HTTP. Защищайте всё!

вторник, 22 ноября 2016 г.

Что такое Security Operation Center. Создавать или нет?


После одного из самых разрекламированных мероприятий этого года выложили презентации http://soc-forum.ib-bank.ru/materials_2016

По структуре мероприятия я ожидал, что будет два типа слушателей:
  1. Кто не определился строить им SOC или нет, поскольку не знает что это такое и зачем это надо.
  2. Кто уже понял зачем нужен SOC и им нужны примеры создания и эксплуатации SOC. Заодно узнать разницу в стоимости создания собственного SOC или стоимости эксплуатации виртуального SOC.
Те презентации, которые отвечали на эти два вопроса, я сейчас и порекомендую.

Что такое SOC. Создавать или нет?

  1. SOC автоматизирует процессы, которые уже есть в компании. Соответственно, если никаких процессов нет, то и автоматизировать нечего, и SOC не нужен.
  2. Если процессы есть, то должен быть сотрудник в компании, который бы хотел, чтобы эти процессы ускорились или улучшились. Он обычно и инициирует создание SOC.
Типовая ошибка: купить SIEM и ждать "вдруг" появления процессов. А они почему-то не появляются. Нет, ребята, создание процессов в SOC, это труд, причем многолетний! Хорошая аналогия: купить топор и ждать когда дом "сам" построится.

Первое, что ждут от SIEM, в отличие от обычного LogManager - это приоритезации событий. Ведь в журналах они просто свалены, а SIEM своими правилами может автоматически дать разный приоритет в зависимости от критичности ресурса с которым связано событие. И это лишь один пример автоматизации.

Второе, что ждут от SIEM, это корреляции событий из разных журналов друг с другом. Например, известно, что если сравнить два журнала: VIN всех автомобилей с завода и с зарегистрированными VIN в ГИБДД, то сразу же появятся расхождения, поскольку часть VIN "перебита". Почем так никто не делает?

Сравнить два и более журнала - простейшая операция для автоматизированной системы, но не для человека. Например, можно заставить SIEM сравнивать журнал СКУД, что человек зашел в здание и лишь затем залогинился в AD. И если он лишь залогинился (реализации угрозы "дал свой пароль коллеге"), то сразу генерируется инцидент.

 Такой слайд даже рассказывал Андрей Страшнов (Банк России):

И самое важное, что ждут от SIEM, чтобы в события кто-то смотрел и реагировал. И вот тут и появляется идея ситуационного центра или SOC: набрать дежурную смену, которой эти коррелированные события в реальном времени приходят и они уже доделывают своими руками, то что сделать ИТ система не может: например, забирают флешку у нерадивого сотрудника, который принес на ней вирус или который скачал на нее секретную базу данных или отменяют платеж, который сделали с взломанного компьютера бухгалтера.

Идея создавать анализаторы журналов витала уже давно (с 1998 года). Раньше мы называли этот механизм "активный аудит". Но всегда страдало реагирование - не было времени, чтобы смотреть в журналы и разбирать инциденты. Да и психологию тоже надо знать: через месяц непрестанного анализа журналов, ты понимаешь что в жизни есть более интересные занятия.

Проще говоря, задачи службы ИБ у которой есть SOC и у которой нет SOC ничем не отличаются. Но те, у кого есть SOC - делают то же самое эффективнее. Вот например так:

 А вот пример от Эльмана Бейбутова (JSOC):

 Мне понравилось какие функции у SOC выделил Алексей Плешков (Газпромбанк)

 И, на мой взгляд, самую суть "зачем SOC" донес Максим Степченков (IT-Task) 

SOC строится на базе SIEM как технологии, поддерживается людьми с определенными знаниями и ролями и зиждется на процессах, которые определены и их порядка 140 и каждый из них нужно реализовать и затем улучшать.


Ну и, если просто упомянуть все процессы и процедуры SOC, то впечатляет:

Вот как описывает старт проекта SOC Константин Смирнов (Accenture) Это был самый зрелый доклад в номинации "от интегратора":


Вообще, организационная структура SOC - большая боль. Всегда мало людей выделяют и поэтому нужно обсуждать еще "на берегу": сколько людей готов бизнес выделить в SOC и каких именно профессий.

Меня заинтересова картинка Дмитрия Березина(КРОК) про людей в SOC (только надпись SOC надо поменять на LogManager или SIEM, потому что SOC - это вся картинка). Они делят людей на инженеров и аналитиков. 
Вот моя версия оргструктуры, которую я показывал когда работал в HP. Инженерами я называю тех кто все настраивает, аналитиками - тех кто реально думает над событиями. Нужно от 10 человек:

Интересный вопрос про разделение обязанностей команды SOC поднял Андрей Янкин(Jet): Если вы набрали в штат людей в свой  SOC, то заставлять ли его сотрудников одновременно администрировать сами СЗИ? Лучше всего это сразу исключить! Мало того, в SOC буду еще идти и события от средств ИТ и других, например от HR базы, там ведь тоже есть уже администраторы:

 По вопросам технологий, которые должны поставлять события, вообще по-хорошему все что у вас есть должно собираться в единый Log Manager и на основе этих событий SIEM принимает еще дополнительные решения и опять генерирует уже более глобальные события и создает инциденты. Вот, например, как показывает анализ атак в современном мире Дмитрий Березин(КРОК)

У SIEM как правило есть уже готовые правила корреляции (называются use cases), но их нужно внедрять последовательно, мы в ArcSight внедряли по 30 правил корреляции в неделю, потому что нужно было их все анализировать и удалять ложные срабатывания, доделав их до того, что все новые события - это 100% инцидент.

Виртуальный SOC

Чаще всего, глядя в список требуемых от службы ИБ задач, в численность своих сотрудников, хочется отдать все на внешнее управление. И такие сервисы есть. Я тоже за внешние сервисы. Здесь есть одна проблема - недоверие, но когда она решится, то почти все компании будут отдавать свои события профессионалам на анализ.
Главная, на мой взгляд, причина перехода на аутсорсинг ИБ: часто нет квалифицированных сотрудников и одновременно нужен контроль 24/7. 

Это отражено в презентации Сергея Романова (Энергобанк):



И получится чудесный результат как у телекомпании СТС. Это самая лучшая презентация в номинации "от заказчика" у Максима Наумова (СТС Медиа) про результаты перехода на аутсорсинг ИБ:

Очень много практических примеров привел Андрей Безверхий (SOC Prime) о том, почему содержать свой собственный SIEM - головная боль:


Итак, если свой SOC не хочется стоить, то всегда есть возможность отдавать события из своей сети в коммерческие компании, которые уже SOC построили. Эти компании обязуются ваши события просматривать, находят там инциденты и оповещают вас о них или даже разбирают эти инциденты за вас. Обычно у вас есть панель управления этим SOC - виртуальный SOС. В общем все самые сложные и нудные задачи за вас уже будет делать по договору обслуживания (SLA).
Вот что думает про SLA Анатолий Скородумов(банк Санкт-Петербург):

Очень понравилась статистика уже работающих коммерческих SOC (на ноябрь 2016)

Коммерческий SOC компания Информзащита:

Коммерческий SOC компания Solar:

Компания SOC Prime - настраивает вам SOC:

Конечно же есть у виртуального SOC и минусы, ведь в нем работают внешние сотрудники, никак не привязанные к компании, и они не будут знать всех тонкостей взаимоотношений на первом этапе, организационную структуру, схему сети, не смогу лично прийти и проверить не подключили ли что-то новое. Тут главное иметь очень тесные партнерские связи с поставщиком такой услуги. Доверие должно быть полное, как я уже отметил в начале этой главы.

Но этот же факт является плюсом: внешние сотрудники не будут скрывать инциденты, как это могут делать собственные сотрудники.

Оценка эффективности SOC

Методики оценки эффективности SOC годятся для тех, кто строит свой SOC и кто хочет подключиться к уже существующему SOC. На конференции еще упомянули подраздел - оценка зрелости процессов. Я знаю метод CMMI (Capability Maturity Model Integration), который использует для оценки команда ArcSight и этот метод был представлен Андрей Тамойкин (Информзащита). Он состоит в оценке многих параметров заключенных в триаду: Люди+Процессы+Технологии:



 SOC нужен в первую очередь службе информационной безопасности и современная парадигма безопасности состоит в том, что взломы происходят какие бы дорогие средства защиты мы не купили и задача безопасника сегодня в том, чтобы узнать что произошел взлом и среагировать как можно быстрее. Поэтому одним из важных параметров оценки работы SOC является - как быстро мы узнаем о том что мы еще не знаем - о неизвестных атаках. Здесь очень хорошо проявляют себя песочницы, системы анализа аномалий пользователей и базы Threat Intelligence c различными индикаторами компрометации.
Алексей Лукацкий(Cisco) привел картинку про kill chain: атака проходит несколько этапов и чем быстрее мы заметим взлом на первых этапах, тем проще будет потом защититься:


Мне больше импонирует версия оценки эффективности: число инцидентов на одного аналитика. Проблема простая: на начальном этапе правила корреляции еще дают ложные срабатывания и аналитик должен вводить туда уточняющие параметры, чтобы снизить число ложных срабатываний. В итоге повышается число событий которые обрабатывается автоматические и снижается число событий которые должен посмотреть аналитик своими глазами, вот как на графиках ниже:

Внешние источники SOC

Я хочу добавить, что в правильном SOC собирается информация со всего мира и также от всех сотрудников компании. И Владимир Дрюков (Solar) подчеркнул как важно обмениваться информацией со всем миром. Это называется международными терминами Threat Intelligence и Indicator of Compromise (IoC): Кто владеет информацией, тот владеет миром!

Вот статистика от Владимира по Threat Intelligence


Глядя на презентацию Алексея Павлова и то, как Solar ищет угрозы APT, я решил, что они лучше всех понимают текущие способы взлома и как найти инцидент очень быстро:


И о себе

В принципе все вышеизложенное есть в моей презентации "Как сократить путь от SIEM к SOC"

Как правильно сделать SOC на базе SIEM from Denis Batrankov, CISSP

В заключение

На SOC Forum я не ходил как вендор. Из имеющихся у меня презентаций я мог бы рассказать про средство для расследования инцидентов Autofocus. Ну и еще возможно про Threat Intelligence и IoC, про которые иногда лишь упоминалось на этом форуме. Но это оставлю для какого-нибудь Anti-APT форума.

воскресенье, 13 ноября 2016 г.

У Tiguan в возрасте 70000 пробега сгорает блок предохранителей

Интересно, оказывается у VW Tiguan в возрасте 70000 пробега сгорает блок предохранителей, а точнее плавится ножка у одного предохранителя и заодно сам блок плавится. Нашел в форуме описание у другого человека точно такой же проблемы.

Выяснилось, что VW в курсе и сделал мне в 16.12.2013 на пробеге 29946 км замену этого предохранителя по акции, но сегодня 13 ноября 2016 года на пробеге 69809 км выяснилось, что он все равно оплавился и оплавил мне блок.

Вот сегодня попал на замену этого блока. Сегодня 13 ноября 2016 года эта неисправность мне обошлась в 19015 рублей в официальном сервисе. Сам блок в салоне продали за 13663 рубля. Проверил по коду 1K0937125D в Exist.ru - там он 10497 рублей. Но когда у тебя все освещение не работает - ждать или ехать в exist.ru нет времени.

Рис1. Вот так выглядит сам предохранитель - снять предохранитель сложновато рукой. 

 Лампа не горит, но виноват предохранитель.
 Лампа не горит, но виноват предохранитель.
Выглядит результат этой неисправности очень интересно: все внешние лампочки в Tiguan в случайном порядке не горят: фары, поворотники, габариты, тормозные огни. Всего где-то 11 лампочек просит проверить компьютер, и они правда не горят. А лампочки, на минуточку, дорогие, особенно ксенон. 1700 рублей с сервисе просили за реально перегоревшую лампу адаптивного освещения, а это обычная лампа H7: купил ее за 130 рублей в итоге в exist.ru.

Вывод: почаще меняйте предохранитель F16!



пятница, 7 октября 2016 г.

В чем тонкости тестирования песочниц

Поскольку занимаюсь периодически тестированием песочниц, то вижу что заказчик тестирования часто не понимает как тестировать и что тестировать. Для этого опубликую несколько основополагающих вещей, которые различают песочницы.
1. Есть ли в самом продукте сенсор для сбора файлов или нет.
Сама по себе песочница, это набор виртуальных машин. Да, все вендоры бьются тут в области как и сколько файлов определилось верно, сколько было ложных срабатываний и сколько ложных пропусков. Однако важным является то, как собственно файлы вообще попадают на тестирование в песочницу? Ведь кто-то должен выковырять трафик из ваших приложений и отдать их в песочницу! Кто это делает в вашей именно сети? И вот тут то и оказываются самые провальные результаты. Где у вас идут файлы? Да где угодно! Люди скачивают файлы браузером по HTTP, HTTPS, FTP. Люди получают файлы по почте, а это SMTP, POP3 и IMAP и их SSL версии. Ну или просто SMB или Sharepoint. И оказывается что некоторые вендоры просто игнорирует целиком приложения: кто то вообще не смотрит в FTP, кто-то не умеет расшифровывать SSL и соответственно все что идет внутри того же gmail, dropbox или facebook, который умеет передавать файлы - просто пропускается из проверки. И поэтому здесь важно что за сенсор вы используете для сбора файлов и отправки в песочницу. Вот и выбирайте.
2. Генерируется ли сигнатура или нет.
Оказалось, что часть вендоров просто показывает, что они увидели файл с плохим поведением, но сигнатуру не генерируют. Смысл песочницы какой? Чтобы вы узнали, что вас взломали и будут взламывать этим эксплойтом? Обычно после обнаружения песочницы генерируют сигнатуру и тут они уже друг с другом соревнуются кто быстрее ее создает. Самые быстрые делают это за 5 минут. Но новенькие вендоры пока что не могут создавать сигнатур и это ограничивает их применение "оповещением о проблемах". А обычно песочницы ставят, чтобы они "решали проблемы" автоматически. Вот и выбирайте.

Я выделил два критерия, но недавно смотрел комментировал отчет Forrester, где коллеги собрали еще больше критериев для сравнения песочниц.

Ну и под конец резюмирую: результаты тестирования песочницы выглядят как везение: в одном тестировании один вендор поймал эксплойт, в другом тестировании другой вендор. Потому что идеального решения которое на 100% видит и блокирует эксплойты по поведению пока нет.

И реклама ) На самом деле Palo Alto Networks предлагает установить прямо на рабочую станцию продукт TRAPS, который блокирует все известные и неизвестные эксплойты при помощи ловушек. Впрочем, это отдельный разговор.

суббота, 1 октября 2016 г.

Подход Palo Alto Networks к защите компании

Выступал в марте на конференции Extreme Networks и обнаружил запись своего выступления на Youtube. Кто хочет ознакомиться кратко как Palo Alto Networks защищает все приложения в сети, хосты при помощи TRAPS и про песочницы Wildfire - все есть

вторник, 20 сентября 2016 г.

ФСТЭК запретил поставлять межсетевые экраны с 1 декабря 2016 года без нового сертификата

Сегодня на конференции Infosecurity Russia было выступление Алексея Кубарева из ФСТЭК России. Он рассказал о новых классах межсетевых экранов АБВГД и 6 классах в каждом, которые ФСТЭК ввел в феврале 2016 года. 

Что интересно, ФСТЭК официально опубликовал эти профили защиты лишь 12.09.2016 (прошлая неделя). И сегодня (20.09.2016) ФСТЭК снова поставил всех перед фактом, что с 1 декабря продажи межсетевых экранов будут осуществляться только у тех производителей, которые этим профилям соответствуют. Такое информационное письмо от них уже было 26.04.2016, но я не верил раньше в силу "информационных писем" (простите за наивность). Я задал вопрос из зала: правда ли ФСТЭК считает, что за оставшиеся 2 месяца появятся сертифицированные по новым требованиям межсетевые экраны. На что мне ответили, что уже есть компании, которые подали на сертификацию и они успеют к 1 декабря ее сделать. 
Я провел опрос среди вендоров, которых встретил тут же на выставке: Huawei, Fortinet, Сheckpoint, Palo Alto Networks и даже Код Безопасности, и все они заявили, что не успеют сделать сертификат по новым требованиям к 1 декабря 2016 года. Мало того, я понял, что у лабораторий нет методик для проведения тестирования и они их пишут сами.
Вопрос! Кто же этот чудо-вендор, который успеет?!
Формально может сложиться ситуация в декабре 2016 года, что заказчик захочет купить сертифицированный межсетевой экран, а на рынке такого просто нет, а поставить ему уже ФСТЭК не разрешит. Так что нужно покупать все что есть сертифицированное до 1 декабря!
Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям.

Update: это решение уже отменено. Можно использовать со старыми.

суббота, 20 августа 2016 г.

Выбор пульсомера для здоровья


Появилась проблема - я стал незаметно для себя перебарщивать с нагрузкой в фитнесе и решил принять меры: ведь сердцу это здоровья не прибавляет. Прочитав правильную статью, о том, как на самом деле нужно контролировать частоту сердечных сокращений (ЧСС) прямо во время занятий, я принялся за дело: анализировать имеющиеся на рынке устройства. Мне нужно было как-то давать себе сигнализировать, что я в зеленой, желтой или красной зоне - желательно 5 зон сигнализации. И у фитнес-трекеров есть такие светодиоды даже. Пульс максимальный высчитывается по формуле 220-возраст.


Грудной датчик и фитнес-часы наручные я сразу откинул - точно не буду одевать. Поэтому мой анализ коснулся лишь браслетов. И тут казалось бы - бери любой, где есть датчик ЧСС и пользуйся, однако оказалось, что датчики ЧСС бывают разные и поэтому дают разные показания. Я хотел сначала именно тонкий браслет, но в итоге я пришел к выводу: никакой тонкий браслет не измеряет точно пульс при нагрузке. Он подходит для подсчета числа шагов, контроля сна и просто понимания своей частоты пульса в покое. Достаточно взять для этого Xiaomi Miband 2 за 2700 рублей. Самый точный из найденных был Garmin Vivosmart HR за 15000 рублей. Но до точности Mio всем далеко. 

Нужно учесть, что браслеты измеряют пульс не постоянно! Обычно двумя способами
  • измеряют пульс по нажатию кнопки (баловство, ведь то же самое я могу сделать и смартфоном)
  • измеряют пульс раз в 3-5 минут в течение дня 
  • измеряют пульс постоянно только во время тренировки (то ради чего стоит тратить деньги на браслет)
Поэтому, смотрел именно браслета с постоянным контролем пульса во время тренировки и в течение дня, так чтобы они еще и держали без подзарядки 5 дней и более в этом режиме: 

Браслеты реализованы внешне либо
  • без экрана и поэтому вы не можете понять во время тренировки ваш пульс без смартфорна (не очень понимаю такие)
  • с экраном и вы можете посмотреть ваш пульс и время вне тренировки (удобно)
Поэтому, смотрел именно второй тип браслета с экраном. 

C ходу под мои параметры подходили Fitbit Charge HR, Fitbit Surge, Mio Fuse, Garmin Vivosmart HR. Xiaomi MiBand 2 измеряет только по нажатию кнопки и был вычеркнут.



После всех просмотров и прочтений, хочу заявить, что больше всего информации дал мне этот видеоролик и всем надо с него начинать, потому что там приводится сравнение аж 8 устройств сразу: Apple Watch Sport, Fitbit Surge, Mio Fuse, Jawbone UP24 и UP3, LG Urban W-150, SONY SW30, Onetrack Sport. Еще этот обзор интересен сравнением с функциями здоровья из смартфона. Я даже не подозревал, что вспышка+камера смартфона могут также быть датчиками пульса и реально хорошо измеряют, хотя и неудобно.

В тесте победил Surge, но я понял из тестов что с измерениями пульcа ему до Mio далеко, потому лучший для меня по критерию - точность измерения пулься и наличие светодиода о текущей нагрузке - Mio Fuse.

Фитнес трекеры еще могут контролировать сон, поэтому я попробовал программу для измерения сна Sleep for Android - смартфон отлично контролировал мои три фазы сна и даже записал храп, что фитнес-трекеру не под силу. Телефон для этого тестирования я оставлял на кровати рядом с собой на подзарядке. Жену и детей отправил на море.  Телефон записывает храп. После прослушивания записи выяснил, что телефон посчитал храпом звук от приходящей почты в смартфон, поэтому в следующую ночь я перевел телефон в режим полета.

Основная проблема имеющихся на рынке пульсометров, что они измеряют пульс в покое. То есть, как только вы начинаете двигаться: теннис, штанга, плавание, то их измерения далеки от значений нагрудных вариантов, которые считаются самыми точными. Это важно, потому что если вы работаете с максимальной нагрузкой, то они еще и будут говорить вам, что пульс в норме, хотя он давно зашкаливает, именно поэтому я читал тест сравнения Fitbit HR и Mio Alpha. Дело в том, что у наручного Mio самый лучший датчик и он считается эталонным для всех других наручных гаджетов. Так вот Fitbit версия HR и Surge дает частоту пульса ниже во время нагрузок, что может опять же быть причиной перетренировки, что видно на графике из статьи:
 В видеоролике выше Fitbit получил столько же баллов как и Mio - просто там не делали такого точного тестирования


Тонкий браслет не закрывает полностью руку в месте измерения и искажения дает внешний свет. Широкие браслеты позволяют полностью закрыть руку и более точно измерять.

В общем мой выбор на сегодня Mio Fuse. Но Fitbit Surge и HR очень рядом, потому что у них все-таки больше функций для обычной жизни.

четверг, 18 августа 2016 г.

Gartner Market Share Firewalls


Gartner опубликовал доли рынка межсетевых экранов по состоянию на август 2016 года. Palo Alto Networks вышла на 2 место, в прошлом году было 3 и рост продолжается. Check Point догнать трудно, поскольку он уже 20 лет на рынке, а Palo Alto Networks только в 2007 году выпустила свое первое устройство. Сisco все реже видна как производитель безопасности в проектах, то покупая кого-то, то закрывая потом эти продукты типа NetRanger, Mars, CSA, PIX и так далее и так далее и так далее.

четверг, 28 июля 2016 г.

Защита от APT это не только песочницы.

Выбирать песочницу стало проще: новое исследование Forrester среди 11 средств защиты от APT выявило лидеров в этой области. Приятно, что песочница Wildfire и архитектура защиты от компании Palo Alto Networks получили наивысшие оценки!


суббота, 23 июля 2016 г.

Продление лицензии на VM версию Palo Alto Networks

Часто партнеры спрашивают как продлить тестовую лицензию для виртуальной версии NGFW под VMware VM-300, которую я выдаю. Нужно помнить 4 пункта:

1. Лицензия прикрепляется к UUID - он у каждой виртуальной машины уникальный.
2. При клонировании виртуальной машины UUID создается новый. А при операции "move" - остается старый.
3. Продление лицензии и новая лицензия - это одно и то же для вас.
4. Чтобы продлить лицензию нужно

  • выключить виртуальный NGFW
  • клонировать образ NGFW
  • запустить клона NGFW 
  • пройти заново процедуру регистрации AuthCode и UUID на портале support.paloaltonetworks.com


Все это описано в документации

четверг, 19 мая 2016 г.

Для меня конференция PHD является уже культовым местом, где можно встретиться со всеми существующими в Москве безопасниками. И в этом году на PHD я встретил всех!

Очевидно, что все безопасники уже давно ответили на вопрос "стоит ли приходить" и голосуют ногами - пришли все. Чувствовалось даже, что нужно в следующем году помещения побольше. Только два больших зала выдерживали наплыв слушателей. В залы А и Б я попасть не смог ни разу из 4 попыток. Спасением было то, что шла онлайн трансляция и можно было посмотреть с ноутбука видеозапись ведущуюся из комнаты.

Что возбуждало лично меня в этот раз, так это конкурс "Противостояние", когда безопасникам дали ресурсы для защиты, а хакерам предложили эти ресурсы взломать. Для взлома были подготовлены среды имитирующие два банка, телеком компанию и SCADA сеть.
В итоге был взломан один банк, который взломали через backend. Вторая команда (ребята из QiWi) защитили свой backend гораздо лучше и их взломать не удалось никак. Ну в них я собственно никогда не сомневался. Telecom ребята тоже не подпустили к себе никого. Что радует, потому что они одновременно защищают совершенно реальные телекомы, которыми я пользуюсь. Вообще, глядя на столы с защитниками и столы с хакерами, я вдруг осознал, что вообще ситуация такая в нашей жизни: безопасников всегда меньше чем хакеров.
На своем круглом столе Борис Симис собрал пентестеров(хакеров) и задал им вопрос очень интересный:
- Если я выдам вам деньги на любое оборудование, выдам деньги на любые сервиси и выдам лично вам много денег, то займетесь ли вы защитой? Правда если вас взломают, то я отрезаю ногу.
- Все рассмеялись и не думая сразу отказались, сказал что то что они ноги лишатся - стопроцентно и поэтому они не возьмутся.
В общем вывод такой: что хакеры понимают, что безопасники решают практически невыполнимую задачу, и в какой-то мере нам сочувствуют.
Самое веселое, что дискуссия с хакерами вылилась в дискуссию как генерировать и хранить большое число паролей которые есть у любого пользователя в Интернет. Хакеры высказались что не знают точного ответа.  Просмотреть запись стоит тому кто не ходил.

Интересной вводной в конкурсе "Противостояние" было то, что ИБ поругались с ИТ и сняли все средства защиты с систем SCADA. И хакер взломал систему управления гидроэлектростанции практически сразу - по открытому порту подключился и дал команду на слив воды.


Меня впервые в жизни заинтересовала тема по защите карт с чипом NFC и поэтому я постарался попасть на выступление Льва Денисова, где тот вкратце рассказал что для копирования карты Тройка или Стрелка нужно купить устройство за 35 долларов и набор карт - все есть на aliexpress. В общем грустно. Главная идея, что карты поддерживают сами по себе защиту от клонирования, а вот реализация их работы сделана без этой защиты. Просмотреть запись стоит.
Я еще, кстати, жду когда же найдется какой-то умный человек в Московском Метро пронумерует, наконец, выходы из метро, как это сделано в Гонконге. Сейчас все носятся по переходам наобум. 

Кстати, уникальный метод проведения презентации не вставая с дивана.

В течение двух дней были темы достаточно специализированные: взлом механических замков, взлом криптографических алгоритмов, взлом шины автомобиля, взлом GSM, взлом SAP, взлом WAF. Пойти можно было специалистам этого профиля. Не было таких тем как взлом IPS, взлом DLP. В принципе не было выступлений на тему дыр в безопасности каких-либо вендоров из области безопасности.

Во второй день меня заинтересовало еще выступление Михаила Емельянникова про бумажную безопасность и собственно его советы любому безопаснику и тем более бизнесу всегда полезны. Просмотреть запись стоит. Например приведу несколько его слайдов про то что надо писать в правилах для сотрудников и что не надо делать безопаснику:

Ну и зашел посмотреть, что говорят нового про SIEM: как раз собрались все вендоры: HP ArcSight, Positive Technologies, Splunk, IBM QRadar, Первый русский SIEM.
В основном, вендоры так и не объяснили аудитории, что SIEM это всего лишь инструмент автоматизации процессов, которые уже есть в компании. Если таких процессов нет, то после покупки SIEM они не появятся внезапно. И жаловаться надо не на SIEM, а на себя. А то получается как в анекдоте: "Скажите, доктор, а после операции я смогу играть на скрипке? -Конечно! -Странно, до операции не мог, а после смогу.."
Также вендоров русских SIEM немного потроллили, что если уж они хотят себя продвигать как чисто российский продукт, то надо быть полностью "без импортных деталей", и перестать пользоваться elasticsearch и Java внутри. 

В принципе смотреть в записи два часа эти нет смысла, и оставить себе 2 часа в жизни на что-то другое. Или пролистать мою презентацию на эту тему. Из HP я уже перешел в Palo Alto Networks, но презентация осталась:
http://www.slideshare.net/ksiva/soc-siem

Самое важное улучшение с прошлого года - все выступления транслировались свободно в онлайне и можно было посмотреть выступление даже в тех комнатах, которые были переполнены и люди больше не вмещались. В прошлом году это все было под паролем.
http://www.phdays.ru/broadcast/
Смотреть все 100 часов видеозаписей нет смысла, лучше прочитать отзывы людей и посмотреть что хвалят. Я в своей заметке отметил что стоит послушать.

Вот сейчас просматриваю запись выступления Сергея Голованова "Copycat effect. От киберразведки до уличной кражи" - пример разбора реальных APT атак, в том числе на Касперского. Советую послушать. Совершенно фантастическая история как хакеры снимали деньги с карты, а в это время троян Метель нажимал в банке кнопку "отменить последнюю транзакцию по карте" и в итоге с одной карты снимали, снимали и снимали всю ночь деньги.