Главная » Блоги Экспертов И ИТ-Компаний » Общее. Стоит ли пускать обычных ИБшников на ZeroNights?

Общее. Стоит ли пускать обычных ИБшников на ZeroNights?

Наконец у меня нашлось время написать пару слов про ИБ конференцию ZeroNights, прошедшую 17-18 ноября 2016 г.  Несомненно, это было одно из лучших практических ИБ мероприятий РФ. Со стандартным отчетом я не успел (если не считать twitter), поэтому порекомендую вам ознакомится с отчетами коллег.
ZN.jpg
Я же хотел порассуждать на следующую тему: для специалистов занимающихся исследованием безопасности ПО и ТС, пенсетеров, охотников за уязвимостями, разработчиков СЗИ это мероприятие просто не имеет альтернатив и обязательно для посещения; а что на счет обычных специалистов по ИБ? Это те, которые занимаются управлением ИБ в организации, администрированием СЗИ,  комплаенсом, внутренним аудитом и т.п.? Таких ИБшников в сотни раз больше. Стоит ли их пускать им идти на ZeroNights?
Я в лице обычного ИБшника (с опытом консультации, комплаенса, проектирования) попытался найти ответ на самом мероприятии. На первый взгляд все выступления на мероприятии сводились примерно к следующему:
·         до меня никто толком не исследовал такую-то железку / ОС / ПО/ новые функции защиты / СЗИ
·         я решил это исследовать
·         нашел одну / пачку опасных уязвимостей
·         все это позволит получить доступ к вашей системе / данным / захватить мир
·         правда работает это не всегда, а при условиях X1+X2+..+Xn
·         рекомендации в результате исследования: вендорам - внимательнее делать такие-то проверки и реализовывать такие-то функции / пользователям – выбирать производителей, которые внимательно относятся к безопасности и не допускают уязвимостей.
Ни на одном из докладов нельзя было узнать следующей информации:
·         какое волшебное средство защиты поможет мне защитится от угроз ИБ
·         как мне выбрать волшебное средство защиты
·         как мне продать руководству это средство защиты
·         какая компания поможет мне защитится если я сам не справлюсь
Так что же было делать ИБшнику?
Во-первых, можно было узнать своего врага в лицо. Конечно не в прямом смысле. Подходите к этому как к моделированию нарушителя. Большинство докладчиков offensiveдокладов (их можно было обнаружить по черному цвету фона презентации) качественно смоделируют для вас нарушителя. Подробно опишут этапы того как готовилась и проводилась атака. Пару месяцев назад все говорили про AttackKillChain. На ZNвы узнаете более 20 возможных цепочек атак. Изучайте, планируйте как вы будете противостоять им на каждом этапе.
Во-вторых, вам помогут снять розовые очки. Вы на конкретных примерах поймете, что волшебного средства, защищающего от всех угроз, не существует. Что, через небольшое врем я после выхода новой функции защиты, придумывают способы его преодоления. Что, для каждого средства защиты есть не обнаруживаемый способ антиобнаружения атаки. Что, при достаточном времени исследователь может пробраться через любую защиту.
В-третьих, можно расширять ИБ кругозор.  Например, на Offensiveвы можете:
·         узнать, что у всех компонентов ваших критических ИС есть физический уровень
·         компоненты ваших ИС на физическом уровне тоже могут иметь уязвимости
·         уязвимости на физическом уровне позволяют получить доступ на любом вышестоящем уровне, а значит ко всему
·         запланировать включение анализа компонентов на физическом уровне в область управления уязвимостями и обновлениями
·         вспомнить, что в компонентах ваших ИС тоже есть UEFI и BIOS
·         понять наконец почему в БДУ ФСТЭК так много угроз связано с UEFI и BIOS
·         вспомнить что прошивки и ОС на вашем сетевом оборудовании, принтерах, периферии и другом второстепенном оборудовании не обновлялись уже как десять лет (хотя ОС на АРМ вы обновляете каждую неделю)
·         запланировать включение анализ описанных выше компонентов в область управления уязвимостями, обновлениями и контроля целостности
·         узнаете, что происходит в тот момент, когда компьютер сам разблокируется, выполняет пару команд и снова блокируется
·         узнать, что бывает разная криптография, по-разному реализованная в разных устройствах и запланировать категорирование компонентов критических ИС по степени стойкости крипты в них
·         узнать, что вредоносы могут внедряться и в ваши эталонные дистрибутивы ПО и запланировать дополнительный контроль их целостности
Ну а секция Deffensiveбыла специально и полностью предназначена для нас – обычных ИБшников. Только по сравнению с традиционными ИБ мероприятиями обладала рядом недостатков:
·         вместо того чтобы посоветовать готовое решения или поставщика услуг нам зачем-то рассказывали про опыт построения системы обнаружения целенаправленных атак, системы мониторинга почты и системы управления уязвимостями своими силами из опенсорсных кусочков
·         вместо того чтобы рассказывать про плюшки и бонусы, нам рассказывали про сложности и ограничения применения двухфакторной аутентификации в гетерогенной linuxсреде
·         вместо того чтобы рассказать, как выстроить в компании эффективные из зрелые ИБ процессы, нам рассказывали, как обеспечить безопасность в условия хаоса и вседозволенности сотрудников
·         лидеры ИТ отрасли вместо того чтобы хвастать успешными внедрениями современных ИБ решений, жаловались на отсутствие денег и необходимость писать себе СЗИ самостоятельно
Конечно же никакое хорошее обучение не обойдется без практики. В рамках двух task-basedCTF(от QIWIи bi.zone) был подготовлен набор практических задачек, которые можно было решать на ZN, а потом померяться с коллегами. Немалая часть задачек была подходящей для обычных ИБшников: в категориях OSINT, Forensic, MISC  на 50, 100 и 300. Если хорошо поискать, то можно было найти на ZNещё практические задачки, посильные обычному ИБшнику.  
Итак, если отвечать на первоначальный вопрос: наверное, не стоит пускать идти на ZN топ-менеджерам, занимающихся высокоуровневыми вопросами ИБ, а также ИБ специалистов компаний, которые решают свои задачи ИБ исключительно силами интеграторов и аутсорсинга.  
Стоит посещать ZNспециалистам по ИБ компаний, которые путаются самостоятельно реализовать некоторые меры защиты, которые самостоятельно занимаются управлением уязвимостями, обновлениями, мониторингом и расследованием инцидентов.
PS: Если бы организаторы расширили Defensiveсессию на 2 дня, так было бы совсем замечательно.


Источник: http://sborisov.blogspot.com/2016/12/zeronights.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>