Архив рубрики: Информационная безопасность

Материалы по информационной безопасности

Versus, который не случился

2 комментария

Идея этого материала была задумана еще в декабре 2015 года. Я решил заделать сравнение критериев нужности DLP. Идея была следующая: сравнить критерии нужности от фокус-группы и самих вендоров. А дальше как пойдет.

У меня есть ряд знакомых (владельцы и директоры) в сегменте SMB, которые готовы ответить на мои глупые вопросы. И я написал в SearchInform, Infowatch и Solar для получения их точек зрения. Конечно, я бы мог просто воспользоваться инсайдом, т.к. у меня было все по этим продуктам от прайсов до гайдов «как засрать конкурента на пресейле», но рядовой потребитель всего этого не видит, и поэтому было бы не совсем честно.

А тут еще и во время ежегодной традиции меня спросили за DLP:

Михаил:

Добрый день, Дмитрий. Подскажите пожалуйста: мы сейчас выбираем между DLP Серчинформ и Инфовотч. Не понятно, что лучше. Сделайте пожалуйста сравнение/обзор с блоге.

Мы банк, пользователей 1200. Хотим реально работающую систему!

Дальнейшая судьба этого материала… тлен и безысходность.  И дело не в том, что из 3 вендоров материалы прислал лишь Солар. Инфовотч обещал, но так руки не дошли, а Сечинформ сразу на хуй послал. Кстати, спасибо всем, кто уделил мне время. За полтора года я и не сподобился довести начатое. Весь год провел в состоянии – я бегу, а волосики назад.

Поэтому расписываюсь в собственном бессилии довести аналитику до конца. Ну, скучно же писать про умирающий рынок. Поэтому решил поделиться с вами данными по фокус-группе.

Кстати, если вдруг вам интересно мое мнение – то надо брать Infowatch. Очень уж все в выборе свелось к вкусовщине, а раз так – то Infowatch.

Что думает бизнес?

Итак, знакомимся с фокус-группой. Я не стал уж брать что-то энтерпрайзное, там ответы понятны. Нужно, но либо уже есть, либо денег нет.

Олег. Владелец и директор сети ресторанов.

Катя. Топ-менеджер крупного дистрибьютора по физбезопасности.

Даша. Финдиректор небольшого технического вендора.

Петр. Владелец консалтинговой фирмы (с уклоном в юридические аспекты).

Роман Т. Учредитель ИТ-вендора.

Антон. Инвестор, владелец компаний в разных сферах.

Лена К. Учредитель небольшого интегратора.

Лена Л. Руководитель отдела закупок крупной строительной фирмы.

Роман З. Начальник отдела закупок в дочке Транснефти.

Максим. Владелец группы компаний в ИТ и ИБ сфере.

5 из 10 респондентов относятся к миру ИБ и ИТ.

Из 10 человек:

10 из 10 –знают о риске утечки конфиденциальной информации.

4 из 10 – считают, что надо контролировать сотрудников в части информации, которой они обмениваются (Олег, Катя,  Роман З., Максим).

9 из 10 – готовы поставить какую-нибудь программу для контроля рисков утечки конфиденциальной информации.

3 из 10 — считают, что ущерб от утечки конфиденциальной информации будет серьезным или фатальным для бизнеса (Катя, Даша, Роман З.).

1 из 10 – не хранит конфиденциальную информацию на компьютере.

3 из 10 – слышали о системах класса DLP.

1 из 10 – применял программы для контроля над сотрудниками (Катя).

7 из 10 – хотели бы знать, что о них говорят подчиненные.

1 из 10 – знает о возможной ответственности за вмешательство в личную жизнь и тайну переписки (Петр).

10 из 10 – главным фактором выбора DLP считают цену, вторым – полный сбор со всех каналов утечки.

7 из 10 – достаточно реактивного реагирования на инциденты.

6 из 10 – искали бы инциденты по ключевым словам (4 из 6 – хотели бы, что бы еще слова искались в разных формах и падежах).

10 из 10 – при выборе решения смотрят на референсы инсталляций и благодарственные письма.

1 из 10 – проверяет достоверность информации о референсах.

Вот эти люди должны были с помощью двойного слепого метода оценить критерии наших DLP вендоров. Но сделают это в какой-нибудь параллельной вселенной.

Пока.

Сертифицированная Windows для ЗПД

2 комментария

Как мне тут правильно подсказывают – слишком много Лукацкого в ленте. Но что делать, если Алексей у нас главный ньюсмейкер. Но желание публики – закон. Поэтому слушайте историю про персональные данные.

Позвонил мне хороший друг, начальник поибэ в немаленьком банке. И говорит – «Димон, я тут СЗПДн инвентаризирую. ИТ-шники хотят нам передать на баланс, помоги разобраться, что нужно, а что нет.»

Через матюги с шутками выяснилось, что 3 года назад компания SoftLine сделала им систему защиты персональных данных. Сроки поддержки все вышли, а с купленными СЗИ надо что-то решать. И самый большой вопрос встал по сертифицированной винде. И проблема не в том, что решение просто купили и не внедряли. Вопрос – как все так сделать, чтобы хоть как-то было похоже на правду.

Хоть я сам не брал сертифицированной винды в руки уже пару лет, пришлось стряхнуть пыль с закоулков памяти.

Преамбула заключается в том, что сертификацией винды у нас занимается одна компания «СИС» или «Сертифицированные информационные системы». Процедура следующая – вы отсылаете заявку в СИС или дистика (который все равно делает все через СИС), прикладываете денюжки, дистрибутив и подтверждение легальности приобретения продуктов Microsoft (думаю, мало что в процедуре изменилось).

Самая засада с дистрибутивом — он должен быть на диске. Нет диска — вам сертифицированной винды не видать. Все это уезжает на 2 недели в СИС (или 6-8 недель, если через дистика) и приезжает обратно к вам с комплектом бумаг и еще каких-то дистрибутивов.

Если заглянуть в прайс-лист (о, чтение прайс-листов – отдельное искуство), то глаза разбегаются и ни хера не понятно, что же надо взять, чтобы нормально сертифицированную винду приобрести.

Запоминайте.

Гайд по ориентированию в прайсе сертифицированной винды

Предположим, вам надо установить сертифицированную винду на вменяемое количество машин, хотя бы 10-15. Если у вас меньше, можете смело лишние пункты почикать.

  1. Находите нужную версию винды (обычно на 1 поколение назад от текущей версии, например, 10 сертифицировать нельзя) в прайсе, и выбираете Базовый пакет для сертификации. Можно взять и Полный пакет, но я за 5 лет отличий шибко не уловил, да и попал один раз. Была у меня спецификация (в январе сделанная, ага), а как до закупки в ноябре дошло, так мне не смогли полную версию отгрузить. Сертификат тютю, просрочился. А у меня госконтракт.

Берем по количеству машин.

  1. Вам необходима лицензия на контроль сертифицированной версии ОС. Это такая приблуда, которая проверяет установленную версию винды на отклонения в настройках. Также берете по количеству машин.
  2. Лицензия модуля анализа уязвимостей. Хз, как щас. Раньше ее не было, или была, но не нужна была. Для меня это позиция для выкачивания денег.
  3. Обязательно не забудьте про сертифицированный ключ для получения обновлений. Хватит 1 шт.
  4. Дальше пойдут у вас непредвиденные расходы. Вы для чего винду берете? Для аутентификации в основном, чтобы не городить секретнеты с далласлоками. А что у нас является главной дырой на локальной машине? Локальный админ. Вроде без него никуда, если что. А кто выше локального админа? Доменный админ. Очевидно, чтобы не бегать и не менять раз в месяц пароли локальных админов, сертифицированная винда должна быть в домене. Также очевидно, что она должна быть в своем домене, обычный не подойдет. Смело записывайте в спеку 3 штуки серверной Windows. 2 под контролеры домена, 1 под WSUS (или как он там щас называется?).

Кстати, именно в WSUS воткнете свой ключ для обновлений.

  1. Но и это еще не все. Т.к. вы поставили серверную составляющую, будьте добры купить лицензии на клиентский доступ. От такой наглости бюджетодержатели вконец охуевают. Да и сами сотрудники СИС и дистиков не всегда в курсе темы, но, судя по всему, лицензии на доступ покупать надо. У меня и письмо где-то было от Microsoft. Главный камень преткновения – сколько комплектов лицензий брать: 1 (на всех) или 3 (по количеству серваков). Тут уже насколько бюджета хватит.
  2. А если совсем денег девать некуда – то можете поставить себе еще NetCheck. Это то же самое, что Check (см. пункт 2), но по сети.

Как получите все добро, можете начинать устанавливать по официальным правилам :) Но это уже другая история.

Понравилось про прайсы? Пишите в комментариях.

Лебединая песня

Добавить комментарий

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов для этого сезона. И для затравочки у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем — самое слабое место всего проекта. Для битвы нужна полярность мнений. А ее зачастую нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое, т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, чтобы получилось шоу. Думаю, никто бы не захотел слушать – «я согласен», «аналогично». Короче, с темами бывают проблемы.

И тут, значит, будут говорить про Черных Лебедей. Надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, чтобы быть готовыми ко всему. Но просчет различных сценариев — это плоть от плоти безопасности (даже бумажной). В мире много организаций, имеющих планы на любой случай, и они почти не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку на более или менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А, может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций — вещь такая. Сам Талеб больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там, инопланетяне прилетят). Вроде для этого не нужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока живем в парадигме конфиденциальность-целостность-доступность.

Так что будем посмотреть. Приходите все завтра.

UPD: С точки зрения обсуждения черных лебедей – мероприятие провалилось. Участники и ведущий либо не дочитали, либо не поняли Талеба. Грустно.

Что в имени тебе моем?

3 комментария

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент все мои мысли занимала карьера, а главным ее мерилом воспринималась занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот уж где мог скрываться кто угодно — от заместителя до подносчика кофе.

И, значит, пошел я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, чтобы в должности висело – руководитель. В итоге вписали меня как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая: чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность: чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый, кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более или менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по-взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

Как видно, умные люди, думают одинаково.

Всего вам доброго.

Игроки рынка ИБ и таксисты

1 комментарий

Надо сказать, я очень люблю наблюдать в динамике различные отрасли. Так, чтобы лет 15-20 смотришь, а потом вспоминаешь – эка раньше было. В основном это что-нибудь совсем бытовое, например, таксисты. Думаю, каждый с ними сталкивался.

О, эти разбойники пассажирских перевозок. Таксисты всегда были обманщиками, во всяком случае те, кто занимался перевозками на периодической основе. На моей улице 3 остановки, на двух из них стоят частники и чего-то ждут. Лет пятнадцать назад у них было море работы, до метро можно было доехать и за 50 рублей, и за 300. Сейчас их бизнес подзахерел, но они все равно стоят, мб еще кого-то возят.

Но таксисты совсем не заменимы, когда ты в чужом городе. Во-первых, ты в командировке и богатый парень, можешь форсануть. Во-вторых, ты просто не знаешь маршрутов быстрой передислокации. В-третьих, хотелось бы еще и что-нибудь о городе узнать, и таксист не самый плохой вариант.

Собственно, я этого бы не писал, если бы не столкнулся с совершенно новым для меня явлением в такси. Случилось это в Петрозаводске, где я решил встретить Новый год. Заказали трансфер, нас встретили и довезли. Смотрю, парень вроде нормальный – говорю, дай телефон, мы будем много ездить, нам хорошо и тебе легче.

Надо сказать, что это стандартная практика – выбираешь 1 водилуи мотаешься с ним. Помню, я как-то из Мурманска в Полярные Зори 400 км ехал на такси, ехали часов 5 или 6, зимой в ночь. Так этот же парень нас и забрал оттуда через два дня. Покатались хорошо.

И тут, значит, разложили вещи, хотим покататься. Звоню. Говорит, я на вызове в другой части города. Ну, ок. Через некоторое время еще раз попробовал. Опять то же самое. Оказалось, в Петрозаводске все таксисты сидят на зарплате. Диспетчер принимает звонки и распределяет их водителю, а у него в свою очередь план, который он должен в смену выполнить. Я-то с таким не сталкивался, для меня таксист – свободный волк на охоте.

А тут – план. Но все цивильно, даже карточкой платить можно.

И этой бы истории не было, если она не была обрамлена еще двумя фактами. Когда мы собирались уезжать в Москве из дома до вокзала, захотел вызвать такси к определенному времени. Яндекс-такси в этом не помог, т.к. у него можно максимум за 15 минут время поставить. Поставил Убер и заказал машину к назначенному времени. И началось. Во-первых, он опоздал на 20 минут. Ехал откуда-то с Лосиноостровской. Во-вторых, врал, что едет к нам, хотя вез другого клиента. В-третьих, включил счетчик на подъезде к нам, и стартанули мы со 20 рублей. Я был уже мыслями в отпуске, не стал мандиться и просто поставил ему 3 звезды.

Второй случай произошел уже по приезде. Посмотрел, сколько стоит в Яндексе – выходило 500-600 рублей. Неспешно выхожу, вытаскивая чемоданы. Стоят два бомбилы, предлагая подвезти. Спрашиваю – сколько? О, это любимый вопрос бомбил в аэропортах и вокзалах. Есть целый спектр кидалова о невнятно сказанных суммах. Получил классический вопрос – сколько дашь? Говорю, 500 рублей. И получил волну ненависти с общим посылом, что только заехать на площадь перед вокзалом стоит 300 рублей. И за каким хером ты тогда спрашивал, сколько я дам? Чтобы поторговаться? Или что? Так и остались они стоять на пустой платформе, а я доехал за 550 рублей.

Hvor kan jeg købe Levitra billigt online, og hvordan bestiller jeg det uden recept? Køb levitra på apoteket læs med og få alle relevante svar her!

Таким образом, можно выделить следующие виды таксистов:

  • Обычные таксисты. Чаще всего работают с диспетчером, но сами себе волки. Если ничего не остается, работают с Яндексом или Убером, которые их тиранят как хотят, но деваться некуда.
  • Зарплатники. Водители на зарплате. Не прочь подзаработать, но диспетчер главнее.
  • Бомбилы. Грабящие людей на вокзалах и в аэропортах. Готовы целый день простоять, но меньше, чем за 3 000 не поедут. Поджидающие людей неопытных, туристов и с временной потерей концентрации.

Вы спросите, а при чем тут информационная безопасность? Так ведь наш рынок – просто калька с таксистов.

У нас есть свои бомбилы. В основном это крупные интеграторы, которые «не хотят связываться с маленькими проектами». У них же большой штат дармоедов, и им непременно нужны проекты на десятки миллионов рублей. Вот и сидят они в ожидании, когда что-нибудь такое свалится. Сюда же относятся всякие крупные вендоры с непомерным ценником за сомнительные функции, например, SAP. Но этот путь хиреет, т.к. ничего нового не появляется. Да, некоторым вендорам везет отхватить денег, но если копнуть ближе – 80% суммы там закупка иностранного железа с софтом.

Vi sender indenfor 1-2 hverdage med fri fragt og tracking. Medicin på abonnement Levitra generisk online i Danmark den seksuelle forstærker mod erektil dysfunktion. Køb pris Cialis Soft Tabs 20, 40 mg direkte online, Cialis pris Soft får dig til at glemme alt om et sådant problem som erektil dysfunktion.

Есть у нас и свои зарплатники. Среди интеграторов – это карманные интеграторы каких-то структур, отечественных или западных. Они могут быть сколько угодно разными в размерах от огромных до микроскопических. У них в принципе все хорошо, заказы идут, они работают. Правда, неожиданно могут какую-нибудь реструктуризацию устроить или продать нафиг. Среди вендоров это выражается в явной нацеленности на конкретного заказчика. Допустим, вы продали Газпрому свои шлюзы с VPN – и будете продавать их вечность. И уже пофиг на качество и все такое. Грузите апельсины бочками (с).

Ну, а с обычными все понятно. Это среднестатистические вендоры и интеграторы. Как все. Где-то конкурс отожмут, где-то бочком пройдут. Работа кипит. Красота.

На этом все. До новых встреч.

Что мне нравится в информационной безопасности?

Добавить комментарий

Меня часто упрекают, что мне ничего не нравится, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, чтобы их можно было исправить. Чтобы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего — вот вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что у них получится.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях в это году, только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверное, потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли, провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

Наверняка я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

«Быть PS». Как обманывают вендоры ИБ, и каково ваше место в данном обмане (+кейс)

2 комментария

Здравствуйте, мои маленькие любители пресейла. Сегодня у нас глобальная тема – про обман. Если говорить более конкретно — о том, как вендоры обманывают заказчиков и вашем месте во всей этой схеме.

fraud

Необходимо заметить, что под вендором я здесь понимаю не каких-то конкретных злых людей, а вcю совокупность процессов и факторов, в этом вендоре происходящих. Корни этого обмана, конечно, лежат в людях, эти процессы выполняющих, но вклад их такой ничтожный, что кого-то выделить крайне сложно. Наверное, наибольший вклад вносят сотрудники рекламы, маркетинга и прочих отделов «бизнес-консультирования».

Кстати, рекомендую освежить нашу дискуссию в «Открытой безопасности».

Начнем с диспозиции. Вы — пресейл в интеграторе (а это единственное место на рынке, раскрывающее всю суть пресейла, пресейл в вендоре – крайне зауженный специалист), и ведете проект по продаже системы информационной безопасности. Ваш заказчик имеет большую поповыносящую проблему (БПП) (иначе зачем ему вы?), и так вам доверяет, что о ней вам сообщает (или уже отчаялся ее решить и рассказывает о ней всем).

Вы, прикинув бюджет и маржу (см. главу – Продажа), сообщаете бюджет и обрисовываете общие контуры решения. Получаете ок и идете дорабатывать техническое решение.

Отступление: понятно, что вы не просто так взялись за БПП – вы слышали, что у вендоров А, Б и В порознь был нужный функционал, и, если их скрестить, то можно получить нужный результат. Разумеется, вас осенило, это божественное прозрение. Иначе бы этот БПП решило какое-нибудь ООО «Солнышко» еще два года назад, поскольку они только и умеют, что винду устанавливать. А вы серьезный интегратор.

Вы общаетесь с вашим техническим отделом, они подтверждают, что тоже слышали о таком функционале, но сами не видели, надо уточнить у вендоров.

Вы бросаетесь звонить по вендорам, пройдя через дурацкие вопросы «а кто заказчик?», «а сколько денег?», «а когда поставка?», вы получаете подтверждение и радостно пишете КП. В это время заказчик рапортует о близком избавлении от БПП вверх по лестнице. Организуется тендер, на котором вы — единственный участник (т.к. дураков больше нет), и подписываете договор.

Вы передаете проект в техотдел и поздравляете себя с выполнением квоты. И тут начинается всякая ебала. Сначала выясняется, что вендор А нужный функционал реализовал лишь в тестовой версии, а в пром это выйдет в следующем году. Вендор Б реализует стандартный функционал на редком и устаревшем оборудовании, которое сейчас не купить. А вендор В вообще пиздит в своих материалах, на конференциях и партнерам, чтобы не отставать от конкурентов.

Дальше варианты развития проекта различны. Но вы и заказчик точно в роли проигравших. Суть в другом: каждый из этих вендоров обманул заказчика. Причина этого кроется в схеме коммуникаций:

fraud_scheme

Как видно, основная коммуникация: ответственный за проект – пресейл – продукт-менеджер.

В сущности, пресейл и заказчик введены в заблуждение продукт-менеджером, который, в свою очередь, обманут внутренними подразделениями вендора. О том, как реально работает что-то, знают лишь разработчики, но их никто не понимает. Маркетинг, пиар и реклама обеспечивают информационный шум, им вообще пофигу, что как работает. Главное — «держать долю рынка». Не редко они приходят с идеями написать какую-нибудь неебическую фичу, чтобы уделать конкурентов из ПАО «Гипер-звук» (ну, и в журнале модном напечататься, куда ж без этого?).

Сейлы давят на менеджеров и разработчиков, чтобы план выполнить. Им, кстати, тоже пофигу, как оно работать будет, особенно если сумма в миллионах. Менеджеры по развитию вообще витают в облаках своих влажных мечт об идеальном продукте, и как они будут в блоге писать о тернистом пути его достижения.

В итоге вендор под лозунгом «главное ввязаться в войну, а там посмотрим», будет убеждать, что все будет в ажуре.

В интеграторе в принципе та же фигня, только еще хаотичней. В итоге, нифига не работает, а крайними остаются пресейл и ответственный за проект. А БПП так и остается БПП.

Количество заявленных и неработающих функций на рынке просто зашкаливает. Можно было бы привести примеры этого года, как уважаемые интеграторы тянут волынку в уважаемых топ-заказчиках. Но у меня есть пример проще, который наглядно иллюстрирует всю схему.

Пример

Потребовалось мне провести расчетную экспертизу по строительству. Чтобы не лазать по всему интернету за документами, мой выбор остановился на системе «КонсультантПлюс» и их информационном банке «Строительство».

«КонсультантПлюс», будучи вендором, продает свои решения через дистрибьюторов, которые осуществляют клиентское сопровождение и прочее. Меня переправили к дисти, который подтвердил мне требуемый функционал, и с которым я и заключил договор.

В ходе эксплуатации оказалось, что «КонсультантПлюс» нагло наврал в своей рекламе, что у них есть требуемые документы. Если кому интересно, вот скрин с их сайта:

consultant_ru2

В общей сложности у них выявилась недостача 3192 документов – 2008, 2011 и 2014 годов, которые вендор на голубом глазу предложил получить у дисти в частном порядке. Как видим, даже «самая полная база правовой информации» сделает все, чтобы продать свой продукт.

Компенсировать затраты «КонсультантПлюс» отказался.

Такие дела. Берегите себя.

P.S. Кстати, оказалось, что у КонсультантПлюса нет тикетной системы, вы никогда не узнаете статус вашего обращения, если не будете названивать туда каждый день.

consultant_ru1

НСПК на крючке у АНБ?

Добавить комментарий

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом что-то мне показалось очень неправильным. Всем известно (да и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати, единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, чтобы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется крайне плачевная ситуация. Ведь что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции, мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России теперь под колпаком у США. Так мало того — инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все вышеизложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь, официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

Книга «Быть PS». Глава про конференции

4 комментария

Что-то поднадоело писать про ИБ. Что не напишу, так сразу кто-нибудь обижается. Таит или изливает обиду, тем самым увеличивая негатив в мире. А я, как постигающий дао, не могу допустить распространения порчи в мире. Поэтому вернусь к старым делам, сегодня очередная глава про pre-sale.

Неделю тому назад у меня выдалась крайне насыщенная программа по выступлениям. Вначале, в среду, мне надо было побыть филлером на конференции (а вернее выставке) Infosec-2016, а в середине дня я узнал, что на BISA-Summit мне тоже надо выступить, т.к. я что-то там выиграл (кстати, всем спасибо, кто за меня голосовал).

Надо сказать, что конференции в вашей карьере будут происходить часто, и вам надо определиться с вашей ролью там.

На каждой конференции (выставке) есть три основных темы (направления), за которыми туда приходят люди. Эти темы практически не пересекаются, и у вас вряд ли получится их совместить. А если и получится, то эффект будет минимальным по всем направлениям.

Первое, зачем приходят на конференции – узнать что-то новое. Сюда же относится промышленный шпионаж, воровство идей, подглядывания, подсматривание и т.п. 90% посетителей конференции сидят в залах на выступлениях и круглых столах. Посетители по расписанию выходят на обед и кофе-брейки и редко отступают от намеченной программы. Расстроить посетителя легко – достаточно не дать ему того, что он ожидал.

Второе направление – пиар. Как личный, так и продукта. Крайне желателен хайп, а еще лучше ввязаться в какой-нибудь срач. Самый затратный путь – надо либо купить место под стенд, либо навязаться в программу мероприятия.

Последнее направление я называю ФБД — «фиготня больших дел». Самая скрытая часть любого массового мероприятия. Сложно даже четко описать ФБД. Она как дао, проще сказать, чем дао не является. Например, точно ФБД не является общение вип-менеджеров в вип-комнате и на завершающем фуршете на глобальные темы. Ее затрагивать сейчас не будем, мб потом. Вы сами поймете, когда будете заниматься ФБД.

А теперь, дорогой друг, рассмотрим возможные роли, сценарии поведения и потенциальный профит от каждого сценария.

Посетитель

Самая распространенная роль. Посетитель — это аналог анонимуса в интернете. Анонимус силен, ибо имя ему легион. Самая лучшая роль, чтобы что-нибудь вынюхать, представиться псевдо-заказчиком, задать «неудобный вопрос» и т.п.

Разумеется, вас не должны знать в лицо. Так что, если вы человек известный в узких кругах, используйте другие способы добычи информации (здесь ссылка на главу о добыче инфы).

Например, пока я занимал 20 минут эфирного времени на Infosec, в первый ряд сел Андрей Прозоров, который последнее время тоже пытается заниматься экономической оценкой. И стал задавать наводящие вопросы. Разумеется, я ушел от ответов, потому что:

  • Выступление было не про методы, а про подходы;
  • Андрей работает в коммерческой организации и выведывает информацию чопорно;
  • И зачем мне плодить конкурентов?

Минусов у посетителя тоже хватает: вас, скорее всего, не покормят и не нальют. Вам не займут местечко в зале с крутой демонстрацией, не позовут в круг Элиты потрындеть о высоком и т.п. Зато можно несколько раз подходить за какой-нибудь нужной халявой – ручки, блокноты, календари и т.п. Ну, и лишний выходной никто не отменял: большинство конференций можно обойти за 10 минут и свалить.

Стендер

Это роль человека, который стоит на стенде, отвечает на вопросы, рассказывает о продуктах или услугах и т.п. Эта роль подходит не всем, я знаю нескольких человек, которые делают это очень хорошо. Я два раза пытался – это было форменное мучение.

Из плюсов: можно завести кучу случайных знакомств и провести день в компании с симпатичной девушкой (их стали все чаще приглашать на стенды).

Из минусов: полностью убитый день (если вы, конечно, не претесь от этого) и невозможность совмещения с другими ролями.

На той же BISA видел скучающего Максима Лагутина, все хотел подойти, но как-то не получилось (Максим, кстати, отчет так и не пришел по SiteSecure).

Спикер

Вы выступаете с докладом или презентацией. Все просто.

Две возможности просочиться – либо вы проплатили стенд, и доклад входит в ваш пакет, либо вы такой очешуенный специалист, что организаторы вас сами позвали (но чаще вы просто блогер или медийный персонаж, и выступать — ваша обязанность).

Крайне сомнительная роль. Пригодна разве что для напоминания о себе. Будете рассказывать о продукте, либо скатитесь в джинсу и вас не будут слушать, либо в какое-нибудь теоретизирование, где ваш продукт замылится за глобальностью темы. 95% коммерческих докладов, которые я слышал, провалились.

Из плюсов: пустят поесть в пресс-зону, а благодарные посетители не дадут вам скучать целый день.

Из минусов: ваш провал запомнят и будут обсуждать еще пару дней, практически исключает ФБД.

Например, на BISA многие ждали секции «Agile в ИБ» от Алексея Лукацкого. Я даже отставил бокал с вискарем и приятную беседу, чтобы успеть к началу. К удивлению всех, Алексей начал секцию со слов «Я решил не разговаривать сегодня про agile» и начал брейн ринг с кучей «интересных вопросов». Наверно, фанатам Алексея это понравилось.

agile_sec_lukatsky_1

agile_sec_lukatsky_2

agile_sec_lukatsky_3

Как ни печально, но ребята, что на виду, редко что-то могут предложить или сделать для ФБД. Часто это профессиональные выступающие, а с выступающего взятки гладки. Он не принимает решений и редко участвует в их реализации, т.к. все его время занято выступлениями. Очень жаль.

Сейл

Отдельная глава о сейлах. Вообще, это странная роль для пресейла, т.к., в лучшем случае, на конференции пресейл может поддержать продажу или проект, этакий очередной раунд переговоров в нестандартной обстановке.

Собственно, для пресейла эта роль вторична к какой-то другой.

Ищущий работу

Удивительно, но много людей ходят на конференции, чтобы сменить место работы. Получается в основном у не-технических специалистов.

Алгоритм прост:

  1. Как можно чаще выступать на конференциях, как независимый эксперт.
  2. Тереться по всем конференциям и выставкам, чтобы запомнили в лицо.
  3. Участвовать во всех афтер-пати и заводить знакомства.
  4. ….
  5. PROFIT

Адепт ФБД

За все хорошее, против всего плохого

2 комментария

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.