www.mfisoft.ru

Независимый блог об информационной безопасности

среда, 14 сентября 2016 г.

В Сеть выложили базу ФСКН со всех регионов страны


Стало известно о крупной утечке баз данных Федеральной службы по контролю за оборотом наркотиков (ФСКН), где содержится информация о людях, страдающих от алкоголизма, наркомании, а также ВИЧ-инфицированных. Общий вес базы – 67 Гб. База была обнаружена на  форумах в сети.

В открытом доступе оказались данные 60 тысяч людей, которые обращались в наркодиспансер, 16 тысяч записей о ВИЧ-инфицированных из Иркутска. Вдумайтесь, это же открытая книга для шантажистов.

В московском уголовном розыске предположили, что база данных ФСКН утекла в продажу из центрального аппарата ведомства, поскольку в ней собрана информация почти со всех регионов. Причина утечки очевидна – инсайдерские действия.

Как и ожидалось, в связи с кризисом участились утечки конфиденциальной информации. ФСКН расформировали в апреле, и нашлись люди, которые зарабатывают на доступной им информации. Такой сценарий возможен в любой компании, если защита баз данных не выстроена должным образом.

Все организации стараются сосредоточиться на защите периметра, оградиться от хакеров, но большинство утечек – дело рук сотрудников, имеющих свободный доступ к информации. Если контролировать утечку конфиденциальных документов при помощи DLP-систем уже стало нормой, то про защиту информации в базах данных все еще забывают, либо стараются обойтись средствами защиты, встроенными в СУБД. Штатная защита должна быть, но, как показывает практика, она не дает необходимого уровня защищенности и очень сильно зависит от человеческого фактора.

Сегодня существуют специализированные системы защиты, которые не только контролируют доступ к конфиденциальным данным, отслеживают появление новых баз данных, проводят сканирование на уязвимости и помогают в расследовании инцидентов. Утрата базы данных – как и любая страшная болезнь, может повлечь непоправимые последствия — финансовый и репутационный урон. Предотвратить такое развитие событий способна профилактика, и это в силах каждой компании или ведомства. Достаточно внедрить надежную автоматизированную защиту.

вторник, 19 июля 2016 г.

Данные тысяч клиентов авиакомпании попали в интернет в результате утечки

По данным ТАСС, жертвами хакеров стали по меньшей мере 45 тысяч южнокорейцев и иностранцев, пользовавшихся услугами Asiana в последние два года.

Десятки тысяч документов с личными данными клиентов южнокорейской авиакомпании Asiana Airlines оказались в свободном доступе в интернете.

В результате масштабной утечки в глобальную сеть попали сканы паспортов пассажиров, данные об их домашних адресах и телефонах, номерах социального страхования, банковских счетах и близких родственниках

Помимо клиентов Asiana утечка коснулась и компаний-партнеров второго крупнейшего южнокорейского авиаперевозчика, в том числе Lufthansa, Singapore Airlines и ряда других.


Как показывает практика, ситуации утечек баз данных пассажиров не редкость, как в зарубежной, так и в российской практике. В авиакомпаниях нашей страны про информационную безопасность и защиту от утечек - не слышали. Существует программа подготовки в области авиационной безопасности в гражданской авиации Российской Федерации утвержденная приказом Минтранса РФ, но в ней ни слова про обеспечение информационной безопасности.

Причин для такого положения дел много, и одна из них – необходимость защиты информации в гражданской авиации слабо отображена законодательно, например, в законе «О транспортной авиации» всего лишь несколько пунктов, связанных с информационной безопасностью.

Для перевозчика важно понимать, что все данные пассажиров должны обрабатываться только через соблюдение 152 ФЗ «О персональных данных». Это первый шаг к информационной безопасности в авиакомпаниях.


В «пакете Яровой», несмотря на всю его неоднозначность, есть статья, вносящая изменения, касаемо информационной безопасности, в Воздушный кодекс РФ. Это расширение пункта 8 статьи 105. В новом изложении федеральный орган исполнительной власти, уполномоченный в области транспорта, должен предоставлять не только требования к информационным системам оформления воздушных перевозок, но и к мерам защиты информации в них. Надеюсь, это означает изменения не только в технической части, но и дополнение программ обучения сотрудников материалами по информационной безопасности.

пятница, 20 мая 2016 г.

PHDays 2016 Впечатления команды МФИ Софт





17 и 18 мая в Москве проходил Международный форум Positive Hack Days. Одно из самых ожидаемых событий в области практической информационной безопасности. Тысячи специалистов ИБ, представителей вендоров, регуляторов и интеграторов собрались вместе, чтобы обменяться практическим опытом, обсудить основные сложности и совместно найти пути решения вызовов сети.

Команда МФИ Софт на PHDays 2016

PHDays интересны не только практическими докладами в сфере технологий, правового регулирования, разбором практических кейсов и круглыми столами, но и интерактивом, где в полевых условиях проходит «противостояние» хакеров и защитников в режиме реального времени. Залы были буквально переполнены заинтересованными слушателями, каждый смог найти тему для себя.
В этом году в PHDays участвовала целая команда разработчиков, менеджеров и консультантов от МФИ Софт, все они побывали на разных секциях, пообщались с коллегами, узнали последние тенденции, и собрали практические идеи для воплощения их на практике. Мы решили собрать первые впечатления коллег сразу по возвращении, и поделиться ими с вами, чтобы совместно погрузиться в атмосферу этих позитивных дней.

Александр Суханов, эксперт по ИБ МФИ Софт

 Как театр начинается с вешалки, так для меня любая конференция начинается с регистрации участников. На PHDays я первый раз попал в ситуацию, когда меня не смогли найти списках.  Но для разрешения ситуации хватило назвать фамилию менеджера, который нас оформлял. Не спрашивая никаких удостоверений личности, мне сделали бейдж, до сих пор не знаю – это плюс организации или минус.

Вероятно, стоило уделить время игровому противостоянию(CTF) «хакеров» и «защитников», но в этом нужно участвовать, тогда это интересно. Я же приехал послушать доклады, поэтому противостояние не могу оценить. Первое, куда я пошел — круглый стол: «Те, от кого зависит безопасность», где встретились и заказчики, и вендоры ИБ, и интеграторы и регуляторы. Из понравившегося — позиция начальника второго управления ФСТЭК по поводу «формальной безопасности», (когда стремятся лишь формально выполнить требования НПА). За ее появление ответственны заказчики и интеграторы, первых не всегда интересует именно защита информации – это дорого, не всегда понятно и требует большой работы, поэтому предпочитают просто снижать регуляторные риски, в чем всегда готовы помочь интеграторы, что и подтвердил представитель интегратора Владимир Бондарев. Хороший призыв прозвучал от Виталия Сергеевича Лютикова – быть честными, не заниматься «пусканием пыли в глаза», а обеспечивать реальную, практическую безопасность. И заниматься безопасностью ПО надо еще на этапе проектирования, внедрять процессы безопасной разработки.
Коснулись и старой темы – безопасник должен говорить с бизнесом на языке бизнеса, иначе не поймут.

Как всегда на круглых столах, по проблемам ИБ, все сошлись на том, что одна из проблем безопасности – недостаточная информированность, поэтому необходимо совместно разработать простейшие методы информационной «гигиены» и это донести до всех людей, объяснить, что информационная безопасность нужна не только на работе, но и в повседневной жизни.

Еще обязательно стоит посмотреть — доклад Михаила Емельянникова «Безопасность бумажная и техническая: им не жить друг без друга».
В целом, тем, кто не смог посетить советую посмотреть запись на сайте организаторов. 

Основной вывод, который прошел красной нитью большинства докладов – главная инвестиция в ИБ — в безопасников, их образование, профессиональное развитие, лояльность. Именно грамотный специалист ИБ сможет выстроить систему защиты информации в компании, от документации и процессов до выбора оптимальных технических средств защиты, без избыточных трат бюджета компании.

Антон Шкарин, менеджер по разработке продукта  «Гарда Предприятие»

PHDays – это общение и особая атмосфера мира ИБ, это отмечают практически все участники. Порадовало присутствие всех сторон, и вендоров, и заказчиков, и представителей гос.власти.
Главный вывод, который для себя сделал после ряда докладов – российский рынок еще не созрел для аутсорсинга информационной безопасности. Это связано с вопросом доверия и возможности тиражирования услуг. Сегодня ни вендоры, ни заказчики, ни госструктуры не готовы к такому формату работы служб ИБ. В будущем на аутсорс может уйти лишь техническая поддержка.
Понравилась откровенность спикеров, например, один из специалистов по ИБ признал неудачным  приобретение SIEM-системы. Интересно было послушать и хакеров, которые рассказывали о своем взгляде на ИБ, говоря: «Мы взломаем – вопрос времени».

Соловьева Светлана – технический писатель МФИ Софт

На таком масштабном мероприятии я побывала впервые, и это невероятный опыт. Удалось погрузиться в атмосферу информационной безопасности. Понравились доклады о кибербезопасности на английском. Самыми интересными мне показались круглые столы, где одновременно присутствовали и вендоры, и ИБ специалисты крупных компаний. Они обсуждали насущные вопросы открыто, раскрывая сложности, с которыми приходилось сталкиваться на практике и поиски решений. Когда пишешь технические инструкции важно представлять портрет целевой аудитории, на PHDays мне удалось составить живое представление. И даже узнать, что функции блокировки нашего продукта «Гарда Предприятие» — это ноу-хау.

Добрушский Сергей – руководитель отдела разработки «Гарда БД»

Такие мероприятия — это, прежде всего, общение с коллегами из отрасли, возможность посмотреть, чем живут конкуренты, чего ждут заказчики. Интересно было посмотреть на взлом автомобиля и другие интерактивные площадки, где хакеры внедрялись в виртуальные банки, умные дома и другие объекты воссозданной инфраструктуры. Удалось пообщаться с «защитниками», узнать, какими средствами и методами удалось отражать натиск хакеров. Безусловно, полезный опыт.
Из докладов отмечу учебный центр «Информзащиты», где говорилось об устройстве Positive WAF, как работает, что от него можно ждать. И все эти технические тонкости спикер доносил понятным языком.

Долгов Николай – разработчик «Гарда БД»

Мне была интересна практическая часть конференции, всевозможные pen-тесты, расследования инцидентов безопасности, разбор реальных кейсов заказчиков. Все это помогает осознавать многие моменты при разработке продуктов.

Владимир Губернатров – руководитель группы разработки «Гарда Предприятие»

Мне были интересны технические доклады, хотелось подробно вникнуть в тему. Вдохновил доклад Positive Technologies, посвящённый использованию машинного обучения для выявления доменных имен, сгенерированных при помощи Domain Generation Algorithm. Основа метода: взвешенная n-граммная модель (n=4). Веса получаются с помощью генетического алгоритма. Разделители не анализируются. Как вывод - технология знакома и перспективна. Еще мое внимание привлек доклад на тему автоматизированной системы безопасности, основанной на искусственном интеллекте. Разработанная система анализирует JavaScript веб-приложений с целью локализации API EndPoint методов, связанных с аутентификацией пользователей (user_login, user_reset_login и т.п.). Поиск выполняется с помощью обученного векторного классификатора (SVM-support vector machine), как и в одной из версий нашего продукта «Гарда Предприятие». 

 __________________
PHDays стали площадкой для обмена опытом и осознания основных тенденций в сфере ИБ, которые, безусловно, помогли всей команде прочувствовать потребности специалистов по ИБ, чтобы быть на одной волне и оперативно реагировать на новые угрозы, предлагая новые и оптимизированные решения защиты.

четверг, 12 мая 2016 г.

Контроль контролю рознь



Со вчерашнего дня новость о разработке системы перехвата разговоров сотрудников по мобильным телефонам облетела весь Интернет, не говоря уже о прессе. Поскольку описанное решение  вызвало много вопросов, мы просто не могли остаться в стороне. Подведем итоги:


Законность
Перехват и анализ работодателем содержания разговоров сотрудников по мобильному телефону в принципе противоречит статье 63  ФЗ от 07.07.2003 N 126-ФЗ «О связи».
Обеспечение тайны связи возложено на оператора, и вряд ли в интересах какой-либо компании оператор связи пойдет на прямое нарушение закона, позволяя интегрировать в свою сеть какие-либо аппаратные комплексы для перехвата трафика сотовой сети. После такого перехвата и ухода трафика за пределы зоны контроля оператора, он не может гарантировать соблюдения Тайны связи, в частности, выполнение анализа коммуникаций сотрудников исключительно автоматическими системами.
Даже если получено согласие сотрудника на перехват и анализ его телефонных разговоров, остается открытым вопрос обеспечения тайны связи оператором его собеседнику, который никаких разрешений не давал.
Этичность контроля сотрудников
Предлагаемый в статье вариант контроля мобильных разговоров неэтичен уже потому, что охватывает не только корпоративные телефоны, но и все телефоны в зоне охвата. Вероятность перехвата личной информации очень высока. А кто из нас хочет, чтобы прослушивали все личные разговоры?
Если компания хочет контролировать корпоративные телефоны всегда можно использовать более доступные решения, не нарушающие тайну связи. Телефоны можно раздать сотрудникам под подпись, установить туда ПО для записи всех разговоров и обязать сотрудников с определенной периодичностью сдавать телефоны для выгрузки информации. Такой вариант менее автоматизированный, но более доступный и не нарушает личное пространство сотрудников.
Зачем нужен контроль?
На внутреннем уровне (почта, файлы рабочих компьютеров) контроль не только допустим, но и необходим для защиты интересов бизнеса.
Компании осуществляют контроль работы сотрудников не с целью узнать тайны личной жизни, а обезопасить чувствительную информацию от хищения и распространения. Здесь важно осознание сотрудниками ценности этой информации. Во многих случаях мониторинг внутренних коммуникаций – это не только право, но и обязанность компании, та же защита персональных данных, банковской тайны, интеллектуальной собственности и т.п. Сохранность такой информации для сотрудников компании только во благо, так как защита интересов компании во многом и защита его личных интересов, тех же персональных данных. Утечка информации ограниченного доступа чревата серьезным ущербом для компании, который напрямую отразится на всех сотрудниках.
Любой мониторинг деятельности сотрудников должен начинаться с организационных и юридических мер. То есть уже при принятии на работу, сотрудник должен быть оповещен о наличии в компании системы защиты от утечек информации и необходимости использовать ресурсы компании только в рабочих целях.

среда, 6 апреля 2016 г.

ИБ vs IT: смешать, но не взбалтывать



Практические рекомендации по рациональному взаимодействию между службами информационной безопасности и IT.





О том, что IT и ИБ отделы не дружат уже много сказано. Безопасники, с точки зрения IT-специалистов, избыточно усложняют инфраструктуру и мешают всем увеличением количества «бумаг», а при внедрении DLP начинается война интересов.
Такое противостояние связано с разделением ответственности за вопросы, которые прежде были сосредоточены у одного человека. Инициатива внедрения DLP-системы, исходящая не от ИТ- директора, а от ИБ-служб дает ему повод думать, что следить собираются именно за ним.

· Как найти баланс во взаимоотношениях с IT?

Проанализировав ситуацию взаимодействия отделов в ряде компаний при внедрении DLP-систем, мы составили для вас ряд простых рекомендаций, которые помогут установить границы контроля служб IT и ИБ по вопросу обеспечения защиты от утечек данных.

· Исключите возможность доступа IT-специалиста к серверу с DLP

Не провоцируйте системного администратора. Сервер с DLP системой должен быть максимально защищен от прямого подключения. Проведем аналогию с автомобилем. Представьте, вы оставили на общественной парковке открытую машину с ключами в замке зажигания. Что будет дальше, всем понятно.

Необходимый минимум – защита АПК от несанкционированных действий хотя бы на уровне операционной системы, то есть доступ только по паролю высокой степени сложности. Ограничение физического доступа – закрытый серверный шкаф.

· Шифрование трафика между рабочим местом и сервером DLP


Наверняка ваш системный администратор не зря занимает свое место и компетентен в своей области, сможет в любой момент перехватить и проанализировать открытый трафик между сервером DLP и рабочим местом безопасника. Поэтому обмен данными должен производиться с использованием шифрования.

· Не ставьте IT–специалисту агента на рабочее место


Сисадмин, обладая правами администратора и достаточными компетенциями, агента обнаружит и сразу удалит. В итоге контролировать его действия на рабочем месте не удастся, отношения будут испорчены, а информация о контроле сотрудников распространится среди персонала.

· Кодируйте политики ИБ


Помните, что почтой, на которую приходят уведомления о нарушении политик ИБ, управляет ваш системный администратор. Учитывайте, что по названию политик и телу письма можно вычислить контролируемые каналы. Поэтому названия политик безопасности лучше кодировать. Например, политику «контроль USB-носителей» закодируйте как «синица в небе».


И самое важное – найдите с IT-специалистами общий язык, точки взаимодействия, покажите, что контроль информационной безопасности важен для всей компании, и направлен он не против них, а против внешних угроз и утечек конфиденциальной информации.

пятница, 1 апреля 2016 г.

Инновационные DLP-продукты МФИ Софт



«МФИ Софт» заявляет о выпуске дополнительных модулей для DLP-системы «Гарда Предприятие»


Гарда Лояльность — новое слово в DLP


В основе технологии лежат исследования русского физиолога И.П. Павлова по вопросам применения условных рефлексов в формировании лояльности и дисциплины в коллективе.

Система автоматически реагирует на несанкционированный доступ к информации, составляющей коммерческую тайну, и нарушение политик ИБ, подавая на SMART-клавиатуру (входит в новую комплектацию АПК «Гарда Предприятие») ток в 1,5 мА. Такая сила тока минимальна, не опасна для жизни и здоровья человека, вызывает ощущение легкого покалывания на кончиках пальцев, чем мягко напоминает сотруднику о правонарушении, которого не следует совершать.





По данным исследования Nielsen, менее 50% компаний в мире обладают 100% лояльным отношением сотрудников.

Новое решение Аппаратно-программный комплекс «Гарда Лояльность», помогает повысить уровень лояльности на местах. После установки агентов на рабочие места программа не только контролирует действия сотрудника, но и транслирует 25 кадр, в который можно вставить картинку, повышающую лояльность или любое другое сообщение и даже гипнотическую программу.

Эта технология влияния на подсознание была открыта американским маркетологом Джеймсом Вайкири и получила широкое распространение по всему миру. Доказано, что на психическое здоровье технология не оказывает. В DLP влияние 25 кадра фокусируется не на массовое сознание, как во время просмотра фильма, а на личное бессознательное восприятие сотрудника при работе с персональным компьютером.

*Система «Гарда Лояльность» исследована и успешно внедрена в ряд российских компаний.

В целях конфиденциальности названия не разглашаются.


Гарда Космос


Для повышения эффективности контроля информационной безопасности удаленных подразделений, «МФИ Софт» заявляет о планах выпуска дополнительных модулей для DLP-системы «Гарда Предприятие». Новое решение «АПК Гарда Космос» позволяет отказаться от использования наземных линий связи между центральным офисом клиента и филиалами по всему миру. Это особенно актуально для регионов, которые испытывают сложности со связью.

1 апреля 2016 года в 00 часов 32 минуты по Московскому времени в партнерстве с оператором «Космические интеграции» был осуществлен запуск космического аппарата «Гарда-АТ1». Спутник дополнен системой поддержки связи с агентами рабочих мест «Гарда Предприятие», что дает возможность предоставить каждому клиенту индивидуальный защищенный канал связи. Вывод на орбиту нового спутника, на 56 градус восточной долготы, значительно расширил охват действия DLP-системы в Сибири, Дальневосточном федеральном округе и на Урале. По данным ФГУП «Галактическая связь», трафик компаний проходит по шифрованным каналам без замедлений.


Еще одна функциональная особенность решения «Гарда Космос» — система GPS-контроля. В комплектации предусмотрен комплект GPS-меток для отслеживания перемещений. Метки можно установить на съемные носители, документы с грифом секретности и даже в автомобиль, чтобы c помощью спутника фиксировать их местонахождение. В автоматическом режиме составляется карта перемещений и отправляется уведомление о пересечении границ.


Теперь руководитель отдела информационной безопасности может в онлайн-режиме контролировать работу всех сотрудников филиалов по стране с любого устройства с доступом в Интернет.

пятница, 12 февраля 2016 г.

ТБ Форум - как я это видел

Посетил вчера ТБ-Форум. Цели были исключительно рабочие, но удалось совместить приятное с полезным.
Из приятного:

Вот такой суровый красавец дрон


а это оборудование для обнаружения телефонов и "закладок"
Но работе время, а потехе час, так что удалось оторваться от стенда и попасть в 4 зал, где читали доклады сотрудники ФСТЭК.

Презентаций было много, отмечу моменты показавшиеся мне интересными

1. Готовится законопроект для расширения термина "государственная информационная система" вследствие чего приказ № 17 будет действовать на все гос. органы.

2. Ужесточение требований к МЭ, при этом сертификаты на уже внедренные комплексы останутся в силе, а вот производство придется пересертифицировать.

3. Изменение требований к лицензиатам и соискателям лицензии ФСТЭК. В принципе рассказали все то же, что сказано в проекте, но ответили на вопросы из зала:

    - Да. будут проверять внедрение системы менеджмента качества и системы менеджмента информационной безопасности, но получать сертификаты не обязательно, достаточно декларации о соответствии, проверять планируют наличие внедренных процессов и документов.
    - Лицензиатам  с действующей бессрочной лицензией получать новую не придется, но соответствовать новым требованиям надо, иначе лицензию могут отозвать при проверке.

4. Банк данных угроз безопасности, обещали увеличить количество внесенных угроз, советовали активнее пользоваться им при моделировании угроз. Отметили что угроз меньше, чем в подобных банках, но это объяснили небольшим сроком существования и направленностью самого банка данных на гос.сектор, соответственно вносятся только критические уязвимости и уязвимости с высокой степенью риска.

5. Из зала был вопрос про персональные данные, ответом было - "почему нас постоянно спрашивают про персональные данные, мы не занимаемся регулированием данной области, мы занимаемся защитой информации" - странная реакция, учитывая 21 приказ.

После сотрудников ФСТЭК выступал Алексей Лукацкий, который на примере моделирования угроз для BIOS/UEFI, помимо самого моделирования, показал основные проблемы и сложности. Описывать саму презентацию не буду, её можно найти в блоге автора, лично мне понравилось. Также очень понравилась презентация Ильи Медведовского про тенденции в области пентестинга - понравилась как по содержанию, так и по форме подачи материала. Илья обратил внимание что в наше время все чаще информационная безопасность достигается неведением, не знаю - значит не страшно, защищаться не буду. Думаю, что проблема не в области ИБ - люди предпочитают не знать, не думать о рисках вообще. Проще заниматься самообманом, проще оставаться спокойным. Вывод из этого - надо быть готовым к тому, что попытка заставить начальство/коллегу/клиента начать работать с рисками ИБ потребует много сил чтобы "докричаться" через толстый слой песка.