Качалин Алексей Игоревич, эксперт МОО «АЗИ» IV Форум АЗИ «Актуальные вопросы информационной безопасности России» ​г. Москва, Конгресс-Центр МТУСИ, 14 апреля 2015 года

1. Об угрозах информационной
безопасности, актуальных для
разработчика СЗИ
Качалин А.И., директор ЗАО
«Перспективный мониторинг»
Эксперт АЗИ

2. Угрозы-2015
• Уязвимость технологий (мобильные, облака),…
• Безопасность приложений: проблемы внешних сервисов (связанных облачных сервисов)
• Проблемы обработки уязвимостей
– Неловкое саморазоблачение Drupal
– Проблема политики раскрытия уязвимостей
• ИБ-катастрофы
– ИБ-провалы платформ-2014 Apple iOS, MS
– Shellshock, уязвимости TLS/SSL : Goto Fail, Heartbleed, POODLE, WinShock
– Мегаутечки из торговых сетей
• Растущий разрыв в потребностях и уровне/количестве специалистов ИБ
• Риски инноваций
– Снижение эффективности СЗИ: «облачные атаки на СКЗИ» – норма
– Атаки на Интернет Вещей, АСУ ТП – мейнстрим
– Новые сценарии потребления – норма BYOx
• Вмешательство государств
– Гос. Программы по кибервооружениям (Китай, США)
– Санкции и запреты
Если нас «сломают»  Когда нас «сломают»

3. Разработчик СЗИ
• Компания – актуальны все угрозы для организаций
и сотрудников
• Продукт – системный, инфраструктурный
компонент ИС
• Отрасль ИБ – активно вовлечен в противоборство
ИБ
• Клиенты – информация о СЗИ, доступ, доверие
Какие угрозы ИБ в широком смысле необходимо
учитывать?

4. Разработчик СЗИ - ценная мишень
Интересны для атакующих «высоких классов», воспринимаются как активные
участники государственной политики, представители интересов государства
• Продукт
– Исходники и собранное ПО для исследования
– Алгоритмы
– Планы разработок
• Технологические мощности
– Сборочные сервера
• Возможность злоумышленнику собрать свою «подлинную» версию СЗИ
– Сетевые и серверные мощности
• Эксплуатация доверия
– Рассылка писем/переписка от имени доверенной организации
• Люди – сотрудники, внешние контакты
• База установки Продукта
– Контрактная документация
– Сервисные подразделения

5. Атакуемые объекты Р.СЗИ
Инфраструктура
разработки
• Системы учёта ошибок и
улучшений
• Системы версионного
хранения кода
• Системы хранения
жалоб потребителей
• Системы подготовки
обновлений
ИБ-критичные сценарии
• Подключение к сетям
заказчиков
• Тестовые устройства на
периметре
• Загрузка и тестирование
недоверенного ПО
Практика: Ежегодные и ежеквартальные аудиты ИБ
инфраструктуры и новых сервисов

6. Человеческий фактор в стратегии развития ИБ
Применительно ко всем участникам «игры»
• Неэффективность «правил»
– Пример: «Айфонизация вопреки»
• Квалификация и осведомленность,
устаревание знаний
– Упреждающая программа обучения
– Непрерывное обучение  норма
• Сертификация специалистов, баллы
• «Мода» на темы (и ИБ как таковой) –
переключение, распыление
– Фиксация среднесрочного курса?

7. Риски ИБ присутствуют в любой
модели развития
Риски экстенсивного развития
• Угрозы наличия уязвимости внешних
компонентов
– Алгоритмы, архитектуры
– «Платформенных» технологий:
аппаратных, программных (ОС)
• Угрозы внесения поставщиком изменений
приводящих к уязвимости
• Зависимость от поставщиков
– Прекращение поставок
– Политика по информированию об
уязвимостях
• Поставщики сервисов и баз знаний
– Изменение условий
• Снижение эффективности методов СЗИ
Риски инновационного развития
• Включение технологий
выводимых на рынок
– Формируются угрозы
– Одновременно с запуском
Продукта
• Неизбежность интеграции
– Все и Вся Всегда онлайн
– Мобильные платформы
– Облака/сервисная модель
– Интернет вещей
– АСУ ТП
Опасно смешивать требования к технологиям 1 и 2 типа
Возможна регламентация моделей развития?

8. Разработка
Управление разработкой СЗИ
• Методика управления
– Водопад / Итеративные и гибкие методики –стандарт? безопасно?
• Выбор технологий и ограничения на «моду»
– Цикл безопасной разработки, стандартизация - ГОСТ
• Стоимость и сложность обеспечения ИБ
– Единая терминология и база угроз
– Правила мониторинга ИС
– Правила обмена знаниями и методиками
Регламентация практик разработки
Безопасная
разработка
Проект
Проект

9. Внедрение Цикла Безопасной Разработки
Детализация
 1. Перечень практик
 1.1. Домен практик
 1.1.1. Описание практики
 1.1.1.1. Методика проверок
 1.1.1.1.1. Инструкция
 Домены (Разделы) практик
 Мониторинг и реагирование
 Проверка и выпуск продукта
 Разработка
 Проектирование
 Требования
 Сторонние компоненты
 Соответствие требованиям регуляторов
 Инструменты и системы разработки
 Подготовка команды

10. Открытые вопросы безопасной разработки:
публикация уязвимостей: «правила игры»??
Каналы получения информации об уязвимостях
• Внутренние сообщение от разработчика
• Обращение пользователя
• Публикация информации об уязвимости в Интернет
• Запрос от Регулятора по жалобе
Угрозы открытости информации об уязвимостях Продукта
– Публикация сообщений о дефектах - превращение в
уязвимость
– Доступность Продукта для исследований и развития ущерба
от уязвимости
– Использование информации против Разработчика через
давление Регулятора

11. Риски «внешних» поставок
• Ограничения
– Инструменты разработки
– Доступ к базам знаний
• Затягивание контрактования
– Поглощение поставщиков
– Смена юрисдикции
• Раскрытие информации о
потребителях
• Риск прекращения действующего
контракта, поддержки
1960-е
1980-е
2015
Далеко не все компоненты СЗИ регулируются
(и могут регулироваться жестко)

12. Специализация Р.СЗИ и полнота
• Ни одна компания не производит всех возможных СЗИ
– Нет компетенции по ряду областей ИБ
• Разработчики-специалисты по нише СЗИ – не специалисты во
всех остальных областях
– Проверяется совершенство в узкой области
• Остальное?
• Развитие и угрозы отслеживаются в «своей» области
– Нет компетенций для всех остальных
– Возможна иллюзия безопасности
 Внешняя экспертиза, готовые инструменты, организация
взаимодействия для «самозащиты» отрасли
 Центры мониторинга

13. Эффективные меры
• Общий язык, интеграция областей ИБ
• Стандартизация практик разработки
– Процедуры утверждения инструментов и компонентов
– Повторное использование кода
• Компоненты поддержки защищённости (фильтрация,
журналирование, …)
• Повышение осведомленности, регламентация обучения
• Требования регулятора
– Противодействие «экономии на безопасности»
– Совместное развитие ИБ компаниями рынка ИБ
• Подконтрольность компонентов, сервисов,
инструментов

14. Разработчик СЗИ
• Компания – типовые угрозы для
организаций
• Продукт – системный, инфраструктурный
компонент ИС
• Отрасль ИБ –вовлечен в противоборство
ИБ
• Клиенты – информация о СЗИ, доступ,
доверие
ИБ ИС
ИБ ИС
ЦБР СЗИ
ЦБР СЗИ
ЦМ ИБ
ЦМ ИБ
ЦМ ИБ

15. Алексей Качалин,
директор ЗАО «Перспективный мониторинг»
Эксперт АЗИ
Спасибо за внимание!