Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Лекция по безопасной разработке приложений защиты информации в РФ. Читается на 4 курсе ФРТК МФТИ. Рассмотрен процесс создания криптографических и технических средств защиты информации.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...КРОК
Вебинар «Бизнес в режиме нон-стоп: автоматизация DRP и BCP процессов» http://www.croc.ru/action/detail/20808/
Презентация Сергея Верчёнова, ведущего инженера департамента вычислительных систем КРОК
Выступление Валерия Боронина, посвященное внедрению безопасной разработки с точки зрения руководителя, на встрече PDUG Meetup: SSDL for Management 25 ноября 2016 года.
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Лекция по безопасной разработке приложений защиты информации в РФ. Читается на 4 курсе ФРТК МФТИ. Рассмотрен процесс создания криптографических и технических средств защиты информации.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...КРОК
Вебинар «Бизнес в режиме нон-стоп: автоматизация DRP и BCP процессов» http://www.croc.ru/action/detail/20808/
Презентация Сергея Верчёнова, ведущего инженера департамента вычислительных систем КРОК
Выступление Валерия Боронина, посвященное внедрению безопасной разработки с точки зрения руководителя, на встрече PDUG Meetup: SSDL for Management 25 ноября 2016 года.
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovSergey Soldatov
This presentation was delivered at Positive Hack Days '14 in Moscow along with the following demos available on Youtube:
Demo#1: http://www.youtube.com/watch?v=mdOfZMsj4hA
Demo#2: http://www.youtube.com/watch?v=BwXhpjiCTyA
Demo#3: http://www.youtube.com/watch?v=B3EkrmNWeJs
Demo#4: http://www.youtube.com/watch?v=--ZuBUc2F2Y
Система управления учетными записями (IDM). Информационная безопасность. Softline
Информационная безопасность. Система управления учетными записями.
IDM – ЕДИНЫЙ ЦЕНТР КОМПЕТЕНЦИЙ В ЧАСТИ
ПРЕДОСТАВЛЕНИЯ ДОСТУПА К РЕСУРСАМ
И СИСТЕМАМ.
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Интегрировать сторонний продукт или пилить самим? К вопросу о выборе системы ...WG_ Events
Многие проекты рано или поздно встают перед выбором – какую систему аналитики выбрать? Создавать что-то самим или брать готовое решение на рынке? А если брать, то как выбрать оптимальный вариант? Василий расскажет о том, какие существуют системы аналитики, чем они отличаются друг от друга, как они интегрируются в продукт и чем могут быть ему полезны.
Вебинар «Интеграционные решения: ИТ-сердце вашей компании» http://www.croc.ru/action/detail/21799/
Презентация Михаила Чарикова, архитектора интеграционных решений компании КРОК
Similar to Infosecurity management in the Enterprise (20)
Talk on Kaspersky lab's CoLaboratory: Industrial Cybersecurity Meetup #5 with @HeirhabarovT about several ATT&CK practical use cases.
Video (in Russian): https://www.youtube.com/watch?v=ulUF9Sw2T7s&t=3078
Many thanks to Teymur for great tech dive
Reducing cyber risks in the era of digital transformationSergey Soldatov
The session record is available here: https://www.youtube.com/watch?v=5-CoJNjtAmY
Link to all sessions from Sberbank ICC: https://icc.moscow/translyatsii.html
2. Преамбула
• В презентации НЕ БУДЕТ:
• Конкретных решений конкретных вендоров
• Названий конкретных компаний
• Привязки к отрасли
• Но БУДЕТ:
• Альтернативный взгляд на привычные вещи
• Многие моменты проверены на практике
• Возможны гиперболы
3. Краткий план
• Эволюция подходов к обеспечению ИБ в Компании: с чего
обычно начинают, к чему со временем приходят
• Типовые заблуждения
• Как можно делать ИБ, если понимания в ее необходимости нет
• Как развить понимание необходимости ИБ
5. Эволюция ИБ в Компании (по видению)
«Что бы
поделать?»
• Участие везде
• Нет стратегии
• Не определена
ответственность
«Против ИТ»
• Выполнение
технических сервисов
ИТ
• «Конфликт
интересов» с ИТ
• Низкое качество
сервисов ИТ для
потребителей
• Уклон в
сопровождение
инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение
технических сервисов
ИТ
• Па факту –
подразделение ИТ
• Уклон в
сопровождение
систем ИБ
• Мониторинг
инфраструктуры
• Аудит
инфраструктуры (?)
«Сервис бизнеса»
• Все технические
сервисы переданы в
ИТ
• Технический сервис
ЭБ
• Уклон в мониторинг
бизнес-транзакций
• Аудит соответствия
6. Эволюция ИБ в Компании (по видению)
«Что бы
поделать?»
• Участие везде
• Нет стратегии
• Не определена
ответственность
«Против ИТ»
• Выполнение
технических сервисов
ИТ
• «Конфликт
интересов» с ИТ
• Низкое качество
сервисов ИТ для
потребителей
• Уклон в
сопровождение
инфраструктуры
• Нет мониторинга
• Нет аудита
«Сервис ИТ»
• Выполнение
технических сервисов
ИТ
• Па факту –
подразделение ИТ
• Уклон в
сопровождение
систем ИБ
• Мониторинг
инфраструктуры
• Аудит
инфраструктуры (?)
«Сервис бизнеса»
• Все технические
сервисы переданы в
ИТ
• Технический сервис
ЭБ
• Уклон в мониторинг
бизнес-транзакций
• Аудит соответствия
7. Эволюция ИБ в Компании (по модели OSI?)
• Различные вариантыЧто бы поделать?
• Сетевое оборудование (маршрутизаторы, МЭ, АСО*, VPN)
• Почтовые шлюзы, HTTP(S)/FTP-прокси
• Выделенные системы ИБ (IDS/IPS, сканеры, пр.)
Инфраструктура
• Мониторинг работы бизнес-пользователей
• Контроль Проектов и Изменений
Бизнес-
приложения
• Анализ бизнес-процессов, прогнозирование сценариев
атакмошенничества, проектирование контролей ИБ
• Расследование инцидентов ИБ => корректировка контролей
• Аудит и оценка эффективности контролей ИБ
Бизнес-процессы
* Активное сетевое оборудование
8. Эволюция ИБ в Компании (глазами пользователей)
А они есть?
Полностью
незаметно
Полное
непонимание
Исключительно
негатив
Полный или
частичный
запрет всего
Вредительство
Как к ИТ
Неотличимо
от ИТ
Равноправная
БФ
Экспертиза в
предметной
области
Помощь
« К а р а т е л ь н а я » ф у н к ц и я
9. «По видению» -- «По модели OSI» --
«По отношению пользователей»
? Против ИТ Сервис ИТ Сервис бизнеса
Инфраструктура Бизнес-приложения? Бизнес-процессы
? Негатив Как к ИТ Равноправная БФ
Шкала времени
10. Этап становления («?»)
• Compliance – все
• Активный поиск
врагов…
• Подмена
«соответствует» на
«безопасно»
• … и они находятся
рядом
• Парадоксальные
выводы
Индикаторы Проблемы Последствия
11. «Против ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Нет общего SLA с
ИТ перед
бизнесом
• Рассогласование
работы
оборудования ИТ
и ИБ
• Неоптимальные
решения
• Высокие
накладные
расходы на
коммуникации
• Низкий уровень
доступности
сервисов ИТ
• Высокая
трудоемкость
обеспечения
качества сервиса
Индикаторы Проблемы Последствия
12. Основные заблуждения
Корпоративный стандарт
неприкосновенен
Это такой же контроль, как и любой другой.
Compliance – основа построения
СУИБ
Compliance – побочный продукт
Основная угроза - ИТ
Нелояльность админа не компенсируется исключительно
техническими контролями.
«Доверенно» ==
«Самостоятельно»
Нехватка ресурсов => снижение уровня сервиса => снижение
уровня ИБ
Потребность в сервисе – личное
желание (не желание)
пользователя
Пользователь решает свои бизнес задачи
(без понимания бизнес-процессов утверждать обратное –
безосновательно, в т.ч. и права «в прок»)
Основной уклон в запрещение
Имея минимальный доступ к
информации (чтение) всегда
можно ее унести
Цель управления Инцидентами
– найти нарушителя
Цель – выработать и реализовать
меры по не повторению
13. Сервис вместо отсутствия
Защита
данных
в ИС
Защита
данных
на АРМ
Контроль
АРМ*
Информационные
потоки с и на
Мотивированный нарушитель:
Запрет не остановит
мотивированного нарушителя,
однако отсутствие запрета
позволит эффективно его
выявить и собрать
доказательную базу
«Нарушитель»
Непросвещенный пользователь:
Эффективнее использовать другие
мероприятия (обучение, оценка
знаний, пентесты социнженерии)
ИБ только тогда эффективна, когда интегрирована на
всех уровнях бизнес-процесса => каждый его участник
несет свой вклад в обеспечение ИБ => эффективность ИБ
достигается только при участии каждого, когда каждый
играет правильную роль правильно.
* АРМ == Endpoint
14. «Против ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Нет общего SLA с
ИТ перед
бизнесом
• Рассогласование
работы
оборудования ИТ
и ИБ
• Неоптимальные
решения
• Высокие
накладные
расходы на
коммуникации
• Низкий уровень
доступности
сервисов ИТ
• Высокая
трудоемкость
обеспечения
качества сервиса
Индикаторы Проблемы Последствия
15. «Сервис ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Есть общий SLA с
ИТ
• Согласованная
работа систем ИТ
и ИБ
• Неоптимальные
решения
• Оптимизированы
коммуникации
• Нормальный
уровень сервиса
• Нормальная
трудоемкость
Индикаторы Проблемы Последствия
16. «Сервис ИТ». Индикаторы, Проблемы и последствия.
• СИБ сама
обслуживает
системы ИБ.
• «Навесные
решения»
• Есть общий SLA с
ИТ
• Согласованная
работа систем ИТ
и ИБ
• Неоптимальные
решения
• Оптимизированы
коммуникации
• Нормальный
уровень сервиса
• Нормальная
трудоемкость
Индикаторы Проблемы Последствия
22. Распределение обязанностей внутри ИТ
IDPS
VM
FW
С AC
Аудит
Изменения
Проекты
Mониторинг
VM
Operations ИТ Operations ИБ
Бизнес-приложения
Инфраструктура
23. Проекты. Что это такое?
Проект Изменение
Формально стартован
Не имеет формального старта, но дату
поступления запроса
Выполняется выделенной
проектной командой
Выполняется ресурсами существующих
операционных подразделений
Всегда финансируется отдельно
Выполняется в рамках существующих
сервисных договоров
Операционные подразделения –
члены проектной команды, могут
выполнять любые работы
Операционные подразделения выполняют
работы, заявленные в их SLA в соответствии с
требованиями эксплуатационной
документации (Инструкции администраторов
и т.п.)
Сроки регулируются планом
проекта
Сроки регулируются SLA
24. Предпосылки ИБ в проектах
Интегрированная
безопасность
эффективнее
«навесной»
Вопросы
безопасности
адресовать
непосредственно в
проекте
Эксперт по ИБ – в
составе проектной
команды
Дополнительно:
• Требования безопасности не всегда очевидны
• Зачастую следует выбирать компромиссное решение, основанное на
анализе рисков
• Требуется хорошая экспертиза в предметной области
25. ИБ в проектах
Что есть в наличии:
• NIST SP800-64R2: Security Considerations in the System Development
Life Cycle
Бизнес-
потребность
ИТ
Бизнес
ИБ
Анализ
рисков*
Разработка
ИТ-решения Информационная
система
Реализовано в системе Требуется
дополнительно
Необходимые контроли безопасности
Дорабтки
Аудит
ИБ
* Автоматизируемого БП
26. Аудит в проектах, и не только
Аудит соответствия Тест на проникновение
Проверяет соответствие
требованиямкритериям
Проверка возможности осуществления
атаки
Легко автоматизируется Не очень
Не требователен к
квалификации
Требует практический опыт
Приводит к изменению в
системе
Приводит к изменению
требованийкритериев
27. Заключение об участии в проектах
• Очевидный способ выхода на уровень бизнес-процессов
• Очевидный способ строить интегрированную безопасность
• Очевидный способ участвовать в построении целевой
архитектуры ИТ
• Очевидный способ «идти в ногу» с ИТ
29. Типовой план
• Определение ключевых бизнес-
процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по
снижению рисков (1)
• Выявление существующих
контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового,
доработки существующего
Что делать?
• Аудит:
• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:
• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
30. Типовой план
• Определение ключевых бизнес-
процессов
• Изучение бизнес-процессов
• Определение рисков
• Определение мероприятий по
снижению рисков (1)
• Выявление существующих
контрольных процедур (2)
• Gap-анализ (1) и (2)
• План построения нового,
доработки существующего
Что делать?
• Аудит:
• Интервью
• Изучение ОРД и пр. *РД
• Технологический аудит
• Справочники контролей:
• NIST SP800-53
• ISO 2700*
• CobIT
• ….
• Взять у кого это уже есть
Чем делать?
31. неТиповой план
Мониторинг Инфраструктура Периметр Зоны Внутри*.info
Управление
инцидентами
1 Первый контроль ИБ
Расследования
Планирование
2
3
4
Новые контроли ИБ
Интеграция в
процессы
i
j
k
Мониторинг
бизнес-приложений
Мониторинг
транзакций
Аудит
32. СУИБ == совокупность контролей из operations
http://reply-to-all.blogspot.ru/2013/01/blog-post.html
33. Основные заблуждения
Придумывание СУИБ можно
поручить Интегратору (*)
Если вам известно мало, то Интегратору – еще меньше
Комплексный подход
Важно давать как можно больше результата, как можно
раньше. Актуальность решения может значительно меняться
во времени
Compliance и сертифицированные
решения – основа ИБ
Соответствовать не значит быть безопасным.
Выбор лучших в классе ИнтегрированностьУправляемость - важнее
Все можно зааутсорсить Закон сохранения трудоемкостисложности
http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html
Борьба с атаками нулевого дня Оставьте это производителям ПО
http://reply-to-all.blogspot.ru/2014/03/0-day-apt.html
Борьба с АНБ Оставьте это ФСБ
http://reply-to-all.blogspot.ru/2014/01/blog-post_15.html
Функциональные тендеры Простое превращение CapEx в OpEx
http://reply-to-all.blogspot.ru/2014/04/blog-post.html
34. Сервис вместо отсутствия: продолжение
Мотивированный нарушитель:
не останавливается запретом
«Нарушитель»
Пользователь
Работа с Интернет Работа на АРМ
Минимум функционала
Минимум полномочий
Минимум …..
Альтернативные
маршруты в
Интернет
Работа на
альтернативных
АРМ
Прощай, периметр! Прощай, данные! Здравствуй, зло «из дома»!
П р о щ а й , к о н т р о л ь !
35. Что можно аутсорсить (критерии)?
• Критичность сервиса
• Ситуация с предложением на рынке
• Внутренние компетенции
• Степень соответствия Стратегии
• Степень формализации требований
• Себестоимость
• Стоимость управления и контроля
Выработали
критерии
Пропустили через
них все работы
Определили что
продать
Проводите такую
оценку регулярно
http://reply-to-all.blogspot.ru/2012/02/blog-post.html
36. Инсорсинг == Аутсорсинг || Аутстаффинг ?
Направление1
Направление2
Направлениеi
Направлениеn
Лидер 1 Лидер 2 Лидер i Лидер n
С т р а т е г и я Корпорация
Инсорсер
Аутстаффинг
Аутсорсинг
Штат
37. Спасибо за Ваше внимание!
Сергей Солдатов, CISA, CISSP
reply-to-all.blogspot.com