Most of security breaches happen because of lack of effort on security prioritization.
Most corporate security departments are engaged with procedural burden which is documented in policies and is required by management. Instead of fulfilling their direct duties, which is to protect business from cyber threats. Why is it so? Because execution of procedures is easier, as well as it is easier for them to justify their existence in such a way. We exist because of PCI DSS, GDPR, SOX, ISO 27k etc.
Most of the companies that were hacked had some sort of security policy. Why have they suffered a breach? Because paper doesn’t protect from hackers. Only rules and actions protect from hackers and malicious software (aka viruses). Rules and actions separately — do not protect, only both combined: rules + actions. Moreover, you don’t have to invent neither rules nor actions — they were invented a long time ago and are publicly available.
Based on my experience, I’ve reached a conclusion that an enterprise cybersecurity practice should start neither from a corporate security policy nor from a new firewall or antivirus. Management gets “paper tigers” and “blinking boxes” well, however this is a bad, even unprofessional start. The right thing would be to start from applying simple rules and actions and demonstrate their effectiveness. We must not have outdated OS versions in our network. All users must have long and strong passwords. Network and resources must be segmented based on business needs. Remote access should be supplied with two factor authentication. Interactive administrative access to systems should be prohibited. And so on, and so forth. One rule at a time, one action after another.
And then you will have chances not to become a victim.
Більшість зламів відбуваються через відсутність пріоритезації зусиль, що витрачаються на безпеку.
Більшість корпоративних підрозділів безпеки займаються процедурними речами, які прописані в політиках та вимагаються “згори”. Замість того, щоб виконувати свої прямі обов’язки — захищати бізнес від кібер-загроз. Чому так? Тому що виконувати процедури легше, та й пояснити мету власного існування так набагато простіше. Ми існуємо, тому що PCI DSS, GDPR, SOX, СОУ Н НБУ тощо.
Більшість компаній, які були зламані, мали в тій чи іншій формі Політику безпеки. Чому вони постраждали? Тому що папір не захищає від хакерів. Від хакерів та шкідливого програмного забезпечення (ака вірусів) захищають правила та дії. Правила окремо та дії окремо — не захищають, лише разом: правила + дії. Причому ані правила, ані дії не треба вигадувати — все вже давно в доступній формі є “у пабліку”.
З досвідом я дійшов висновку, що розпочинати програму кібербезпеки в бізнесі треба не з Політики і не з нових фаєрволів з антивірусами. Паперові тигри та блимаючі скриньки це зрозумілий, доступний для керівництва, але поганий, навіть дилетантський старт. Розпочинати треба з застосування простих правил та дій з перевірки їхнього виконання. В нашій мережі не повинно бути застарілих версій операційних систем. Всі користувачі повинні мати довгі та сильні паролі. Мережа та ресурси повинні бути сегментовані згідно з потребами підрозділів. Віддалений доступ лише з двох-факторною автентифікацією. Інтерактивний вхід в систему з правами адміністратора заборонений. І так далі, і таке інше. Одне правило за раз, одна вправа за підхід.
У зв’язку з останніми гучними заявами МЗС Великобританії та Білого дому, в яких вони напряму звинувачують Російську федерацію в здійсненні минулорічної кібер-атаки з використанням вірусу #NotPetya, вкотре повертають нас до питання атрибуції кібератак.
МЗС Сполученого королівства та Адміністрація Президента США одностайні в тому, що минулого року Росія за допомогою своїх військ свідомо вчинила кібер-напад на Україну з метою заподіяння шкоди нашій економіці та дестабілізації політичних процесів в нашому суспільстві. Розумію, для більшості читачів ці слова звучать як стара пластинка, тому що це вже багато разів обговорювалося спеціалістами з кібербезпеки, включаючи вашого покірного слугу. Є документальні та відео докази того, що спільнота професіоналів кібербезпеки ще 8 місяців тому була впевнена в тому, що російська федерація є кінцевим бенефіціаром та виконавцем цієї кібератаки. Чому ж офіційному Білому дому та МЗС Великобританії знадобилося стільки часу для того, щоб зробити відповідні висновки та політичні заяви?
Для початку відповім на інше запитання, яке дуже часто лунає від читачів та журналістів. Як ми взагалі можемо бути впевнені в тому, що та чи інша держава або група нападників є авторами певної кібератаки? Коротка відповідь: ніяк. Річ у тому, що якщо атака здійснюється високопрофесійними агентами загроз, які мають доступ до майже необмеженого бюджету, та виконують усі настанови дисципліни “операційна безпека” (OPSEC), провести стовідсотково точну атрибуцію кібератаки буде практично неможливо. Тобто, іншими словами, ми ніколи не будемо на 100% впевнені, хто здійснив кібератаку, якщо будемо володіти лише інформацію доступною її цілі.
Встановлення атрибуції кібератак можна порівняти із теоретичною фізикою. Так-так не смійтеся. Як багатьом відомо, хороша фізична теорія пояснює наші спостереження в навколишньому світі, та одночасно може якісно передбачити майбутні спостереження та результати експериментів. Але спільна риса усіх фізичних теорій полягає в тому, що жодна з них не може бути до кінця доведена. Теорія існує лише до того моменту, коли буде здійснено спостереження, яке вона не в змозі пояснити. І тоді настає момент, коли теорію необхідно або узагальнити (як це було з ньютонівською фізикою на початку минулого століття, коли Айнштайн запропонував Спеціальну теорію відносності), або повністю реформувати та запропонувати нову теорію та інтуїцію для її сприйняття (як це відбулося трохи пізніше, коли той самий Айнштайн висунув Загальну теорію відносності).
Так само і в кібер-розвідці. Аналітики провідних розвідувальних агенцій займається тим, що спостерігають факти та будують гіпотези, які згодом підтверджуються спостереженнями та перетворюється на теорії, які використовуються до тих пір, поки вони підтверджуються фактами. Як і у випадку з теоретичною фізикою, кількість цих фактів дуже велика, а якість — дуже й дуже висока. Та коли в теорії знаходяться протиріччя, вона скасовується та починається розробка нової.
Повертаючись до МЗС Великої Британії та прес-секретаря Білого дому. Чому Вова Стиран та інші українські спеціалісти з кібербезпеки вже 8 місяців впевнені в тому, що саме Росія здійснила кібер-атаку 27 червня, а офіційним особам потрібно аж стільки часу, щоб заявити то саме? Тому що, така заява, як і справжня фізична теорія, в майбутньому передбачатиме дуже багато важливих подій. В контексті окремих експертів кібербезпеки ці події очевидні: ми так само будемо звинувачувати Росію, ми так само будемо вказувати на необхідність адекватного кібер-захисту, ми так само будемо розвивати професійну спільноту, щоб кібербезпека нашої держави стала можливою та ефективною. В контексті ж світових лідерів ці події зовсім інші. Вартість їхньої помилки відіб’ється не лише на їхній репутації, а на долях людей, тому ставки та ризики в них набагато вищі.
Але в той момент коли уряд держави, впевнено покладаючись на рекомендації своїх розвідувальних агентств, робить такі різкі дипломатичні заяви, ми мусимо готуватися до сюрпризів. Які саме несподіванки приготували нам західні партнери, ми з вами ще побачимо. Але вже зараз очевидно, що у розвідок співдружності 5 Eyes є достатні, можливо навіть прямі, докази нашої теорії.
Піднімається чергова хвиля публічного обговорення участі Касперського в розвідувальних операціях РФ, зокрема задля викрадення документів та програмних інструментів АНБ, які згодом потрапили до “Shadow Brokers” та спричинили WannaCry та NotPetya. Цього разу рупор у анонімних джерел в американській розвідці та визнаних експертів з кібер-безпеки, серед яких Дейв Айтел (Immunity Inc., виробник славетного Canvas) та Дейв Кенеді (АКА ReL1K, засновник TrustedSec та DerbyCon, автор SET). Обидва ці джентльмени не вирізняються симпатією до РФ, але в експертних висновках не втрачають об’єктивності. Закрема, наприклад, Дейв неодноразово пояснював ситуацію на національному телебаченні та навіть давав свідчення в комісіях Конгресу.
Моя думка з цього приводу незмінна: добровільно чи ні, Лабораторія Касперського була і є активом російських спецслужб, в тому числі й розвідувальних. Але сьогодні я хочу підкреслити інше.
Незалежно від того, брав Касперський участь в спецопераціях свого уряду, чи ні, використання антивірусу є просто геніальним способом здійснення кібер-атак та міжнародного шпіонажу.
По-перше, технічна складова цього каналу просто надпотужна. Як я багато разів вже казав, розташування на комп’ютері процесу, який має необмежені права, тобто може отримати доступ до будь-якого файлу та вмісту оперативної пам’яті, саме по собі — дуже сумнівна ідея з точки зору архітектури безпеки. Додамо до цього факт, що цей процес повинен обробляти неймовірну кількість різних форматів файлів: для людей, які не знають, що таке фазинг та чому .pdf = Penetration Document Format, я просто скажу, що саме через помилки в обробниках складних типів даних і зламуються комп’ютерні системи. Що отримаємо? Що залишається лише мріяти про те, що після встановлення антивірусу безпека системи підвищиться, а не навпаки. (Для кого це не очевидно, підписуйтесь на @taviso в Твітері та блог Google Project Zero.) А якщо ми взнаємо, що люди, які мають доступ до оновлень та вразливостей цього антивірусу, є нашими ворогами?
По-друге, робота антивірусів складна, а їхня взаємодія з операційною системою ще складніша, і ми не знаємо до кінця, які дані вони передають своїм розробникам. Тому, використання антивірусів для шпіонажу відкриває безпрецедентні можливості відхреститися від будь-яких звинувачень. Це просто апогей Plausible Deniability. КАВ “спалив” на лептопі інструменти АНБ та передав їх у Москву? Але ж вони виглядали як шкідливі програми! (якими вони фактично і є). КАВ здійснював пошук по ключових словах по жорсткому диску? Але ж ці ключові слова містилися в зразках “шкідливого” ПЗ! І так далі, і так далі, аж до моменту, коли можна підняти руки вгору і заявити, що їх зламали ГРУ чи ФСБ та вони теж –справжнісінькі жертви кібер-шпіонажу. Не кажучи вже про давні традиції пацакських спецслужб розставляти “повноважних представників” на ключових посадах приватних компаній. У такий спосіб можна відхреститися взагалі від усього та списати все на персональну вербовку окремих працівників, про що вище керівництво та рада директорів, звичайно ж, не мала жодного уявлення.
Це все цікаво та драматично, але які висновки?
Прості та радикальні. Не можна користуватися програмними та інформаційними продуктами ворога, так само як продуктами, які створені на території, що контролюється ворогом, або в компаніях, частина працівників яких живе на цій території, або має родичів, які на ній проживають. Саме тому ребрендинг Лаборатории Касперского в Kaspersky Lab навіть з фактичною еміграцією штаб-квартири — нічого не змінює. Міграція з продуктів ЛК на продукти інших компаній (білоруських, казахських, словацьких тощо) з “тісними культурними зв’язками” з РФ — майже нічого не змінює. Лише повна відмова від інформаційних продуктів, зв’язок яких з ворогом можна прослідкувати бодай інтуїтивно — може знизити ризик.
Але навіть якщо ви позбавитеся 1С, знесете ЛК, знищите аккаунт у ВКонтакте та не дивитиметеся відео в озвучці Кураж-бамбей — залишковий ризик неминучій. Тому що, останній раз, коли я перевіряв, всі ваші друзі та бізнес-партнери користувалися 1С, відвідували ВК, та інші російські веб-сайти.
Децентралізовані платіжні системи (більш широко відомі як криптовалюти), які ще 10 років тому були екзотикою, наразі рішуче домінують на шпальтах престижних видань. Для всіх, хто хоч трохи розуміється на криптографії, очевидно, що так чи інакше ідеї децентралізації обміну цінностями, підкріплені сучасними технологіями, — це майбутнє світової економіки. Суперечки точаться хіба що навколо того, яку форму матимуть ти з них, що витримають випробування часом та задовольнять вимоги найширшої аудиторії користувачів. Отже, з Біткойном, чи без, на блокчейні, чи ні, в майбутньому світові фінансові системи — це, скоріш за все, крипта. Залишаючи поки що у спокої тотальну неготовність широкого загалу користуватися новими платіжними засобами, хочу поговорити про справжній економічний бум, що відбувся на тлі розвитку криптовалют у минулому році.
Всім відомо, як драматично коливався курс Біткойна, хтось в курсі, що це не єдина криптовалюта (і далеко не найкраща, адже Біток це по суті науковий експеримент, що вийшов з-під контролю). Але дехто пішов далі і розібрався, як нові фінансові інструменти змінюють економіку та які нові обрії відкривають. Якщо ви цей момент пропустили, то ось що відбулося (дуже спрощено).
Протягом минулого року спільнота навколо криптовалют розрослася настільки, що розпочалася найсправжнісінька золота лихоманка. Багато хто чув про майнинг та яка це вигідна справа. Насправді, справжні гроші крутяться не в майнингу, адже це фактично сервісна функція мережі (певної криптовалюти), яка просто забезпечує її існування. Справжній капітал заробляли ті, хто створював нові мережі, або відгалуження (форки) вже існуючих мереж, що мають цінність та практичне застосування. Наприклад, криптовалюта Ethereum була розроблена із врахуванням недоліків та неповноти іншого блокчейну — Bitcoin. А Monero — це фактично “колективний” форк своєї першої версії, яка, м’яко кажучи, не сподобалася спільноті, тому була відгалужена та реформована. Прибуток від форків склав у багато разів більше, ніж всі ICO на базі справжніх криптовалют (про це згодом) разом взяті.
Різноманіття криптовалют та їхніх форків вражає, причому кожна версія має своє особливе застосування. Наприклад, є два форки Біткойну: Bitcoin Cash та Bitcoin Gold, які відіграють різні ролі. Або ж є “криптовалюта” Tether, яка прирівняна до 1 долару США та створена виключно для полегшення конвертації койнів в “звичайні” гроші. (Щодо легітимності та подальшої долі Tether, щоправда, зараз є великі сумніви, але приклад тим не менш яскравий).
А що ж з ICO? На базі криптовалют почали з’являтися так звані токени — засоби конвертації різноманітних цінностей у цифровий еквівалент. Спочатку токени створювалися здебільшого для залучення початкового капіталу у певну технологію або організацію, яка надалі планує здійснювати якусь навколо-криптовалютну діяльність. (Схожість термінів IPO, Initial Public Offering та ICO, Initial Coin Offering говорить сама за себе). Важливо відмітити, що ICO можливі як навколо нової криптовалюти, коли її творці таким чином поширюють початкову “грошову масу” та залучають нових користувачів, так і у випадку більш простішої “токенізації” звичайних грошей або інших цінностей, з метою накопичення капіталу та його подальшої інвестиції. Куди? Ось тут починається цікаве.
Деякі ICO проводяться, щоб дійсно проінвестувати цікавий, корисний, або просто оригінальний проект. Деякі — щоб залучити інвестиції, але уникнути при цьому необхідності привести бізнес у відповідність законодавству та іншим регуляторним актам, які керують фондовими ринками. Деякі — щоб скористатися ажіотажем навколо криптовалют та ICO, зрубати бабла та зникнути в тумані. Переважна більшість ICO ніколи не досягають мети, а приблизно 10% стають жертвами хакерів та втрачають суттєву частину своєї вартості.
Як бачите, в цій пісочниці панує хаос, тому зорієнтуватися в ситуації непросто. Ризики високі, але й потенційна вигода приваблива, тому тема цікавить дуже багато людей, які не мали ще змоги в ній розібратися. Що ж робити, коли і хочеться і колеться? Коли мова заходить про “інвестиції” в токени, сумлінна людина порадить вам діяти виключно на ваш розсуд та провести достатньо роботи з вивчення предмету інвестицій перед тим, як вкладати гроші. Будь-які заклики інвестувати в той чи інший токен, як це полюбляє робити сумнозвісний Джон Макафі, краще ігнорувати, поки не переконаєтесь в тому, що у проекту може бути майбутнє. Але як це визначити?
Інвестиції в ICO — це досить перспективний бізнес, тому й у цій галузі вже є свої гуру. Деякі з них рекомендують, щоб не стати жертвою сучасних Понзі та Мавроді, більше уваги приділяти не гучному та яскравому піару, а тому, що за команда стоїть за ICO, які технології та практики вона використовує, та які проекти вона планує здійснити на зібрані кошти. Саме досвід та активність команди, унікальність або інноваційність технологій, та розміри й амбіції поставлених цілей визначають серйозність намірів. І що саме важливе, ці фактори досить непросто підробити.
Більше того, існують засоби перевірки легітимності та успішності ICO, причому не лише під час процесу збору коштів, але й під час їх застосування та здійснення, власне, проектів, під які кошти збиралися. Невеличка команда ентузіастів з проекту ConcourseQ проводить колосальну роботу з агрегації даних вимірювання Due Diligence сучасних ICO та дозволяє нам користуватися цими результатами. Звичайно, для прийняття серйозних інвестиційних рішень, цієї інформації замало, але для розуміння критеріїв успішності та ефективності ICO — цілком достатньо.
Originally published at blog.styran.com on February 2, 2018.