Saturday, October 10, 2015

Киберполиция

Продолжая тему APT полезно в очередной раз подумать над тем, что с этим делать. Ни для кого не секрет, что этим занимаются профессиональные ребята, это неплохой бизнес, т.е. на лицо глубокая проработанность и подходов/техник/методов и бизнес-модели. Поэтому, беря во внимание, что ресурсов и возможностей у таких ребят несравнимо больше чем у любой внутренней службы информационной безопасности, противостоять этому абсолютно нерентабельно. Однако, кибератаки имеют под собой объективную мотивацию, в них есть потребность, а, поскольку на рынке есть предложение, - таргетированные атаки, выполненные более чем профессионально, - объективная реальность.

С системными проблемами надо бороться системными методами, подходы к решению должны отвечать подходам, формирующим проблему, поэтому как АНБ должна противостоять ФСБ, так и организованным кибертеррористам должна противостоять организованная киберполиция.

Почему именно правоохранительный орган? Любые киберзлодеи - это прежде всего люди. У нас есть только один легитимный инструмент влияния на злодеев - Уголовный кодекс, а с уголовниками должны заниматься правоохранительные органы.

Где взять кадры? В целом, там же, где берут коммерческие компании. На первых порах вполне возможна работа киберполиции в связке со специализированными компаниями, проводящими расследования в рамках своих исследований, своего бизнеса. Для "прокорма" этих высоковалифицированных профессионалов в составе федеральных служб вполне можно придумать бизнес-модель, аналогичную вневедомственной охране, дающей возможность предприятиям не беспокоиться о штатных безопасниках, а покупать сервис обеспечения ИБ (типа MSS) у федеральной киберполиции. Технологически такие предприятия можно затягивать в централизованный SOC, а результаты мониторинга использовать в дальнейших расследованиях.

Киберполиция будет иметь просто нереальные возможности, что, при правильном менеджменте, выльется в потрясающую эффективность. Поясню, - злодеи, в любом случае, для своего бизнеса, используют стандартные средства связи: Интернет, телефон, возможно, они как-то отмечаются в социальных сетях, может, даже, у них есть счета в банках, может, у них есть сотрудники с кредитками и со счетами, они, скорее всего, совершают сделки, в результате чего осуществляются какие-либо движения каких-либо средств.... Из федеральной киберполиции ко всему этому можно получить доступ, собирать и анализировать Большие данные, находить и расследовать аномалии (если задаться целью можно составить профиль каждого гражданина, деанонимизация - вопрос техники, - отличная книга на эту тему - Все под контролем! - рекомендую ознакомиться), не говоря уж о том, что можно легко делать (с этого стоит и начать!) абсолютную банальщину - искать IoC-и в клиентском трафике провайдеров и трейсить известные паттерны сетевых атак\эксплоитов\применение стандартных (== доступных на рынке) инструментов эксплуатации и аудита.

Т.е. фактически задача сводится к построению SOC, где, подобно тому как мы ищем злодеев в сети, киберполицейские будут смотреть и пытаться увидеть как кого-то исследуют/сканируют, затем ломают, затем как-то постэксплуатируют: отстуки ботов куда-то, получение каких-то новых нагрузок (по которым, может быть, можно даже и без эвристики отработать антивирусом, не говоря уж о том, что по всему подозрительному можно проводить статический и динамический анализ кода).... в общем, есть масса высокоэффективных вещей которые следует поделать, причем с федерального уровня есть, на мой взгляд, есть все необходимые технологические средства для проведения такого intelligence. Дело за малым и в то же время самым большим - начать.

Ну а что же нам делать сейчас, пока эффективной киберполиции нет? Вот товарищ Шнаер пишет абсолютно правильные слова: "The best defences against terrorism are largely invisible: investigation, intelligence, and emergency response". Я считаю уместным сравнение кибертеррористов с обычными террористами, поэтому, в обобщенном случае, и методы борьбы те же:
  • мониторинг своей сети - научитесь быстро понимать, что вас поломали. Скорее всего это будет постэксплуатация, когда уже у вас что-то тащат или что-то подгружают, или как-то используют ваши мощности или еще что-либо (очевидное объяснение почему вы заметите именно постэксплуатацию - временные интервалы: эксплуатация будет мгновенной и ее будет легко пропустить, однако постэксплуатация будет всегда, пока вы не заметите.... Конечно, здорово "заметить неладное" на этапе рекогносцировки злоумышленника, но практика показывает, что ее можно сделать незаметной, не выделяющейся за пределы "белого шума" систем обнаружения, - поэтому крепитесь, - в случае APT вас обязательно поломают, и, если вы это когда-то заметите, вы уже будете молодец!);
  • реагирование на инциденты - научитесь управлять иницидентами, не тупить, делать правильные вещи правильно и в правильное время. Скорее всего надо иметь что-то вроде "red team", подключающейся для расследования, возможно,  поначалу достаточно иметь ее "динамическую" - формируемую по ситуации из подходящих специалистов;
  • BCP и DRP - надо обеспечить то, что называется operational resilience, позволяющую вам продолжать функционировать в условиях каких-либо ощутимых потерь, а в случае перерыва сервиса - уметь быстро восстановиться.



Monday, October 5, 2015

Цена неопределенности

Мы постоянно подчеркиваем важность наличия стратегии, однако, на практике почему-то наблюдается обратное. Давайте попробуем разобраться.

По моему убеждению, стратегия выполняет очень простую задачу: сокращает количество вариантов для проработки; понятно, что "хорошая" стратегия делает это более эффективно. Стратегия является тем элементарным "мерилом", позволяющем с минимальными затратами (а точнее - нулевыми) на анализ
сразу исключить из рассмотрения некоторые варианты развития ситуации и не тратить ресурсы на их проработку. Тем не менее, на практике я постоянно слышу о необходимости детальнейшей проработки всех возможных вариантов и предоставления их руководству для "принятия взвешенного решения".

Такое поведение руководства обнажает отсутствие стратегии, и ведет к вполне ощутимым потерям: исполнители вынуждены прорабатывать заведомо несостоятельные варианты, и стоимость проработки этих, стратегически убогих, вариантов и есть цена (стратегической) неопределенности, если хотите, - цена непрофессионализма руководителя. Эти потери Компании на проработку решений, которые впоследствии не были приняты можно подсчитать для каждого руководителя, анализируя его деятельность и, например, учесть при расчете выходного пособия. Мы почему-то все кидаемся на анализ КПЭ (KPI), что по сути своей является полной банальщиной – насколько твой план совпал с твоим фактом. При этом мы почему-то не оглядываемся назад, а напрасно, - ведь смотря на прошлое из настоящего можно вполне объективно судить о ранее принятых решениях; также просто судить и о не принятых решениях, а затраты на их проработку известны. Можно даже ввести метрику для руководителя, отражающую сколько ресурсов (можно выразить и в деньгах) Компании он потратил впустую. По-моему – это обалденный показатель, характеризующий любого принимающего решения, позволяющий оценить его эффективность, профессионализм, лидерство.

Но вернемся к задачам руководителя, - он не должен просто ставить задачи и принимать результат (а в промежутке между этими событиями постоянно спрашивать статус), как бы это банально не звучало, - он должен и помогать своим исполнителям. Очевидной помощью является сокращение вариантов для проработки. У руководителя должно быть то стратегическое видение, позволяющее сразу не рассматривать что-то, и это позволит более эффективно использовать доступные ресурсы, направив их на проработку соответствующих стратегии вариантов.

Я приведу еще одну простую аналогию. У нас всех есть некий багаж воспитания и культурного прошлого, позволяющий нам всем отличать зло от добра, плохое от хорошего, строить различного рода суждения о тех или иных событиях и поступках. Так и с профессиональной точки зрения руководитель должен иметь этот "багаж знаний", позволяющий сразу отметать что-то. Здесь я в очередной раз хочу обратить внимание на то, что менеджер в какой-либо предметной области должен быть прежде всего профессионалом в этой области, и уже во-вторых - менеджером, вопреки расхожему мнению, что "хороший менеджер" может построить любой процесс, и ему не важно чем управлять. Это не так, знание технологий управления не восполняет вакуум предметных знаний, позволяющих иметь стратегическое видение, а, следовательно, такой менеджер не сможет эффективно распределять имеющие у него ресурсы, люди будут заняты ненужной работой и результат, если и будет достигаться, то не теми темпами и стоимость его будет не та.

Еще один важный момент, - "Минимальная цена варианта" едва ли может служить хорошей стратегией, поскольку не позволяет провести анализ шире данного набора вариантов, т.е. выбирая постоянно вариант с минимальной ценой, без какого-либо широкого рассмотрения полной последовательности всех рассматриваемых вариантов (вариантов в совокупности с текущими и будущими вариантами) можно прийти в ситуацию, дающую совсем не те ожидания и выход из которой в перспективе будет дороже, чем построение пути по другому маршруту, выверенного изначально взвешенной стратегией - все просто: принимая решение сейчас, при отсутствии стратегии будущее не просматривается.