Позначка: Кібербезпека

Хто є хто на ринку кібер-безпеки

Ринок кібер-безпеки, який, за деякими оцінками, наступного року перестрибне об’єм 200 млрд на рік, для більшості населення планети залишається якоюсь містичною таємницею. Коли я спілкуюся на робочі теми з людьми, які не є інсайдерами цієї індустрії, мені нерідко доводиться розвінчувати стереотипи та відверту оману. Тому я спробую підсумувати найбільш популярні міфи про кібер-безпеку як галузь у цьому невеличкому пості.

Почнемо з того, що кібер-безпека це не просто окрема професія, а радше окрема область діяльності, адже навіть за її порівняно недовге життя в цій галузі вже встигли сформуватися декілька принципово відмінних професійних напрямків. Якими займаються різні люди, від яких вимагаються різні навички, і навіть, не побоюся це сказати, різні особисті якості. Тому популярна думка про те, що функцію кібер-безпеки в організації можуть виконувати у відділі ІТ, у департаменті загальної або економічної безпеки, або ще в якомусь вже створеному підрозділі — це думка хибна.

Більше того, кібер-безпека це настільки різнопланова та мінлива галузь, що коли у 2013 році у Національній академії США підняли питання про формалізацію професії із аналогічною назвою, причому не просто так, а на запит Департаменту внутрішньої безпеки (DHS), призначена комісія відповіла відмовою. Аргументувалося це рішення в основному тим, що область знань кібер-безпеки змінюється та розвивається настільки динамічно, що стандартизувати її у вигляді якоїсь статичної професії наразі було б контрпродуктивно.

Продовжуємо. Для багатьох є новиною той факт, що більшість компаній, які надають послуги або розробляють товари з кібер-безпеки, не є зосередженими на цій галузі. Більше того, безпека продуктів та сервісів не є їхнім головним пріоритетом. Це звучить контр-інтуїтивно, але так і є: основні гравці на цьому ринку — це не ІБ-, а ІТ-компанії, які “за інерцією” вийшли на ринок безпеки, користуючись напрацьованими бізнес-стосунками з вже існуючими клієнтами.

Далі, багато хто знає про існування різних інструментів побудови організаційної безпеки, таких як міжнародні та галузеві стандарти, та вважає, що за абревіатурами ISO27001, PCI DSS, HIPAA та GDPR стоять містичні сили, які якимось чином впливають на вимоги безпеки, що компанії застосовують до своїх систем та процесів. Насправді, це не так. Єдина сила, яка рухає організаціями в напрямку захисту їхніх систем, це бюджет. Жодні фреймворки з управління ризиками та регуляторні акти не можуть змусити організацію витратити на безпеку більше, ніж вона собі може дозволити економічно. З іншого боку, ці фреймворки можуть допомогти їй більш ефективно витратити цей бюджет, але не більше.

Наступне, існує протилежна думка, що так званий комплаянс, тобто виконання норм зазначених вище стандартів та законів, не додає безпеки. Ця позиція культивується, зокрема, багатьма спеціалістами з кібер-безпеки та потрапляє в родючий ґрунт нонконформістськи налаштованих спеціалістів з ІТ. Але це невірно. Насправді, і PCI DSS, і GDPR, і навіть КСЗІ/НДТЗІ та інші страшні слова дуже навіть додають в безпеці менеджерам, які відповідають за їх додержання. Відповідність вимогам комплаянсу може позбавити їх серйозної політичної, адміністративної, а деколи навіть кримінальної відповідальності у випадку виникнення у організації гучного зламу чи іншого інциденту кібер-безпеки. Так що, комплаянс — це навіть дуже й дуже безпека, але треба пам’ятати чия і від кого.

Отже, не все так просто та одностайно в області кібер-безпеки. Ті, хто її продає, та навіть ті, хто її споживає, не завжди в ній зацікавлені. Хто ж насправді займається кібер-безпекою, поліпшує її рівень та розвиває її як галузь?

Поряд з постачальниками та споживачами безпеки, які до індустрії кібер-безпеки не мають прямого стосунку, в цій галузі існує таке явище як власне індустрія кібер-безпеки, англійською cyber security industry. Складається воно з таких підрозділів.

Академія. Це такі дуже розумні пани та пані, які штовхають індустрію вперед на стратегічному рівні. Вони вигадують нові математичні, економічні та соціальні моделі, які потребують безпеки та оптимально її забезпечують, вони розробляють фундаментальні принципи забезпечення безпеки, вони влаштовують експерименти та проводять дослідження, які надають нам докази ефективності чи неефективності різноманітних зусиль з забезпечення безпеки тощо. Тобто, вони рухають галузь вперед та дозволяють нам користуватися їхніми здобутками, здебільшого на шару.

Хакери. Тру хакери — вайтхети та грайхети — займаються тим, що постійно ставлять під сумнів status quo та випробовують захист систем та мереж, які мають певне економічне та суспільне значення. Таксономія не-кримінальних хакерів це окрема тема, я про неї вже писав, але в цьому пості хочу підкреслити важливість правильного ставлення до цієї категорії професіоналів. Хакери ваші друзі, поки ви не заслужили на протилежне.

Власне, індустрія кібер-безпеки, тобто бізнеси, нон-профіти та спільноти, які займаються тим, що покращують безпеку, але при цьому, на відміну від вендорів “першого ешелону”, інтеграторів та дистриб’юторів не вважають її додатковим або неосновним видом діяльності. Це компанії, які будуються навколо сервісів, продуктів, або платформ, які зосереджені на безпеці ексклюзивно, тобто пішли ва банк з цією місією.

Дослідники безпеки. Це окрема каста, яка поділяється на криптографів, дослідників вразливостей, дослідників шкідливих програм тощо. Вони можуть діяти незалежно, або входити до підрозділів великих компаній, причому як постачальників так і споживачів безпеки. Причому на мій погляд споживачі тут відіграють набагато потужніше, візьмемо для прикладу Google, Netflix, Amazon або Facebook. Ці команди чи незалежні дослідники продукують звіти, результати та ПЗ з відкритим кодом, якого ви не дочекаєтесь від інших гравців на ринку.

Власне, це все, що я хотів вам повідомити про “легітимних” гравців на цьому ринку. Тепер ви знаєте в загальних рисах які тут двіжухи та з ким мені доводиться мати справу день у день.

Originally published at blog.styran.com on December 27, 2017.

Висновки після notPetya

для керівників вищої ланки

Мене тут увесь день питали, тому коротенько про висновки, які мають зробити біг-бада-боси, з усього, що сталося.

  1. Інформаційна безпека (ІБ) це не антивірус і не фаєрвол. ІБ це агрегатний стан. Ви або в змозі триматися до купи, або розтікаєтеся по підлозі. Щоб не розтектися, треба ІБешить.
  2. ІБшить мають ІБшники. ІБешники це професія; адмін, програміст, секретар, перекладач, кур’єр — це інші професії, їх не можна примусити ІБшить продуктивно.
  3. Досвідчені ІБшники коштують дорого. Можна взяти молодого і виростити, але вийде ще дорожче. Оптимально буде взяти декілька досвідчених і нехай вирощують молодих.
  4. ІБшникам треба давати бюджет. Не те, що лишилося від бюджету ІТшників, а окремий бюджет, який вони в змозі логічно обґрунтувати за допомогою оцінки ризиків та чинних норм законодавства. І не половину, не третину того що вони обґрунтують, а весь.
  5. ІБшники повинні ІБшить, а не писати RFP на тендери, щоб найняти інших ІБшників, які будуть ІБшить замість них. Безпека це не прок’юрмент. Деколи ІБшникам потрібна допомога інших ІБшників ззовні. Деколи вона необхідна. Але коли ІБшники займаються виключно освоєнням бюджету — “на фіг” пишеться окремо.
  6. Сертифікат це не доказ безпеки, це шматок зіпсованого паперу. Абсолютно непотрібна в побуті річ, тому що ламінована і погано гнеться. Комплаянс це не безпека (точніше, це безпека сраки керівника від гніву регулятора, не більше). Щасливий аудитор це не безпека. “Зелений” звіт про пентест це не безпека. Безпека це коли досвідчений ІБшник, який читає зранку під каву скорельовані логі, бухтить собі під ніс: “– Як малі діти, єйбогу.”
  7. Безпека це головняк Генерального директора, чи як у вас там на візитці написано. Не ІБшників, не COO, не CFO, не борда, а вищої виконавчої влади в корпорації. Можна делегувати цю функцію, але не можна делегувати відповідальність за неї. Кіберполіція не прилетить на ракеті та не врятує вас від хакерів. Безпека — це +1 бізнес-процес та +1 параметр кожного бізнес-процесу.
  8. Будьте готові до інциденту до того, як він настане. Нормальні ІБшники вас до нього підготують. Але майте під рукою плани Б і В, тому що вони знадобляться. Вас хакнуть. (Вас скоріш за все вже хакнули: якщо вас ще не хакнули, це означає, що ви робите щось дуже незначне та нікому не цікаве). Але якщо ви не вважаєте, що ваш бізнес повинен завершитися на першому ж зламі, будьте до нього готові.
  9. Майте під рукою кризову піар-стратегію. “Ми нічого не знаємо” це не стратегія. “В нас все добре” це не стратегія. “Ми не винні” це не стратегія. “Майкрософт та інші вендори помиляються, а ми говоримо правду” це не стратегія. Стратегія, це: нас зламали — так; ми вибачаємося за це перед усіма, кому це завдало шкоди; і ми зробимо усе що в людських силах для того, щоб винести максимум уроків з цього зламу та не дозволити цьому повториться знов. Саме ваша піар поведінка під час кризи демонструє ваше справжнє ставлення до клієнтів.

Бережіться.

Кіберзабобони: хибні стереотипи про кібербезпеку

Серія публікацій з розвінчування кумедних міфів про кібербезпеку #кіберзабобони.

Випуск 1. Шторки для веб-камер

Починаємо серію публікацій з розвінчування кумедних міфів про кібербезпеку #кіберзабобони. В першому випуску читайте про шторки для вебкамер.

TL;DR: шторки для вебкамер –  це не більше ніж прикольний аксесуар і вам не варто сподіватися, що вони врятують вас від шпигунства. Якщо дійсно хочете вберегтися від підглядання та підслуховування  –  користуйтеся порадами з персональної кібербезпеки та не працюйте в операційній системі з правами адміністратора. Досвідчені користувачі можуть скористатися спеціальними програмами на кшталт Little Flocker або MicroSnitch.

Тепер по суті. Деякі люди вішають собі на вебкамеру ноутбуку таку невеличку шторку, одну з тих, якими розробники “рішень з безпеки” щедро засівають конференції та виставки. Пересічній людині може здатися, що в такому засобі захисту приватності є зміст. Але подумайте: якщо в вашій системі завівся шпигун (програма/агент віддаленого доступу, яким користується зловмисник), то чи не варто задуматися над перевстановленням операційної системи замість марнування ізострічки та псування поверхні екрану сумнівними сурогатами?

Поміркуймо категоріями оцінки ризиків. Шторка не врятує вас у випадку, коли у вашій системі вже повністю та безроздільно хазяйнує незнайома (або знайома) вам людина. Яка може читати текст, який ви вводите на клавіатурі, слідкувати, куди ви ходите в інтернеті, записувати звуки в зоні дії вашого мікрофону. Чи не безглуздо виглядає при цьому спроба обмежити доступ до відео з вашої вебкамери?

Спокій від придбання шторки для вебкамери — це типовий приклад хибного відчуття безпеки. Краще оновлюйте операційну систему, працюйте в ній з правами звичайного користувача та встановіть якийсь прикольний монітор утилізації ресурсів типу. А до шторки можна ставитись як до прикраси, по типу наліпки на кришці ноутбука, не більше.

Випуск 2. Складність паролів

Продовжуємо серію публікацій #кіберзабобони. Цього разу поговоримо про паролі.

Поки увесь український кібербезпековий beau monde зависає на Першому Міжнародному Саміті з Кібербезпеки, ми з вами поговоримо про те, як вас обдурюють щодо паролів. А вас обдурюють, дурять що аж гай шумить. Дивіться як.

По-перше, вам кажуть, що паролі повинні бути складними: містити великі та маленькі літери, цифри, знаки пунктуації, пентаграми та масонські піраміди. І що це типу зробить ваш пароль складним і безпечним. Маячня.

Дивіться, якщо ви пам’ятаєте з математики, щоб перебрати усі можливі комбінації рядків певної довжини N, складених з алфавіту, який містить M символів, треба виконати M в ступені N операцій (M^N). Тобто спочатку перебрати всі М варіантів на першій позиції в рядку, потім на другій і т.д., і це все перемножити.

Тепер подивіться, що відбувається, коли ви збільшуєте алфавіт, та порівняйте це з тим, що відбувається під час збільшення довжини рядка. Звісно ж, (M+1)^N це набагато менше, ніж M^(N+1), тому що від збільшення алфавіту (складності паролю) кількість варіантів перебору (Work Factor або ентропія) залежить лінійно, а від збільшення довжини — експоненціально.

Тому запам’ятайте: краще довгий пароль помірної складності, ніж короткий, який містить усі можливі типи символів. Проста пасфраза довжиною 16–20 літер з 1–2 цифрами та 1 спецсимволом – ось і все, що вам потрібно.

По-друге, вам кажуть, що паролі не можна записувати, бо якщо вкрадуть, то буде біда. І що типу не можна всі яйця в один кошик складати й таке інше. Єрунда.

Можна всі яйця в один кошик, треба просто щоб це був герметичний, платино-іридієвій кошик з кодовим замком, на злам якого потрібно 100 тис. років, причому у вас завжди є його точна резервна копія десь в безпечному місці. Такі кошики існують, навіть безплатні, й називаються вони парольні сейфи або парольні менеджери. Я користуюся 1Password, ще можу порекомендувати KeePass та його клони.

Отже, коли вам кажуть, що не можна записувати паролі, то мається на увазі, що їх не можна зберігати на папірчику біля монітора та в “захищеному” паролем файлі Excel. А у парольному менеджері – можна і треба.

Випуск 3. (Не) ефективність антивірусів

Продовжуємо тему #кіберзабобони. Давайте тепер про антивіруси.

Багато користувачів знають, що використання антивірусів – необхідний засіб захисту від шкідливого програмного забезпечення або, як його часто називають, комп’ютерних вірусів. Особливо це стосується операційної системи Windows, бо під неї й вірусів більше, і атакують її частіше. Користувачі менш поширених ОС, таких як macOS чи Linux, пишаються тим, що антивіруси на їхні комп’ютери встановлювати не обов’язково. Проте, часто-густо встановлюють, про всяк випадок.

При цьому більшість користувачів вважають, що антивірус є надійним засобом захисту, ефективність якого прямує до 100% та є лише невеличка кількість “найновіших” вірусів, з якими він потенційно може не впоратись. Та насправді це не так. Переважна кількість антивірусних програм не відрізняється високою ефективністю та має ККД, що не перевищує 50%. Решта більш ефективних антивірусів або занадто дорогі для більшості користувачів, або мають досить “драконівську” манеру роботи, тобто сильно заважають користувачеві працювати на комп’ютері. Але й вони часто не встигають за новими вірусами та пропускають унікальні семпли, спеціально підготовлені для уникнення виявлення конкретними антивірусними продуктами.

Отже, насправді ситуація виглядає так. Більшість антивірусів захищають нас від дуже відомих та поширених вірусів, до того ж з певним запізненням. Деякі антивіруси (їх буквально до 10) мають високу ефективність, але вони занадто дорогі та агресивні для більшості користувачів та компаній. І при цьому всі антивіруси можна обдурити, якщо готувати вірус спеціально для уникнення виявлення конкретно цим продуктом.

Дехто може здивуватися або навіть обуритися: як же ж так, результати незалежного тестування показали, що мій антивірус показав там стовідсоткове виявлення всіх відомих вірусів! Змушений вас розчарувати; на жаль, більшість таких рейтингів та тестів складаються лабораторіями, які існують або на спонсорські гроші антивірусних компаній, або на спонсорські гроші тематичних інтернет-видань, які існують на спонсорські гроші антивірусних компаній. Справжнє незалежне тестування в цій індустрії відбувається дуже рідко та на замовлення комерційних або державних установ, які в змозі його профінансувати. Результати таких тестувань рідко стають доступні публічно.

До того ж не треба забувати, що антивіруси це такі самі програмні продукти, як веббраузери та текстові редактори, і що пишуть їх такі самі програмісти. Як наслідок, в антивірусах трапляються вразливості безпеки, подекуди критичні. Високий ризик вразливостей в антивірусах виникає тому, що вони виконуються в системі з високими привілеями та мають прямий доступ до вмісту диску та оперативної пам’яті. Також, антивіруси повинні вміти шикати віруси в колосальному різномаїтті типів файлів, що дуже ускладнює їхню будову. А де більше складності, там більше вразливостей безпеки.

Отже, все сумно на ринку антивірусів. Обрати дієвий продукт важко, скрізь недобросовісна реклама та фейкові результати тестів. Що ж робити пересічному юзеру, який звик до Вінди та не хоче стати жертвою злісних кіберхакерів? Не побоюся прозвучати як стара платівка, але антивірус не допоможе вам в цьому краще, ніж виконання простих порад з персональної кібербезпеки. Більшість заражень відбуваються за участі користувача, отже ваша поведінка онлайн – це найдієвіший захист. А антивірус – лише допоміжний інструмент, який варто мати під рукою, але покладатися на нього не слід.

Як вибрати ефективний антивірус? Якщо чесно, я не знаю відповіді на це питання. Якщо маєте гарні рекомендації, діліться ними в коментах. Можу лише порадити не платити за нього гроші –  є порівняно непогані антивіруси, які мають безплатну версію для персонального використання. Особисто я мав приємний досвід використання MalwareBytes.

Випуск 4. Хмарна безпека

Продовжуємо рубрику #кіберзабобони. Сьогодні поговоримо про безпеку в хмарі.

Багато ІТ-спеціалістів мають діаметрально протилежні погляди на те, чи є використання хмарних технологій більш безпечним, ніж використання власних систем, серверів та приміщень. Причиною таких розбіжностей здебільшого є незнання деталей ситуації. Якщо коротко, то з тих, хто вважає хмарні технології безумовно більш безпечними або безумовно менш безпечними, не праві обидві сторони.

З одного боку, якщо ви обрали надійного постачальника послуг, то ймовірність того, що він зможе захистити ваші дані та системи краще, ніж ви самі, дуже висока. Наприклад тому, що він змушений захищати одразу цілу купу своїх клієнтів, тому профіль ризиків в нього дуже різноманітний, отже й заходи безпеки застосовуються неординарні. А ще тому, що в нього на це банально більше грошей.

З іншого боку, якщо ви вважаєте, що пересунувши пошту, файли, дзвінки та вебсервіси у хмарну інфраструктуру, ви автоматично зробили їх більш безпечними, то змушений вас розчарувати. Зазвичай такого поняття, як безпека за замовчуванням, в хмарних провайдерів немає. Вони надають вам гнучкі та дієві способи організувати безпеку ваших систем та додатків, але не вмикають ці інструменти автоматично. Наприклад, двофакторна автентифікація у хмарному сховищі вмикається парою кліків миші, але ці кліки треба зробити. Повне шифрування даних може бути опціональним. Контроль доступу треба налаштовувати. Тощо.

В ідеалі, ви можете уявити собі провайдера хмарної інфраструктури як один великий суперкомп’ютер, який в мільярди разів потужніший, ніж будь-які обчислювальні ресурси, які ви можете собі дозволити. А безпеку вашої порції цього комп’ютера – це набір опцій, які вам потрібно вивчити, налаштувати та увімкнути й обов’язково в цьому порядку. Інакше, приріст безпеки від переїзду до хмари буде символічним: ви просто почнете використовувати чийсь чужий комп’ютер замість власного.

Бережіться.

Як зупинити фішинг раз і назавжди

Людоньки, хочете я вам розкажу, як зупинити фішинг раз і назавжди у три БЕЗКОШТОВНІ кроки? Вам навіть не треба буде тирити у нас матеріали наших авторських тренінгів з протидії соціальній інженерії (і таке трапляється). Більше того, ми з кентами одразу ж закриємо Berezha Security Group та розпочнемо кар’єру десь в астрофізиці, політиці чи соціальній психології. Хочете? То слухайте.

Крок 1: Переїдьте на хмарну пошту

От просто розпочніть користуватися Google Apps for Business чи Office365 просто зараз. Кожен раз, коли по пентест звертається компанія, яка використовує цих монстрів, десь у Всесвіті починає плакати соціальний інженер. Поштові фільтри у Гугла та МС настільки навернуті на машинному навчанні датасетами з мільярдів листів щодня (лише 10–20% з яких є легітимними), тому пробитися через них — показник справжнього професіоналізму. Вони не пропустять макроси, вони не пропустять заархівовану програму, вони не пропустять архів з паролем. Вам дуже пощастить, якшо ви створите шаблон листа для фішингу по URL, який буде виглядати легітимно та пролізе через Gmail не потрапивши в папку Infected.

Крок 2: Розпочніть використовувати PGP або S/MIME

От просто завайтлістіть собі легітимні сертифікати або ключі ваших контрагентів та розшарьте їх всередині компанії. Ні, не треба нічого шифрувати! Просто підписуйте листи та довіряйте підписаним листам, це вся криптографія, яка вам потрібна для захисту від фішингу! Так, і це можна обійти шляхом повної компрометації комп’ютера вашого колеги чи партнера, але це в десятки, сотні разів складніше, ніж підібрати його пароль до пошти чи змусити його натиснути каку.

Крок 3. Створіть білі списки програм та бібліотек

Безкоштовно, засобами вашої корпоративної операційної системи. Споримо це Windows? Тоді розпочніть ось з цього, а потім створіть політики для сертифікатів, якими ваші вендори та аутсорсери підписують код. І все, тепер навіть в разі компрометації вашого комп’ютера пост-експлуатація перетворюється на кошмар для хакера. Так, профі зроблять все in-memory, без запису на диск та читання з диску. Але такі техніки поки що нові, плюс дивіться кроки 1 та 2.

І все! Ви на 99,99% захищені!

Але ж то хмара, то не зна де, і хто до того має доступ… А криптографія складна, давайте краще підемо пошопимось модним залізом… Та які в біса сертифікати та білі списки, в нас скрам, аджайл і контінуоус анігілейшн! Ну ви поняли.

Бережіться.

Неминучість та невідворотність інциденту

Інцидент неминучий. Є лише дві речі, на які ви можете вплинути. Це те, наскільки легко вас буде зламати, та чи будете ви та ваші колеги знати, що робити коли це станеться.

Сьогодні чогось згадалося, як я кілька років тому майже одночасно спілкувався з двома джентльменами на тему неминучості настання інциденту, тобто факту компрометації інформаційних систем. Контексти були різні: в одному випадку ми обговорювали принципи побудови систем та процесів виявлення та реагування на інциденти (Security Operations Center, SOC), в іншому –  доцільність проведення тесту на проникнення по соціальному каналу. Але реакція була майже однакова та досить типова: як це інцидент настане? що значить неминуче? та у нас тут і моніторинг, і реагування, і гайки скрізь закручені.

Пройшов час, і обидва ці джентльмени, точніше інфраструктури, безпеку яких вони забезпечували, стали цілями досить типових атак з використанням все тієї ж соціальної інженерії. Інциденти були досить потужні, але залишмо хоч трохи інтриги. Скажу лише, що це вочевидь вплинуло напрямок їхньої подальшої кар’єри.

До чого це я? Ні, я не про те, що коли ваші аргументи не діють, варто трохи почекати. Хоча інколи це непогана стратегія. Я просто хочу вам повторити те, що казав їм.

Вас зламають. Якщо у вас є що красти та якщо немає. Якщо у вас є Політика безпеки та якщо немає. Якщо у вас є сертифікат PCI DSS або ISO27000 та якщо є обидва. Якщо у вас три антивіруси або нуль. Якщо ви не проводите кібернавчання для персоналу та якщо ви їх проводите. Якщо ви робите пентести в повному обсязі та якщо ви навіть не скануєте периметр nmap-ом зі скриптами. Вас зламають: хтось, колись, з відомих або невідомих вам причин це зробить, тому що це можна зробити. Я знаю як — і повірте, це не вища математика (її я теж знаю). А ще, звичайно ж, я на власній шкурі знаю як це, коли вас зламують.

Тому кажу вам безплатно те, що їм сказав за гроші: інцидент неминучий. Є лише дві речі, на які ви можете вплинути. Це те, наскільки легко вас буде зламати, та чи будете ви та ваші колеги знати, що робити коли це станеться.

Бережіться.