Вчера мне довелось побывать в Государственной Думе. В зале ЛДПР состоялся круглый стол "Практика противодействия кибератакам", аудитория - представители отрасли, как поставщики решений, так и их потребители. Хочется выразить слова благодарности компании Angara security, персонально Сергею Петровичу Шерстобитову и Тимуру Зиннятуллину, и за организацию мероприятия и за возможность принять участие - чем плотнее экспертное сообщество будет работать с законодательной властью, тем эффективнее и результативнее будут наши общие усилия по противодействию кибератакам и кибертерроризму.
Мне выпал вопрос: "Как нам, как представителям индустрии, вести себя в разгар кибервойны, как выстраивать отношения со всеми вовлеченными сторонами, включая государство? Как разделять зоны ответственности, особенно между Заказчиками и Подрядчиками?". Так как записи нет тезисно отвечу на него здесь.
0. Поскольку наше общение происходило в стенах ГД, я выделю кратко инициативы, которые можно было бы рассмотреть с позиции государственного регулирования отрасли.
1. Для того, чтобы быть эффективными и результативными, нам надо быть организованными, аналогично корпоративной бизнес-функции ИБ, тем более, что государственная система управления ИБ (СУИБ) во многом похожа на СУИБ крупной корпорации.
2. Стандартизация. Под типовые элементы инфраструктуры должны быть разработаны профили защиты, и эти профили должны быть обязательны для исполнения в ГИС и КИИ. Пример из жизни - NIST SP 800-53 - исчерпывающий каталог контролей, обязательный для исполнения в американских ГИС.
3. Потребовав исполнение профилей защиты, результат необходимо обязательно проверять.
3.1. На госпредприятиях есть "мероприятия по оценке защищенности" (МОЗ) по сценарию пентест, можно дополнительно ввести оценки соответствия - по каждому обязательному контролю убедиться, что он внедрен и работает с предполагаемым качеством.
3.2. Контроли необходимо обложить метриками и результаты их измерения собирать. По истории измерений метрик можно анализировать тенденции. Отчетность по измерению метрик работы контролей можно поднять на уровень федеральных координационных центров - как мы собираем информацию об инцидентах в НКЦКИ, можно собирать и данные о метриках контролей безопасности.
3.3. Выработанные профили защиты необходимо регулярно проверять, для получения уверенности, что наши наборы контролей отвечают современному ландшафту угроз.
4. Эксплуатация доверительных отношений по данным статистики инцидентов за 2023 и 2024 входит в топ 5 векторов проникновения в сети, поэтому требования по контролям пп.2-3 необходимо распространить на подрядчиков, в целом, это должно стать квалификационным требованием. Это можно сделать, например, лицензированием, а подтверждать соответствие, например, могут лицензированные аудиторы\ пентестеры.
5. Если мы говорим о ПО, то здесь также поможет сертификация. Только сертифицировать надо не конкретные образцы ПО, а процесс разработки - представляется эффективнее сертифицировать конвейер, чем каждое изделие, выходящее с него.
По разделению ответственности - вопрос стандартный. Владельцем ГИС и КИИ следует рассматривать Государство, поэтому видится правильным, что Государство выдвигает требования по обеспечению их безопасности и постоянно контролирует результат. Важный момент здесь - адекватность требований, в противном случае, сами эти требования будут стимулировать их невыполнение. Адекватность может валидироваться экспертным сообществом, ну или возродить институт специализированных НИИ, как в СССР, однако верификация идей НИИ на производстве - обязательна.
А по распределению задач на предприятии я уже давно писал. Если коротко, то чем больше корпоративной специфики тем эффективнее делать самому, а стандартные вещи - в аутсорсинг.
#управление #РФ #vCISO
Мне выпал вопрос: "Как нам, как представителям индустрии, вести себя в разгар кибервойны, как выстраивать отношения со всеми вовлеченными сторонами, включая государство? Как разделять зоны ответственности, особенно между Заказчиками и Подрядчиками?". Так как записи нет тезисно отвечу на него здесь.
0. Поскольку наше общение происходило в стенах ГД, я выделю кратко инициативы, которые можно было бы рассмотреть с позиции государственного регулирования отрасли.
1. Для того, чтобы быть эффективными и результативными, нам надо быть организованными, аналогично корпоративной бизнес-функции ИБ, тем более, что государственная система управления ИБ (СУИБ) во многом похожа на СУИБ крупной корпорации.
2. Стандартизация. Под типовые элементы инфраструктуры должны быть разработаны профили защиты, и эти профили должны быть обязательны для исполнения в ГИС и КИИ. Пример из жизни - NIST SP 800-53 - исчерпывающий каталог контролей, обязательный для исполнения в американских ГИС.
3. Потребовав исполнение профилей защиты, результат необходимо обязательно проверять.
3.1. На госпредприятиях есть "мероприятия по оценке защищенности" (МОЗ) по сценарию пентест, можно дополнительно ввести оценки соответствия - по каждому обязательному контролю убедиться, что он внедрен и работает с предполагаемым качеством.
3.2. Контроли необходимо обложить метриками и результаты их измерения собирать. По истории измерений метрик можно анализировать тенденции. Отчетность по измерению метрик работы контролей можно поднять на уровень федеральных координационных центров - как мы собираем информацию об инцидентах в НКЦКИ, можно собирать и данные о метриках контролей безопасности.
3.3. Выработанные профили защиты необходимо регулярно проверять, для получения уверенности, что наши наборы контролей отвечают современному ландшафту угроз.
4. Эксплуатация доверительных отношений по данным статистики инцидентов за 2023 и 2024 входит в топ 5 векторов проникновения в сети, поэтому требования по контролям пп.2-3 необходимо распространить на подрядчиков, в целом, это должно стать квалификационным требованием. Это можно сделать, например, лицензированием, а подтверждать соответствие, например, могут лицензированные аудиторы\ пентестеры.
5. Если мы говорим о ПО, то здесь также поможет сертификация. Только сертифицировать надо не конкретные образцы ПО, а процесс разработки - представляется эффективнее сертифицировать конвейер, чем каждое изделие, выходящее с него.
По разделению ответственности - вопрос стандартный. Владельцем ГИС и КИИ следует рассматривать Государство, поэтому видится правильным, что Государство выдвигает требования по обеспечению их безопасности и постоянно контролирует результат. Важный момент здесь - адекватность требований, в противном случае, сами эти требования будут стимулировать их невыполнение. Адекватность может валидироваться экспертным сообществом, ну или возродить институт специализированных НИИ, как в СССР, однако верификация идей НИИ на производстве - обязательна.
А по распределению задач на предприятии я уже давно писал. Если коротко, то чем больше корпоративной специфики тем эффективнее делать самому, а стандартные вещи - в аутсорсинг.
#управление #РФ #vCISO
🔥20👍6👏1🙏1
На круглом столе присутствовал представитель АНО "Координационный центр национального домена сети Интернет", а освещаемый им вопрос - "Какие тенденции можно считать сегодня актуальными с точки зрения изменений в системах общих доменных имен как верхнего уровня, так и национального? С какими задачами сегодня сталкиваются специалисты в этой и смежных областях?"
Однако, в этой заметке хочется затронуть вопросы от представителей реального бизнеса, а их было примерно два:
1. Киберсквоттинг. Т.е. защита бренда компаний. Что делают регистраторы для того, чтобы ловкие ребята не захватывали доменные имена, релевантные крупным компаниям и не перепродавали их затем за бешеные деньги?
2. Фишинговые домены. Т.е. защита от появления доменов вредоносной направленности (по схеме тайпосквоттинга и т.п.), реализующие, например, воровство аутентификационных данных. Что делают регистраторы для того, чтобы подобные фишинговые сайты (пример, из последнего) не возникали в таком количестве, ввиду недопустимой простоты регистрации домена.
Короткий ответ на оба вопроса: регистраторы для решения проблем пп. 1-2 не дели ничего в 2001 году (мое первое место работы), ничего не делают сейчас, и не планируют. И для того, чтобы они что-то начали с этим делать, их надо обязать на уровне регулятора.
Дело здесь в том, что Регистратор - это коммерческая контора и, по большому счету, ему все равно с кого он получит свои $20 за домен, а чем больше регистрируется доменов - тем выше у него объем продаж. Поэтому, перекрывая какую-то долю потока регистрации доменов или как-то затрудняя процесс, что приведет к снижению регистраций доменов, Регистратор будет просто сокращать свои продажи, что, очевидно, экономически невыгодно. Поэтому здесь единственный инструмент - compliance, который надо потребовать со стороны госрегулятора.
Мероприятия по решению обеих обозначенных проблем (и захват доменов, и создание фишинговых сайтов) будут одинаковые, и в рамках круглого стола они были озвучены, приведу их:
0. Решить вопрос с SSL/TLS в стране, иначе проверить подлинность сайта не представляется возможным.
1. Заявления на регистрацию домена принимать только подписанными квалифицированной электронной подписью (КЭП).
2. Реализовать алгоритмы, аналогичные применяемым в услугах защиты бренда, по поиску доменных имен похожих на уже существующие. Направлять их на дополнительную проверку, как минимум. Можно даже начать с банального: если есть домен в зоне RU, при попытке регистрации такого же имени в другой зоне (SU, РФ и пр.) - уточнять, что то же юрлицо.
На мой взгляд п.1 уже будет вполне эффективным первым шагом.
Что еще можно предложить, пожалуйста, пишите в комментариях.
#РФ
Однако, в этой заметке хочется затронуть вопросы от представителей реального бизнеса, а их было примерно два:
1. Киберсквоттинг. Т.е. защита бренда компаний. Что делают регистраторы для того, чтобы ловкие ребята не захватывали доменные имена, релевантные крупным компаниям и не перепродавали их затем за бешеные деньги?
2. Фишинговые домены. Т.е. защита от появления доменов вредоносной направленности (по схеме тайпосквоттинга и т.п.), реализующие, например, воровство аутентификационных данных. Что делают регистраторы для того, чтобы подобные фишинговые сайты (пример, из последнего) не возникали в таком количестве, ввиду недопустимой простоты регистрации домена.
Короткий ответ на оба вопроса: регистраторы для решения проблем пп. 1-2 не дели ничего в 2001 году (мое первое место работы), ничего не делают сейчас, и не планируют. И для того, чтобы они что-то начали с этим делать, их надо обязать на уровне регулятора.
Дело здесь в том, что Регистратор - это коммерческая контора и, по большому счету, ему все равно с кого он получит свои $20 за домен, а чем больше регистрируется доменов - тем выше у него объем продаж. Поэтому, перекрывая какую-то долю потока регистрации доменов или как-то затрудняя процесс, что приведет к снижению регистраций доменов, Регистратор будет просто сокращать свои продажи, что, очевидно, экономически невыгодно. Поэтому здесь единственный инструмент - compliance, который надо потребовать со стороны госрегулятора.
Мероприятия по решению обеих обозначенных проблем (и захват доменов, и создание фишинговых сайтов) будут одинаковые, и в рамках круглого стола они были озвучены, приведу их:
0. Решить вопрос с SSL/TLS в стране, иначе проверить подлинность сайта не представляется возможным.
1. Заявления на регистрацию домена принимать только подписанными квалифицированной электронной подписью (КЭП).
2. Реализовать алгоритмы, аналогичные применяемым в услугах защиты бренда, по поиску доменных имен похожих на уже существующие. Направлять их на дополнительную проверку, как минимум. Можно даже начать с банального: если есть домен в зоне RU, при попытке регистрации такого же имени в другой зоне (SU, РФ и пр.) - уточнять, что то же юрлицо.
На мой взгляд п.1 уже будет вполне эффективным первым шагом.
Что еще можно предложить, пожалуйста, пишите в комментариях.
#РФ
Telegram
Солдатов в Телеграм
Вчера мне довелось побывать в Государственной Думе. В зале ЛДПР состоялся круглый стол "Практика противодействия кибератакам", аудитория - представители отрасли, как поставщики решений, так и их потребители. Хочется выразить слова благодарности компании Angara…
👍6🔥2
Я не люблю делать прогнозы, но, как я писал здесь:
Канал Sachok опубликовал мой прогноз под номером 2222(видимо, это знак 😁)
В РФ делать прогнозы дело неблагодарное, однако, если их не делать - это означает не анализировать текущую ситуацию и не заниматься планированием, не говоря уж о стратегии. Будем менеджерами, будем анализировать происходящее и делать прогнозы!
Как всегда, ваше мнение относительно моих прогнозов приветствуется в комментариях.
#РФ #управление #vCISO
...если считать, что будущее - следствие настоящего, то успех предсказания можно считать метрикой адекватности свой оценки текущей ситуации, ну а если мы адекватно интерпретируем происходящее, значит мы разбираемся в своей работе и отрасли
Канал Sachok опубликовал мой прогноз под номером 2222
В РФ делать прогнозы дело неблагодарное, однако, если их не делать - это означает не анализировать текущую ситуацию и не заниматься планированием, не говоря уж о стратегии. Будем менеджерами, будем анализировать происходящее и делать прогнозы!
Как всегда, ваше мнение относительно моих прогнозов приветствуется в комментариях.
#РФ #управление #vCISO
Telegram
Sachok
Куда дует ветер в 2025?
Следующий прогноз на 2025 год дал Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского».
С учетом текущих тенденций, технологий и геополитических факторов для отрасли ИБ в РФ можно выделить…
Следующий прогноз на 2025 год дал Сергей Солдатов, руководитель Центра мониторинга кибербезопасности «Лаборатории Касперского».
С учетом текущих тенденций, технологий и геополитических факторов для отрасли ИБ в РФ можно выделить…
👍12🔥1👏1
Одним из прогнозов на ближайшее время было усиление контроля отрасли ИБ со стороны государства. По-моему это очевидно, однако, судя по ряду комментариев в Чате обсуждений, не всем, что и смотивировало меня пообещать написать эту заметку.
Одна из важнейших функций государства - обеспечение счастливого существования его граждан (ровно это я говорил здесь). Для счастливого существования граждан от государства требуется обеспечение определенных условий. Сильно упрощенно, но понятно, - это чтобы основные институты работали в штатном режиме - энергетика, чтобы были свет и тепло, финансы, чтобы работала экономика, ИТ, телекоммуникации и связь, чтобы обеспечивался информационный обмен.... Безопасность - это свойство работы институтов, так как небезопасность этих индустрий означает наличие уязвимостей, которые могут быть проэксплуатированы злоумышленником, а, следовательно, злоумышленники могут нарушить работу критичных для благосостояния граждан институтов, что приводит к тому, государство уже не выполняет свои обязательства перед своими гражданами.
Наличие ответственности государства перед гражданами дает основания налагать требования на критичные отрасли, работа которых влияет на благосостояние граждан. Очевидно, что для достижения хороших результатов необходимо ограничивать объем и фокусироваться в первую очередь на наиболее важным - этим и объясняется выделение КИИ. Но несложно догадаться, что, с одной стороны, ненужных институтов, в общем-то нет, а, ввиду глубокой конвергенции отраслей экономики, проблемы в одной области незамедлительно скажутся на другой, поэтому негативные последствия на неКИИ, очевидно, найдут свое отражение в КИИ, - это простое объяснение того, что понятие КИИ будет постепенно расширяться. С другой стороны, безопасности никогда не бывает достаточно, а с учетом того, что атаки эволюционируют по мере повышения нашей эффективности борьбы с ними, требования со стороны регулятора будут только ужесточаться. Будем верить, что эти требования государства будут объективно отвечать современным угрозам, а исполнители на предприятиях подойдут максимально серьезно к их реализации.
#РФ #vCISO
Одна из важнейших функций государства - обеспечение счастливого существования его граждан (ровно это я говорил здесь). Для счастливого существования граждан от государства требуется обеспечение определенных условий. Сильно упрощенно, но понятно, - это чтобы основные институты работали в штатном режиме - энергетика, чтобы были свет и тепло, финансы, чтобы работала экономика, ИТ, телекоммуникации и связь, чтобы обеспечивался информационный обмен.... Безопасность - это свойство работы институтов, так как небезопасность этих индустрий означает наличие уязвимостей, которые могут быть проэксплуатированы злоумышленником, а, следовательно, злоумышленники могут нарушить работу критичных для благосостояния граждан институтов, что приводит к тому, государство уже не выполняет свои обязательства перед своими гражданами.
Наличие ответственности государства перед гражданами дает основания налагать требования на критичные отрасли, работа которых влияет на благосостояние граждан. Очевидно, что для достижения хороших результатов необходимо ограничивать объем и фокусироваться в первую очередь на наиболее важным - этим и объясняется выделение КИИ. Но несложно догадаться, что, с одной стороны, ненужных институтов, в общем-то нет, а, ввиду глубокой конвергенции отраслей экономики, проблемы в одной области незамедлительно скажутся на другой, поэтому негативные последствия на неКИИ, очевидно, найдут свое отражение в КИИ, - это простое объяснение того, что понятие КИИ будет постепенно расширяться. С другой стороны, безопасности никогда не бывает достаточно, а с учетом того, что атаки эволюционируют по мере повышения нашей эффективности борьбы с ними, требования со стороны регулятора будут только ужесточаться. Будем верить, что эти требования государства будут объективно отвечать современным угрозам, а исполнители на предприятиях подойдут максимально серьезно к их реализации.
#РФ #vCISO
YouTube
Интервью - Сергей Солдатов. SOC-Форум 2021
Сергей Солдатов, руководитель SOC, Лаборатория Касперского
#SOC-Форум 2021
#SOC-Форум 2021
👍10🔥5
На этой неделе моя дочь сдавала экзамены и я, как законный представитель, подписывал разные документы, в том числе и согласие на обработку персональных данных (ПДн). В целом, стандартная процедура, - самое заметное подтверждение того, что Государство заботится о сохранности моих ПДн. Хотя, по личному моему наблюдению, количество сливов ПДн кратно увеличилось именно со времени появления 152-ФЗ в 2006 году. Остается только гадать о причинах - то ли стремление Государства защищать ПДн наделило их небывалой ранее ценностью, что добавило мотивации их похитителям, то ли сами методы защиты ПДн привели к общему снижению их безопасности. Как любитель парадоксов, во время подписания документов, необходимых для допуска дочери к экзамену, я подумал именно о втором сценарии: созданные обязательные процедуры способствуют снижению безопасности ПДн.
Очевидно, что чем больше я тиражирую данные, тем шире поверхность атаки на них - чем больше коипий ПДн создается, тем сложнее (хочется сказать "невозможнее") обеспечить их сохранность. Каждое мое согласие на обработку моих ПДн, эта "формальная" бумажка, содержит копию моих ПДн, в частности, документы для отправки дочери на экзамен, содержали паспортные данные и адрес регистрации. А сколько копий подобных бумажек приходится подписывать?! Первоочередное мероприятие для обеспечения безопасности чего-либо - это инвентаризация. Кто-нибудь когда-нибудь инвентаризировал все эти согласия, содержащие мои ПДн?! А раз это тупо невозможно даже посчитать, о какой безопасности может идти речь?! Многие из тех, кому я давал подобные согласия, называли их "формальностью", что прекрасно характеризует их стремление защищать эти бумажки наряду с прочими моими ПДн. В общем, все это сильно отдает профанацией.
Конкретные идеи:
- понимая, что данные на согласиях никто никак не будет защищать, очень хочется указывать там неправильные данные, причем уникальные, разным - разныне. А когда будут объявляться какие-либо субъекты с моими данными, собственно по самим данным можно будет понять откуда утечка.
- на уровне Государства проработать механизмы учета таких согласий, как первого шага для обеспечения их безопасности. Например, это можно попробовать сделать электронно, допустим, через Госуслуги. Каждую копию данных можно подписывать на ключе получателя или разработать какую-либо схему водяных знаков, чтобы, в случае утечки, было понятно от кого утекло.
#пятница #РФ
Очевидно, что чем больше я тиражирую данные, тем шире поверхность атаки на них - чем больше коипий ПДн создается, тем сложнее (хочется сказать "невозможнее") обеспечить их сохранность. Каждое мое согласие на обработку моих ПДн, эта "формальная" бумажка, содержит копию моих ПДн, в частности, документы для отправки дочери на экзамен, содержали паспортные данные и адрес регистрации. А сколько копий подобных бумажек приходится подписывать?! Первоочередное мероприятие для обеспечения безопасности чего-либо - это инвентаризация. Кто-нибудь когда-нибудь инвентаризировал все эти согласия, содержащие мои ПДн?! А раз это тупо невозможно даже посчитать, о какой безопасности может идти речь?! Многие из тех, кому я давал подобные согласия, называли их "формальностью", что прекрасно характеризует их стремление защищать эти бумажки наряду с прочими моими ПДн. В общем, все это сильно отдает профанацией.
Конкретные идеи:
- понимая, что данные на согласиях никто никак не будет защищать, очень хочется указывать там неправильные данные, причем уникальные, разным - разныне. А когда будут объявляться какие-либо субъекты с моими данными, собственно по самим данным можно будет понять откуда утечка.
- на уровне Государства проработать механизмы учета таких согласий, как первого шага для обеспечения их безопасности. Например, это можно попробовать сделать электронно, допустим, через Госуслуги. Каждую копию данных можно подписывать на ключе получателя или разработать какую-либо схему водяных знаков, чтобы, в случае утечки, было понятно от кого утекло.
#пятница #РФ
👍6🕊5
Трудно не согласиться с доводами Саши.
Ну что ж поделать...
Все более-менее объемные (когда написание занимает более 30 мин) мысли я публикую в Дзен. Старые публикации доступны еще на blogspot, также там можно встретить мысли моих бывших коллег и друзей - Игоря и Амирана.
С пропаданием Телеги, видимо, будем на связи в Дзен.
Не потеряемся!
#РФ #мир
Ну что ж поделать...
Все более-менее объемные
С пропаданием Телеги, видимо, будем на связи в Дзен.
Не потеряемся!
#РФ #мир
Дзен
REPLY-TO-ALL Information Security Blog | Дзен
Канал автора «REPLY-TO-ALL Information Security Blog» в Дзен ⭐: REPLY-TO-ALL - блог, где обсуждаются различные вопросы информационной безопасности, и не только. Присоединяйтесь, и будем вместе в споре постигать Истину!
👍4🥱1