Про реалии ИБ

 Сегодня  через различные ресурсы снова читал эти прекрасные советы по информационной безопасности, которые
в различных вариациях состояли из двух пунктов: отключить обновления в продукции эпл и отключить обновление в продукции майкрософт.
Причем это ведь в чатах, где коммуницируют сотрудники крупных компаний. Если у нас понимание ИБ на таком уровне, то очень плохо.
Нет, делать это может быть и нужно, но как я писал это один из частных пунктов всего фронта работ по ИБ.
Сейчас, конечно, все удивятся, но импортозамещение было объявлено у нас с 2014 года.
И сделают удивленные лица, когда прочитают, например, закон о №152 "О персональных данных", где написано, про использование сертифицированных продуктов
для организации защиты. Почему взял этот закон, да потому что он 2006 года, после ратификации европейской конвенции.
Есть компании, которые доходили до аудита и до пентестов, а потом клали результаты оных в стол.
На самом деле, сделано многое, но еще многое не сделано.
Не хотелось бы, чтобы топ-руководители думали, что риски информационной безопасности это обновление айфонов и закрытие соцсетей (фд, инсты и т.д.).
Я Вам больше скажу, им выгоднее, чтобы они работали и чтобы айфонов стало больше.
Отмечу, что в стратегии цифровизации России, есть еще и цели комитет ИБ, одна из них повышение уровня ИБ.
Считаю, что сейчас важно руководителям всех звеньев понять основные угрозы: что такое НДВ и shodan, чем грозят пароли по умолчанию и открытие протоколы управления, рассказать
о множестве кейсах и нарушениях в систем АСУТП, КИИ, КСИИ, показать "живую" модель рисков предприятия, а не рассказы о них.
Надеюсь, хотя бы сейчас руководители на этих примерах поймут риски ЦОДов, почему помимо прочих аргументах стоит понимать риски, связанные с SAP, ORACLE и другими иностранными продуктами.
В общем, в связи с этим готов ответить на вопросы и "на пальцах" рассказать о рисках и о методах злоумышленников.

Некоторые проекты

Итак, я анонсировал, что буду рассказывать о проектах, которые мне особенно запомнились и (или) внесли вклад в развитие компаний и мое личное.

Представители этих Заказчиков подписаны на канал:)

Представляю первые пять.

1) Заказчик: Шнайдер Электрик Эквипмент Казань 

Суть проекта: создание программного обеспечения для реализации управления производством по системе Канбан.

Итоги: внедрен и признан лучшим проектом года. Были разработаны и внедрены еще пару продуктов.

Развитие: проект рассматривался для масштабирования на заводах Екатеринбурга, Самары, Санкт-Петербурга. 

Личные итоги: воочию увидел как работают по международным стандартам, как работают по канбан, получил огромный опыт, который сейчас выливается в общую картинку. Например, в головном офисе учетные системы на САП, но в России такие требования отсутствовали, так как вопрос финансов (читать дорого).

2) Заказчик: Особая экономическая зона "Алабуга"

Суть проекта: аудит информационной безопасности ОЭЗ "Алабуга"

Итоги: проведен аудит, разработаны рекомендации, которые легли в основу дорожной карты.

Развитие: частично внедрены некоторые системы.

Личные итоги: реализовали элементы аудита в "черном ящике", что наиболее наглядно для Заказчика, но несет риски для Исполнителя. Реализовали фишинговое приложение, полный цикл в виде "черного ящика".

3) Заказчик: Республиканский Центр Мониторинга Качества Образования (РЦМКО)

Суть проекта: реализация требования ФЗ "О персональных данных" и других ОРД при проведении ЕГЭ и другие отчетных мероприятий.

Итоги:провели аудит, разработали необходимое ОРД, реализовали и поддерживали защищенную сеть передачи данных. Вместе с командой РЦМКО (которая была на тот момент) были примером для России.

Развитие: после многолетней работы смена команды.

Личные итоги: опыт организации и технической поддержки крупной сети по всей Республике.

4) Заказчик: ТАГРАС -Холдинг

Суть проекта: создание политики информационной безопасности на Холдинг (проект вылился в предварительный аудит текущего состояния)

Итоги: сложный проект сдан, политика разработана.

Развитие: устранение замечаний на местах.

Личные итоги: реализованы очень интересные векторы атак. Реализованы все векторы атак ("взлом вай-фай, фишинговые письма, анализ сервисов и т.д."). Качественный скачок.

5) Заказчик:ГК "ТАИФ" (технический заказчик "ТГК-16")

Суть проекта и итоги: опишу ссылкой https://tass.ru/ekonomika/4347547. Очень важный проект для России.

Личные итоги: поработал в большой международной команде, смогли доказать международным исполнителях свою точку зрения с точки зрения ИТ и ИБ. Уверен, что то, что мы доказали имеет огромное значение для безопасности объектов энергетики.

 

Контроль работы охраны или других "обходчиков". Проходят ли они ночью все точки на маршруте?

Во многих организациях  встает вопрос о том, как контролировать качество работы охраны или других служб, которые должны совершать обходы территории (оборудования). Проще говоря - ходят или спят.

1) Некоторые до сих пор используют доску с гвоздями или нечто подобное. Как на рисунке.

2) Некоторые решают вопрос только оргмерами, плановыми ночными проверками, внезапными ночными проверками и т.д.:)

3) Я лично работал в организациях, в которых обходчикам выдавали usb-носители и открывали на оборудовании USB-порты, чтобы собирать статистику была ли вставлена "флешка" и во сколько. Собственно по этому принципу работают системы ход-тест и аналоги, когда на территории разбросаны считыватели, а у наших "подконтрольных" то, что долго считываться.

4) Некоторые каждое утро просматривают камеры видеонаблюдения или в дальнейшем уходят в нейросеть для автоматизации этого контроля, что уже не сложно.

Конкретно мы пошли другим путем: сотруднику охраны выдается смартфон, на территории объектов прорисованы геозоны и маршруты обхода территории, утром ответственный сотрудник просматривает отклонения и результат в виде отчета. 

Мы не стали писать свою серверную часть - используем внешний сервис - 670 рублей в месяц/чел.

Некоторые коллеги вместо смартфоном использовали фитнес-браслеты. В смартфонах я вижу выполнение требований по обеспечению связи (сим-карта также наша), а в дальнейшем (если будет такая бизнес задача), то контроль иного трафика с устройства.

 

C чего начать аудит по "черному ящику" или какой результат показать Заказчику. ШАГ 1 (не выезжая на объект)

(подписывайтесь на https://t.me/dorofeevvi)

 "Черный ящик"? Когда Заказчик не дает аудиторам, исполнителям, специалистам (назовите как хотите) никаких данных. Плюсы и минусы такого подхода для Заказчика и для Исполнителя можем разобраться позже. 

Так с чего начать аудит по "черному ящику"?

 1) Анализ web-сайта организации (пока исключая сканирование).

а) находится на внешнем хостинге или на ресурсах организации. Если на ресурсах организации, то это может дать информацию о других хостах (ip-адресах).

б) контактные адреса, информацию на другие ресурсы, которые есть на сайте.

2) Составление списка социальных сетей сотрудников организации (поиск по месту работу в различных социальных сетях).

3) Серфинг сети для поиска электронных почтовых адресов сотрудников и списка сотрудников.

4) Исходя из первых трех пунктов сформируется перечень:

а) перечень социальных страниц сотрудников исследуемой организации;

б) перечень электронных почтовых адресов сотрудников;

в) списки потенциальных сотрудников организации. Скорее всего из анализа пункта 2 вы уже поняли правило при создании электронных почт, а значит можете воспользоваться сервисами по транслитерации (например, https://transliteration-online.ru/).

г) полученные электронные адреса из пунктов б) и в) можно проверить на предмет утечек по базам данных.

5) Вам осталось придумать текст фишинговой рассылки по электронной почте и собирать результаты.

По итогам 5 (пяти) пунктов вы можете предоставить Заказчику следующие результаты и потенциальные векторы атак.

1) перечень социальных страниц сотрудников. Некоторым Заказчикам мы предоставляли информацию о количество часов в режиме "онлайн" по этим соцстраницам (включая рабочее время). При этом вполне могут быть фотографии в открытом доступе с корпоративных мероприятий.

2) перечень электронных почт и результаты фишинговой рассылки.

3) в случае расположения web-сайта на внутренний ресурсах - карту вектора следующих атак.

4) план дальнейших действий для согласования Заказчиком.

 

 

Контроль параметров внешней среды критически важных помещений

 Когда у Вас один сервер в одной комнате Вам хватит ресурсов наблюдать за ним, но и то вопрос насколько он для Вас критичен.

Причем это ведь не только серверные, это любые другие помещения, которые для Вас критичны.

Например, архивы. Мало ли было случаев, когда архивы были затоплены?

Недавно у нас отключились кондиционеры, жара +40, в серверной быстро стала подниматься температура, сработал алерт на изменение состояния окружающей среды. 

Мы тестировали технологии IoT для мониторинга, но после анализа остановились на стандартном решении Vutlan s.r.o. (ранее известная как – Sky Control), занимается исключительно оборудованием для мониторинга.

 

Мобильный контроль удаленных точек (точки бурения, удаленные офисы, вахтовые автобусы и так далее)

 Добрый день.

Немного воспоминаний: 10 лет назад предлагал одному из директоров-владельцев сети пиццерий контроль сотрудников. Контроль примитивный на уровне вход/выход. На тот момент у него была стандартная карточная система, и его сотрудники (как оказалось это были повара из соседних республик) передавали по очереди все карточки дежурному, а тот их отщелкивал. Кстати владелец хотел биометрию и я предложил "Биолинк", так как на тот момент было два строительных объекта, где мы его внедрили. Почему кстати? Потому что недавно прочел, что собственник "Биолинк" стал главным по ИТ в "Билайн".

Вернемся в текущее:

Из последнего была задача установить контроль сотрудников на всех вахтовых автобусах. После проведенного анализа пришли к выводу, что самое быстрое, эффективное и экономически обоснованное решение - протестировать модуль Perco (СКУД также на Perco). Для информации https://www.perco.ru/resheniya/mobilnyy-terminal-dostupa/, но таких решений достаточно много.

Решение оказалось красивым, так как после дозакупки модуля Perco к ядру системы - решение масштабировалось на все удаленные точки по России. Конкретно для вахтовых автобусов были куплены корпоративные телефоны с NFC (находились у водителей), а сотрудники отмечались по своим картам стандарта MIFARE.

Сейчас мы реализуем историю дальше, инвентаризируем мобильные устройства сотрудников, чтобы авторизация происходила по модели  телефон-телефон. На будущее скажу, что инвентаризацию мы делаем и для реализации целого пласта задач (решения будут очень интересные).

В интернете Вы найдете сравнения решений для мобильного контроля пользователей, у некоторых, помимо NFC, поддерживается технология блютуз. Но необходима ли она Вам?

Пять пороков команды

 Добрый день.

Сегодня за день прочитал книгу Патрика Леонсиони "Пять пороков команды" - советую.

Написано в интересно стиле.

В книге (как очевидно) описываются 5 пороков команды:

1) недоверие.

2) боязнь конфликта.

3) безответственность.

4) нетребовательность.

5) безразличие к результатам.

Одна мысль, показалась мне, не до конца раскрытой.

Героиня книги говорит команде ТОП-менеджмента, что они должны выбрать, что основная команда это команда, именно, топ-менеджмента, а не их подчиненных. Но далее эта тема не обсуждается.