Мегановость ☄️
Видеоматериалы с курса выложены в открытый доступ на платформе Stepik.
Мы поделились ими практически в полном объеме, с обсуждениями, острыми вопросами из зала и из чата. Жалею только что мы не писали общение во время кофе-брейков)
Жду на степике всех, кто не из ЛК или не имел возможности присоединиться к нам раньше!

Где найти практические примеры решений, построенных по принципу security by design aka конструктивная безопасность в реальном применении?🤔

Кажется, уж точно не в промышленной безопасности. Конечно, все знают, что АСУ ТП дырявые и, конечно, производители очень стараются их защитить.

Но зачем нам враги, когда у нас есть такие друзья, говорит аналитик, погруженный в изучение монолитных архитектур, прикидывающихся компонентными, протоколов аутентификации, проводящих вычисления только на стороне клиента и диковатых криптоалгоритмов, не защищающих, а раскрывающих пароли (подробности – в публикациях Kaspersky ICS CERT).

И даже если бы дела с безопасностью отдельных решений обстояли получше, сложные разнородные инфраструктуры всегда будут не до конца безопасными: особенности отдельных конфигураций, проблемы совместимости решений, необходимость доступности для гарантий safety не дают скучать.

Не обойтись без эшелонированной защиты, в первую очередь, без мониторинга безопасности и оперативного реагирования на инциденты.

К слову, о security by design: меня всегда восхищало изящество сетевых СОВ как решения для мониторинга. Прозрачная установка, невлияние на работу сети, невозможность атаковать саму СОВ напрямую - как будто специально придумано для промышленности. Но детали о работе процессов, подключенных устройств, содержимое шифрованного трафика и прочие нужности на уровне сети недоступны, тут работают endpoint агенты.

И совмещение данных для анализа, получаемых от обоих типов решения – та еще задачка, если мы хотим сохранить безопасность всего решения «by design». Именно в силу упомянутых достоинств.

Я слежу за Kaspersky OT Cybersecurity еще с рабочего названия TMS и полностью отдельно разрабатываемого «антивируса для SCADA». Мы привыкли различать KICS for Networks и KICS for Nodes. Больше не нужно: наши архитекторы собрали их единую платформу с кросс-продуктовыми сценариями для эффективной аналитики и расследования инцидентов в промышленных системах.

Самое время и место для правильных архитектурных решений. Как работает XDR платформа KICS, будут показывать завтра, 6 декабря в 11.00. Искренне рекомендую.

Меня часто спрашивают, почему я и мои коллеги переводим "security by design» как "конструктивная безопасность", а не как "безопасность в силу архитектуры".
Объяснение в трех частях

1/3
Дело в том, что слово «architecture» и слово «design» не являются синонимами. А дальше вопрос, можем ли мы переводить дизайн как архитектуру (коротко – нет).

Если длинно, то хорошо бы включить в термины "инженерный подход" - engineering.
Построение архитектуры системы (architecting) – это задача, решаемая индуктивным образом, а то время как при проектировании системы инженерными средствами (engineering) применяется подход от общего к частному, то есть дедуктивный.

Поэтому "архитектурный подход к безопасности" – это перевод, который не в полной мере отражает security by design, так как в этом by design большая доля инженерного подхода. Например, мы идем от целей безопасности для системы, при необходимости декомпозируем их, поддерживаем отслеживаемость до требований, затем в обратную сторону верифицируем, валидируем решение относительно целей.

Требование к тому, чтобы эти процессы выполнялись вместе с созданием правильной архитектуры системы (ее внутренней организации) является неотъемлемой частью подхода security by design. Так что термина «архитектура» нам явно недостаточно, нужен более объемлющий термин.

3/3
Теперь почему "конструктивная безопасность". Термин этот в действительности взят из строительного стандарта. Он означает именно то, что нам нужно: здание не только должно иметь правильную архитектуру для того, чтобы не разрушиться и быть устойчивым к внешним факторам.
Мы недавно всем ICS CERT-ом были на Чиркейской ГЭС. С архитектурной точки зрения это выдающееся сооружение. Однако создание всего надежного и безопасного комплекса ГЭС полагалось и на качество бетонных блоков, и на технологии бетонирования, и на уникальные технологии проходки и укрепления горной породы, боюсь, не смогу перечислить все. Больше описаний с картинками можно посмотреть тут

При строительстве предъявляются требования к материалам (у нас это качество кода), к инструментам (кран не должен упасть на здание в процессе строительства), к технологиям (приготовление строительных растворов, выдерживание технологических интервалов).. Безопасность инженерных коммуникаций имеет существенное значение для конструктивной безопасности. Например, пожаробезопасность зависит от вентиляции, это часть конструктивной безопасности. А у нас безопасность данных, к примеру, зависит от коммуникационных протоколов.
Так что "security by design" действительно более точно переводится как "конструктивная безопасность", а не "безопасность в силу архитектуры"

Согласны?

Канал набирает потихоньку людей. Кто-то знает меня лично, кто-то просто пришел по ссылке.
Видео выше - о команде, в которой я работаю, набираюсь знаний (чтобы потом ими делиться) уже почти 8 лет.

Вдогонку со вчерашнему посту, вдруг кому будет интересно: Евгений Гончаров (тот, что на видео) завтра расскажет, что год 23й нам возможно готовит в смысле угроз для промышленных инфраструктур.
Регистрация тут
От себя добавлю, что обновлять и возможно даже строить инфраструктуры заново нам предстоит в самое ближайшее время, а, значит, будут еще курсы, документы, посты. Вернусь с апдейтами скоро.

Доброе утро перед длинными выходными! Полезная информация: мой коллега Сергей Соболев проводит мини-курсы онлайн, посвященные разработке кибериммунных решений. В канале https://t.iss.one/learning_cyberimmunity, который есть информация по теме, записи прошедших курсов и анонсы новых наборов. Следующая группа стартует во вторник, 28 февраля. Обучение (пока) бесплатное. Осталось примерно 5 мест.

Хорошая новость - на прошлой неделе были введены в действие два знаковых национальных стандарта (ПНСТ) на системы с разделением доменов.

Стандарты разработаны в Лаборатории Касперского и приняты ТК 194 «Киберфизические системы».

Вот ссылки:
Информационные технологии. Интернет вещей. Системы с разделением доменов. Термины и определения

Информационные технологии. Интернет вещей. Системы с разделением доменов. Базовые компоненты

Далее будет серия постов с ответами на часто задаваемые вопросы.

FAQ по стандартам «Системы с разделением доменов»/1

Что такое системы с разделением доменов?
Системы с разделением доменов построены на основе архитектурного подхода с разделением доменов. Это стратегия построения систем, требующих функциональной и информационной безопасности с высокой степенью уверенности.
Разделение доменов означает декомпозицию системы на составные части (домены) с запретом на обмен данными между этими частями. Декомпозиция должна проводиться агрессивно, на низком уровне системы, при поддержке аппаратных технологий разделения среды (например, IOMMU). В основе системы лежит т.н. ядро разделения, ответственное за выполнение разделения и изоляцию доменов.
Разрешение на обмен информацией или сигналами между отдельными доменами выполняется явно и сопровождается анализом аспектов безопасности системы. Множество каналов разрешенного взаимодействия доменов составляет архитектуру политики взаимодействия в системе.

Зачем разрабатывались стандарты на системы с разделением доменов?
Лаборатория Касперского работает над вариантом системы с разделением доменов – операционной системой KasperskyOS. В ходе этой работы мы выяснили, что в отечественных документах любого рода (стандарты, методические документы) и даже в учебниках по безопасности отсутствуют нужные нам термины, определения и понятия, на которые можно было бы ссылаться при описании проектных архитектурных решений. Нужно было адаптировать термины и опыт из зарубежных документов. Во избежание расхождений в переводе и интерпретации понятий мы провели работу над национальными стандартами.

FAQ по стандартам «Системы с разделением доменов»/2

Являются ли системы с разделением доменов конструктивно безопасными (secure by design)?
Подход с разделением доменов является методом создания архитектуры, который может применяться при создании конструктивно безопасных систем. В отрыве от других методов, он может не дать нужный результат, однако в комплексе мероприятий действительно эффективен.

Насколько новым является подход, есть ли соответствующий мировой опыт?
Впервые понятие ядра разделения (separation kernel) и соответствующей архитектуры системы описано в статье J.Rushby в 1981 году. Практический подход к созданию систем с разделением доменов активно исследуется и реализуется примерно с начала двухтысячных годов (подробнее я рассказывала здесь и здесь) и носит название MILS.

Почему стандарты разрабатывались для Интернета вещей, можно ли их применять еще где-то?
Идея разработки стандартов в контексте киберфизических систем и Интернета вещей связана с универсальностью подхода в отношении безопасности. Он способствует как информационной безопасности, так и функциональной, а это особенно важно для систем, которые «выходят в физический мир». Тем не менее, в чистом «информационном» окружении архитектура с разделением доменов для проектирования, реализации и сертификации безопасных систем работает не хуже.

FAQ по стандартам «Системы с разделением доменов»/3

Почему документы носят статус ПНСТ (предварительный национальный стандарт), а не ГОСТ?
Так как несколько человек уже спросили, расскажу, что значит «предварительный стандарт».
Согласно статье 2 162-ФЗ «О стандартизации», предварительный национальный стандарт (ПНСТ) - документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации утвержден федеральным органом исполнительной власти в сфере стандартизации и в котором для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы в отношении объекта стандартизации на ограниченный срок в целях накопления опыта в процессе применения предварительного национального стандарта для возможной последующей разработки на его основе национального стандарта.
Так как большая часть понятий, терминов и определений, вводимых в наших документах, является новой для отечественной практики, накопление опыта действительно необходимо. Работу над документами мы не прекращаем, и надеемся на активное участие сообщества в ней.
При этом условия применения ПНСТ точно такие же, как у ГОСТ (статья 26 упомянутого ФЗ) – «Документы национальной системы стандартизации (ГОСТ, ПНСТ, правила стандартизации, рекомендации по стандартизации, информационно-технические справочники) применяются на добровольной основе одинаковым образом и в равной мере независимо от страны и (или) места происхождения продукции (товаров, работ, услуг), если иное не установлено законодательством Российской Федерации».
Так что это просто статус, обозначение того, что стандартизация не стоит на месте.

Жду еще вопросы в комментариях!

В некоторых отраслях системы с разделением доменов существовали примерно всегда. Например, в автомобильной. Вмешательство в бортовую сеть, объединяющую электронные блоки управления, из инфотейнмент окружения всегда было затруднительно. Если помните - в исследовании Миллера и Валасека 2014 года основная техническая трудность отправки джипа чероки в кювет удаленно заключалась как раз в обходе этой изоляции.
Однако все меняется, и к сожалению, не всегда в лучшую сторону. Электроника автомобилей становится сложнее и все уязвимее к намеренным атакам.
Вебинар, который я советую не пропускать: мои коллеги по ICS CERT Сергей Ануфриенко и Александр Козлов расскажут о киберугрозах современным автомобилям
Сама пойду)