Новая доктрина информационной безопасности

Текст: Официальный интернет-портал правовой информации
Когда увидел новость, подумал: сейчас прочитаю текст, нарежу цитат и выложу в блог. Но ничего примечательного в документе не обнаружилось. Разве что:

Видимо в случае LinkedIn необходимость обеспечения национальной безопасности перевесила.

KIPS Winter Series 2016

Сбылась мечта специалиста по ИБ, я поучаствовал в KIPS 2016. Официальное подтверждение:

Немного скриншотов из самой игры:

Довольно подробно по игре можно прочитать у Алексея Лукацкого.
Не смог не обратить внимание на следующие моменты (понятно, что это всего лишь игра, но все же):

• При максимально возможной прибыли за игру 1.000.000$, бюджет ИБ составляет 250.000$, эх что бы я так жил...
•  - а как же основопологающий принцип ИБ? Не верю, что потратить 50.000$ на ИБ и не потерять не реализации угроз 10.000$ лучше, чем не потратить 50.000$ и потерять на угрозах 10.000$.

ФСБ, банки и все-все-все *минутка юмора*

- Шеф, Федеральная служба безопасности РФ опубликовала заявление, что владеет информацией о подготовке иностранными спецслужбами в период с 5 декабря 2016 года масштабных кибератак с целью дестабилизации финансовой системы Российской Федерации, в том числе деятельности ряда крупнейших российских банков.

- Что ожидается?

- Мошеннические sms клиентам, DDoS и фальшивые публикации в СМИ

- Чем нам грозит DDoS?

- Наши информационные системы будут не доступны в течении какого то времени.

- А банкоматы?

- Они в том числе.

- Мы не можем этого допустить, мы должны сделать шаг быстрее злоумышленников!

(Разговор является вымышленным и не имеет связи с реальным миром).

P.s.

Нотариально заверенный скриншот

С днем защиты информации!

В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации.

Как еще писал Пушкин: "Береги сервер с нову, а честь с молоду". С праздником, коллеги!

П.с. Лаборатория Касперского приготовила нам изумительный подарок: бесплатное участие в KIPS Winter Series (https://wseu.kips.site/), успевайте зарегистрироваться!

Обучение сотрудников

Необходимость повышения грамотности сотрудников в вопросах ИБ зафиксирована в большинстве стандартов.
Например для банков: 382-п

2.12.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают повышение осведомленности работников в области обеспечения защиты информации:по порядку применения организационных мер защиты информации;по порядку использования технических средств защиты информации.

Для любителей ISO: ISO/IEC 27002

7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности
Все сотрудники организации и, там, где это существенно, работающие по контракту должны быть соответствующим образом информированы и обучены, а также регулярно извещаться об изменениях в политиках и процедурах организации, в той мере, насколько это важно для исполнения их служебных обязанностей. (Так же в этом пункте 7.2.2. есть практические рекомендации по применению. Найти текст стандарта можно здесь)

Что можно сделать в своей организации уже завтра:

• Приказом принять инструкцию по ИБ для пользователей. В ней описать основные требования. Всех сотрудников ознакомить с ней под подпись. Теперь, в случае ее нарушения, у нас будет механизм воздействия на сотрудника.
• Издать памятку по ИБ. Это неофициальный документ, в нем в доступной форме описаны все основные требования. Должна быть красочная, в корпоративном стиле. Каждому новому сотруднику выдавать такую в руки, чтобы пылилась под клавиатурой и всем своим видом напоминала, что ИБ это важно.
• Информационные рассылки по почте. Лучше проводить нечасто, раз в 2-3 недели, чтобы глаз не замыливался ими. В них обращаем внимание на актуальные вопросы.
• Личный инструктаж каждого нового сотрудника, при желании с проведением небольшого теста в конце, что бы "страшный безопасник" еще больше запомнился (плюсом бланки тестов с подписью очень весело показывать проверяющим из ЦБ).

По каждому из пунктов, при вашем желании, могу дать рекомендации и привести рабочие примеры.

Семинар Cisco по информационной безопасности 12.10.16г

Пропустить выступление одного из ведущих ИБ-блогеров (Бизнес без опасности) в своем родном городе я не мог.
Ну что могу сказать: как всегда, все на высшем уровне. Рекламы в меру, закуски на кофе-брейке вкусные. Что еще надо для удачного ИБ мероприятия? Ах да, доклады на актуальные темы и великолепный спикер. Можете поверить, все это было. Пересказывать доклады или озвучивать презентации дело неблагодарное, поэтому просто ссылка на материалы.
П.с. не смог удержаться:

Пентест изнутри #3. Проверка выполнения парольной политики

Ранее мы уже установили Kali Linux. Пришло время его использовать по назначению.
В любой организации установлены требования к парольной политике (если нет, то желательно их установить и сделать соответствующие настройки в политике Active Directory.)

Проверить, выполняются ли эти рекомендации на практике нам поможет  инструмент Hydra.

Это ПО для брутфорса учетных записей (в том числе smb). Гидра поможет нам обнаружить учетки типа conferencePC/conferencePC и используемые слабые пароли.

План работ:

1. Выгружаем из AD список учетных записей.

2. При желании грузим из интернета файлы "1000 самых используемых паролей" и т.д.

3. Натравливаем гидру на собственный PC на 445 порт, smb (при необходимости в интернете много подробных мануалов). Отмечаем галки на проверку пустого пароля и пароля равного логину.

!!! Перед сканированием удостоверяемся, что AD не начнет массового блокирования учетных записей после 3 неуспешных попыток подбора пароля.

4. Ждем результатов.

Бонус: немного рекомендаций, которыми можно поделиться с сотрудниками организации:

Ø Никогда не передавайте и не разглашайте Ваши индивидуальные идентификаторы и пароли.

Ø Не используйте чужие идентификаторы и пароли.

Ø Не храните свой пароль на бумаге или в месте, доступном другим лицам.

Ø Используйте сложные пароли.

Требования к паролю: Ø  Не менее 10 символов; Ø  Пароль должен содержать хотя бы по одному символу из каждой группы: o    Латинская буква в верхнем регистре; o    Латинская буква в нижнем регистре; o    Цифра; o    Специальный символ (@,#,$ и т.п.).

Стандарты ISO 270хх

Не буду еще раз разглагольствовать  о пользе международных стандартов: это давно уже не вызывает у кого либо сомнений. На мой взгляд, применять их слепо не следует, но для структурирования собственных знаний они подходят очень хорошо.
На днях нашел отличную страничку, где выложены некоторые стандарты iso 270хх для ознакомления и спешу ей с вами поделиться: http://pqm-online.com/lib/standards/

Пентест изнутри #2. Фишинг своими руками

Фишинг как был так и остается серьезной угрозой для любой организации, в которой используется электронная почта.
Один из способов защиты от этой угрозы это информирование пользователей: предупрежден - значит вооружен. Но как показать сотрудникам, что это не мифическая выдумка отдела безопасности а реальная опасность?

Один из выходов: провести небольшое учение.
План действий:
0. Подготовка: делаем информационную рассылку где описываем опасности фишинга и как отличить настоящее письмо от поддельного. Согласуем с руковдством план учений. Информируем ИТ, чтобы не поднимали паники.
1. Устанавливаем Gophish (https://getgophish.com/). Это фреймворк для рассылки фишинговых писем, позволяющий создавать письма и копии Web-страниц, а так же позволяющий управлять рассылками, и производить мониторинг статуса рассылок. Бесплатно, просто, есть под Win

2. Настраиваем список адресатов рассылки, создаем шаблонное фишинговое письмо:
 >>Добрый день. Высылаем вам акт сверки для ознакомления.  
 >>акт сверки 2016.doc (это ссылка на наш лендинг)
 >>С уважением, 
 >>главный бухгалтер ООО "Рога и Копыта"  
 >>Иванов Иван Иванович

И запускаем рассылку.

3. Теперь если сотрудник перейдет по ссылке, то увидит предупреждение. А у нас на сервере статистики появится соответствующая запись.

4. Анализируем результаты: поощряем виноватых, награждаем непричастных. На что стоит обратить внимание: % поддавшихся сотрудников, % сотрудников сообщивших о странном письме (если это есть в внутренней нормативке), сообщило ли ИТ о факте фишинговой рассылки.

ProTip: все подобные проверки очень желательно оформлять внутренним актом, чтобы через пол года можно было вспомнить что и как происходило.

Конференция «День информационной безопасности», 9 июня, Пермь

Люблю конференции по ИБ: хорошая возможность послушать интересные доклады и пообщаться со знающими людьми. А если при этом рекламы меньше 50%, то это совсем загляденье.

Отдельно хочу отметить презентации по ПДн и по проекту внедрения в ПНИПУ системы защиты от целенаправленных атак (если кто заинтересовался - пишите в приват, вышлю пдф'ки).
Тешу себя надеждой, что когда нибудь и я выступлю на подобном мероприятии с докладом.

PS. Но все это конечно и ерунда, и любим мы ИБ конференции совсем по другим причинам: день отгула и море халявы.

Ваш покорный слуга с выигранной футболкой Касперского

Пентест изнутри #0

Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника.  Ссылка на wiki

В последнее время все больше крупных организаций заказывают услуги пентеста у профильных фирм. Это качественный и объективный способ оценить уровень ИБ на предприятии.  У этого способа лишь один минус: цена (тем более в условиях
непрекращающегося кризиса).
Хорошая новость в том, что основные уязвимости сети можно проверить самостоятельно (плюс это уникальная возможность почувствовать себя хакером и проверить на деле заявления сисадмина о том, что "у него де в сетке с безопасностью полный порядок").
Ранее уже было опубликовано описание одной из часто встречающихся уязвимостей (Пентест изнутри #1). Для проведения более детальных проверок как не крути понадобится спец средство. Им выступит Kali Linux.

Kali Linux - это дистрибутив Linux, в котором уже собрано все необходимое для проведения пентеста. Сразу хочу оговориться, что никаких углубленных знаний не потребуется, все довольно просто.
План действий:
1. Если нет ноутбука или отдельного компьютера под Kali Linux, то скачиваем и устанавливаем Virtual Box (https://www.virtualbox.org/). Это средство виртуализации с лицензией GPL.
2. Скачиваем и разворачиваем Kali Linux. (https://www.kali.org/downloads/)
В сети множество мануалов как все это сделать, так что проблем возникнуть не должно.

ИБ. Общее

Отвлечемся немного от практики и сформулируем, чем вообще должен/может заниматься специалист по ИБ в небольшой организации.
Мне видятся здесь 2 глобальных направления:

• Комплаенс - соответствие многочисленным адекватным и не очень требованиям регуляторов (Роскомнадзор, ФСБ, ЦБ и т.д.)
• "Практическая" ИБ - защита от вирусов, промышленного шпионажа, случайно упавших на пол серверов с единственной копией рабочей базы данных и т.д.

Оба направления мы прорабатываем, чтобы минимизировать риски для бизнеса. Т.е. если к нам придут проверяющие из ЦБ, у нас для них будет с любовью заготовленная папочка с внутренней нормативкой, полностью закрывающей все требования 382-п. То же самое и  в отношении Роскомнадзора с их персональными данными. Проверяющие будут восхищены нашим умением красиво оформлять ОРД и никаких санкций от них не последует. 

Как определить какие требования нужно выполнять и где об этом написано мы рассмотрим в следующих постах. Так же хочется отметить, что вдумчивое исполнение требований регуляторов действительно сильно увеличивает уровень ИБ организации.

85! #неИБ

Наконец то пожал 85 от груди (знаю, что мало, но все равно приятно =) )
П.с.
Присед 90
Становая 115

Пентест изнутри #1

Пентест изнутри - серия записей, описывающая самые частые дырки в сетке.

Начнем с простого, легкого и молодежного.
Наверняка у вас в организации используется Active Directory. Настроен домен , все компьютеры в него включены и главный админ всем этим управляет. Управляет он скорее всего через групповые политики и всевозможные скрипты. И все это богатство хранится на сетевом ресурсе \\dc.local\sysvol\ в открытом виде для всех пользователей домена.

Заходим в эту папку и ищем скрипты, в которых присутствует конфиденциальная информация. Очень часто здесь можно встретить различные пароли на доступ к папкам/БД/сервисам.

Дальше нас интересуют файлы групповой политики, которая устанавливают пароли локальных пользователей.
Находиться они будут где то здесь:
\dc.test\SYSVOL\dc.test{XX-X-X-X-XX}\Machine\Preferences\Groups\
И выглядеть как-то так:

На первый взгляд пароль

cpassword="aZCB6SQBc4vetC+FqeHT/RNuVyOPpGrf/QfvvnvWDEk"

зашифрован, но проблема в том, что Microsoft нам любезно предоставила ключ шифрования, и  расшифровать его никаких проблем не составляет.

Закончив поиск, так и не найдя ничего предосудительного, можете выдохнуть и налить себе заслуженную чашечку чая. Если в ходе исследований обнаружилось что-то лишнее, то найденное необходимо обсудить с IT подразделением и наметить пути решения.

Вирусные почтовые рассылки

Подобными письмами уже никого не удивишь. Как защитить от них организацию?

• Антивирус. К сожалению, это не панацея. Большое количество свежей malware будет проходить мимо.
• Отключение макросов в MS office. Перед отключением стоит убедиться, что никто в организации их не использует.
• Запрет опасных вложений в почте. Запрещаем средствами антивируса или почты вложения опасных форматов: *.exe, *.com, *.jar и т.д. Думаем запрещать ли *.rar и *.zip.
• Делаем резервные копии сетевых ресурсов. Объясняем пользователям, что важные файлы хранить на локальном компьютере не стоит. 
• Используем спам фильтры.
• Повышаем it грамотность сотрудников. Делаем почтовые рассылки, бумажные памятки, где объясняем что такое вирусные письма.
• Запрещаем использование внешней почты. 

Написав список, понял что рекомендации получаются слишком общие =) В следующих постах каждый пункт будет рассмотрен подробнее.

Антивирус

С чего начинается освоение целины построение системы ИБ как не с антивируса.
На 99% он в организации уже есть. (Если антивируса нет, то его покупка станет первым шагом. Так же у вендора можно запросить бесплатное тестирование антивируса, пока идет волокита с оформлением договора и оплатой. Они это любят.).
Проверить как он работает поможет EICAR. Это тестовый файл с сигнатурой, которую определяет каждый антивирус.

• Пробуем загрузить EICAR test file с сайта. 
• Пробуем с внешней почты отправить письмо себе на рабочую почту с вложением EICAR test file.

Антивирус не должен позволить это сделать. Если файл не порезался антивирусом, необходимо разобраться почему.

Далее чеклист что надо проверить:

• базы сигнатур антивируса обновляются своевременно (смотрим дату последнего обновления в настройках);
• пользователь не может сам отключить антивирус (должен запрашиваться пароль админа);
• лицензия на антивирус не пиратская/украденная/не подходит для юр. лица (ищем в бухгалтерии договор на покупку).

P.s. иногда в руки попадается подозрительный файл, на который установленный антивирус не  ругается. Проверить его без регистрации и SMS можно на https://www.virustotal.com/. В режиме онлайн загруженный файл сканируют 50+ самых популярных антивирусов и выдают свой вердикт.

Практика ИБ

Представим, что после очередного совещания, начальство поставило перед вами задачу увеличить информационную безопасность на 13%. (Как показывает практика подобные совещания обычно случаются после того как бухгалтерша тетя Таня удачно открыла вложение .scr из "письма налоговой" о сверке актов).

Админили ли вы эту сетку ранее или только-только окончили вуз по профильной специальности, но что делать вы представляете не особо. Поверхностно просмотрев пару блогов по ИБ, вы поняли, что новости про COBIT, импортозамещение и "тонкости настройки сферической SIEM в вакууме" это конечно полезно, но от вашей сегодняшней жизни пока далековато.

Та-дам! Тут к вам на помощь и приходят мои скромные записки ПОИБ'э. Великие материи вы найдете тут вряд ли, но полезными они оказаться могут.