Cybersecurity Career Master Plan

Прочитал отличную книгу под вызывающим названием Cybersecurity Career Master Plan (2021 год).

Книга предназначена для студентов, которые рассматривают возможность связать свою карьеру с ИБ. В ней представлены советы и техники, как выстроить успешную карьеру в ИБ. Книга написана несложным английским языком, хотя её авторы американцы - 4 эксперта в области ИБ. В качестве дисклеймера нужно сразу сказать, что в издании красной нитью прослеживается создание нетворкинга для развития и продвижения кибербезопасников. Дело в том, что, как минимум, двое экспертов занимаются в США военной киберразведкой, поэтому подобные советы нужно обязательно воспринимать критически. Рассказываю, о чем идёт речь в книге.

Как айтишникам ставить задачи по SMART

SMART is a mnemonic acronym that stands for the following:

• Specific (what, who, where, and why)

• Measurable (motivational)

• Achievable (realistic)

• Relevant (in line with the overall dream)

• Time-based (end date and time-driven)

Это означает, что мы адресно и четко должны писать задания, задания должны быть точно выполнимы (не выполнить всё на свете и быстро), ставим реалистичный срок. Мы сами должны понимать, как будем проверять выполнение заданий. Выполнено / не выполнено уже будет зависеть от многих иных факторов.

Пример 1:

to: servicedesk@bank.ru

Добрый день!

В соответствии с требованиями политики ИБ прошу отключить следующие учетные записи до конца рабочей недели (02.09.2022 пятница).

Ivanov

Petrov

Sidorov

Скрипт для отключения у вас имеется (или прилагается).

С уважением

 

Становление ИБ в организации

Как-то меня озадачивали вопросом, что бы я делал и как, будь появилась необходимость ставить процессы ИБ в организации, которая начала стремительно расти из финансового стартапа. Делюсь записями из склада документов на своём компе. Немного актуализировал в соответствии с нынешними реалиями.

Предположим, что имеется небольшая ИТ-инфраструктура, состоящая из контроллера домена, почтового сервера, файловых серверов, серверов баз данных, шлюзов для интеграции с бизнес-партнерами и шлюза в НСПК для финансовых транзакций. Также имеется web-сайт. Многие сотрудники хотят работать в удаленном режиме.

Буду рассматривать актуальные риски ИБ текущего времени:

• риски нарушения непрерывности бизнеса;
• риски несоответствия 152-ФЗ и утечек персональных данных;
• риски несоответствия PCI DSS.

Теперь я буду в комплексе предлагать меры для качественного парирования перечисленных рисков. Подход будет от простого к сложному. Где можно, будем обходиться встроенными механизмами ИБ без покупок средств защиты. Где нельзя, сразу будем их ставить.

Отзыв про CRISC Review Manual 6-th

Прочитал официальный курс от ISACA под названием CRISC Review Manual 6-th Edition (2015 год). Касаемо года курса подумал, что, беря во внимание санкции, это нормально, да и в оценке рисков ничего не меняется, т.к. методология по оценке рисков весьма консервативна. Поэтому лучше прочитать что есть, чем не прочитать ничего. Еще мне казалось из названия, курс будет исключительно про процесс оценки рисков. А оказалось всё совсем не так. На самом деле ситуация с курсом следующая.

CRISC - полноценный курс для специалиста ИБ, в котором методология оценки рисков занимает совсем небольшую часть. В основном рассказывается, с какими угрозами и с каких сторон может столкнуться организация. Что любую технологию или решение нужно рассматривать всесторонне. Например, что МСЭ это не только ПАК, который нужно разместить в ЦОД, а нужно правильно раздать роли по его администрированию, не забыв об обучении администраторов, регулярно проверять правила и конфиги, создать общий процесс управления изменениями, собирать логи, направлять их в SIEM, устанавливать процесс реагирования на инциденты на основании них. По другим средствам защиты или решениям, нужно поступать аналогичным образом. 

Любой процесс нужно рассматривать в комплексе, потому что векторы для потенциальных атак собираются из множества гранулированных недоработок. И наоборот, если безопаснику говорят, что это делать не нужно, так как есть недостатки в других местах, то это тоже приведёт к тому, что из этих недостатков слепится, как снежный ком, глобальная уязвимость организации, и рано или поздно произойдет значимое рисковое событие. Ну а методология количественная, качественная или смешанная конечно же в курсе тоже есть.

Рекомендую и одновременно разыскиваю 7-ю версию курса.

CompTIA CASP+ Study Guide

С интересом прочитал курс CompTIA CASP+ Study Guide Exam CAS-003 (2019 год). Последнее 4-е издание найти на просторах инета не удалось, но лучше что-то, чем ничего. Курс позиционируется для технических директоров и архитекторов ИБ.

Книга состоит из следующих разделов:

1. Cryptographic Tools and Techniques

2. Comprehensive Security Solutions

3. Securing Virtualized, Distributed, and Shared Computing

4. Host Security

5. Application Security and Penetration Testing

6. Risk Management

7. Policies, Procedures, and Incident Response

8. Security Research and Analysis

9. Enterprise Security Integration

10. Security Controls for Communication and Collaboration

Далее идут ответы на вопросы и множество несложных лаб для практики.

 

Надо сказать, что было достаточно интересно читать курс. Почти нет воды, всё от и до исключительно по делу. Сложилось впечатление, что разные параграфы писались разными авторами. Один пишет проще, другой сложнее. Для меня, как носителя русского языка, это очень критично, поэтому кое что пришлось понимать с помощью Яндекс Переводчика. 

Можно рекомендовать общественности.

Противодействие кибератакам в финансовой сфере

Внимательно посмотрел и послушал панельную дискуссию «Противодействие кибератакам в финансовой сфере — Информационная безопасность банков 18 апреля2022г». Всё полезное там было в первом часе, далее шла просто дискуссия о преимуществах и недостатках аутсорсинговых соков. Хочу привести основные новые озвученные угрозы, мысли о них на сегодняшний день вместе со своими комментариями:

1. Сейчас за атаками стоят многочисленные правительства иностранных государств, о чем раньше мало кто даже фантазировал. Это было только в литературе, в моделях угроз ФСБ и в качестве шаблонных фраз на выступлениях. Сейчас это стало реальностью. За атаками стоят официально поддерживаемые властями иностранные ИТ компании.

2. Настало время относиться ко всему по методологиям Zero-trust (нулевое доверие), в том числе и к персоналу. Есть информация, что администраторам предлагают значимые суммы ($2000) за размещение вредоносных программ в контролируемых ими корпоративных сетях.

Race Condition

В техниках безопасного программирования есть такое понятие, как Race Condition. Перевожу сразу из учебника:

Две инструкции из разных потоков пытаются получить доступ к одним и тем же данным одновременно. Когда разработчик пишет приложение, потоки данных должны быть запрограммированы на последовательный доступ к данным. Сразу приводится пример:

Два футбольных фаната покупают билеты на финал Суперкубка. Когда они приходят на стадион, они обнаруживают, что проданные им билеты на одно и то же место. Это большая прибыль для тех, кто продает билеты, но плохая ситуация для тех, кто покупает билеты.

В банковской отрасти это может означать, что нужно отслеживать выполнение распоряжений клиента, исходящих их разных мест. Например, в каждом банке (брокере, страховой компании, и т.д.) есть web-кабинет и мобильное приложение. Разумно сделать контроль сессий клиента, чтобы в единицу времени активной была только 1 сессия. Некоторые банки давно имеют такой контроль, а некоторые нет. Реализации могут быть следующими:

- при открытии второй сессии, пишется ошибка, что сессия клиента уже существует;

- при открытии второй сессии, первая сессия автоматически закрывается.

Этот контроль сделать несложно, так как чаще всего разные виды ДБО для клиентов - это лишь разные интерфейсы, ведущие к общей прикладной части и далее к общей БД.

CompTIA Security+ Вопросы и ответы после разделов

Перечитал последнюю редакцию книги CompTIA Security+, о которой писал немного ранее. По данной книге сейчас уже проводится 6-я версия экзамена (SY0-601). 

Через Яндекс Переводчик сделал переводы вопросов и ответов после каждой из глав. Даю ссылку на файл с вопросами и ссылку на файл с ответами, которые выложил через Яндекс.Диск. За перевод не судите, так как это AI, а не я.

Как оплачивать услуги в (ISC)2

Недавно я писал заметку, как сейчас можно оплачивать услуги в ISACA. Аналогичная схема применима и к (ISC)2. Человек с телеграмм-чата последовал моему совету, запросил у техподдержки реквизиты. Техподдержка прислала реквизиты, написала, чтобы он в платеже указал свои данные (имя и ID) и после совершения платежа отправил информацию об этом. 

Thank you for contacting us.

Yes, members do have an option to pay via wire. Please find the wire instructions attached. We ask members to use their name and (ISC)2 Member ID as reference so that our finance department could locate your payment and apply it to your account. Please note that we do not cover any bank charges. Please send the payment confirmation directly to our Finance department on ARprocessing@isc2.org.

Перевод был выполнен также через Тинькофф банк и дошел на третий день. На форумах пишут, что такая "скорость" связана с тем, что Тинькофф банк сперва держит платеж 3 дня и только потом отправляет.

На днях поступила официальная инфа, что Тинькофф банк до конца года будет переименован, ну а SWIFT - живи!

Опасные и безопасные протоколы

Из учебника CompTIA Security+ публикую скриншотами опасные и безопасные протоколы. В общем случае первых не должно быть в сети, они должны быть замещены на вторые. 

Конечно всё это нужно делать не шаблонно, а вдумчиво.

Про книгу CompTIA Security+

Приобрел для себя новую старую книгу Security+ от CompTIA. Новую, потому что это новая версия курса SY0-601, а старая, потому что я много лет назад успешно сдавал по этому курсу экзамен. За последний десяток лет многие технологии ИБ заметно ушли вперед, поэтому настало время освежить текущие знания и поднабрать новых. Конечно, заметное место в учебнике придаётся технологиям от Microsoft, но если смотреть честно, то повсеместный отход от них в России вряд ли произойдет.

Привожу разделы ИБ, из которых состоит данный курс:

Section 1: Security Aims and Objectives

Chapter 1, Understanding Security Fundamentals

Chapter 2, Implementing Public Key Infrastructure

Chapter 3, Investigating Identity and Access Management

Chapter 4, Exploring Virtualization and Cloud Concepts

Section 2: Monitoring the Security Infrastructure

Chapter 5, Monitoring, Scanning, and Penetration Testing

Chapter 6, Understanding Secure and Insecure Protocols

Chapter 7, Delving into Network and Security Concepts

Chapter 8, Securing Wireless and Mobile Solutions

Section 3: Protecting the Security Environment

Chapter 9, Identifying Threats, Attacks, and Vulnerabilities

Chapter 10, Governance, Risk, and Compliance

Chapter 11, Managing Application Security

Chapter 12, Dealing with Incident Response Procedures

Позднее переведу и выложу вопросы и ответы, которые идут после каждого раздела.

Про мобильные приложения

По мере усиления санкционного нажима на Россию со стороны якобы цивилизованного сообщества уже началось удаление мобильных приложений ряда банков из иностранных репозиториев. Пока это касается только банков, попавших в санкционные списки, но лучше готовиться и остальным. Санкционная война еще далека от завершения, если она вообще когда-нибудь закончится.

Риски очевидны:

1. Обновления. Мобильные приложения перестанут обновляться, а значит в них будут копиться уязвимости. Надо учесть, что далеко не все и не всегда качестве выстраивают безопасную разработку приложений, проводят контроль версий, статические и динамические проверки кода и т.д.

2. Новый функционал. Отсутствие обновлений в равной мере относится и к функционалу. И если он перестанет обновляться, то приложения перестанут справляться с задачами бизнеса. В них попросту не будут появляться новые продукты и новые фишки.

3. Юзабилити. Зачем терпеть неудобства, если можно их не терпеть. Уже сейчас наметился переток клиентов из банков под санкциями в другие, как правило средние по размерам, кредитные организации, до которых наши бывшие западные партнеры вероятно еще не скоро доберутся. Это касается и физических и юридических лиц.

Что имеем:

- Банки под санкциями начали выкладывать пакеты мобильных приложений на своих сайтах, прикладывая инструкции, как их устанавливать, включая возможность недоверенной загрузки приложений.

- Некоторые компании заявляют о создании российских репозиториев для мобильных приложений. Можно полагать, что в результате конкуренции из нескольких таких репозиториев останется один самый лучший.

Вместе с этим еще необходимо как-то переводить иностранные смартфоны под управление российских ОС.

Альтернативным выходом может быть доработка «толстых» web клиентов, адаптируя их к мобильным устройствам. Здесь даже получается экономия – не потребуется одновременно поддерживать две фронт-части одного ДБО.

 

Санкции – время возможностей!

Отзыв на книгу CISA от Doshi

Хочу поделиться впечатлениями об учебнике CISA Study Guide от Hemang Doshi.

Во-первых, автор очень кратко даёт материал. Буквально по странице, а то и меньше на каждую тему. Во-вторых, половину книги занимают вопросы. При размере учебника под 600 страниц, 300 отведены на вопросы. Это, с одной стороны, очень хорошо. Я полностью прочитал информационную часть, благо она написана действительно достаточно простым языком и почти не содержит редких плохо известных слов. Если сравнить её с оригинальным CRM от ISACA под 1000 страниц, то можно, как говорится, почувствовать разницу. У Doshi очень хорошо поставлены вопросы, в них именно то, что, как мне кажется, должно быть на экзамене.

Также у Doshi также есть свой ютуб-канал, где есть много видео по разным разделам курсов от ISACA. Еще есть платные учебные курсы. Таким образом его вопросники представляют ценность для подготовки. Но учитывая текущую политическую обстановку, я читал учебник именно для ознакомления с материалом, а не для сдачи экзамена. В целом у меня сложилось впечатление, что материал даётся слишком по верхам и поэтому для лучшего изучения курса нужно читать оригинальный учебник. Но в качестве preview курса, книга от Doshi очень хороша. 

Рекомендую. 

Про резервное копирование и восстановление

Один из аспектов непрерывности бизнеса, создание планов восстановления ИС, если что-нибудь случится. Одна из проблем, с которой часто сталкиваются банки, заключается в том, что направление по резервному копированию не входит в информационную безопасность. Так исторически у нас сложилось. Однако, если посмотреть иностранную литературу, то данные процессы входят в обязанности ИБ. В этой связи, а на самом деле по причине всеми известных геополитических обострений, полагаю не откладывая проверить у себя в организациях, как устроен процесс резервного копирования и самое главное восстановления информации.

Нужно начать с выборки ключевых информационных систем, от которых зависит функционирование организации.

После этого нужно выяснить из каких серверов состоят эти системы. Наверняка в организации должна быть политика резервного копирования, включающая план резервного копирования. В плане должно быть прописано, что именно и с какой периодичностью должно бекапиться. Именно на соответствие плану и требуется проверить фактические бекапы. Я всегда запрашиваю в ИТ скриншоты настроек ПО, логи, что резервные копии выполнены, и инфо о том, где они хранятся.

Теперь начинается самое интересное. Нет смысла выполнять резервное копирование, если не умеешь восстанавливать из бекапов системы. Поэтому очень важно заставлять ИТ на регулярной основе проверять резервные копии. Причем не только на распаковку, но и на реальное восстановление из них информации. Желательно, чтобы это всё было прописано в политике резервного копирования и восстановления. Я всегда запрашиваю скриншоты, логи об этом и прошу подписать акт об этом.

Ну и в свете всё тех хе санкций, теперь еще нужно убедиться, что ПО для резервного копирования не отключат, а значит и его возможно придется импортозамещать. Или бекапить системы в общепризнанных форматах, которые могут быть легко восстановлены иным многочисленным ПО.

С 1 июня 2022 года экзамен CISM меняется

С 1 июня 2022 года экзамен CISM меняется. Так давно гласит баннер в личном кабинете ISACA. Я долго думал, что же там может поменяться, поэтому, честно говоря, и поспешал со сдачей своего экзамена. У известного блогера из Индии Prabh Nair недавно появилось видео об этом. Я даю ссылку на него (https://www.youtube.com/watch?v=as8HsdOPEJw) и привожу скриншотами информацию об основных изменениях:

Как видим, из интересного добавляются DevOps и DevSecOps. Учитывая, что это действительно текущий тренд, надо самостоятельно позаниматься и изучить, что это такое с точки зрения общепризнанных в мире практик ИБ. Да и в вакансиях по ИБ эти направления встречаются уже часто. А значит появятся новые учебники, как официальный от ICASA, так и от сторонних авторов (Peter H. Gregory - сложный, Hemang Doshi - простой). Но нужно сказать, что сейчас во время всесторонних санкций, подходящее время гранит науки лишь грызть, а бежать сдаваться кому нужно придет время уже после разрядки ситуации.

Как оплачивать услуги в ISACA

Известно, что после всесторонних иностранных санкций от ISACA также поступило уведомление, что карточные переводы из России приостановлены. А значит стало проблематично оплачивать сборы за услуги. Я перепробовал следующие способы и все они оказались неработающими:

- оплата картой VISA/Mastercard/Union Pay российского банка, включая через VPN

- оплата картой VISA/Mastercard иностранного банка (стран СНГ), включая через VPN

Оказалось, что на сайте поддержки написано, что принимаются межбанковские платежи и даже даны реквизиты (https://isaca.force.com/support/s/article/Can-I-pay-for-my-membership-by-check-or-bank-wire-transfer-1597877229844).

Я написал в поддержку вопрос, что из-за санкций не могу оплатить картами, можно ли попросить банковские реквизиты. И получил ответ, что можно и вот они реквизиты. Реквизиты были точно такие, как и на сайте. Я начал искать подходящий банк.

Санкции. Что можно делать в самом начале

Сейчас, когда со всех сторон на нашу страну летят санкции, поэтому неминуемы изменения и в ИБ. Половина вендоров приостановили работу в РФ, российские же продукты сильно подорожали. Что в этой ситуации лучше делать? Выскажу своё видение ситуации.

Во-первых, не паниковать и не предпринимать поспешных действий. Нужно иметь в виду, что часть ушедших от нас производителей, скорее всего, вернутся и продолжат работу. Об это часто говорят наши ведущие экономисты, например Хазин.

CISM. Продолжение

По мере изучения материалов из учебника сделал для себя следующие заметки, которыми делюсь с коллегами через блогосферу:

1. Всегда нужно правильно перевести вопрос. Это иногда может быть проблемой в виду недостаточного знания английского языка и частого использования в вопросах синонимов.
2. Далее часто можно исключить явно неправильные ответы. Потом уже выбрать ответ, как 1 из 2, что повысит вероятность правильного ответа в 2 раза.
3. Отвечать на вопросы нужно с точки зрения бизнеса. Если есть 2 правильных ответа, правильный будет тот, который про бизнес.
4. Если в ответах говорится о безопасности человека, это будет правильным ответом.
5. Если в ответах говорится про культуру страны, то это часто будет правильным ответом.
6. Так называемые «лучшие практики» и другие международные стандарты - последнее, на что нужно обращать внимание при ответе. Как и фразы про привлечение внешних консультантов к решению ИБ задач.
7. Если в ответах есть выбор между соответствием требованиям регуляторов и бизнес требованиям – более важны последние.
8. Если говорится, что нужно разорвать бизнес-контракт – это всегда будет неправильным ответом.

Для себя отдельно проработал следующие темы, которые до изучения материалов знал слабовато. Вот они:

• Balanced scorecard
• Chain of custody
• KRI
• Outcomes IS governance
• Согласование IS governance и enterprise governance
• Post incident review
• Custodian and Owner
• Типы диаграмм для визуализации
• Централизация и децентрализация ИБ

Учебник Gregory прочитал от корки до корки, правда через автопереводчик.

CISM. Incident Management. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление инцидентами безопасности, планирование аварийного восстановления и планирование обеспечения непрерывности бизнеса - все это поддерживает центральную цель: устойчивость и быстрое восстановление при возникновении аварийных событий.

Инцидент безопасности - это событие, при котором конфиденциальность, целостность или доступность информации или информационных систем были или находятся под угрозой нарушения. Распространение подключенных устройств делает безопасность жизнедеятельности дополнительным фактором во многих организациях.

Этапы реагирования на инциденты включают планирование, обнаружение, инициирование, анализ, локализация, ликвидация, восстановление, восстановление, закрытие и анализ после инцидента. Планирование состоит из разработки политики реагирования на инциденты, ролей и обязанностей, процедур, а также тестирования и обучения.

CISM. Information Security Program. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Программа информационной безопасности состоит из мероприятий, используемых для выявления и устранения рисков. На тактическом и стратегическом уровнях все мероприятия в рамках программы выполняют эту цель. Программа обеспечения безопасности также основана на результатах; когда разрабатывается стратегия, целями стратегии являются желаемые конечные состояния или результаты. Задачи и проекты, выполняемые в рамках программы, приближают организацию к этим желаемым результатам.

Уставной документ определяет основные долгосрочные цели программы обеспечения безопасности, а также определяет роли и обязанности. Устав, как правило, будет определите объем программы — отделы, бизнес-подразделения и местоположения, которые будут подпадать под действие программы. Дорожная карта - это стратегический документ, в котором описываются шаги, которые необходимо предпринять для реализации ключевых целей.

CISM. Risk Management. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление рисками является основой программы информационной безопасности организации. Благодаря своим методам выявления рисков и понимания вероятности их возникновения и воздействия на организацию, управление рисками помогает организации расставлять приоритеты в отношении ограниченных ресурсов для наиболее эффективного снижения рисков. Правильное применение управления рисками помогает организации снизить частоту и влияние инцидентов безопасности за счет повышения устойчивости и подготовки.

При реализации программы управления рисками необходимо учитывать несколько характеристик организации, включая устойчивость к рискам, нормативные и юридические обязательства, структуру управления, поддержку исполнительного руководства и культуру.

Программа управления рисками должна включать несколько способов коммуникации, чтобы бизнес-лидеры и заинтересованные стороны понимали программу и то, как она интегрирована в организацию. Программа должна быть прозрачной в отношении ее процедур и практики.

CISM. Security Governance. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление информационной безопасностью - это нисходящее управление и контроль безопасности и управления рисками в организации. Управление обычно осуществляется через руководящий комитет, состоящий из руководителей со всей организации. Руководящий комитет отвечает за определение общего стратегического направления и политики, обеспечение соответствия стратегии безопасности ИТ- и бизнес-стратегии и целям организации. Пожелания руководящего комитета реализуются с помощью проектов и задач, которые направляют организацию безопасности к стратегическому цели. Руководящий комитет может отслеживать прогресс с помощью показателей и сбалансированной системы показателей.

Чтобы программа информационной безопасности была успешной, она должна соответствовать бизнесу и его общей миссии, целям и задачам, а также стратегии. Программа обеспечения безопасности должна учитывать представление организации о стоимости активов, культуре, терпимости/склонности к риску, юридических обязательствах и рыночных условиях. Успешная и согласованная программа обеспечения безопасности не руководит организацией, а позволяет и поддерживает ее в выполнении своей миссии и достижении своих целей.