Самая страшная тайна

Какая информация на предприятии должна охраняться сильнее всего?
Ради интереса напишите список ну или хотя бы прикиньте.
Можно идти дальше?

---

А есть в списке информация о пройденных тренингах по ИБ? Фамилии консультантов?

Каждый раз меня прошибает холодным потом когда я задумываюсь о угрозах которые таит не понимание выше приведенного. Каким бы талантливым не был консультант, но количество предлагаемых им подходов и приемов в реализации системы защиты ограничено. Более того, сокращая время консультации (все таки денег стоит), клиент еще больше усугубляет ситуацию.

Я для себя эффективного противоядия для данной уязвимости пока не придумал.

А Вы? 

Анонс: UISG v7

2 декабря в Киеве состоится седьмая конференции UISG.

Также начал работу сайт конференции http://7.uisgcon.org, целиком и полностью посвященный этому событию. На сайте можно удобно и быстро:

• зарегистрироваться в качестве участника конференции - http://7.uisgcon.org/attendees
• подать заявку докладчика - http://7.uisgcon.org/speakers
• найти контакты организаторов конференции - http://7.uisgcon.org/contacts
• принять участие в формировании программы конференции, поделившись с организаторами интересными именно вам темами докладов - http://7.uisgcon.org/program

На сайте также представлена общая информация о конференции, ссылки на смежные материалы и сайты, а также постоянно обновляемый список часто задаваемых вопросов.

В поисках взаимопонимания: Фальш-позитив или таки негатив?

На прошлой неделе произошел любопытный случай: при посещении одного из сайтов мой «браузер по умолчанию» выдал предупреждение, что страница сайта содержит опасное содержание и пользователь должен самостоятельно принять решение посещать данную страницу или нет.

Когда я попытался попасть на сайт при помощи других браузеров, то никаких предупреждений не получил.

В силу различных обстоятельств, я решил немного больше времени уделить данному событию.

Первое, что я сделал, это информировал владельцев сайта об обнаруженной проблеме, затем решил обратиться к людям непосредственно связанных с отраслью ИБ в поисках ответов на вопросы «Кто виноват?» и «Что делать?».

Эксперты сразу разделились на две группы:
- первая приступила к исследованию кода и выяснения, что же могло не понравится конкретному браузеру,
- вторая призвала принять одну из сторон (имеется ввиду, доверится какому-то конкретному браузеру),  ругая противоположную в одном случае «за параноидальность», во втором за «недоделанность».

Во всей этой истории огорчает два момента:
1. Вторая группа продемонстрировала наличие когнитивных искажений, которые оказывают плохое влияние на профессиональную деятельность.
2. Никто ни первая группа, ни вторая даже не попытались  взглянуть на проблему глазами рядового пользователя. Какой выбор должен он сделать: посещать сайт или нет? Лучше, конечно «не посещать», но если этот ресурс интересен не только ему, но и его друзьям, и часть друзей (имеющих «другой браузер»)  будут готовы к дискуссии, а вторая нет, что произойдет?

Чья репутация пострадает:
- производителя браузера сообщившего о ошибке?
- производителя браузера не сообщившего о ошибке?
- компании-владельца ресурса?
- мероприятий по повышению осведомленности (awareness)?

А вас предусмотрен план реагирования в таких ситуациях?

Укращение строптивых

Недавно, приводя к эталонному размеру стопку «очень нужных» документов, в руки попала папочка цвета «хаки» со строгой и простой надписью Xylogics, Inc. , хранившая переписку, которую сегодня уже не прочесть, почему тогда о столь замечательном свойстве факсовой термобумаги я не задумывался…

С первого дня своего существования удаленный доступ начал потихоньку «размывать» границу корпоративной сети, но слава Богу уровень «распространённости и проникновения ИТ», давал возможность ИБ-шникам в реальные сроки возвращать ее «четкость». Но с каждым годом делать это становилось все сложнее и сложнее, а приход беспроводных технологий и миниатюризация вообще превратили задачу в трудную, часто не тривиальную.

Сегодня, после очередного эволюционного витка, наши сетевые сканеры фиксируют воистину  «вавилонское столпотворение»  сетевых устройств способных подключаться к нашим информационным ресурсам.  И это не обязательно  «какие-то шпионы», чаще всего это телефоны,  планшеты, нетбуки, ноутбуки (и т. п.) наших сотрудников, которые они принесли с собой на работу, так как не представляют без них своего существование в этом мире.

Как укротить этих «железных коней», превратив их из потенциальных «врагов»  в «друзей и помощников»? Некоторые ответы можно подсмотреть в исследовании Gartner-a «Critical Capabilities for Mobile Device Management»

Помимо краткого обзора конкретных продуктов, ориентированных на управление мобильными устройствами, достаточно полезными могут оказаться перечень функций, которые должны быть подвергнуты анализу и контролю и на какие функции должно фокусироваться внимание, в зависимости от выдвигаемых требований Политикой ИБ и областью применения мобильных устройств.

Так, например, назвав критическими, Gartner рекомендует анализировать 10 свойств продуктов управления:

1. Device Diversity: возможности работы с различными ОС и различными устройствами
2. Policy Enforcement: возможности настроек и управлением политиками безопасности (доступа, роуминга, фильтрации, приложений и т.д. и т.п)
3. Security and Compliance: наличие средств защиты корпоративных данных хранимых на устройстве (аутентификация, блокровка, шифрование и т.д. и т.п)
4. Containerization: возможности разделения сорпоративных данных от личных
5. Inventory Management: набор механизмов для предоставления, контроля и отслеживания устройства, подключенные к корпоративным приложениям и данным (и снова замечательный перечень для чеклиста)
6. Software Distribution: возможности по распространения приложений и обновлений программного обеспечения для мобильных пользователей (поддержка OTA …) 
7. Administration and Reporting: администрирование и отчетность (интерфейсы, группы, интеграция и т.д.)
8. IT Service Management: доступные уровни обслуживания (интеграция с Help desk, self-service, аlerting и т.п.)
9. Network Service Management: возможности для контроля и оптимизации расходов
10. Delivery Model: модель использования (например: on-premises, hosted, cloud) 

Документ, так же может быть полезен, в процессе разработки политик, процедур, контролей… Приятного прочтения ;-)

Эволюция безопасности: от трагедии к фарсу

Гегель когда-то написал, что история повторяются дважды: первый раз как трагедия, а второй — как фарс.

Столкнувшись с проблемой, что  человеческий дух слаб и не редко, люди поставленные охранять, сами же, превращаются в воров, древние римляне обозначили серьезную проблему, возникающую перед каждым, кто пытается построить систему безопасности, подарив изречение ставшее крылатым «Quis custodiet ipsos custodes?».

На фоне недавних проблем у COMODO, HBGary, RSA, сегодня, прочтя сообщение от Vasco, подумалось: учение римлян устарело, пришло время менять парадигму. Ура, Гегелю!!!

Незнание не освобождает

"Незнание угроз не освобождает нас от риска"

Сегодня, просматривая новости, наткнулся, что жителя Чебоксар оштрафовали за взлом учетной записи супруги. А это, как не говори, уже не далекая Америка…

Особо и комментировать вроде нечего, но лишний раз для себя отметил:

1. Хочешь иметь тайну - позаботься о ее защите
2. Первейший нарушитель - инсайдер
3. Изменение контекста изменяет ландшафт угроз
4. Мы часто переоцениваем себя и недооцениваем оппонента
5. Киберпространство - виртуально по форме, но реально по сути

Атака прошла успешно! Кто виноват?

Сегодня, все пользователи ИТ, в той или иной степени подвергаются опасности сами или подвергают опасности других. Умиляют настойчивые попытки в формировании мнения, что они (пользователи) чаще всего сами и виновны, если происходят неприятности.

---

А кто может еще быть виновным, как не пользователи, ведь это они:

• используют «слабые» пароли и хранят их, где не попадя;  
• «антивирусы» не устанавливают, а если устанавливают, то не обновляют;
• широко используют установки «по умолчанию», вместо того чтобы все перенастроить и «заточить»; 
• ничего не шифруют ни при хранении, ни при пересылке;
• не разрабатывают  правил безопасного использования;
• не обновляют ПО для закрытия «дыр», совершенно случайно (торопились немного) допущенных производителем; 
• беспечны в социальных сетях;

и так далее и тому подобное.

Не знаю как кому, но мне так грустно становится, когда я сталкиваюсь с таким обвинениями. В эти минуты думается, а почему никто из «глубоко уважаемых экспертов» не пишет:

Призвать к ответу «разработчика А» ! Потому как он:

• разрешает использовать слабые пароли;
• разрешает запускать свое приложение без активного антивируса с актуальными базами данных; 
• в конфигурации «по-умолчанию» вместо широко используемого подхода «all deny» использует «all permit»;
• разрешает при первом запуске приложения просто прочесть перечень опасностей подстерегающих пользователя, и даже не пытается проверить, насколько хорошо пользователь усвоил прочитанное.

А ведь Разработчик мог достаточно просто реализовать и даже обновлять как  инструкцию, так и опросник по безопасности.

Почему производители бездействуют? – Даже на копеешной лазерной указке пишут об опасности.

Многие из нас находятся в рабстве иллюзий, разделяя мир на «материальный» и «виртуальный».

Грань стерта, граница размыта!

---

Потери денег, изуродованная психика – это уже сегодня.
А что завтра?  Атаки на SCADA атомных электростанций, самолетов, систем очистки воды?
Что здесь виртуального?

Атака прошла успешно! Кто виноват? Пользователь?