воскресенье, 23 сентября 2018 г.

Безопасность на дорогах и безопасность в компьютерных сетях


Аналогия
Если провести аналогию с правилами дорожного движения и правилами информационной безопасности, то можно увидеть куда надо стремиться. Правила дорожного движения разрабатываются давно, поэтому их все более менее знают. Если кто-то хочет выехать на дорогу, то он знает, что сначала нужно выучить правила, сдать их и потом уже можно.  Если ты просто подключаешься в интернет, то простейшая наглядная агитация на стенах учреждения, висит только в продвинутых компаниях, типа Сбербанка. В Интернет если кто-то хочет подключить свою организацию, то правила тоже есть: отраслевые (банк России), государственные  (ФЗ-152) и надгосударственные (GDPR, PCI DSS). Правила эти никого сдавать не требуют. Обучать людей не треюут. А почему? Ведь аналогия с правилами дорожно движения говорит, что это нужно делать.  Соответственно на курсы никто не ходит, а они (слава богу) есть. Я об этом и хочу поговорить.
Специалисты
Основная проблема любой организации, что в ней нет специалистов, которые бы где-то сдавали какие-то экзамены по информационной безопасности. Если при подключении в Интернет требовать наличие в организации такого человека, если требваеть у этого человека наличие сданных экзаменов, то уже можно ожидать, что в организации есть человек, которые понимает в основных темах: инвентаризация ресурсов, сканирование уязвимостей, установка патчей, зачем нужна двухфакторная аутентификация в интернет-банке и VPN или у администраторов сети, как работает хостовая и сетевая защита.
Я понимаю что таких специалистов мало, но ведь существует аутсорсинг. Интернет и угрозы существуют, а специалистов - не существует. Машины и дороги существуют - правила и обученные люди на дороге не просто существуют - их необученными туда и не пускают.
Оборудование
Критерием современных законодательных инициатив является наличие специализированного оборудования. У оборудования постепенно появляются классы, например, для IPS придумали аж 6 классов, для межсетевых экранов придумали еще 6 классов с разными буквами вперемешку: АБВГД. Например, требуется наличие сертифицированного межсетевого экрана. А то что в нем одно правило permit any any - это никого не волнует. Почему?
В ПДД есть тоже требования к сертификации автомобилей, но они не требуют передачи интеллектуальной собственности в лаборатории. В информационной безопасности производитель должен полностью открыть все технологии как работает продукт и даже показать исходные коды. Хотя можно было бы просто проверить, что он выполняет те функции, которые нужны для работы, как это делают с автомобилями. Почему?
Технологические процессы
А еще никто не читает журналы IDS (да и любые журналы) - тоже не волнует никого что там идут атаки. Почему? А то что администратор домена свободно может зайти куда угодно без двухфакторной аутентификации и любой человек, запустивший mimikatz может стать администратором домена - тоже никого не волнует. Почему? А то, что бекапы почтового сервера хранятся незашифрованные и доступны на общем сервере и любой сотрудник может подмонтировать его образ и почитать всю почту - тоже никого не волнует. Почему? Потому что никто не проверяет как все работает, не делает пентесты или аудит.
В общем в информационной безопасности не хватает одного требования - в любой организации должна быть фамилия ответственного за ИБ, у которого есть сданные "права" или сертификат. Жестко?

вторник, 4 сентября 2018 г.

Stonesoft Evader Tool жив?

Сегодня изучал последние тесты NSS Labs, где лучше всех по процентам в области атак выглядел ForcePoint. При ближайшем рассмотрении оказалось, что часть атак относится как раз к классу resiliency и за счет этих атак ForcePoint обошел всех. NSS не раскрывает, как всегда, что были за атаки, но говорит, что это старые атаки, которые были видоизменены. Это как раз любимая фишка была у StoneSoft, который теперь ForcePoint. Это было сделано в свое время в Evader Tool и что-то мне говорит, что это снова он.

Приведу пример подобных видоизмененных атак: допустим мы берем обычный вирус eicar и просто пакуем его в zip в несколько итераций вкладывая zip в zip. Есть вендора, кто будет распаковывать 3 таких вложения, есть кто 7, есть кто 10. Поэтому в тесте типа resiliency, где eicar запакован 8 раз один вендор пропустит, а другой заблокирует. Мы (PANW) рекомендуем в нашем best practiсe в принципе блокировать такие странные файлы используя file blocking profile. И все эти тесты StoneSoft Evader Tool я вижу периодически, но реально это какое-то все искусственное.

Если я запакую eicar 100 раз, то обойду любого вендора в тесте, но это разве правильный тест на реальные атаки?

Подвох всего этого, что сам ForcePoint тоже можно обойти добавив еще один раунд сокрытия атаки. Но в этот момент Evader останавливают и показывают пальцем на всех других вендоров. Это собственно и происходит на их сайте https://www.forcepoint.com/product/network-security/evader-forcepoint