Об угрозах информационной безопасности, актуальных для

разработчика СЗИ Качалин А.И., директор ЗАО

«Перспективный мониторинг» Эксперт АЗИ

Угрозы-2015 • Уязвимость технологий (мобильные, облака),… • Безопасность приложений: проблемы внешних сервисов (связанных облачных сервисов) • Проблемы обработки уязвимостей

– Неловкое саморазоблачение Drupal – Проблема политики раскрытия уязвимостей

• ИБ-катастрофы – ИБ-провалы платформ-2014 Apple iOS, MS – Shellshock, уязвимости TLS/SSL : Goto Fail, Heartbleed, POODLE, WinShock – Мегаутечки из торговых сетей

• Растущий разрыв в потребностях и уровне/количестве специалистов ИБ • Риски инноваций

– Снижение эффективности СЗИ: «облачные атаки на СКЗИ» – норма – Атаки на Интернет Вещей, АСУ ТП – мейнстрим – Новые сценарии потребления – норма BYOx

• Вмешательство государств – Гос. Программы по кибервооружениям (Китай, США) – Санкции и запреты

Если нас «сломают» Когда нас «сломают»

Разработчик СЗИ • Компания – актуальны все угрозы для организаций

и сотрудников • Продукт – системный, инфраструктурный

компонент ИС • Отрасль ИБ – активно вовлечен в противоборство

ИБ • Клиенты – информация о СЗИ, доступ, доверие Какие угрозы ИБ в широком смысле необходимо учитывать?

Разработчик СЗИ - ценная мишень Интересны для атакующих «высоких классов», воспринимаются как активные участники государственной политики, представители интересов государства • Продукт

– Исходники и собранное ПО для исследования – Алгоритмы – Планы разработок

• Технологические мощности – Сборочные сервера

• Возможность злоумышленнику собрать свою «подлинную» версию СЗИ – Сетевые и серверные мощности

• Эксплуатация доверия – Рассылка писем/переписка от имени доверенной организации

• Люди – сотрудники, внешние контакты • База установки Продукта

– Контрактная документация – Сервисные подразделения

Атакуемые объекты Р.СЗИ Инфраструктура разработки • Системы учёта ошибок и

улучшений • Системы версионного

хранения кода • Системы хранения

жалоб потребителей • Системы подготовки

обновлений

ИБ-критичные сценарии • Подключение к сетям

заказчиков • Тестовые устройства на

периметре • Загрузка и тестирование

недоверенного ПО

Практика: Ежегодные и ежеквартальные аудиты ИБ инфраструктуры и новых сервисов

Человеческий фактор в стратегии развития ИБ

Применительно ко всем участникам «игры» • Неэффективность «правил»

– Пример: «Айфонизация вопреки» • Квалификация и осведомленность,

устаревание знаний – Упреждающая программа обучения – Непрерывное обучение норма

• Сертификация специалистов, баллы • «Мода» на темы (и ИБ как таковой) –

переключение, распыление – Фиксация среднесрочного курса?

Риски ИБ присутствуют в любой модели развития

Риски экстенсивного развития • Угрозы наличия уязвимости внешних

компонентов – Алгоритмы, архитектуры – «Платформенных» технологий:

аппаратных, программных (ОС) • Угрозы внесения поставщиком изменений

приводящих к уязвимости • Зависимость от поставщиков

– Прекращение поставок – Политика по информированию об

уязвимостях • Поставщики сервисов и баз знаний

– Изменение условий • Снижение эффективности методов СЗИ

Риски инновационного развития • Включение технологий

выводимых на рынок – Формируются угрозы – Одновременно с запуском

Продукта • Неизбежность интеграции

– Все и Вся Всегда онлайн – Мобильные платформы – Облака/сервисная модель – Интернет вещей – АСУ ТП

Опасно смешивать требования к технологиям 1 и 2 типа Возможна регламентация моделей развития?

Разработка

Управление разработкой СЗИ • Методика управления

– Водопад / Итеративные и гибкие методики –стандарт? безопасно?

• Выбор технологий и ограничения на «моду» – Цикл безопасной разработки, стандартизация - ГОСТ

• Стоимость и сложность обеспечения ИБ – Единая терминология и база угроз – Правила мониторинга ИС – Правила обмена знаниями и методиками

Регламентация практик разработки

Безопасная разработка

Проект

Проект

Внедрение Цикла Безопасной Разработки Детализация

1. Перечень практик 1.1. Домен практик 1.1.1. Описание практики 1.1.1.1. Методика проверок 1.1.1.1.1. Инструкция

Домены (Разделы) практик Мониторинг и реагирование Проверка и выпуск продукта Разработка Проектирование Требования Сторонние компоненты Соответствие требованиям регуляторов Инструменты и системы разработки Подготовка команды

Открытые вопросы безопасной разработки: публикация уязвимостей: «правила игры»??

Каналы получения информации об уязвимостях • Внутренние сообщение от разработчика • Обращение пользователя • Публикация информации об уязвимости в Интернет • Запрос от Регулятора по жалобе Угрозы открытости информации об уязвимостях Продукта

– Публикация сообщений о дефектах - превращение в уязвимость

– Доступность Продукта для исследований и развития ущерба от уязвимости

– Использование информации против Разработчика через давление Регулятора

Риски «внешних» поставок • Ограничения

– Инструменты разработки – Доступ к базам знаний

• Затягивание контрактования – Поглощение поставщиков – Смена юрисдикции

• Раскрытие информации о потребителях

• Риск прекращения действующего контракта, поддержки

1960-е

1980-е

2015 Далеко не все компоненты СЗИ регулируются (и могут регулироваться жестко)

Специализация Р.СЗИ и полнота • Ни одна компания не производит всех возможных СЗИ

– Нет компетенции по ряду областей ИБ • Разработчики-специалисты по нише СЗИ – не специалисты во

всех остальных областях – Проверяется совершенство в узкой области

• Остальное? • Развитие и угрозы отслеживаются в «своей» области

– Нет компетенций для всех остальных – Возможна иллюзия безопасности

Внешняя экспертиза, готовые инструменты, организация взаимодействия для «самозащиты» отрасли

Центры мониторинга

Эффективные меры • Общий язык, интеграция областей ИБ • Стандартизация практик разработки

– Процедуры утверждения инструментов и компонентов – Повторное использование кода

• Компоненты поддержки защищённости (фильтрация, журналирование, …)

• Повышение осведомленности, регламентация обучения • Требования регулятора

– Противодействие «экономии на безопасности» – Совместное развитие ИБ компаниями рынка ИБ

• Подконтрольность компонентов, сервисов, инструментов

Разработчик СЗИ • Компания – типовые угрозы для

организаций • Продукт – системный, инфраструктурный

компонент ИС • Отрасль ИБ –вовлечен в противоборство

ИБ • Клиенты – информация о СЗИ, доступ,

доверие

ИБ ИС

ИБ ИС

ЦБР СЗИ

ЦБР СЗИ

ЦМ ИБ

ЦМ ИБ

ЦМ ИБ

Алексей Качалин, директор ЗАО «Перспективный мониторинг»

Эксперт АЗИ

Спасибо за внимание!