POV: видим цель — не видим препятствий 🎯

Роман Чаплыгин, директор по консалтингу «Ростелеком-Солар», рассказал в эфире AMLive, как понять, каким должен быть результат кибербезопасности, чего он на самом деле стоит компании и как его получать.

Посмотреть запись эфира можете здесь, а ниже собрали главные тезисы.

👉 Результат — в моменте, эффект — в динамике
Повышение уровня безопасности российских компаний требует максимально фокусироваться на результате. Вместе с этим нужно понимать какой эффект в перспективе даст достигнутый результат и во сколько обойдется сохранить его на протяжении долгого времени. Эффективность измеряется не только самим фактом достигнутого результата, но и тем, сколько ресурсов на его достижение потратили.

👉 Нужен широкий взгляд на компанию
Зрелой компании требуется не только технический результат, а переосмысление уже имеющихся результатов с бизнес-целями. Важно учитывать глобальные задачи организации и контекст ее деятельности. Чтобы получить результат, придется выйти за рамки обсуждения кибератак, средств защиты и технических требований и исследовать потребности бизнеса в целом.

👉 Успех стоит дороже
Чтобы организовать работу на результат, нужны новые правила взаиморасчётов в проектах. Обе стороны должны быть заинтересованы и прикладывать максимум усилий, а контракты должны содержать четкие критерии измерения результата и прозрачную схему мотивации.

В России такая практика премирования за успех (success fee) пока редка, но на деле — возможна, если четко определить критерии успеха и выделить резервные средства на его оплату. Более экзотичная, но менее перспективная схема — формировать гонорар в виде доли от дополнительной прибыли, которую получила компания в результате модернизации кибербезопасности.

В новую версию Solar inRights 3.2 внесли три принципиальных изменения:

🟣 перевели фронтенд на Vue.js;
🟣 доработали модуль управления SoD-конфликтами полномочий;
🟣 улучшили функциональность системы на основании запросов пользователей.

💻 Перешли на Vue.js

Работать с ПК и с мобильными устройствами стало удобнее. Раньше для разработки интерфейса мы использовали библиотеку JavaScript – Ext.js. Ее компоненты не позволяли полностью реализовать требования UI\UX дизайнеров и работать с Solar inRights с мобильных устройств без дополнительного интерфейса. Переход на Vue.js – JavaScript-фреймворк решил эту проблему и ускорил работу интерфейса. А открытый исходный код делает эту технологию независимой от санкций.

🫡 Усовершенствовали модуль управления конфликтами полномочий

Теперь можно управлять всем жизненным циклом такого конфликта. Это необходимо, когда по объективным причинам его невозможно избежать: отпуск, экстренное отсутствие по болезни, незакрытые вакансии. Кроме того, система предупредит о возникновении конфликта, чтобы пользователи могли провести проверку и оценку, дополнить заявку информацией или документами, запросить уточнение у заявителя.

📊 Улучшили работу с отчетами

Вы сможете оформить подписку на получение актуальных отчетов, указать необходимые параметры подписки, посмотреть, какие подписки уже формировались, отредактировать или отменить неактуальные.

Как вам изменения и что добавить в следующих версиях? Делитесь в комментариях! 👇

🔑 С начала лета Solar AURA заблокировала десятки фейковых сайтов, предлагающих изготовление ключей для домофонов.

Ссылки на сайты распространялись через объявления в подъездах. Пока человек в ожидании лифта задумчиво перебирает связку ключей, он меньше всего ждет подвоха от объявления управляющей компании и переходит по QR-коду.

Фейковые сайты не имеют привязки к конкретному бренду и не связаны с массовыми фишинговыми рассылками, поэтому большинство антифрод-систем их не видит.

Solar AURA — центр мониторинга внешних цифровых угроз, который видит все 👀

Сначала нет людей, прав доступа и данных, а через 3 недели говорят все переделать 🤯

Сложности во время пилота IdM бывают у всех. Вот как мы решаем 5 частых проблем на пилотах Solar inRights.


🤬 Нет удаленного доступа
У заказчика закрытые контуры, нельзя выдавать доступ или можно, но только через удаленное администрирование на рабочее место сотрудника с доступом к инфраструктуре.

Отправляем инженеров к заказчику, но это затянет внедрение. Если проблема в том, что нечем контролировать внешних администраторов, предлагаем PAM-решение.


🤬 Нет руководителя проекта
Над проектом работает команда инженеров, ИБ/IT-специалистов, которые не всегда могут принимать решения или собрать требования со всех владельцев информационных систем.

Подчеркиваем важность и сложность внедрения IdM со стороной заказчика, договариваемся о выделении команды. Или предлагаем готовые решения: наш руководитель проекта берет инициативу и организует работы.


🤬 Нет времени у владельцев систем
Нужна информация о системах: об API, структуре, данных и т.д. Ее могут дать владельцы систем, но их не получается привлечь.

Исключаем эти системы из пилота или привлекаем внутренних специалистов, которые уже внедряли подобные системы.


🤬 Нет доступа к пилотному стенду или целевым системам
Выдача доступа к системам занимает недели, а в результате он — урезанный.

🟣 Начинаем работу, когда есть все доступы.
🟣 Организуем контур с тестовыми копиями систем. Иногда предлагаем ограниченное подключение продуктивного контура: система AD, где выделенный organization unit подключаем без доступа к остальным объектам AD.
🟣 Подключаем системы на чтение: не сможем показать все сценарии на пилоте, но сам пилот пройдет быстрее.


🤬 Особенности настроек
Система ведет себя странно: при создании учетной записи не меняется один атрибут, поэтому коннектор работает ошибками.

Работаем вместе. К концу пилота заказчик разобрался с настройками, а мы подобрали конфигурацию коннектора, которая обошла проблему.

А с какими проблемами вы сталкивались во время пилота IdM?👇

Дела не всегда идут гладко. Но рассказывать о собственных ошибках в кибербезопасности — как-то не популярно. Будем откровенными: ниже история о том, как все пошло не по плану и что мы с этим сделали.

Ситуация: международная конференция, стенд Solar appScreener. Продукт умеет анализировать приложения на уязвимости по ссылке из GooglePlay и AppStore, и через 30 минут готов показать слабые места заказчику.

Продуктом заинтересовался представитель Application Security одной из крупнейших авиакомпаний мира: уточнил технические детали и согласился провести сканирование мобильного приложения из маркетплейса.

🗂 В получившемся отчете зияла большая черная дыра в безопасности. Что конкретно в нем было, говорить не можем, но решение о закупке продукта было принято быстро. Контракт подписывался буквально в офисе авиакомпании в аэропорту перед нашим вылетом. Мы были рады такому успеху – получить такого крупного заказчика без всякого пресейла и пилота.

Проблема: по возвращению в Москву стали обсуждать детали внедрения и поняли, что заказчик до конца не владел техническими деталями. В структуре разработки уже несколько лет использовался анализатор качества кода SonarQube — он тоже обладает некоторым функционалом по выявлению уязвимостей, но часть опасного кода не заметил. Больше тысячи разработчиков и безопасников прикипели душой и руками к этому инструменту, но и Solar appScreener им уже понравился и использовать его планируют.

Заказчик попросил сделать интеграцию Solar appScreener с SonarQube. Ни в наши планы, ни в ближайший релиз это не входило 😧

Решили так: пусть это будет не проблема, а задача. Не дожидаясь следующего релиза, мы сделали возможность отдавать данные об уязвимостях в стороннюю систему. Заказчик остался доволен. У Solar appScreener появилась еще одна фича, а у нас — решение начинать проекты только после пилота, на котором можно узнать все подводные камни.

Ставьте 🔥, если хотите следующую историю.

Первое правило закрытого клуба – никто не должен знать о закрытом клубе 🤐

Но одну деталь о закрытой конференции Kaspersky Кибер Кэмп раскроем: 4 спикера «Ростелеком-Солар» поделились знаниями и советами, которые облегчат жизнь в кибербезе.

Что из этого хотели бы узнать?

В новой версии Solar webProxy 3.9 интеграция со сторонними решениями стала проще.

📰 В HTTP-заголовки пакетов трафика теперь можно добавлять результаты проверки файлов из систем, связанных с Solar webProxy по ICAP. Это увеличивает скорость работы и делает интеграцию со сторонними решениями соответствующей возможностям зарубежных продуктов.

Например, получив результаты проверки трафика от антивируса, Solar webProxy добавит их в заголовок пакета и сможет так передать другому сетевому устройству.

Как еще улучшили Solar webProxy
✔️ Научили работать реверс-прокси с HTTP- и HTTPS-протоколами для внешних и внутренних IP. Больше не генерируются дополнительные сертификаты и снижается нагрузка на серверы.

✔️ Добавили маркировку срабатываний по правилам, которые указаны в политике. Например, теперь в отчетах можно отфильтровать только критические события из всех срабатываний.

✔️ Сократили время синхронизации групп в «Досье» и ускорили работу в связке с песочницами.

✔️ Для более точного определения документов Microsoft Word добавили новые MIME-типы для расширений DOC, DOCX, DOT, DOTX, DOCM. Теперь Solar webProxy видит разные варианты текстовых документов, которые передаются в трафике.

✔️ Добавили настройку статической маршрутизации из интерфейса продукта.

Solar webProxy – шлюз безопасности, ставится в разрыв сети и контролирует все данные, передаваемые между сотрудниками, внутренними ресурсами организации и сотрудниками и интернетом.

Рассказать подробнее, как работает сервис? Ставьте ⚡️

Что под капотом шлюза веб-безопасности Solar webProxy? Разберемся на вебинаре.

🧐 Бэкстейдж разработки: как мы в крупных банках веб-безопасность настраиваем
20 июля в 14:00 по мск

Расскажем об опыте внедрения шлюза веб-безопасности:
🟣 какие задачи стояли перед нами на пилотах в крупных банках;
🟣 как адаптировался роадмап продукта;
🟣 что мы реализовали в последних версиях продукта для решения задач заказчиков.

Готовьте вопросы, на все ответим!

Сегодня повышаем уровень подготовки ИБ-специалистов в Уфе на Всероссийском антикоррупционном форуме финансово-экономических органов ⚡️

Проводим киберолимпиаду для студентов на платформе «Солар Кибермир»
На платформе смоделированы цифровые копии инфраструктур предприятий из разных отраслей, поэтому тренировки проходят в реалистичных условиях. Сценарии построены на базе ежедневного анализа около 180 млрд событий, которые происходят в крупнейших российских коммерческих и государственных организациях.

Участвуем в деловой сессии для специалистов по информационной безопасности
Обсудим несколько вопросов с представителями региональных органов государственной власти, предприятий промышленности и других организаций из разных отраслей экономики:

➡️ как готовить квалифицированные кадры с учетом быстрой смены приоритетов в ИТ- и ИБ-отраслях;
➡️ как непрерывно совершенствовать навыки ИБ-специалистов;
➡️ как проверять навыки специалистов на киберучениях.

Киберолимпиада на всероссийском антикоррупционном форуме финансово-экономических органов — всё!

А вот и 3 лучшие команды студентов, которые набрали больше всего баллов за обнаружение атак и реагирование на них.

🥇 FaKappa, Университет ИТМО, 100 баллов

🥈 hgksdlphjsfv, Самарский государственный технический университет и Сибирский государственный университет науки и технологий, 93 балла

🥉 HisWoo, Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича, 84 балла

Запомните эти команды, они еще покажут, на что способны 🦾

Задача: обучить сотрудников навыкам кибербезопасности.

Обычно в компании есть кадровый департамент и система дистанционного обучения. Но есть и проблема: для проведения киберучений они не предназначены, а у кадровиков нет нужной экспертизы.

Дальше эстафета переходит ИБ- или ИТ-службам. Но у них нет ни кадровой практики, ни и инструмента, чтобы провести обучение.

Выстроить процессы и определить методологию своими силами весьма трудно. Хорошее решение – обратиться к тому, кто погружен в специфику, отслеживает актуальные методики киберпреступников, может объективно оценить риски и предложить, как повысить киберграмотность команды 👌

К нам пришел клиент с просьбой прокачать такие навыки у его сотрудников. В составе сервиса Security Awareness заказчик получил обучающие задачи «под ключ», полностью адаптированные под его реалии, а также разработанные сценарии фишинговых атак.

Сначала мы сделали первичный срез знаний сотрудников. Результат оказался неутешительным: более 30% всех работников перешли по фишинговой ссылке.

После первого обучающего курса количество пользователей, которые совершают потенциально опасные действия в ходе имитированных фишинговых рассылок, сократилось на треть. Через год доля сотрудников, которые попались на учебный фишинг, составляла всего 1,5%, притом что за этот период штат вырос в 2,5 раза.

Очевидно, что такой подход существенно снижает шансы злоумышленников провести успешную атаку. Такие же результаты мы видим и по другим нашим заказчикам, обучающимся у нас не менее года – примерно столько времени нужно для формирования устойчивого навыка.