Познай реальное, через виртуальное...
Познай реальное, через виртуальное...
Красивое имя...
 
 
 
Hi...
главная | новости | дизайн | безопасность | статьи | публикации | книги | софт | поэзия | приколись | faq's | резюме
написать письмо | добавить в избранное | сделать стартовой | свалка | карта сайта
:: Главное меню ::
Новости
Дизайн
Безопасность
Статьи
Публикации
Книги
Софт
Поэзия
Приколись
FAQ's
 
Счетчик PR-CY.Rank
Готовимся к единому государственному экзамену: Физика

Готовимся к единому государственному экзамену: Физика

Автор: А. Н. Москалев,
Г. А. Никулова
купить книгу
[root] / Статьи / Горизонт событий / Отчёт с 3-го семинара RISC

Горизонт событий

Отчёт с 3-го семинара RISC
"Эффективность управления ИБ в период сокращения бюджетов"

 
 
Программа и сюрпризы...
     Журналистика.., гармонизирует мои мысли, вбирая в себя творческое и техническое начала…
 
Преподобный K4Y0T, 2015
 
 
 
 
 
29 мая 2015 года, в период с 10-00 до 15-30, прошёл третий юбилейный семинар товарищества RISC. Местом проведения стал гостеприимный Petro Palace Hotel (г. Санкт-Петербург, ул. Малая Морская, д. 14). Партнёрами мероприятия были заявлены компании Deiteriy и Microolap Technologies.
 
Нам с коллегой довелось прибыть на мероприятие одними из первых, где нас встретили приветливые организаторы. Они снабдили нас бейджами, программой семинара, и предложили проследовать к месту возлияния приветственного кофе (дабы мы с комфортом ожидали начала семинара, общаясь с прибывающими единомышленниками). Всех нас ожидало ещё множество сюрпризов (в том числе, справочная литература от АИС, карты с промокодами Acronis).
 
Навигация...
После встречи и регистрации участников, харизматичные модераторы (Мария Сидорова и Михаил Орешин), совместно с представителями компаний-партнёров, объявили об открытии семинара. Также, организаторы рассказали о нововведении: аудитории было предложено голосовать за спикеров по различным доступным каналам (WhatsApp, SMS), в некой двоичной системе [+,-].
 
Лучшему докладчику по итогам голосования был обещан памятный подарок, равно как и сувениры наиболее активным специалистам участвующим в дискуссиях (задающих наиболее интересные вопросы спикерам).
 
Модераторы...
Вместе с тем, Михаил указал на информационный лист, на котором был записан номер мобильного телефона Марии, для осуществления голосования, а также имя беспроводной сети и пароль: 12345678 (Wi-Fi любезно предоставлялся организаторами мероприятия). Воодушевившиеся участники встречи, из зала, сразу же отметили простоту пароля и недопустимость пренебрежения парольными политиками.
 
Орешин с иронией удалился (со сцены, прим. Михаила), пригласив первого докладчика – Антона Карпова (специалиста по информационной безопасности из компании Яндекс).
 
Инженеры на страже бюджетов
Антон Карпов, Яндекс
 
Антон Карпов...
Инженеры на страже бюджетов, значилось на заглавном слайде Карпова. Повествуя о том, что у безопасности Яндекса нет крупных вендоров, Антон добавил, что спешно доделывал презентацию ночью (поскольку, последние два-три года посещал подобные мероприятия с одними и теме же слайдами).
 
Демонстрируя слайд с фотографией выставочной зоны ведущих вендоров, с одной из крупных мировых конференций, Карпов заметил, что их целое футбольное поле. Однако, на практике вендоры – это долго и дорого (особенно для таких компаний, как Яндекс). Далее, эксперт задался целью рассказать об инженерном подходе к безопасности в Яндексе (проанализировав три решения компании и затраты на них, по сравнению с аналогичными продуктами, предлагаемыми вендорами).
 
Говоря об IDM-решении, Антон отметил высокую стоимость систем, имеющихся на рынке, а также необходимость изменения ИТ-инфраструктуры при внедрении. Такие проекты требуют "чёрной магии", а их реализация и "допиливание" растягиваются на годы. Поэтому, компания Яндекс пошла по другому пути, специалисты которой создали "Управлятор".
 
Как рассказал Карпов, этот проект был начат ещё 4 года назад. Первый прототип был написан одним разработчиком за пять-шесть месяцев, и в настоящее время администрируется одним человеком. К сравнению, затраты на зарплату специалистам (на разработку, эксплуатацию и модернизацию) и миллионы долларов за предложенные вендорами решения, подчеркнул эксперт по безопасности.
 
После чего, Антон Карпов перешёл к рассуждению о SIEM-решении и важности централизации. Он упомянул о терабайтах логов, понятной семантике (позволяющей быстро искать события), возможности создания правил корреляции. У специалистов Яндекса было много идей, и с учётом имеющихся на рынке решений, они собрали всё воедино для своей системы.
 
Кроме того, во внутренних информационных системах Яндекса запрещены пароли (только отпечатки и сертификаты), выделил специалист. Возвращаясь к рассматриваемому решению, Антон сообщил, что в день собирается до 200 Гб системных логов. Сравнивая стоимость, Карпов описал предложенные вендорами условия (1 миллион долларов за разработку, и столько же поддержка, возможность 90% скидки). В их же компании, собственным решением занимаются 1-2 человека (сканер уязвимостей и API).
 
Разработанный инструмент позволяет осуществлять проверки, использует актуальную базу уязвимостей, и отлично справляется с поставленными задачами. По словам Карпова, решение включает в себя четыре сканера, похожих на Nessus (в основных дата-центрах), свой SC (специализированный центр управления). Таково ядро решения…
 
Обращаясь к сравнению стоимости решений, Антон Карпов напомнил, что лицензия на Nessus обошлась бы в пол миллиона долларов в год. На деле, один разработчик справился с основным функционалом за 3 месяца (получая зарплату от компании), с учётом специфических потребностей Яндекса. Каждый ИТ-шник представляемой им компании, мог бы претендовать на должность технического директора или директора по разработке (в любой другой Российской компании), с сарказмом отметил Карпов.
 
Даже не ИТ-специалист приходит к таким же выводам (скорее экономической целесообразности), в отношении собственного отдела программных разработок и необходимости его применения, подытожил Антон. Он поздравил участников и руководителей RISC с юбилеем, в ожидании вопросов от участников встречи.
 
Орешин о магии...
Слово взял Михаил Орешин, и привёл пример о работе банка и двух незаменимых специалистах (об 1С и 90-х годах). Карпов согласился, что при таком подходе компания сильно завязана на людей (да ещё вечное допиливание продуктов на Java). В связи с этим, важно наличие второго программиста, и помнить про методологию и документирование.
 
Михаил Карпов (ИБ-шник сети магазинов Лента) поддержал дискуссию, указав на недостатки работы по старинке. Он также поделился опытом и рассказал об интересных решениях, использованных в рамках его компании.
 
Евгений Родыгин, пофилософствовал на тему имеющихся снежинок и получаемых шаров (видимо по аналогии с песчинками, прим. автора). Орешин высоко оценил философские размышления коллеги, и шутливо сравнил его со снеговиком 3-го левела. Затем, они порассуждали на тему "чёрной магии" (не с проста была выбрана заставка семинара, демонстрируемая проектором), связанных с этим продажах и т.д.
 
У заказчика, зачастую, есть все необходимые кубики, продолжил Евгений (10-15% многих предлагаемых решений). Поэтому, идите к нам с пилотами – мы вам не заплатим, воскликнул модератор, видимо обращаясь к производителям и интеграторам…
 
Завершая первый доклад, Антон Карпов обозначил необходимость двустороннего движения, между вендорами и заказчиками (не просто коробка, а коробка под конкретные задачи заказчика). Эксперт порекомендовал проанализировать маленьких вендоров, с которыми уже осуществляется взаимодействие (в свете их надёжности). Предостерёг от работы с маленькими вендорами и Михаил Орешин, приведя пример поглощения компанией IBM более мелких производителей (через год-полтора такие производители умирают, и поддержка тоже).
 
Когда компания Яндекс планирует вывести продукты по безопасности на рынок? Прозвучал вопрос из зала, от Андрея Пастухова. Относительно "Управлятора", пояснил специалист из компании Яндекс, уже рассматривался такой вопрос. Существуют технические трудности (высокая степень интеграции, непонятно где резать), а также маленький Яндекс пока не хочет продавать разработанную технологию (фокус сейчас на другое).
 
Открытое голосование...
Кирилл (Лайф Хеадс) из компании занимающейся веб-разработкой, тоже поучаствовал в дискуссии о безопасности сервисов. У них даже свой Яндекс.Паспорт, с гордостью заметил Антон. Затем, модератор неоднозначно поинтересовался у Марии, пишут ли ей мужики (в отношении объявленного ранее голосования). Он также сослался на неформальную обстановку в кулуарах, где можно задать любые вопросы ему или Антону Карпову.
 
Наиболее интересными вопросами и активностью отличился Михаил Карпов, и был удостоен коробочки с надписью Check Point (неизвестного содержания, по версии Орешина). Ведущий пригласил следующих докладчиков, посоветовал внимательнее читать слайды и удалился за порцией никотина.
 
Типовые уязвимости платёжных инфраструктур
Евгений Боровков, Антон Остроконский, Deiteriy
 
С глубоко техническим докладом выступили представители компании (партнёра семинара) Deiteriy. Парни провели анализ наиболее распространённых ошибок на платёжных шлюзах (презентация на подобную тему демонстрировалась на PHDays V). Поведали о дырявых формах, недостатках карт и некорректное кэширование.
 
Специалисты рассказали о создании pay-шелла, получении сырых данных между двумя хостами, с использованием утилиты netcat [nc -l -p 80] и созданием тестовых пользователей с лёгким для подбора паролем. Достаточно частое явление, сторонний (и крайне интересный, с точки зрения эксплуатации) софт на компьютерах пользователей (администраторов и даже серверах), отметили спикеры. Из практики, администраторы не могут объяснить появление тех или иных программ.
 
Углубляясь в перенаправление портов, один из докладчиков подробно рассказал об утилите socat (ретранслятор между двумя независимыми каналами). В то время, как проектор демонстрировал терминальное окно, с проблемными для восприятия цветами. Проверка на дальтонизм, изрёк Михаил Орешин, и предложил изменить цветовую схему (исходя из предпочтений участников встречи).
 
Антон и Евгений...
Между тем, у ребят возникли технические проблемы с получением данных, и они решили повторно осуществить все необходимые операции, для дальнейшей демонстрации. Модератор взбодрил специалистов, дал им время для устранения технических проблем, предложив аудитории отвлечься (шутя, поговорили о новых колёсах, погоде, Урале и комарах).
 
Теперь мы видим, как всё происходит в реальности, констатировал Евгений Родыгин. Упомянув про необходимость сосредоточения и значительного количества времени. Он также заметил, что презентации в режиме реального времени – очень сложно и похвально (в любой момент, что-то может пойти не так, даже самые простые действия).
 
Повторив алгоритм (получив данные и доступ), ребята продолжили брутфорсом (присовокупив 12 Мб словарь), запросив у экспертов 1,5 минуты рабочего времени (8-ми символьный пароль, со всеми знаками и соблюдением политик). Получив доступ к веб-серверу (с базой пользователей и паролей), перешли к поиску возможности доступа к MySQL-базе. Таким образом, система подверглась логической трансформации от блекбокса к вайтбоксу, выделил один из докладчиков.
 
Исследователи были удивлены, обнаружив, что хэши хранятся в таблице, совместно с другими данными о кредитных картах (возможно для работы антифрод-системы). Получив все номера карт (с использованием лучшей утилиты - hashcat), докладчики обозначили основные недостатки таких информационных систем, и привели ряд рекомендаций:
Высока вероятность получения доступа к логам дебаг-режима (отладочного), подчеркнул специалист. Спикеры напомнили о необходимости сканирования "мёртвых" портов при проведении аудитов (из практики, более 50% систем имеют недостатки). Исправить перечисленные выше недостатки возможно и без значительных затрат, имея лишь "прямые руки".
 
Михаил Орешин вспомнил о посещении конференции ZeroNights, позиционирующейся как высокого уровня для граждан "Х". Подытоживая, модератор обозначил угрозы ИБ, вследствие ошибок на стадии разработки (на уровне администрирования). Он упомянул также, о готовящихся в недрах ФСТЭК руководящих документах (наконец-то перевели OWASP, отметил кто-то из-зала).
 
Участники встречи...
Здесь же, Родыгин вклинился с проблемой в отрасли в целом, о не передаче опыта (другие люди, другие возможности). Всё это в комплексе и предстоит решить товариществу RISC (многое уже сделано). Необходимо результативно доносить идеи до ИТ (а ещё физическая безопасность, юристы и т.д.)
 
Погрузившись в проблематику, Михаил и Евгений (с привлечением одного из докладчиков) подискутировали на тему сертификации ФСТЭК, аттестации процессов, регулирования в целом. Демократия здесь недопустима, заявил Михаил Орешин, сообщив участникам встречи, что сейчас в ФСТЭК очень сильная команда. Евгений Родыгин порассуждал о месте ЦБ РФ, требованиях к банкам и платёжным системам, в свете развивающегося законодательства (не обошёл стороной и муниципалов).
 
Мы не знали, что всё так жёстко надо выполнять, как бы выразил мнение зала Орешин. Мало кто вообще соблюдает принципы защищённой разработки, с особым цинизмом выделил модератор. И да, и нет.., многозначительно включился в обсуждение Антон Карпов, и Михаилу сразу многое стало понятно…
 
Не надо всё валить на девелоперов, им некогда задумываться о безопасности, оспорил представитель Яндекса. После рассмотрения примера о модели безопасности аэропорта, Михаил Орешин вручил Карпову подарок, за лучшие вопросы и рассуждения после второго доклада (в качестве подарка была выбрана коробочная версия антивирусного комплекса Лаборатории Касперского). Довольно странная картина, эксперт по безопасности Яндекса с антивирусом в руках, со значительным сарказмом отметил Орешин (он также предложил Антону ознакомиться с продуктом, столь неизвестной компании).
 
 
Типичные инциденты в ИБ, которых можно избежать
Максим Степченков, IT Task
 
Максим Степченков...
С типичных ошибок системы ИБ, начался третий доклад семинара. Кто не искал крайнего при возникновении инцидента, задал вопрос аудитории Максим Степченков. Он попросил поднять руки тем, у кого вообще были инциденты ИБ (количество рук оказалось даже меньше ожидаемого). Не надо утаивать, продолжил докладчик, делясь опытом аудиторских проверок. Таким же образом ИТ пытается утаить произошедшие инциденты.
 
Максим обратился к примеру, связанному с системой дистанционного банковского обслуживания (ДБО), в одном из банков г. Санкт-Петербурга (достав из кармана девайс напоминающий микрокалькулятор). Он сослался на неудобство работы с таким девайсом для подтверждения транзакций (по одной), с учётом длинного ключа (обрисовал ситуацию, когда 40 сотрудникам необходимо перевести зарплату, а директор ушёл в отпуск). Ситуация ещё более усугубляется, в случае необходимости использования токена.
 
При таком положении дел, уже точно не до безопасности, сделал вывод Степченков. И задался целью выяснить, у кого из участников встречи рабочая станция с системой ДБО подключена к локальной сети (приведя пример использования связки инструмента удалённого администрирования и токена бухгалтера).
 
Докладчик, также поведал о случаях мошенничества при использовании двухфакторной аутентификации. Так, он предложил задуматься, часто ли мы проверяем номер счёта получателя при подтверждении транзакции, посредством получения SMS-уведомления и кода подтверждения.
 
При выявлении угрозы, самое простое решение уволить сотрудника, с озабоченностью высказался Степченков. Он порекомендовал разбираться в инцидентах безопасности тщательнее, вплоть до привлечения специалистов БСТМ (и не бояться этого). Максим рассказал участникам встречи старый анекдот про бухгалтера, работающего по схеме: год через три…
 
Специалист предложил безопасникам использовать труд студентов (видимо практикантов, тщательно подходящих к работе), для выполнения нужной работы на которую часто не находится свободного времени (отрисовать электронную схему, что ценно для компании, например). Максим Степченков, порекомендовал не забывать про анализ деятельности бизнес-подразделений, а также про использование технических и организационных мер.
 
По мнению докладчика, DLP-системы не позволяют выявлять важные инциденты и не помогут, в случае, к примеру с выявлением модифицированных графических файлов (такое утверждение спорно, прим. автора, в свете известной технологии цифровых отпечатков). Далее, Максим продолжил рассказом о продукте его компании и его эффективности в сфере страхования (анализ различия фотографий, анализ БП, аудит агентов).
 
Степченков вспомнил о выявленном их системой факте, когда одной из компаний было застраховано 20 автомобилей, а ремонтировалось порядка 80 (за счёт страховой компании). Мы видим всё, с гордостью произнёс спикер, обращаясь к экспертному сообществу (бизнес не видит риски ИБ). Он, также привёл пример общения с одним из руководителей крупной фирмы, обозначая риски работы двух юристов в одном кабинете (при подготовке к судебному заседанию), задав всего один вопрос: что будет, если такие документы получит конкурирующая компания.
 
Не так давно, лицензии банкам выдавались на 5 лет, проверялись раз в 3 года. В настоящее время, у банков такие лицензии бессрочны, продолжил Максим Степченков. Он рассказал про некорректные отправки учётных данных, в том числе первых лиц коммерческих организаций, и про отправку (с нарушением основ ИБ) криптографических ключей в регионы. У специалиста сложилось устойчивое мнение, что в нашей стране правая рука не знает, что делает левая.
 
Продолжая летопись...
Всё, о чём говорят последние 10-20 лет, делается формально, констатировал Степченков. Так, в одной из крупных Российских компаний, "Рога и Копыта", для доступа к сетевой инфраструктуре через Wi-Fi используется пароль "РогаиКопыта12345". Максим призвал сообщество уделять внимание паролям и обновлениям (к примеру, был зафиксирован случай использования одного пароля администратора на всех маршрутизаторах CISCO крупного банка).
 
По завершении доклада, специалисты обсудили типичные проблемы безопасности, с учётом стандартных рекомендаций от компании Microsoft. СКЗИ от ФСБ, это вообще "кровавая каша", провёл аналогию Михаил Орешин (наши специалисты ищут разумную альтернативу). Особенно в свете 242 Федерального закона, приводящего многих в замешательство (и это рекомендации к беспрекословному исполнению).
 
Договорились до чернокнижия, с грустью сообщил модератор. Нельзя решать частные вопросы, не решив общие (вспомнил слова Ленина, Орешин). Михаил также отметил, что Степченков просто миссионер, в отношении высказывания о неисполнении рекомендаций за последние 10-20 лет. Однако согласился, что если бы 2/3 рекомендаций ИБ исполнялись, многих проблем можно было бы избежать заблаговременно.
 
После этого, Михаил Орешин отметил абсурдность платных СМС-уведомлений банков, вменяя такую услугу в обязанности (в соответствии с законом). Что делать в сложившейся ситуации? Обратился к сообществу модератор семинара.., вспоминая слова Берии о низком уровне осуществляемых посадок граждан…
 
Юбилейный торт...
Наступило время праздничного кофе-брейка, где помимо всего прочего участников семинара ожидал восхитительный торт, оформленный в стиле товарищества RISC. На сладком перерыве, специалисты успели вдоволь пообщаться друг с другом, поздравить руководство клуба и запечатлеть задувание ими первой свечи.
 
В то время, как я был горазд испить чаю с Марией Сидоровой, в сознание влез основной тезис дня о том, что самый незащищённый ПК в любой компании – компьютер специалиста по информационной безопасности (тезис родился ещё до начала семинара, после посещения с коллегой некой организации).
 
 
Повышение эффективности работы службы ИБ
в корпоративной сети путём комплексного анализа трафика
Эдуард Смирнов, MicroOLAP Technologies
 
Подкрепившись "плюшками" и позитивными эмоциями, участники семинара приступили к голосованию за предыдущий доклад (это посоветовал сделать Михаил Орешин, пока в стране вообще есть Интернет, пригласив очередного докладчика).
 
Эдуард Смирнов...
С очень рассудительным и достаточно фундаментальным докладом выступил представитель компании-партнёра мероприятия (директор по развитию MicroOLAP). Аббревиатура КППС усматривалась на первом слайде Эдуарда Смирнова (воспринимается как КПСС, прим. автора). Раскрывая тайны технологии, эксперт провёл аналогию между DLP-системой и их продуктом, основанном на пассивном сниффинге. Упомянул о коррелируемых источниках данных.
 
Данный продукт пользуется спросом и успешно продаётся уже 7 лет, и не только в России, поведал Эдуард (за это время КППС успел обрасти "мясом"). Комплекс пассивного перехвата сообщений используют большие и очень большие компании. Со слов докладчика, они не изобрели ничего нового, добавили анализ протоколов, портов. В целом, продукт умеет только забывать (различные виды фильтрации, типы данных).
 
Приступив к следующему слайду, Смирнов сообщил, что это специальные вещи, опять же из области "мяса". Но попросил обратить внимание на предоставляемую информацию, говоря о сущности поисковых запросов. Затем, ознакомил участников семинара с основными потребителями их продукта (SIEM, DLP, Anomaly Detection, Enterprise Archiving), и перешёл к схеме работы КППС:
Впечатлили особенности КППС, такие как высокая производительность (5 Гбит/с – живой траффик, 10 Гбит/с – при тестировании), проверенное решение (доверие рынка с конца 90-х, приобретали крупные вендоры: Lockheed Martin, Metasploit/Rapidz, Nessus, Sony Ericsson), и весьма широкие возможности по интеграции (она возможна с чем угодно). Всё это для больших и очень больших заказчиков (операторов связи, к примеру), повторился Эдуард Смирнов.
 
А теперь картинки, с иронией произнёс докладчик и продемонстрировал следующие слайды: источники данных, BPF-фильтры, фильтры сообщений (ранее, бедные интеграторы использовали xml-файл, теперь более гуманно), HTTP пре-фильтры (например, для исключения pdf или файлов более 50 Мб), транспортные профили.
 
Повествуя о мудрости и перспективах продукта, Эдуард представил аудитории слайд с текстом следующего содержания: DLP, DLP – я тебя SIEM (с) swan. Он также обратился к экспертному сообществу с вопросом, куда им пилить дальше? Ведь, всё это работает только под Windows. И рассказал о ближайших планах компании.
 
План 1. В начале 2016 года выпилить версию продукта под Linux.
 
План 2. Запилить SSL splitter (сегодня, 30-70% траффика в сети шифруется).
 
План 3. Добавить мозгов всем DLP и SIEM (новый подход - сервер отложенного анализа, для всего, что не решено в режиме реального времени).
 
План 4. Изменение фокуса (с периметра внутрь);
 
План 5. Задачи ИБ в АСУ ТП.
 
Эдуард, Евгений и Михаил...
Евгений Родыгин поблагодарил коллегу за выступление, назвав его истинным ремесленником информационной безопасности. Он также признался, что давно знаком с данным продуктом и сотрудничает с Эдуардом Смирновым. После чего, Евгений привёл пример использования КППС в пиринговых сетях, для работы с пользовательским траффиком или других запросах (скорее удовлетворения других потребностей). Эта система, основа любой DLP, особо подчеркнул Родыгин.
 
Понравилась заявленная скорость работы продукта, выделил Михаил Орешин (уже продумывая, как использовать его во благо Astra Linux). Чётко понятно ваше присутствие в государственных органах и службах, тихо подметил модератор (особенно два крупных государственных заказчика).
 
В дискуссии о потере пакетов и надёжности КППС приняли участие Антон Карпов, Эдуард Смирнов и Михаил Орешин (за 5 минут обрабатывается в среднем 40 тысяч пакетов). Михаил посоветовал представителю компании Яндекс обратить внимание на продукт и сделать пилотный проект (бесплатный, как любит Родыгин). Орешин убедительно подметил, что это действительно "мясо", а не как обычно предлагают вендоры.
 
Поздравления...
Сделав небольшое лирическое отступление, руководителей RISC поздравил с юбилеем ректор Академии информационных систем, Юрий Малинин. По его словам, RISC уже взрослый, состоявшийся проект (в нём 1 год засчитывается за 10). Юрий вручил памятный диплом и пригласил их к сотрудничеству с академией в научной сфере (обозначив, что двери для коллег открыты).
 
К поздравлению присоединились представители компании InfoWatch (в том числе, вновь назначенный представитель по работе с ключевыми заказчиками и партнёрами в Северо-Западном федеральном округе, Андрей Пуртов), преподнеся яркий букет и сувениры. Также, с наступающим днём рождения и юбилеем клуба, Марию Сидорову поздравила руководитель PR-подразделения Академии информационных систем Тамара Никифорова, присутствующая в зале.
 
 
Опыт построения системы оперативного мониторинга ИБ,
управления угрозами и инцидентами
Сергей Кубан, независимый эксперт по ИБ
 
Сергей Кубан...
Возвращаясь к программе семинара, к докладу приступил Сергей Кубан, начальник службы информационной безопасности с 20 летним стажем. Он начал с основных инцидентов в ИТ, и вознамерился рассказать о том, что же интересно ИБ (о применённых технологических решениях в его компании).
 
Для построения системы информационной безопасности во многих компаниях внедрены межсетевые экраны, антивирусные комплексы, DLP-системы (смешанная картинка), продолжил эксперт. Сергей обозначил основные проблемы обработки и контроля разнородных данных, поступающих от упомянутых средств ЗИ, и возможности по их предотвращению.
 
Возникают ли инциденты на самом деле, задался вопросом Кубан. Озаботившись достоверностью сведений, он рассказал о системе активного мониторинга внедрённой в его компании, позволяющей коррелировать события и принимать мотивированные решения. Сергей отметил основные предпосылки построения СОМИБ: возросшие риски кибервойн (кибертерроризма), атаки вредоносного ПО, внутренние нарушители политик.
 
Основной целью системы оперативного мониторинга ИБ служит своевременное обнаружение и предотвращение угроз, подчеркнул спикер. При традиционном управлении ИБ без применения СОМИБ уже не получается вовремя предотвращать инциденты, при любом количестве задействованных экспертов, заметил Сергей Кубан. И перешёл к слайду о визуализации процессов обеспечения ИБ (не логи, но понятные светофорчики).
 
После чего эксперт рассказал об основных этапах внедрения СОМИБ, сославшись на сроки внедрения любых ИТ-проектов (3-6 месяцев и более). Сергей отметил ряд важных моментов требующих внимания, таких как контроль доменов и общих сетевых ресурсов. Он также просил не забывать про систематическое применение сканеров безопасности и важности актуализации модели угроз (для понимания инсайдов).
 
Аудитория во внимании...
Говоря об удобстве централизации информации, Сергей Кубан привёл случай из практики, когда сведения полученные из СКУД, совместно со сведениями контроллера домена позволили выявить инцидент информационной безопасности. Так, сотрудник находился в отпуске, а его учётная запись активно использовалась в информационных системах компании.
 
Затем, специалист коснулся настройки средств визуализации событий, и заострил внимание участников семинара на необходимости разработки регламента по управлению инцидентами ИБ. Далее, Сергей продемонстрировал возможность разграничения уровня доступа для основных групп пользователей в СОМИБ (руководящий состав, технические специалисты, другие категории).
 
Докладчик перешёл к аналитическому слайду (период с 2011 по 2013 годы), по ситуации на рынке подобных решений (выделил IBM и HP), наличии сертификатов ФСТЭК. Отметил нестандартные решения и антифрод решения от HP (сделав сравнение с успехами таких компаний, как Microsoft, CISCO и Kaspersky).
 
Михаил Орешин поинтересовался у докладчика, на чём основана их система, и переживая заметил, что сегодня в отрасли каждый строит свою сопку для предотвращения кибератак. Мало кто вообще может грамотно составить модель угроз (по 31-му приказу ФСТЭК), подчеркнул Михаил. Он порекомендовал аудитории обращаться к Сергею (реализация такой системы будет интересна и специалистам, и интеграторам).
 
Неожиданно, семинар прервала пожарная тревога (женский голос убедительно рекомендовал покинуть здание отеля). У многих возник вопрос, учебная ли она? Другие встали и устремились покинуть конференц-зал. Один из участников встречи увидел в лифте уведомление, о проведении учебной тревоги в этот день. Тем временем организаторы мероприятия уточнили у руководства отеля, была ли запланирована пожарная тревога и попросили вернуться специалистов, к месту проведения семинара.
 
Великие слова...
Не дождавшись спикера, Орешин попросил коллег связаться с ним и ка бы намекнуть, что его ждёт более 40 человек. Воспользовавшись заминкой, специалисты подискутировали на тему необходимости обмена опытом (проблема была обозначена выше). Коего нет, подтвердил Михаил, переходя к Крыму и санкциям (вспоминая доклад в Сарове). В связи с возникшими проблемами, в пожарном режиме многое создано, многие компании уже осуществляют поставки. Как бы это не казалось пафосным и патриотичным.., лицензии – воздух, философски высказался модератор.
 
Орешин дал несколько текущих рекомендаций коллегам, а именно: обязательно рассматривать решения российских вендоров, учитывать выгоды с экономической точки зрения, помнить об информационной и экономической безопасности страны! Всё это, приведёт Россию к технологической независимости и интенсивному развитию.
 
По возвращении докладчика, участники встречи обсудили вопросы, связанные с использованием QRadar, продукции McAfee, процента их задействованности в системе (от 10 до 20%), а также про импортную логику и технический пофигизм (в рамках базового управления инцидентами).
 
В безопасности должны работать одни параноики, такое мнение высказал Михаил Орешин. Он привёл пример о том, как рассаживал по самолётам порядка 70 сотрудников одной компании (учитывая недавние инциденты, произошедшие с польским правительством и спортивной командой). Он также, прокомментировал действия коллег по сигналу пожарной тревоги. Многие вообще не покинули здание, проигнорировав. При этом сами требуют исполнения непонятных сотрудникам политик ИБ компаний.
 
Вспомнив о светофорчиках в СОМИБ (и их достоверности), ведущий задал вопрос докладчику о том, как же узнать если сама система будет скомпрометирована? Оба пришли к выводу, что разговор свёлся к бэкапу бэкапа. А это не наши правила, улыбаясь сообщил Михаил Орешин.
 
В заключение, Сергей Кубан отметил положительные стороны и удобство такой визуализации (дополнительные возможности пользователям и ИТ-специалистам). Он провёл аналогию с движением ног и памятью (видимо подразумевая рефлексы). Гарантию может дать только страховой агент, подытожил эксперт.
 
Страхование рисков ИБ: настоящее и будущее
Екатерина Старостина, PwC
 
Екатерина Старостина...
В развитие темы страхования, выступила представительница консалтинговой компании, Екатерина Старостина, с докладом о страховании рисков кибербезопасности. По её словам, в России имеется большая ниша в этой области (в целом по миру, такое страхование достаточно дифференцировано).
 
Уже сегодня, крупные корпорации и средний бизнес во всём мире тратят более 70 миллиардов долларов в год на кибербезопасность, сообщила слушателям Екатерина. Кроме того, киберриски переместились с 10-го на 6-е место в общем рейтинге рисков для бизнеса (по версии PwC). Произошла смена фундаментальных основ обеспечения ИБ, ввиду успешности отдельных инициатив по ИБ (страх киберрисков в Южной Америке – 56%, в США – 40%).
 
Старостина, сделала попытку донести до участников встречи, что рисками кибербезопасности необходимо управлять (с использованием дополнительного инструмента - страхования). Такой вид страхования в нашей стране сейчас прорабатывается и стремится к развитию. В тоже время, по России отсутствуют исторические данные в отношении технологических и репутационных убытков, сообщила докладчица.
 
Продолжая повествование, Екатерина Старостина ознакомила аудиторию с такими слайдами, как 10 основных вопросов которые следует учитывать при управлении киберрисками; обсуждение решений по киберстрахованию. Она, также рассказала специалистам о видах страхования (страхование ответственности директоров, страхование ответственности пользователей), и элементах покрытия киберответственности.
 
Живое рассуждение...
Докладчица вскользь упомянула о стоимости такого страхования, и перешла к трудностям, возникающим сегодня в данной сфере. Михаил Орешин включился в диалог и подметил, что в России этим вопросом занимается ФСБ (достаточно конкурентоспособная организация). По оценкам PwC (по миру), подобного рода страхование позитивно влияет на отрасль в целом.
 
В настоящее время, необходима чёткая методика оценки (человечная) и соответствующее развитие законодательной базы, строго отметила Старостина. Таким образом, мы ждём государство. К сожалению, нет практики в РФ по выплатам в рамках киберстрахования, ответила на вопрос модератора Екатерина.
 
Не понятны методики и какова роль ИБ, присоединился к беседе Евгений Родыгин. ИТ, как обычно будет слушать ИБ с умными глазами и всё понимать. Кто будет вообще оценивать, задался вопросом Евгений, а соблюдены ли стандарты безопасности и т.д. Не следует недооценивать уполномоченные органы, возразил Орешин. Михаил привёл в пример своего знакомого прокурора (ИТ-гика), высококвалифицированного специалиста, который писал диплом по расследованию компьютерных преступлений.
 
Аналогичные сомнения выразил и Антон Карпов, которому также неясно, что и как будет оцениваться. Прояснила всё Екатерина Старостина, сославшись на внешний аудит (независимая оценка, возможно и проверка). Представитель компании Лента, Михаил Карпов подметил, что в каждой компании есть собственные умные ИБ-шники, и можно создать группу внутреннего аудита.
 
Вдоволь наслушавшись рассуждений коллег, Орешин вспомнил 90-е, заметив, что тогда было проще урегулировать инцидент (о прогулках в лес). Сейчас же, у нас практически правовое государство. И многие компании попросту замалчивают произошедшее, выразил своё мнение модератор (размышляя о заманчивости методов 90-х).
 
На страхование рисков ИБ можно посмотреть, как на третью сторону для формирования бюджета, отметил Евгений Родыгин. С его точкой зрения полностью согласился Михаил Орешин, и приступил к подведению итогов юбилейного семинара.
 
Итоги семинара
 
Подведение итогов...
Орешин решил немного польстить себе, и довёл до участников встречи, что лучше всех выступил сам модератор. Он также отметил, что всё было очень интересно, а контент прекрасен (все докладчики молодцы). Памятная визитница с гравировкой RISC досталась лучшему по версии аудитории - Антону Карпову (не зря делал презентацию до 2-х часов ночи).
 
Завершили мероприятие представители компаний-партнёров. Сергей Шустиков, рассуждая о сокращении бюджетов, посоветовал обратить внимание на людей (они лучше помогут), нежели на внедрение каких-либо продуктов. Эдуард Смирнов сообщил, что посетил и выступил на таком мероприятии впервые, пообещав приехать вновь. По возможности эксперт поднимет стенд на Windows для демонстрации самого продукта (в крайнем случае, на виртуальной машине).
 
Мария Сидорова...
Ещё пару тезисов, проскочивших за время проведения юбилейного семинара, к размышлению… Творчество заканчивается там, где начинаются мысли о деньгах (из рассуждений Евгения Родыгина). Не грозят нам санкции.., попивая зелёный чай на 3-ем семинаре RISC (из обсуждения с Екатериной Старостиной).
 
К моменту написания отчёта, на официальном сайте товарищества RISC (Russian Information Security Club) уже была опубликована отличная заметка о прошедшем мероприятии.
 
 
Александр Подобных
написать письмо | добавить в избранное | сделать стартовой | свалка | карта сайта
главная | новости | дизайн | безопасность | статьи | публикации | книги | софт | поэзия | приколись | faq's | резюме
Все права защищены.
При использовании материалов ссылка на первоисточник обязательна.
Дополнительная информация в разделе faq's
 
Design by K4Y0T

Under®граунд