Архив метки: positive technologies

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня да ж не взяли, как СМИ – ящик организаторов тупо не отвечает. Но, я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего (да ж еда осталась та же). Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO, лучше 1 раз в три года. Если чаще, будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности, и разрешили немного поесть. А т.к. я человек совестливый, и халяву не люблю, решил отплатить. Кстати, за два дня, так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу своей тупизны, мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Ну, так многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока, баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка, прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным по
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

 

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада, мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax), под соусом, что они такого не говорили, а  все неправильно услышал. В начале, я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

 

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014), GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Да же слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

 

Но Рустэм открыл мне глаза:

Оказывается Acronis такими посылами, пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной, как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию, как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security». Из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех, и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает – западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще, анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться), с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), что бы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

 

В заключение хочу сказать о благости посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте, как Алексей. И ходите на PHD.

Пока.

Хотите уникальности на PHD? Специальный бонус код для подписчиков

Завтра начинается PHD и будет идти два дня. Это не какой-то там левый CISO-форум. А нормальная такая конференция.

Хотите получить уникальных впечатлений от конференции? Испытать непередаваемый опыт и войти в историю? Тогда слушайте сюда.

Один день, а может быть и оба – на площадке PHD будет размещен специальный человек. Найти его будет непросто. Особые приметы: поношенный вид, борода и стаканчик кофе в руке (большую часть времени).

Найдите этого человека и скажите ему бонус-фразу «Всегда Позитив». За это вы получите:

  • мнение по любому вопросу ИБ;
  • историю;
  • инсайд на выбор человека;
  • кофе (рандомно).

Успеха в сборе информации!

P.S. Если будет совсем никак, организаторами будут выдаваться подсказки.

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец, я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает ….

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Так же у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

 

Миша:

Где и кем сейчас работаешь?

Сейчас можно охарактеризовать род моей деятельности, как – предприниматель, блогер, консультант.

 

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да не без косяков, но у кого их нет? Я рассматриваю это, как бесплатную помощь. Если косяк имеет место быть, парни поправят. А если это пустая болтовня, отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Дальше, Андрей ушел от ответа, под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

 

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

 

Александр:

Привет. Очень нравиться твой блог. Всегда читаю, но, вот, выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» — еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да, и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

 

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте, ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей, ввиду каких-то внешних причин, был в измененном состоянии сознания, и увидел в констатации факта – личный наезд. Уж, что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт – анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать, у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

 

Борис:

Что плохого в безопасниках «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и как стадо хомячков пошли разносить чуму по Европе. Потом глядь, тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

 

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И, нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии, и очень интересны, конечно. Конфликт должен приносить пользу, хотя бы деньги.

Вот, Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

 

Аноним:

Так ты в Positive Technologies или нет?

Нет.

 

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду, последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

 

Bollard:

Привет. Хочу задать несколько вопросов к твоей традиционной вот уже 11 летней рубрике.

1)Почему не заведёшь twitter, было бы удобнее тебя там читать?

2)Почему вендоры и коллеги обижаются когда ты говоришь правду? Они ходят в каких-то розовых очках что ли?Вот твой последний пост о версусе ресурсов, да и о версусе специалистов. Ведь всё правда.Всё так и видится. И примеров просто полно. Достаточно взглянуть на сайты «вендоров №1», заброшенные пятилетние блоги, аккаунты в различных соцсетях и прочее, отсутствие форумов или замена их гугл группами (при импортозамещении-то). Что им мешает иметь такое же видение (предубеждения, пороки, непрофессионализм)?

А, он есть. Просто твиттер оказался такой неэффективной площадкой, что я просто сделал туда редирект с фейсбука. Неудобно ни постить, ни читать.

Почему обижаются? Ну, у меня есть теория на этот счет. Поибэ это такой междусобойчик, закрытый от всех других областей. В нем не принято, сильно выносить сор из избы. Скажем, один известный эксперт, занимающийся теперь вдруг новым направлением экспертизы еще в 2010 году – был туп как пробка по ЗПД. Об этом мне сказал, мой генеральный директор, который в безопасности не понимал вообще ничего. Но эксперт-то известный. По телеку показывают, вроде двигает Иб в массы.

Вся «компрометирующая» информация у нас всегда гуляла в кулуарах. За последний год, я узнал столько о топе поибэ, что просто диву даешься, как они еще могут людям в глаза смотреть? Прямо, вот, в каждого вендора/интегратора в фейсбучке тыкай, такое всплывает.

И, весь этот «компромат» рассказывался либо на пьянках, либо заказчикам. А тут, видите ли Дима, рассказывает что-то не особо приятное. Ату его!

Фокус в том, что ничего компрометирующего я не говорю. Я вообще, как тот жираф, который всю ночь смеется над анекдотами. Но ввиду отсутствия других видимых раздражителей, все агрятся на меня. Ну, не будет же компания А агриться на компанию Б за чернуху, ведь компания А поступает точно так же.

А, на этом все. До следующего года.

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравиться, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да, вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, что бы их можно было исправить. Что бы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего, вот, вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что как же у них получиться.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях, в это году, видимо только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверно потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий, как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

 

Наверняка, я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

Positive Hack Days 2016 – Королева в восхищении!

Надо сказать, что у этого отчета не такая долгая судьба, как у предыдущего. И попал я на мероприятие на удивление легко. Думаю, это был мой последний опыт на данном поприще. Но обо всем по порядку.

phd

Восхищение

Я недолго думал, как одним словом описать PHD. Восхищение – это правильное слово. Вспомните, как давно вы чем-нибудь восхищались? В чем природа восхищения? Больше всего мы восхищаемся в детстве и отрочестве. Все для нас новое и неизвестное. Становясь старше, мы теряем эту способность, она все больше атрофируется, заедаемая бытом, нелюбимой работой и налогами.

PHD – восхитителен именно потому, что большинство не понимает, что там собственно происходит. Это не та высоколобая конференция, где серьезные дяди с умным видом рассказывают что-то другим дядям. Это отвязная конфа для студентов и специалистов плоть от плоти безопасности. Назовем их инженерами (или хакерами, или администраторами безопасности), в общем, теми, кто эту безопасность трогает руками.

Разумеется, у аналитиков (или бумажных безопасников, или рисковиков), тех, кто уже давно винду-то даже не настраивал, рвет от всего этого великолепия крышу. Помнится, я как-то писал про нашу дискуссию с Андреем Янкиным про рост специалистов в интеграторах. Тут все то же самое. Когда видишь только какие-то риски, ЧМУ и ФЗ — тебе очень нравится, как взламывают кофеварку с помощью консервного ножа.

Это чем-то похоже на появление журнала «Хакер». В свое время журнал позволил приобщаться к чему-то этакому, в какой-то степени контр-культурному, инженерному. Если вы читали его с самого начала, то должны помнить эти ощущения. А, возможно, дело свое играл возраст. У меня до сих пор лежат первые 50-70 выпусков (кстати, никому не нужны?), но потом я перестал его покупать. На одной контр-культурности далеко не уедешь.

Мне конференция понравилась, людей много, все везде бегают, какие-то непонятные движухи. Проблема PHD в том, что у него нет альтернатив и слишком специфичная ЦА. С альтернативами все понятно — глупо сравнивать «бумажные» конференции с «железными». Да, на PHD пришли все те же люди, что и на любую другую конфу, но тут они просто растворились в инженерах.

Люди на конференции ходят за тремя вещами:

  • Послушать интересные доклады.
  • Потусоваться, поесть, попить, поговорить с друзьями, неплохо провести время.
  • Работу работать. Фактически то же, что и предыдущий пункт, но с элементом финансовой выгоды. Это скрытая часть конференции.

На всех бумажных конференциях вы увидите в фойе столько же людей, что и в зале. Все они разговаривают между собой или что-то активно обсуждают по телефону. Количество сделок, заключаемых на конференциях – серьезная величина, которой нельзя пренебречь.

На PHD такого почти не происходит. Все гораздо молодежней и быстрее. Даже залы не могли вместить всех желающих, а уж некоторые провели весь день в кресле с ноутом (благо кресел было навалом). Если бы в наших офисах инженеры могли развалиться так же в креслах, мы бы быстро всех импортозаместили.

Не могу не отметить организационную сторону вопроса. Это первая конференция на моей памяти (за исключением инфосеков с инобезами), где не кормили. Можно было выпить халявного кофе, но на этом все. Покушать или выпить — за денюжку. Прекрасный с точки зрения окупаемости ход, думаю, что мероприятие вышло в ноль или небольшой плюс. Плюс продавали сувенирку и всякое интересное.

А, вспомнил минус: нигде не было указано, с какого входа заходить… Но это не портит общее впечатление.

Некачественные блоги

Топ блогеры с рабочими инструментами

Топ блогеры с рабочими инструментами

В силу личных причин я подъехал только к часу дня. Немного жаль, ведь в первой половине дня была пара докладов, которые хотелось бы услышать. Схватив программку, пошел на «Разговор по ИБ: «совершенно секретно» или «срочно в номер»?». Оказалось, что там собрались многие известные поибэ люди. Лично я пошел, т.к. во всем остальном понимал мало или мне было не интересно.

Зал был явно не приспособлен для такой аудитории. Я забил себе небольшое местечко с видом на противоположную стену. А вот Аркадий Прокудин – читер, пролез на сцену, хотя подкастер, а не блогер :)

Начало можно охарактеризовать цитатой: после слов, что иб очень узкая сфера, можно сразу уходить с секции, а то и конференции (Владимир Овчарук в диалоге со мной).

Вначале все шло довольно бодренько, пробовали обсуждать тему – стоит ли говорить об инцидентах или надо их замалчивать. Вот уж тема, высосанная из пальца. Понятно, что надо каждый раз смотреть по ситуации. Я думаю, даже в западном обществе, где подобная публичность является последней оградой атомарного общества, построенного на репутации, где никто никого не знает, и реноме хорошего человека, пусть и оступившегося, можно поддерживать только такими методами — все крайне хотели бы о своих косяках не сообщать, тем более, если последствия не очевидны или легко исправляются.

У нас репутации нет (с). Наше общество более кланово, более семейно. Все, что происходит внутри семьи (фирмы), должно оставаться здесь. Разумеется, сливы будут, например, от конкурентов или людей, чья профессия эти сливы организовывать – журналистов. Многие мужья колотят и тиранят своих жен, но лишь единицы прибегают к помощи со стороны.

Затем блогеры стали говорить о том, надо ли заводить свой блог по ИБ, про качество контента, монетизацию и прочие темы. Секция длилась 2 часа, я отлучился на полчасика, вернулся, а там все то же самое.

Выводы (по сути, а не точности высказываний):

Алексей Качалин: блогеры дофига о себе думают. Надо быть скромнее.

Лукацкий: Для чего блогер пишет блог? Вариантов не много — слава, монетизация, немного добра.

Лукацкий: Лукацкий в купальнике самый топовый пост. Всем плевать на блогеров, через день забывают.

Лукацкий: у нас никто не пишет для домохозяек, все пишут для специалистов. А надо для домохозяек.

Лукацкий: качественного конента в иб ни у кого нет, нет места монетизации.

И все в таком духе. Там было много ереси про блогинг вообще. Например, кто-то сказал что-то в духе «посмотрите на количество просмотров, их несколько тысяч, а монетизация ведь происходит по просмотрам», и никто в президиуме его не одернул. Где-то в самом начале Алексей стал бомбить меня через личные наезды, что не очень хорошо с его стороны, у меня не было микрофона.

Место для не-топ блогеров

Место для не-топ блогеров

Поэтому вставлю свои пять копеек тут.

Все названные проблемы – в головах говорящих. Например, с той же несчастной монетизацией (хотите пост про монетизацию? Пишите в комментариях). Или с желанием прикрыться желанием «делать добро» посредством блога. Конечно, легко говорить, когда каждый месяц получаешь зарплату в кассе. Что-то немного у нас безработных альтруистов, которые бы повышали осведомленность населения (тех самых домохозяек) в вопросах информационной безопасности. Кто платит, тот и заказывает музыку. Интересный момент: тот же Алексей очень болезненно воспринимает критические замечания в адрес своего работодателя.

Разумеется, цель создания блога всегда одна – слава (желательно вместе с деньгами). Помните, как говорил Ницше? Альтруизм – особая форма эгоизма. Человек по природе эгоистичен, а также ленив. Никто не будет просто так поднимать задницу с дивана. Я, кстати, не исключение. Вопрос лишь в пропорциях и эго: кому-то достаточно простого «я сделал», а кто-то спать не может, ведь «в интернете кто-то не прав», и ревностно защищает свою территорию.

Кстати, о домохозяйках. Все свелось к тому, чтобы писать просто, без специальных терминов. Простите, но вы о чем говорите? Любая группа, объединенная вокруг специальных знаний (а информационная безопасность к таковым, безусловно, относится), вырабатывает свой сленг. Человек, который хочет разобраться, быстро в этом сленге разберется, а кто не хочет — тому и не надо. Домохозяйкам не нужна информационная безопасность. Давайте примиримся с этим знанием. Научите их хотя бы антивирус ставить, пароль посложнее придумывать (пусть пока на бумажке дома записывают) и менять раз в полгода. А вот задача специалистов – оберегать домохозяек, чтобы они спали спокойно. Все думающие иначе должны начать с курсов компьютерной грамотности для населения, а через поколение-другое уже переходить в поибэ.

И, в заключение, качественный контент. Почему-то все сразу стали обсуждать лишь две грани контента – оперативность новостей и мега-аналитику по угрозам/уязвимостям. Кстати, это типичный прием демагогии – нарисовать жупел и с боем его побеждать. Качественный контент не произрастает из текстов, новостей или аналитики. Качество вообще вещь довольно дискуссионная – там можно еще одну портянку на три листа написать.

В инфосфере качество проистекает лишь от одной величины – личности говорящего. Если личность блогера импонирует — для вас его контент будет качественным. Если блогер — мудлан, вы читать его не будете, как бы он не извернулся, что наша дискуссия с Алексеем  и показала.

Не смотря на нашу историю с Алексеем, я говорил и буду говорить, что он остается непревзойденным новостником с первичной аналитикой. Т.е. все эти разборы изменений ФЗ, РД и всяких проектов читать интересно. Конечно, после этого начинаешь читать сам, но первичный фильтр уже отработал.

А вот Андрей Прозоров больше читает книжки и постит маркетинг про Solar. Мне, например, про книги совсем не интересно, а про Solar интересно.

И напоследок. Hint для начинающих блогеров от Рустема Хайретдинова:

Как показал сегодняшний день, вход на рынок ИБ-блоггерства с позиционированием «пишу, какие все идиоты, имею скандальное мнение по любому поводу» стоит недорого. Поэтому ветеранам надо заботиться об отстройке, повышающей стоимость входа. Отличная отстройка — «рецензировать книги, которые читаешь»: чтобы конкурировать, придётся много читать. Или ассоциативно привязывать интересные новости к теме ИБ — конкурентам придётся ориентироваться в политике.

На этом все, до новых встреч.

 

P. S. Скорее всего это был мой последний отчет о конференциях. На конференции попасть сложно, пишутся отчеты долго, да еще и скандалы всякие возникают. Следующий напишу, если буду участвовать или организовывать.

Нечего читать, или страх тишины

no_readЗнаете, как одним словом назвать разницу между поколением Y (это те, кто родился с 1980 по 2000 год) и поколением X (которые родились пораньше)? Шум.

Мы уже органически не можем терпеть одиночество. Вы включаете что-нибудь для фона, когда занимаетесь домашними делами? Телевизор, киношечку, музычку?

Как-то я провел 34 дня по колено в грязи с лопатой, кайлом и кувалдой в качестве компаньонов. Из всех развлечений у меня было старенькое радио с тремя каналами (Русское Радио, Европа Плюс и Радонеж). Это был адский пиздец, доложу я вам. Вы знали, что на радио оригинальной дорожки и песен часа на 3-4, а остальное повторы?

Мы боимся остаться с сами собой наедине, мысли всякие лезут же в голову. Время монотонно растягивается. Вы начинаете замечать разное, чтобы просто занять мозг. Вам даже алкоголь не поможет, т.к. бухать в тишине – это за гранью добра и зла. Именно поэтому так популярны тайм-киллеры – игры, соцсети и т.п. Поиграл в игрушечку перед сном, глядишь — два часа прошло.

Обратной стороной этого становится предубеждение, что новое является чем-то важным. Но все это ботва: чтобы отыскать что-то качественное, надо сильно постараться. Мы читаем новости, мы интересуемся, что нового у коллег и подчиненных. А уж как нас телепает, если мы этого нового дать не можем. Бывало у вас, что на очередной планерке начальник у вас спрашивает, что нового? И надо срочно что-то придумать, а то у всех сложится впечатление, что вы нифига не делаете и зря получаете зарплату. Ставьте лайк, если бывало.

А уж в сфере информационной безопасности с этим совсем беда. Внутренняя беда – вариации из примера с совещанием. Внешняя беда – что читать нечего.

Я уже писал о плачевном состоянии СМИ по информационной безопасности. Но на выходных мне открылась другая грань.

В силу личной самодисциплины (хотя какая нафиг самодисциплина, если я два года не мог этого сделать?) удалил половину игр с телефона и 2/3 подписок на каналы в Youtube. Времени освободилось… как раз, чтобы поближе ознакомиться с ресурсами по ИБ. Их у нас три, точнее два, т.к. маленьких не бьют – BISA и Securitylab. SecurityLab оказалась платформой Positive Technologies, таким образом у нас нет вообще ни одной независимой платформы. Половина разделов не обновлялась давно, из свежего – блоги и новости. Поэтому-то все общение у нас происходит в фейсбуке и твитере.

Другая проблема в авторах. Все мы – блогеры, а не журналисты. А блогер должен писать все с оглядкой, иначе его потом на работу никуда не возьмут. Я думаю, что в Positive Technologies мне уже никогда не работать:) На 10 рекламных и проплаченных материалов – 1 независимый. Смелость иногда проглядывает, но сильно эпизодически. Вот, например, Алексей Лукацкий  как-то прочитал презентацию «Как обманывают интеграторы» на конференции Информзащиты.

Другая проблема – время. Блогеры все-таки где-то работают, и никому из них не платят за ведение блога. Я думал, что хотя бы Адрею Прозорову, но нет. А это сильно ограничивает по времени. У меня, например, еще в декабре была задумка крутого материала, я связался с людьми, встретился, начал собирать информацию. Думал, на январских напишу. Щаз. В лучшем случае в апреле (кстати, это анонс).

Именно поэтому я пишу по 40 минут в день 1-3 раза в неделю, и так долго тянутся заявленные рубрики. Кушать хочется :) У нас даже невозможно монетизироваться.

Во-первых, наш рынок сам по себе маленький, как следствие –  небольшая аудитория (например, меня читает всего 40 человек – всем читающим уважение).

Во-вторых, у нас не принято платить за контент. Ни на конференциях, ни тем более за контент. Об этом много и часто говорит Алексей Лукацкий. Причем найти спонсора совсем не вариант.

В-третьих, цена вопроса. Чем меньше подписчиков, тем больше ежемесячный платеж. Нормальная цена для человека – не более 300 рублей в месяц, понятно, что надо минимум 500 подписчиков. Чтобы их собрать, надо 50 000 пользователей в аудитории. Такого количества просто нет в безопасности.

Из-за этого всего страдают все – и авторы, и читатели, и рынок в целом. Вот и я сидел в выходные,  листал редкие посты в фейсбуке и грустил. Наверно, поэтому у нас все разбираются в политике и футболе, что почитать нечего…

Всего вам доброго.

У Камина: групповое чаепитие

На удивление получил много положительных отзывов на новую рубрику, поэтому решил продолжить. Использую все тот же сайт Jet Info, т.к. там много всякого пишут. Решил поискать материал для чтения и не смог выбрать. Поэтому сегодня сборная солянка.

fireplace_main

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

Сравнение SIEM-решений для построения SOC

Статья от Тимура Ниязова как раз под SOC- forum. Материал позиционируется как сравнение. Замечу, что методологически статья построена очень хорошо.

39_1

Но остается ряд сомнений (стать очень уж большая):

  1. Неужто компания Джет знает лучше Гарднера, какой SIEM обладает какой функциональностью? ArcSight по Гартнеру даже не второй, а третий или четвертый. Но он первый, хотя и с небольшой разницей. Нет ли тут аффилированности с одни вендором, строящим свои решения на ArcSight? ;)
  2. Цитата: Ввиду малой распространенности на рынке России и СНГ таких продуктов как Splunk и LogRhythm мы решили не рассматривать эти платформы в нашей статье.

Оу, но оба эти решения выше выбранного вами RSA

Понятно, что статья коммерческая и заказная, вопросов нет. Но почему в таблицах ArcSight идет в середине списка, а буквально в самом начале есть перечисление, где он первый в названиях, отсортированный по алфавиту? Можно считать меня жопоголиком, но я вижу тут стандартный прием манипуляторов: поместить продвигаемый продукт в середину, обрамив всяким «шлаком».

  1. Поэтому мы вводим весовую модель для определения оптимальной платформы для компаний X и Y, где значение 5 – это максимально важный критерий для организации, а 1 – соответственно, наоборот.
    • Поддержка источников событий (5)
    • Сбор событий (8)
    • Корреляция (10)
    • Поиск данных и аналитика (9)
    • Визуализация и отчетность (5 и 5 соответственно)
    • Оповещение и приоритизация (5 и 5 соответственно)
    • Общие настройки и предустановленный функционал (5 и 3 соответственно)
    • Масштабируемость, отказоустойчивость и хранение (8, 5 и 7 соответственно)
    • Мониторинг компонентов системы и внутренний аудит (3)
    • Удобство использования (10)
    • Наличие сертификатов соответствия ФСТЭК (2)
    • Дополнительные модули системы (5)

Только выше сказали, что веса с 1 до 5, и сразу в следующем перечислении пошли 8 и 10. И дело даже не в этом, а в системе выбора этих весов. Почему-то 10 получила корреляция и удобство использования. И если к корреляции вопросов нет, то удобство использования — очень субъективный показатель. Здесь сильное влияние имеет привычка. Но даже если так, нет ни слова о том, что богатсво визаулизации ArcSigh делается интегратором по отдельному прайсу ;)

  1. HP ArcSight. Доступны более 20 типов графического представления. В качестве полей графического представления используются Data Monitor, Dashboard, Query Viewer. Русифицированный интерфейс решения доступен с февраля 2015 года. Отчеты могут быть экспортированы в следующие форматы: MS Excel, RTF, PDF, CSV, HTML.

Тимур, ну что вы? Зачем так топорно? Ведь и без этого цель статьи была достигнута, а детали все портят :(

  1. HP ArcSight раньше других продуктов нашего обзора появился на рынке SIEM-решений России, потому успел завоевать немало поклонников и противников. Продукт HP поддерживает широкий перечень разнообразных источников событий, выполняя нормализацию на очень высоком уровне. Он имеет наиболее широкие возможности тонкой отладки, кастомизации и действительно мощный корреляционный функционал. На ArcSight уже построено множество SOC в крупнейших телекоммуникационных, добывающих и финансовых холдингах. Платой за мощь и гибкость являются сложность первичного изучения продукта, его высокая стоимость и небольшое количество квалифицированных российских специалистов, умеющих работать с решением.

Почему стоимость решения не была в списке критериев? :) И, разумеется, квалифицированные специалисты есть в одном известном вендоре и одном известном интеграторе ;)

 

В целом статья очень понравилась, видна любовь к цифрам, чувствуется рука мастера.

2 полена из 5.

 

ПК или смартфон – что безопаснее для интернет-банкинга?

Алексей Сизов, решил поднять актуальную тему. Тема на главной Jet Info

39_2

Пользователи ДБО сегодня в большинстве случаев предпочитают доступ с ПК. Для юридических лиц это обусловлено использованием криптографических хранилищ, сегодня преимущественно работающих на базе защищенных USB-устройств.

Ну, юрики в основном используют клиент-банк, т.к. у него функций больше. Но можно это с натяжкой назвать и ДБО. Но при чем тут они? Страшный сон: главный бухгалтер Газпрома на бегу в метро отправляет платежку через модный смартофон.

«Физики» также используют ПК как базовый вариант работы с ДБО. Но многие банки сегодня уже создали или внедряют приложения для мобильных платформ. Процент использования таковых не очень велик – 10–20%: это преимущественно активная часть населения, имеющая портативные устройства (смартфоны) и обслуживающаяся в крупных банках.

Подбираемся к сути. Проблема стоит у 20% физиков, использующих ДБО.

А вот безопасность таких приложений – вопрос отдельный. Дополнительная аутентификация, в основном средствами одноразовых SMS-кодов, внедрялась с прицелом на то, что канал доставки таких сообщений будет отличным от доставки самого приложения ДБО.

… ну, думаю, это не основная цель. Думаю, на первом месте было удобство.

ДБО работал через web, а SMS – через GSM, ДБО – через компьютер, а SMS – через несвязанный телефон.

И…

Кстати, SMS — это канал негарантированной доставки сообщений, редко не приходит вообще, но сообщения можно ждать и часы.

Сегодня мы сталкиваемся с ситуацией, когда и приложение, и SMS оказываются доступными на одном устройстве, а значит, разделение каналов доставки теряет смысл. Вредоносное ПО может получить доступ и к мобильному приложению, и к данным SMS аутентификации.

А на компьютере этого не могло быть? Т.е. встроиться в клиент и перехватывать корректно введенный секретный номер?

У меня идея для старт-апа: пусть секретный номер говорят голосом по телефону, сразу после нажатия кнопки.

Конечно, использование банковского приложения со специальными средствами защиты позволяет более тщательно контролировать уровень защищенности гаджета (от проверки jailbrake до контроля активных вирусов и троянов).

Конечно.

Но даже несмотря на это мы не рекомендуем использовать один и тот же аппарат и как устройство запуска мобильного приложения, и как телефон для получения SMS-уведомлений.

Мера защиты номер 2: не ставить ДБО на мобильник.

Я так понимаю, выбор все же в пользу ПК. Ура! Победа нокаутом!

Да, это вся статья.

 

12, или магия цифр в киберпреступности

У камина, мой другАндрей Янкин.

39_3

12 человек в мире каждую секунду становятся жертвами киберпреступников

Каждый 12-й житель Земли – жертва кибер-злоумышленников

От киберпреступлений в 2015-м пострадали 594 млн человек, при этом в среднем каждый из них потерял $358. Общий же ущерб, нанесенный киберпреступлениями, составил $158 млрд. Для того чтобы справиться с последствиями киберпреступлений, в среднем пострадавшие тратили около 21 часа.

Ни ссылки на источник, ни каких-то подробностей. Кто сказал, как посчитал? Судя по этим данным, все хакеры должны разъезжать на золотых хаммерах как нарко-бароны. Уверен, что общая цифра мб и больше.

Хотя я вот взял калькулятор и разделил 158 млрд на 594 млн, получилось 265… кто-то отпили почти сотку баксов…

Кстати, это не я точки в первых двух предложения не поставил – так и было.

Наш эксперт Андрей Янкин поделился своими соображениями насчет этих цифр:

Можно сделать вывод о том, что нам всего лишь надо быть «быстрее, чем самая медленная зебра», чтобы не стать 1 из 12 пострадавших. Но это, увы, не так.

Т.е. вывод можно сделать, но это не так. Проще вообще комп не использовать.

Специфика компьютерных преступлений в том, что они очень легко масштабируются. Чтобы ограбить еще один банк, грабителям нужно приложить усилия. Чтобы добавить в ботнет еще одну не обновленную машину, никаких усилий не требуется.

Ботнеты крадут деньги со счетов? Андрюх, вроде про ущерб статья.

Да и сколько из 12 случайных людей на Земле вообще имеют дело с компьютерами? Но если вы читаете этот пост на фейсбуке, ваши шансы попасть под удар куда выше.

Фейсбук не заплатил за рекламу :)

Обидно, что у Jet Info такие короткие статьи…

 

Присылайте ваши статьи. Всего вам доброго.

КЦД – святая троица безопасности? Или MaxPatol апостол всея безопасности

Так получилось, что целые выходные лежал мой сервер с сайтами. Ждали, когда техподдержка выйдет на работу в понедельник. Сидел я и думал об информации. Я ведь безопасностью информации занимаюсь етить растудыть, так что к ентой самой информации имею самое прямое отношение. Во всяком случае, это нам, безопасникам, так кажется (а мы не крестимся).

Holy_Spirit_IB

И, вот, сижу я и думаю – «Риски доступности информации, реализовались, что привело к ущербу…» Так, стоп. Что там говорит теория про информацию? У информации есть три свойства – конфиденциальность, целостность, доступность. Есть еще куча, мне, например, очень уж нравиться неотказуемость. Святую троицу я изучал по буржуинскому ISO, а там еще куча свойств. Хотя некоторые утверждают, что любое свойство можно выразить через КЦД – нашего отца, сына и святого духа. Но об этом как-нибудь в следующий раз.

Сижу значит, и думаю, а как там с доступностью? Наверняка тоже по трынде пошла. Базы покорежились, восстанавливать надо. Зато с конфиденциальностью полный порядок, никто мою информацию не узнает, т.к. доступа к ней нет. Зато узнают, что она недоступна. Но это другое.

Помните, когда-то был «приказ трех» по персональным данным? Алексей Лукацкий тогда на каждом углу говорил, что у нас нет типовых систем, а есть только специальные, т.к. надо обеспечивать еще доступность и/или целостность окромя конфиденциальности. Тогда все было красиво, действительно целостность и доступность важны.

А на практике? А на практике выходит, что безопасник может воздействовать только 1 одно свойство, максимум на 1¼. Например, мы ни как не можем воздействовать на доступность. Во всяком случае, на доступность информации в информационных системах. Т.к. это чисто айтишная тема, если системы не работают – никакой безопасности не надо. Что мой случай наглядно и показал. Нет системы – нет проблемы. Можно сказать даже больше – безопасники вредят доступности. Все эти наши железки, ставящиеся в разрыв, или хитрый софт обогащающий пакеты идентификаторами и метками. Все это для ИТ службы черный ящик и дополнительная точка отказа. В одном крупном банке воткнули железку по обогащению трафика, так она на 2 часа всю сеть и положила. В общем, с доступностью мы не помогаем, и даже вредим.

Целостность. Тут уже выправляем положение. Тут мы можем обеспечить неизменность документа. Круто. Возьмем, засунем все в криптоконтейнер, или цифровой подписью подпишем, и контрольную сумму сосчитаем. Как уже понятно, при крахе документа мы ничего сделать таким способом не можем. А если злой админ сотрет секретный ключ, то и вообще все документы похерятся. Таких случае уже больше десятка. Ну, не обладают безопасниками средствами восстановления информации. Вот, если вытащить чего удаленное – это да. А если база данных полетела, и потерялась часть полей – это нет.

Конфиденциальность. Это, вот, наше все. Любимый отец всея безопасников, скрыть, спрятать, никому не показывать. Понятно, что лучшую конфиденциальность можно обеспечить в отрезанной от внешнего мира, а лучше в неработающей системе.

И обрел я просветление. Все средства безопасности направлены лишь на одно, на сохранение конфиденциальности, путем низложения остальных двух свойств. «Ну как продукты Positive Technology, которые написаны, словно вся ЛВС предназначена только для них» (с) CISO банков топ-5. И в этом суть, зарытое в землю, не может быть взломано.

Всего вам доброго.

SOC-forum как квинтэссенция отечественных конференций

Пойти на SOC- forum меня сподвиг исключительно конкурс от Андрея Прозорова на лучший отчет о форуме (если вдруг будет голосование, голосуйте). ;) Надо сказать, что на различных мероприятиях по ИБ я бывал достаточно. Например, 9 лет подряд ходил на Infosec (теперь уже нет).

Мероприятия эти делятся на три вида: общей направленности (тот же инфосек), вендорские, маркетинговые или партнерские. SOC- forum был вендорским мероприятием, маскирующимся под общую направленность. Почему вендорским? Потому что главным спонсором выступала компания Solar Security, она же держала большой стенд и читала львиную долю докладов. Только не подумайте ничего плохого (Денис, все норм).

SOC-forum в глазах слушателей

SOC-forum в глазах слушателей

В общем, все это я примерно представлял, и пошел туда в новом качестве. В качестве блоггера. Что значит быть блоггером? Это значит надо везде ходить и все слушать. Я так и делал.

Начнем с организационной части – она отвратная. Насколько хорошо на BISA форумах, настолько плохо на SOC. Начнем с того, что заплатив деньги, я так и не смог ничего съесть. Обед вообще прошел мимо меня, кофе-машины работали через одну, добавку никто не приносил. Как вариант — пригласили слишком много людей, на это бы можно было закрыть глаза, если бы я пришел на халяву. Итого – жирный минус.

Раздаточный материал странный, блокнота не дали (было три листа для заметок в программке), зато дали 2 ручки. Все началось с опозданием на 10 минут, так и катилось до конца. Залы совсем не были приспособлены для подобного шоу, экраны как-то странно расположены – если сидеть по центру, то голову свернуть можно. И навязчивая реклама по центру. Я сам был на пленарке и секции Андрея Прозорова. У Алексей Лукацкого зал был в 3 раза меньше, и все не поместились. А так ничего – на троечку с минусом организовали.

По содержанию. Это тихий афиг. В демагогии есть такой контрприём: чтобы поймать демагога – надо за ним записывать. По идее им еще пользуются журналисты, а блоггер почти журналист. Вот я и записывал.

Главный вывод по конференции – все собрались, потусовали, но дельного ничего не сказали. Конференция прошла впустую. Человек неподготовленный не смог даже узнать, что такое SOC. Пленарку вообще начали со срача. Лукацкий и Маннаников на предложение утвердить определение SOC хором сказали «НЕТ!». Но зал в лице представителя Дипакадемии надавил (уважение). И все стали пытаться дать определение. Виталий Лютиков попытался перевести разговор в научно-техническую точку зрения (и в целом говорил интересные вещи про процессы в соках, но мало).

Самое дельное по определению «Что такое SOC?» сказал Иван Мелехин: как переведем Operation в SOC, так сразу сложится картинка — лиибо управление, либо мониторинг.

Настала первая очередь всех высказаться. Игорь Ляпунов начал сразу с рекламы Solar. Иван Мелехин спросил «а существуют ли SOC , или это новый маркетинговый ход»?

Лучшее место, что бы слушать и задавать вопросы

Лучшее место, чтобы слушать и задавать вопросы

А потом все свалилось вообще в Ад. Кстати, ни один заявленный вопрос пленарного заседания так и не получил ответа. Хотя голос разума иногда возобладал. Что удивительно – это было со стороны регуляторов, за что им респект. Все заспорили о… госрегулировании соков. Не буду описывать, лишь цитаты:

Ляпунов: госрегулирование – хорошо, разумное вдвойне хорошо.

Мананников: нужен пряник, необходимо сертифицировать SOC.

Лукацкий: Игорю (Ляпунову) необходимо регулирование, чтобы продавать свои услуги.

Лютиков: создайте свой стандарт по SOC, не ждите регуляторов.

Финогенов: Я еще не знаю, что такое SOC. В начале практика, затем регулирование.

Все слушают пленарное заседание

Все слушают пленарное заседание

Следующим кругом ада стало обсуждение ответственности соков перед Заказчиками. Опять только цитаты:

Ляпунов: Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера.

Лютиков: включайте в договора солидарную ответственность.

Лукацкий: у нас и за ЗПД никто ответственности не несет, у нас не защита персданных, а защита о регляторов.

И поговорили немного про банки.

Сычев: Отслеживает ли DLP унесенную базу дропперов? А надо.

Курило: Инциденты в банке могут не возникать годами. SOC – это армия в постоянной боеготовности.

По итогу пленарное заседание потерпело фейл. Сокрушительный. А надо было изменить всего лишь малость, уменьшить количество экспертов. Я бы с удовольствием послушал, например, регуляторов – Виталия Лютикова (ФСТЭК) и Дмитрия Финогенова (ФСБ). Крайне разумный подход к проблеме. Я отдельно послушал бы критику Лукацкого и Мананникова. Отдельно – представителей вендоров. Но всех вместе – это фейл «клуба любителей SOC» и Авангарда.

Затем начались секции…

Я был на «Тематическое заседание 1 «Опыт построения и эксплуатации SOC». Сам я сделал чуть-чуть SOCов, поэтому было интересно услышать опыт коллег. Тут не буду подробно описывать – презентации можно посмотреть в интернете, напишу лишь свои записи к каждому из выступающих. Это те вопросы, которые у меня возникли к ним, и которые я старался задать (два раза меня прокатили, хотя уже держал микрофон в руках). Кстати, всю секцию я один практически вопросы и задавал – блоггер, что с меня возьмешь?

Top3 блоггер, на секции по опыту построения SOC

Top3 блоггер на секции по опыту построения SOC

Опыт построения и эксплуатации центра мониторинга ИБ в ОАО «РЖД»

Александр Глухов, заместитель начальника Департамента безопасности ОАО «РЖД»

Рассказывали, как ЦБИ внедрило SOC в РЖД.

Агентская технология? Сертифицирован ли агент? НДВ? Является ли агент угрозой и точкой отказа? Какие контроли используются? Все теперь делают геопривязку. РЖД еще не подключено с СОПКЕ.

Вопрос про агент задал разработчикам. Получил ответ, что 1 версия была сертифицирована, сейчас 3, и когда-нибудь ее сертифицируют. Получил интересное мнение, что если ЦБИ является сертифицирующей лабораторией, то софт пишет без НДВ.

<слухи mode on>

Уже в перерыве конкуренты открыто говорили, что решение у ЦБИ не работает.

<слухи mode off>

 

Опыт построения и эксплуатации коммерческого SOC

Владимир Дрюков, руководитель департамента JSOC Solar Security

Время на остановку атаки (с) – оно есть?

Готовы ли вы нести солидарную ответственность? Этот вопрос так и не дали задать :(

 

Технологии и опыт реализации распределенного SOC

Роман Назаров, начальник отдела систем управления рисками ЗАО НИП «Информзащита»

Информзащита тоже внедрила SOC в РЖД… Так и не понял, как они сферы влияния с ЦБИ попилили.

Сделали несколько территориально распределенных центров обработки инцидентов. Единой мастер ноды и корреляции нет. Разделено по инцидентам.

 

Опыт построения и эксплуатации центра мониторинга компьютерных атак и управления инцидентами

Алексей Васильев, руководитель центра мониторинга, ЗАО «Перспективный Мониторинг»

Была и дочка Инфотекса. Нишевой продукт для сетей VipNet.

Могут ли использоваться другие IPS? В какие SIEM/ SOC других вендоров вы передаете информацию? Инцидент, описываемый по ГОСТу? Вы заменяете собой антивирус? Много слов «будет» и «будущего времени»

Цитата: SIEM из коробки.

 

SOC: от идеи к результату

Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет»

Хороший теоритический доклад.

Цитата: 46 функций SOC, но еще никто их не реализовал.

 

Эффективный SOC для критической инфраструктуры. Знания и инструменты

Евгений Генгринович, советник Генерального Директора АО «ITD Group»

Как иностранный GRC применять в РФ? Правильно ли, что вы предлагаете «консультант» с практиками по ИБ? Как происходит обновление фидов в сегменте АСУ ТП без интернета?

 

Фундамент для построения SOС

Руслан Бялькин, директор по продажам комплексных решений, SAFEDATA

Цитата: ЦОД и SOC не различаются с точки зрения инфраструктуры.

 

На секции у Лукацкого в каждом докладе была реклама себя любимых и тех решений, что они продают. Отличился только Positive, сказав, что не делает SOC и SIEM.

Дальше уже не мог быть, поехал по делам своего SOCa.

Итоги:

  • Организаторам жирный минус. Секции были забиты рекламой чуть менее, чем полностью. Из интересных и умных экспертов можно было сделать 10 интересных секций.
  • Минус в карму тем, кто рекламировал себя вместо просвещения аудитории.
  • Ни один заявленный вопрос конференции не был рассмотрен должным образом. Все неслись галопом по европам.

Идти или не идти в следующий раз? Если вас приглашают бесплатно – конечно, идти. А вот деньги за такое платить не стоит.

P. S. Усе, ухожу из блоггеров. Неблагодарная это работа. Андрею и Алексею по службе положено везде бывать и выступать. Грусть видна в их глазах. Не хочу так. Лучше я буду по-простому – графоманить на тему безопасности, и на конференции особо не ходить.

Старикам здесь не место, или средства защиты информации, на которых не заработаешь

Как-то неожиданно все друзья и коллеги узнали об этом блоге, и настала популярность :) Самый популярный вопрос – зачем? Ответ: конечно, дикий и бешеный самопиар, чем я хуже.:) И, к тому же, я – графоман.

Но перейдем от личной популярности к популярности в информационной безопасности. А именно о средствах информационной безопасности, вышедших «в тираж». Что это?

Устаревшие средства защиты

С точки зрения интегратора (продаж) – это средства защиты, на которых уже нельзя заработать. Рынок этого насыщен и/или это уже у всех есть. Этим нельзя удивить, на этом не сделать квоту, это вышло в тираж.

С точки зрения заказчика – это уже ставшее чем-то обыденным, чем-то являющимся само собой разумеющимся. Тем, о чем знает даже собственник бизнеса, который может говорить лишь о яхтах и сигарах.

— Имя, сестра, имя!

Возглавляют список антивирусы. Вот уж точно о них слышали все. Если его у вас нет, вы, скорее всего, сидите на линуксе. Интегратору здесь практически не заработать, особенно с нуля. Да, если у вас в пуле есть заказчик с 10 000+ станциями, вы получите 1 млн. маржи.

Касперский, ESET, Symantec и остальные — извините.

Следующие в списке – межсетевые экраны и VPN. Тут все разнообразней, ведь даже на Cisco можно включить ACL и получить простенький фаервол. Если в штате есть безопасник, то можно увидеть фаервол сертифицированный и с гостовым VPN. Но если его нет, любой айтишник ограждает свою вотчину извне. Заработать еще можно: при поставке сертифицированных решений (желательно с гостом), а также при расширении филиальных структур и постройке чего-нибудь нового. Один минус: фаервол — это надолго, на второй год, в лучшем случае, техподдержку продашь.

Тройку замыкают системы анализа защищенности. Этих уже поменьше, но если есть безопасник – значит в 90% случаев есть XSpider. Что может быть более любо, чем посканить и принести красивый отчет? Сейчас все больше разрастается Qualys. Ну, и старший брат паука – MaxPatrol. Интеграторы чаще всего закладывают сканеры для выполнения требований по защите персональных данных. Если деньги есть – MaxPatrol, если нет – Xspider.

Это были старички. Есть и потенциальный новичок – DLP. Если раньше можно было продать 1000 лицензий за 20 млн., теперь уже нет такой роскоши. Все, кому нужно было купить — купили. Подтянулись новые игроки, сбросили с себя пыль старички – и пошла заруба, кто меньше даст цену. Еще пара лет, и будет как с антивирусами.

И, чтобы уж было ровно пять, внесем в список IPS/IDS. Скажу честно, продавал я их только для персданных. Решение это не самостоятельное, и всегда берется в нагрузку к фаерволу. Купили Cisco или Check Point, и IPS там же купите. Со смертью StoneSoft и разнообразие ушло – либо безумно дорого, либо snort под разными соусами.

Не обижайте стариков. Всего вам доброго.