Архив метки: HP ArcSight

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец, я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает ….

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Так же у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

 

Миша:

Где и кем сейчас работаешь?

Сейчас можно охарактеризовать род моей деятельности, как – предприниматель, блогер, консультант.

 

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да не без косяков, но у кого их нет? Я рассматриваю это, как бесплатную помощь. Если косяк имеет место быть, парни поправят. А если это пустая болтовня, отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Дальше, Андрей ушел от ответа, под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

 

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

 

Александр:

Привет. Очень нравиться твой блог. Всегда читаю, но, вот, выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» — еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да, и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

 

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте, ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей, ввиду каких-то внешних причин, был в измененном состоянии сознания, и увидел в констатации факта – личный наезд. Уж, что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт – анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать, у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

 

Борис:

Что плохого в безопасниках «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и как стадо хомячков пошли разносить чуму по Европе. Потом глядь, тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

 

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И, нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии, и очень интересны, конечно. Конфликт должен приносить пользу, хотя бы деньги.

Вот, Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

 

Аноним:

Так ты в Positive Technologies или нет?

Нет.

 

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду, последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

 

Bollard:

Привет. Хочу задать несколько вопросов к твоей традиционной вот уже 11 летней рубрике.

1)Почему не заведёшь twitter, было бы удобнее тебя там читать?

2)Почему вендоры и коллеги обижаются когда ты говоришь правду? Они ходят в каких-то розовых очках что ли?Вот твой последний пост о версусе ресурсов, да и о версусе специалистов. Ведь всё правда.Всё так и видится. И примеров просто полно. Достаточно взглянуть на сайты «вендоров №1», заброшенные пятилетние блоги, аккаунты в различных соцсетях и прочее, отсутствие форумов или замена их гугл группами (при импортозамещении-то). Что им мешает иметь такое же видение (предубеждения, пороки, непрофессионализм)?

А, он есть. Просто твиттер оказался такой неэффективной площадкой, что я просто сделал туда редирект с фейсбука. Неудобно ни постить, ни читать.

Почему обижаются? Ну, у меня есть теория на этот счет. Поибэ это такой междусобойчик, закрытый от всех других областей. В нем не принято, сильно выносить сор из избы. Скажем, один известный эксперт, занимающийся теперь вдруг новым направлением экспертизы еще в 2010 году – был туп как пробка по ЗПД. Об этом мне сказал, мой генеральный директор, который в безопасности не понимал вообще ничего. Но эксперт-то известный. По телеку показывают, вроде двигает Иб в массы.

Вся «компрометирующая» информация у нас всегда гуляла в кулуарах. За последний год, я узнал столько о топе поибэ, что просто диву даешься, как они еще могут людям в глаза смотреть? Прямо, вот, в каждого вендора/интегратора в фейсбучке тыкай, такое всплывает.

И, весь этот «компромат» рассказывался либо на пьянках, либо заказчикам. А тут, видите ли Дима, рассказывает что-то не особо приятное. Ату его!

Фокус в том, что ничего компрометирующего я не говорю. Я вообще, как тот жираф, который всю ночь смеется над анекдотами. Но ввиду отсутствия других видимых раздражителей, все агрятся на меня. Ну, не будет же компания А агриться на компанию Б за чернуху, ведь компания А поступает точно так же.

А, на этом все. До следующего года.

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

У Камина: групповое чаепитие

На удивление получил много положительных отзывов на новую рубрику, поэтому решил продолжить. Использую все тот же сайт Jet Info, т.к. там много всякого пишут. Решил поискать материал для чтения и не смог выбрать. Поэтому сегодня сборная солянка.

fireplace_main

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

Сравнение SIEM-решений для построения SOC

Статья от Тимура Ниязова как раз под SOC- forum. Материал позиционируется как сравнение. Замечу, что методологически статья построена очень хорошо.

39_1

Но остается ряд сомнений (стать очень уж большая):

  1. Неужто компания Джет знает лучше Гарднера, какой SIEM обладает какой функциональностью? ArcSight по Гартнеру даже не второй, а третий или четвертый. Но он первый, хотя и с небольшой разницей. Нет ли тут аффилированности с одни вендором, строящим свои решения на ArcSight? ;)
  2. Цитата: Ввиду малой распространенности на рынке России и СНГ таких продуктов как Splunk и LogRhythm мы решили не рассматривать эти платформы в нашей статье.

Оу, но оба эти решения выше выбранного вами RSA

Понятно, что статья коммерческая и заказная, вопросов нет. Но почему в таблицах ArcSight идет в середине списка, а буквально в самом начале есть перечисление, где он первый в названиях, отсортированный по алфавиту? Можно считать меня жопоголиком, но я вижу тут стандартный прием манипуляторов: поместить продвигаемый продукт в середину, обрамив всяким «шлаком».

  1. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.
    • Поддержка источников событий (5)
    • Сбор событий (8)
    • Корреляция (10)
    • Поиск данных и аналитика (9)
    • Визуализация и отчетность (5 и 5 соответственно)
    • Оповещение и приоритизация (5 и 5 соответственно)
    • Общие настройки и предустановленный функционал (5 и 3 соответственно)
    • Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
    • Мониторинг компонентов системы и внутренний аудит (3)
    • Удобство использования (10)
    • Наличие сертификатов соответствия ФСТЭК (2)
    • Дополнительные модули системы (5)

Только выше сказали, что веса с 1 до 5, и сразу в следующем перечислении пошли 8 и 10. И дело даже не в этом, а в системе выбора этих весов. Почему-то 10 получила корреляция и удобство использования. И если к корреляции вопросов нет, то удобство использования — очень субъективный показатель. Здесь сильное влияние имеет привычка. Но даже если так, нет ни слова о том, что богатсво визаулизации ArcSigh делается интегратором по отдельному прайсу ;)

  1. HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

Тимур, ну что вы? Зачем так топорно? Ведь и без этого цель статьи была достигнута, а детали все портят :(

  1. HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

Почему стоимость решения не была в списке критериев? :) И, разумеется, квалифицированные специалисты есть в одном известном вендоре и одном известном интеграторе ;)

 

В целом статья очень понравилась, видна любовь к цифрам, чувствуется рука мастера.

2 полена из 5.

 

ПК или смартфон – что безопаснее для интернет-банкинга?

Алексей Сизов, решил поднять актуальную тему. Тема на главной Jet Info

39_2

Пользователи ДБО сегодня в большинстве случаев предпочитают доступ с ПК. Для юридических лиц это обусловлено использованием криптографических хранилищ, сегодня преимущественно работающих на базе защищенных USB-устройств.

Ну, юрики в основном используют клиент-банк, т.к. у него функций больше. Но можно это с натяжкой назвать и ДБО. Но при чем тут они? Страшный сон: главный бухгалтер Газпрома на бегу в метро отправляет платежку через модный смартофон.

«Физики» также используют ПК как базовый вариант работы с ДБО. Но многие банки сегодня уже создали или внедряют приложения для мобильных платформ. Процент использования таковых не очень велик – 10–20%: это преимущественно активная часть населения, имеющая портативные устройства (смартфоны) и обслуживающаяся в крупных банках.

Подбираемся к сути. Проблема стоит у 20% физиков, использующих ДБО.

А вот безопасность таких приложений – вопрос отдельный. Дополнительная аутентификация, в основном средствами одноразовых SMS-кодов, внедрялась с прицелом на то, что канал доставки таких сообщений будет отличным от доставки самого приложения ДБО.

… ну, думаю, это не основная цель. Думаю, на первом месте было удобство.

ДБО работал через web, а SMS – через GSM, ДБО – через компьютер, а SMS – через несвязанный телефон.

И…

Кстати, SMS — это канал негарантированной доставки сообщений, редко не приходит вообще, но сообщения можно ждать и часы.

Сегодня мы сталкиваемся с ситуацией, когда и приложение, и SMS оказываются доступными на одном устройстве, а значит, разделение каналов доставки теряет смысл. Вредоносное ПО может получить доступ и к мобильному приложению, и к данным SMS аутентификации.

А на компьютере этого не могло быть? Т.е. встроиться в клиент и перехватывать корректно введенный секретный номер?

У меня идея для старт-апа: пусть секретный номер говорят голосом по телефону, сразу после нажатия кнопки.

Конечно, использование банковского приложения со специальными средствами защиты позволяет более тщательно контролировать уровень защищенности гаджета (от проверки jailbrake до контроля активных вирусов и троянов).

Конечно.

Но даже несмотря на это мы не рекомендуем использовать один и тот же аппарат и как устройство запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

Мера защиты номер 2: не ставить ДБО на мобильник.

Я так понимаю, выбор все же в пользу ПК. Ура! Победа нокаутом!

Да, это вся статья.

 

12, или магия цифр в киберпреступности

У камина, мой другАндрей Янкин.

39_3

12 человек в мире каждую секунду становятся жертвами киберпреступников

Каждый 12-й житель Земли – жертва кибер-злоумышленников

От киберпреступлений в 2015-м пострадали 594 млн человек, при этом в среднем каждый из них потерял $358. Общий же ущерб, нанесенный киберпреступлениями, составил $158 млрд. Для того чтобы справиться с последствиями киберпреступлений, в среднем пострадавшие тратили около 21 часа.

Ни ссылки на источник, ни каких-то подробностей. Кто сказал, как посчитал? Судя по этим данным, все хакеры должны разъезжать на золотых хаммерах как нарко-бароны. Уверен, что общая цифра мб и больше.

Хотя я вот взял калькулятор и разделил 158 млрд на 594 млн, получилось 265… кто-то отпили почти сотку баксов…

Кстати, это не я точки в первых двух предложения не поставил – так и было.

Наш эксперт Андрей Янкин поделился своими соображениями насчет этих цифр:

Можно сделать вывод о том, что нам всего лишь надо быть «быстрее, чем самая медленная зебра», чтобы не стать 1 из 12 пострадавших. Но это, увы, не так.

Т.е. вывод можно сделать, но это не так. Проще вообще комп не использовать.

Специфика компьютерных преступлений в том, что они очень легко масштабируются. Чтобы ограбить еще один банк, грабителям нужно приложить усилия. Чтобы добавить в ботнет еще одну не обновленную машину, никаких усилий не требуется.

Ботнеты крадут деньги со счетов? Андрюх, вроде про ущерб статья.

Да и сколько из 12 случайных людей на Земле вообще имеют дело с компьютерами? Но если вы читаете этот пост на фейсбуке, ваши шансы попасть под удар куда выше.

Фейсбук не заплатил за рекламу :)

Обидно, что у Jet Info такие короткие статьи…

 

Присылайте ваши статьи. Всего вам доброго.